SharePoint Portal Server

7 SharePoint Portal Server im Extranet 310 Konfigurieren der Proxyservereinstellungen für den SharePoint Portal Server 311 DNS-Eintrag festlegen 312 Anlegen der neuen Website innerhalb des IIS 319 Ändern der Sicherheitseinstellungen für die neue Website 321 Konfiguration des Proxyservers 322 Testen des Extranet vom Intranet aus 325 Test der Site aus dem Internet 325 Festlegen der URL, die in E-Mail-Benachrichtigungen benutzt wird 327 SSL aktivieren D Internet-Einbindung Während meiner Workshops und Schulungen der letzten Zeit stellte sich heraus, dass das Thema»Internet«und»SSL«im Zusammenhang mit SharePoint Portal Server 2001 immer mehr an Bedeutung gewinnt. Praktisch kein Workshop verging, ohne dass ich nach diesen Möglichkeiten gefragt wurde. Ich möchte dieses Kapitel nun nutzen, um kurz auf die Konfiguration von SharePoint Portal Server 2001 für das Internet und im Zusammenspiel mit SSL einzugehen. Grundlage dieses Kapitels bilden zwei Whitepaper, die sich ausführlich mit diesem Thema beschäftigen:»deploying Microsoft SharePoint Portal Server 2001 across an Extranet«und»Accessing a Workspace Using HTTPS Does Not Work«, welche Sie auch beide im Internet unter http://www.sharepointinfo.de finden. 307

In dem hier angesprochenen Szenario wird davon ausgegangen, dass auf den SharePoint Portal Server 2001 über eine Firewall zugegriffen wird. Der Server selbst befindet sich im Intranet und verfügt über eine einzige Netzwerkkarte. Der Betrieb eines Servers mit getrennten Schnittstellen zu Intranet und Extranet ist nicht vorgesehen. Für das dargestellt Szenario werden die nachfolgend beschriebenen Begrifflichkeiten benutzt: b NetBIOS-Name. Entspricht dem Namen des Servers. Sie finden den Namen des Servers, wenn Sie mit der rechten Maustaste auf den Bereich Arbeitsplatz klicken und dort Eigenschaften auswählen. Auf der Registerkarte Netzwerkidentifikation klicken Sie auf Eigenschaften. In dem dort erscheinenden Fenster steht der NetBIOS-Name im Feld Computername (vgl. Abbildung 7.1). HINWEIS Abbildung 7.1: NetBIOS- Name des Servers b Interner Domänenname. Der interne Domänenname ist der Name, den Sie in Ihrem Intranet benutzen (vgl. Abbildung 7.1). Dabei kann der interne Domänenname mit dem identisch sein, den Sie im Extranet benutzen möchten. b Interner Fully Qualified Domänenname (FQDN). Hierbei handelt es sich um den Namen, den Sie für Ihren Server im Intranet benutzen möchten. Er ist nach dem Muster netbios_name.interner_domänen_ name (hanseserv5.arcadia. com) aufgebaut. Benutzer müssen diesen 308 Kapitel 7

