É possível colocar os servidores de aplicativos em sub-rede diferente do que os servidores front-end

Question

É possível colocar os servidores de aplicativos em uma sub-rede diferente do que os servidores front end no SharePoint 2013,

Quais são as vantagens e desvantagens, observando que esta é uma aplicação voltada à Internet

Answer 1

sim. É perfeitamente possível fazer isso, independentemente de que a edição do SharePoint você está usando.

É mais uma configuração relacionada à rede, onde você precisa garantir que o servidor de aplicativos e os servidores finais da Web sejam capazes se conectarem uns aos outros para todas as portas específicas em que aplicativos de serviço e seus aplicativos da Web estão sendo executados.

O roteador / firewall precisa permitir "apenas" as portas necessárias entre as sub-redes usadas pelo SharePoint. Normalmente, você gostaria de ter essas portas abertas entre as sub-redes, mas não limitadas a: -

tcp / 135,
TCP / 445 - Microsoft DS,
UDP / 137 - NetBIOS Nome,
Portas dinâmicas - 49152 para 65535 para portas aleatórias RPC para serviços de relatórios.
32843,32844 (SP Serviços da Web sobre HTTP e HTTPS)

Além disso, o menor a distância da rede (* lúpulo) entre o servidor de aplicativos e a sub-rede do WFE, os melhores resultados gerais de latência que você terá. Envolva seus caras de TI / Network para isso.

A partir da perspectiva de segurança, age como um ponto de isolamento - que incase seus WFE estão comprometidos, ainda levará o atacante algum esforço adicional para comprometer a fazenda inteira. Preferivelmente não hospeda o administrador central no WFE. Mas ainda acho que eles são várias maneiras que seus servidores de aplicativos podem ainda ser comprometidos a partir de um WFE enraizado.

Diferir apenas com base na sub-rede não é considerado "uma vez e para tudo" bloqueio.