Tabelle 7.1: Beispiel für die Zugriffe auf den Share- Point Portal Server 2001 Namen verwenden, wenn Ihr Netzwerk weder Microsoft Windows Internet Name Service (WINS) unterstützt noch der Domain Name Service (DNS) für die Unterstützung von NetBIOS konfiguriert ist. b Externer Servername. Dies ist der Name, der für den Server auf dem Extranet benutzt wird. Entspricht der externe Domänenname dem der internen Domäne, darf der extern benutzte Servername nicht mit dem NetBIOS-Namen übereinstimmen. b Externer Domänenname. Bezeichnet den Domänennamen, den Sie für den externen Zugriff benutzen. Dieser kann mit dem Domänennamen übereinstimmen, den Sie auch im internen Netzwerk benutzen. Bei der Arcadia GmbH wird als externer Domänenname INFO- AGE.NET benutzt. b Externer Fully Qualified Domänenname (FQDN). Der externe Domänenname ist nach dem Muster externer_servername.externer_ Domänenname (SPS.Info-Age.net) aufgebaut. Sind der interne und externe Domänenname identisch, dann muss sich der externe Servername vom NetBIOS-Namen unterscheiden. Die nachfolgende Tabelle 7.1 zeigt die unterschiedlichen Zugriffsnamen, die sich aus der obigen Beschreibung ergeben. Zugriff über NetBIOS- Name Beispiel Normalerweise benutzen Sie für den Zugriff auf den Server den Aufruf: http://server_name/arbeitsbereich_name Dies heißt bei unserem Beispiel der Arcadia GmbH http://hanseserv5/sps Interner FQDN Hier wird wie oben beschrieben der Server definiert über;: http://netbios_name/interner_domänen_name/arbeitsbereich Umgesetzt auf die Arcadia GmbH hieße dies: http://hanseserv5.arcadia.com/sps Externer FQDN Hier erfolgt der Zugriff über den externen Servernamen in Verbindung mit dem Domänennamen: http://externer_servername.externer_domänname/arbeitsbereich Im Beispiel der Arcadia GmbH bedeutet dies: http://sps.info-age.net/sps D Internet-Einbindung Um SharePoint Portal Server 2001 für den Zugriff über das Internet zu konfigurieren, müssen Sie die nachfolgenden Schritte durchführen. Diese werden in den anschließenden Abschnitten näher erläutert. 1. Konfigurieren Sie die Proxyservereinstellungen für den SharePoint Portal Server 2001. Folgen Sie hier den Anweisungen, wie sie bereits in Kapitel 4 im Abschnitt»Proxyservereigenschaften für die Dashboardsite«beschrieben wurden. SharePoint Portal Server im Extranet 309

2. Erzeugen Sie einen DNS-Eintrag. 3. Erzeugen Sie eine neue Website innerhalb des Internetdienste- Managers (IIS). 4. Konfigurieren Sie die Möglichkeit für Diskussionen auf der neuen Website. 5. Konfigurieren Sie die Sicherheitseinstellungen für die neue Website. 6. Konfigurieren Sie den Proxyserver. 7. Testen Sie den Zugriff auf das Extranet vom Intranet heraus. 8. Testen Sie den Zugriff auf das Extranet über das Intranet. 9. Konfigurieren Sie die URL für die Benutzung von E-Mail-Benachrichtigungen. 10. Aktivieren Sie Secure Socket Layer (SSL) (optional). 11. Aktivieren Sie einen internen FQDN für den SharePoint Portal Server 2001 (optional). 12. Nun können Sie Inhaltsquellen für das Crawlen von Internetsites oder anderer SharePoint Portal Server 2001 über das Internet konfigurieren. Konfigurieren der Proxyservereinstellungen für den SharePoint Portal Server Gegenüber der in Kapitel 4 beschriebenen Optionen für die Proxyservereinstellungen ergeben sich hier Änderungen, was die Angabe der Bypass-Liste betrifft. Sie müssen hier die eigene Domäne ebenfalls in die Liste aufnehmen. Der Eintrag in der Bypass-Liste hat das Muster *Domäne, in unserem Beispiel *info-age.net. Daraus ergibt sich für die Konfiguration der Proxyservereinstellungen der Aufruf proxycfg d p dummyproxy:80 *info-age.net; lokal (Abbildung 7.2). Weitere Informationen zu diesem Thema finden Sie in Kapitel 4. Möchten Sie SharePoint Portal Server 2001 über das Internet betreiben und für diese Konstellation eine Standardauthentifizierung benötigen, dann sollten Sie auf jeden Fall SSL zusätzlich aktivieren. In dieser Kombination ist es möglich, einen sicheren Server im Internet zu betreiben. Haben Sie mithilfe von proxycfg.exe die Einstellungen geändert, sollten Sie den Server neu starten. 310 Kapitel 7

Abbildung 7.2: Proxyservereinstellungen für die Dashboardsite DNS-Eintrag festlegen Sie müssen auf jeden Fall einen DNS-Eintrag für den externen Servernamen konfigurieren. Sicher hängt die Art, wie dieser DNS-Eintrag vorgenommen wird, von dem entsprechend eingesetzten DNS-Server ab. In diesem Abschnitt werde ich auf die Konfiguration eines DNS-Eintrages auf einem Windows 2000-Server eingehen. Für die Erstellung eines DNS-Eintrages benötigen Sie eine statische Internet Protocol-Adresse (IP-Adresse) die Sie dem SharePoint Portal Server 2001 für den Zugriff zuteilen können. Diese Adresse entspricht nicht der internen Adresse des Servers. Es gibt mehrere Möglichkeiten, eine statische IP-Adresse zu erhalten. Wenden Sie sich hierzu an Ihren Internet Service Provider. Die externe statische IP-Adresse wird verwendet, wenn Sie auf dem Proxyserver eine Zuordnung zwischen dieser externen Adresse und der internen Adresse einrichten möchten. Um einen DNS-Eintrag auf einem Windows 2000-Server zu erzeugen, öffnen Sie bitte die Microsoft Management Console für die Konfiguration des DNS-Servers und gehen wie folgt vor (vgl. Abbildung 7.3): 1. Klicken Sie innerhalb der Taskleiste auf die Schaltfläche Start. Öffnen Sie den Unterpunkt Programme und dort auf die Auswahl Verwaltung. Wählen Sie nun den Eintrag DNS. 2. Erweitern Sie den Knoten für einen der externen DNS-Server. 3. Erweitern Sie hier den Knoten für Forward Lookup Zones. 4. Klicken Sie mit der rechten Maustaste auf die richtige Zonendatei und wählen Sie den Eintrag Neuer Host. Hier klicken Sie bitte wenn Sie einen externen Eintrag für den neuen SharePoint Portal Server 2001 erzeugen möchten auf den Eintrag info-age.net. D Internet-Einbindung SharePoint Portal Server im Extranet 311

5. In das Feld Host geben Sie den externen Servernamen ein. In unserem Beispiel lautet der externe Servername SPS. 6. In das Feld IP-Adresse tragen Sie die statische externe IP-Adresse des Servers ein. Diese entspricht nicht der statischen internen Adresse des Servers. 7. Aktivieren Sie das Kontrollkästchen Verknüpften PTR-Eintrag erstellen. 8. Klicken Sie auf die Schaltfläche Host hinzufügen 9. Klicken Sie auf die Schaltfläche OK und anschließend auf Fertig stellen. 10. Replizieren Sie die Eintragungen auf alle DNS-Server oder warten Sie, bis die automatische Replikation durchgeführt wurde. Abbildung 7.3: Erzeugen des DNS-Eintrages Anlegen der neuen Website innerhalb des IIS Wie bereits vorher schon angesprochen, müssen Sie mindestens eine neue Website innerhalb des IIS anlegen. Wünschen Sie anonymen Zugriff und Zugriff über Standardauthentifizierung, dann müssen Sie sogar zwei neue Websites anlegen. Auf der ersten erlauben Sie den anonymen Zugriff, auf der anderen Site konfigurieren Sie eine Standardauthentifizierung. Wie bereits in Kapitel 4 angesprochen, dürfen Sie die Einstellungen für die Standardwebsite nicht verändern. SharePoint Portal Server 2001 prüft, ob die Standardwebsite auf Port 80 verfügbar ist. Ändern Sie diesen Port nie, um z. B. einen alternativen Port wie 8000 oder 8080 zu benutzen. Kontrollieren Sie nach der Installation, dass Port 80 als Standardport für den Server festgelegt ist. HINWEIS 312 Kapitel 7

Abbildung 7.4: IP-Adresse und Anschlusseinstellungen Um eine neue Website anzulegen, gehen Sie wie folgt vor: 1. Klicken Sie innerhalb der Taskleiste auf die Schaltfläche Start. Öffnen Sie den Unterpunkt Programme und dort auf die Auswahl Verwaltung. Wählen Sie nun den Eintrag Internetdienste-Manager. 2. Erweitern Sie den Knoten für den SharePoint Portal Server 2001- Rechner. 3. Klicken Sie mit der rechten Maustaste auf den entsprechenden SharePoint Portal Server 2001 und wählen Sie im Kontextmenü den Eintrag Neu aus. Klicken Sie anschließend auf Site. Es öffnet sich der Assistent für neue Website. 4. Folgen Sie nun den Anweisungen des Assistenten. Geben Sie auf der ersten Seite eine Beschreibung der Website ein. Diese sollte die Art und Weise der Website andeuten. Benutzen Sie z. B. wenn die Site für einen anonymen Zugriff angelegt werden soll als Erweiterung anon. In unserem Beispiel wird als Websitebeschreibung SPSanon eingetragen. 5. Wählen Sie die IP-Adresse aus. Aktivieren Sie hier nie die Option (alle nicht zugeordneten). 6. Wählen Sie den Port 80 im Feld TCP-Anschluss aus. 7. Geben Sie den externen FQDN als Hostheader ein. Dies entspricht in unserem Beispiel der Eingabe sps.arcadia.com (vgl. Abbildung 7.4). Klicken Sie anschließend auf Weiter. D Internet-Einbindung 8. Tragen Sie auf der nächsten Seite den Pfad zu Ihrem Basisverzeichnis ein. Es wird hier dringend empfohlen, das Basisverzeichnis unterhalb des Verzeichnisses \InetPub anzulegen. SharePoint Portal Server im Extranet 313

Abbildung 7.5: Basisverzeichnis der Website Abbildung 7.6: Zugriffsberechtigungen für die neue Website 9. Soll kein anonymer Zugriff erlaubt sein, deaktivieren Sie das Auswahlfeld für Anonymen Zugriff auf diese Website zulassen und klicken auf Weiter. 10. Auf der nächsten Seite mit den Zugriffsberechtigungen führen Sie keine Änderungen aus. 11. Klicken Sie auf Weiter und schließen Sie den»assistenten für neue Website«. 12. Erweitern Sie nun die Standardwebsite. Sie sehen hier mindestens fünf wichtige virtuelle Verzeichnisse (Unterknoten): Exchweb, SharePoint Portal Server, Public, SPS (wobei SPS für das virtuelle Verzeichnis Ihres Arbeitsbereiches steht). Notieren Sie sich für all 314 Kapitel 7

diese virtuellen Verzeichnisse die Pfade. Um die Pfade für jedes dieser virtuellen Verzeichnisse zu ermitteln, klicken Sie mit der rechten Maustaste auf das jeweilige Verzeichnis und wählen im Kontextmenü den Eintrag Eigenschaften aus. Auf der ersten Seite Virtuelles Verzeichnis finden Sie ein Feld mit der Bezeichnung Lokaler Pfad. Diesen Pfad notieren Sie sich. Schließen Sie die Eigenschaftenseite wieder. Abbildung 7.7: Eigenschaften eines virtuellen Verzeichnisses D 13. Klicken Sie nun mit der rechten Maustaste auf die neue Website, die Sie zuvor angelegt haben. Wählen Sie im Kontextmenü den Eintrag Neu aus und im Untermenü den Eintrag Virtuelles Verzeichnis. Es öffnet sich der Assistent zur Erstellung virtueller Verzeichnisse. Klicken Sie auf der ersten Seite auf die Schaltfläche Weiter. 14. Im nächsten Fenster geben Sie als Alias Exchweb ein und klicken auf Weiter. 15. Als Verzeichnis geben Sie den Pfad an, der auch unter der Standardwebsite als Verzeichnis für Exchweb eingetragen ist. 16. Klicken Sie auf Weiter. Es erscheint wiederum die Seite mit den Zugriffsberechtigungen. Nehmen Sie hier keine Änderungen vor, sondern klicken Sie direkt auf Weiter. 17. Beenden Sie den Assistenten, indem Sie die Schaltfläche Fertig stellen anklicken. Internet-Einbindung SharePoint Portal Server im Extranet 315

18. Wiederholen Sie nun die Schritte 13 bis 17 für die anderen virtuellen Verzeichnisse (SharePoint Portal Server, MSOffice, Public und den Arbeitsbereich). Die neue Website sieht danach wie in Abbildung 7.7 dargestellt aus. Abbildung 7.8: Neue Website Nachdem Sie die virtuellen Verzeichnisse Public sowie den Arbeitsbereich angelegt haben, klicken Sie diese mit der rechten Maustaste an und wählen im daraufhin geöffneten Kontextmenü den Eintrag Eigenschaften. Auf der ersten Registerkarte Virtuelles Verzeichnis wählen Sie unter Anwendungsschutz die Option Niedrig (IIS-Prozess) aus (vgl. Abbildung 7.9). Klicken Sie dann auf die Schaltfläche Konfiguration. Aktivieren Sie die Registerkarte Anwendungszuordnungen und klicken Sie auf Hinzufügen. In das Feld Ausführbare Datei tragen Sie den vollständigen Namen und den Zugriffspfad für die Datei msdmisap.dll, welche sich normalerweise im Verzeichnis <SharePointPortal Installationsverzeichnis>\bin befindet, ein. Alternativ können Sie auch auf die Schaltfläche Durchsuchen klicken und so über das Dateisystem diese Datei suchen. Der hier eingetragene Pfad muss der 8.3-Namenskonvention entsprechen. Befindet sich die Datei z. B. im Verzeichnis c:\programme\sharepoint Portal Server\bin, müssen Sie als Zugriffspfad C:\Progra~1\ShareP~1\ bin\msdmisap.dll eintragen. WICHTIG 316 Kapitel 7

Abbildung 7.9: Anwendungsschutz konfigurieren D Abbildung 7.10: Anwendungserweiterungen hinzufügen Tragen Sie nun in das Feld Erweiterung einen Stern (*) ein und stellen Sie sicher, dass das Kontrollkästchen Überprüfen, ob Datei existiert nicht aktiviert ist (vgl. Abbildung 7.10). Internet-Einbindung Schließen Sie jetzt das Fenster durch Klicken auf die Schaltfläche OK und schließen Sie auch das Eigenschaftenfenster. Als Nächstes klicken Sie mit der rechten Maustaste auf das neue virtuelle Verzeichnis für Ihren Arbeitsbereich. Wählen Sie im Kontextmenü wiederum den Eintrag Eigenschaften. Auf der ersten Registerkarte (Virtuelles Verzeichnis) aktivieren Sie das Kontrollkästchen Schreiben. Aktivie- SharePoint Portal Server im Extranet 317

ren Sie anschließend die Registerkarte HTTP-Header. Neben dem Feld für benutzte HTTP-Header klicken Sie auf Hinzufügen. In das Feld Benutzerdefinierter Headername tragen Sie MicrosoftTahoeServer und in das Feld Benutzerdefinierter Headerwert den Wert 1.0 ein (vgl. Abbildung 7.11). Abbildung 7.11: Benutzerdefinierter Headername und -wert Klicken Sie auf OK und schließen Sie danach das Eigenschaftenfenster. Auch für das virtuelle Verzeichnis MSOffice müssen Sie die Eigenschaften ändern. Klicken Sie mit der rechten Maustaste auf dieses Verzeichnis und wählen Sie im Kontextmenü den Eintrag Eigenschaften aus. Auf der ersten Seite Virtuelles Verzeichnis wählen Sie im Feld Ausführberechtigungen den Wert Skripts und ausführbare Dateien (vgl. Abbildung 7.12). Schließen Sie die Eigenschaftsseite durch Klicken auf die Schaltfläche OK. Kontrollieren Sie nun, ob Ihre neue Website auch gestartet ist. Ist dies nicht der Fall, klicken Sie mit der rechten Maustaste auf die Website und wählen im Kontextmenü den Eintrag Starten aus. 318 Kapitel 7

Abbildung 7.12: Virtuelles Verzeichnis MSOffice D HINWEIS Ändern der Sicherheitseinstellungen für die neue Website Standardmäßig benutzt SharePoint Portal Server 2001 auf der Standardwebsite NTLM-Authentifizierung. Für den Betrieb über das Internet müssen Sie die Authentifizierung auf die Standardauthentifizierung oder eine anonyme Anmeldung umstellen. Erlauben Sie nie beide Authentifizierungsmethoden auf ein und derselben Website. Wollen Sie auf SharePoint Portal Server 2001 mit Standardauthentifizierung zugreifen und eine anonyme Anmeldung erlauben, dann legen Sie zwei unterschiedliche Websites an. SharePoint Portal Server 2001 unterstützt die NTLM-Authentifizierung und den anonymen Zugriff nicht innerhalb der gleichen Website. Das Hauptproblem bei der Nutzung der anonymen Anmeldung erscheint mir in der zurzeit noch gültigen Form der Lizenzierung zu bestehen. SharePoint Portal Server 2001 benutzt eine Lizenzierung über Client Access Licenses (Benutzerzugriffslizenzen). Dies bedeutet, dass jeder zugreifende Benutzer auch eine Lizenz benötigt. Beachten Sie auch, dass bei einem anonymen Zugriff Benutzer selbstverständlich keine Abonnements benutzen können. Es gibt ja keine Möglichkeit, festzulegen, welcher Benutzer das Abonnement initiiert hat. Internet-Einbindung SharePoint Portal Server im Extranet 319

Benutzen Sie, wenn Sie SharePoint Portal Server 2001 installiert haben, das Windows 2000 Internet Server Security Tool, welches Sie unter http://www.microsoft.com/technet/security/tools.asp laden können. Die Benutzung dieses Tools kann dazu führen, dass die Dashboardsite nicht mehr ausgeführt werden kann. Um die Authentifizierungsmethoden für die neue Website zu verändern, gehen Sie wie folgt vor: 1. Öffnen Sie den Internetdienste-Manager (Start/Programme/Verwaltung/ Internetdienste-Manager) und erweitern Sie den Knoten für Ihren SharePoint Portal Server 2001-Computer. 2. Klicken Sie mit der rechten Maustaste auf die von Ihnen neu angelegte Website und öffnen Sie das Eigenschaftenfenster. 3. Aktivieren Sie die Registerkarte Verzeichnissicherheit. Klicken Sie hier innerhalb des Bereiches Steuerung des anonymen Zugriffs und der Authentifizierung auf die Schaltfläche Bearbeiten. 4. Wählen Sie in dem nun erscheinenden Fenster die Authentifizierungsmethode, die Sie für diese Website wählen möchten. Wenn Sie die Standardauthentifizierung wählen, werden alle Informationen auch Passwörter über das Internet in Klartext übertragen. Wollen Sie hier die Seite absichern, müssen Sie Ihre Website durch die Verwendung von SSL absichern. Klicken Sie auf die Schaltfläche OK und schließen Sie das Eigenschaftenfenster. WICHTIG Abbildung 7.13: Standardauthentifizierung für die Website festlegen 320 Kapitel 7

Wurde Anonyme Anmeldung aktiviert, muss das Standardkonto für den anonymen Zugang zu Internet-Informationsdienste (IUSR_<Servername>) innerhalb von SharePoint Portal Server 2001 die Rolle Leser für jeden Arbeitsbereich zugeordnet bekommen, für den Sie die anonyme Anmeldung zulassen möchten. Konfiguration des Proxyservers Wenn Sie SharePoint Portal Server 2001 für den Einsatz über Extranet konfigurieren und Sie setzen einen Proxyserver ein, dann müssen Sie: b sicherstellen, dass die externe IP-Adresse Ihres SharePoint Portal Server 2001 innerhalb des Proxyservers eingetragen ist und b Sie müssen die interne statische IP-Adresse Ihres Servers auf eine externe statische IP-Adresse mappen. Bei Microsoft Internet Security und Acceleration (ISA) Server 2000 wird dies als Serververöffentlichung bezeichnet. Berechtigungen werden weitergereicht und die Hostheader-Datei wird nicht verändert. Setzen Sie nicht den ISA-Server ein, müssen Sie folgende Proxyservereinstellungen vornehmen: b Passwort und Benutzerinformationen müssen durch den Proxyserver an den SharePoint Portal Server weitergereicht werden. b Der Hostheader-Name darf nicht verändert werden. b Benutzen Sie kein SSL-Bridging. Bevor Sie die Proxyservereinstellungen vornehmen, müssen Sie die externe Adresse sowie die Subnetzmaske des SharePoint Portal Server 2001 kennen. Setzen Sie sich dementsprechend mit Ihrem Internet Service Provider in Verbindung. Das Whitepaper geht nun davon aus, dass Sie Microsoft ISA Server als Proxyserver einsetzen, die Firewall bereits aktiviert ist. Zusätzlich muss der ISA-Server den Benutzern bereits den Zugriff aus dem Intranet auf das Internet ohne Authentifizierung ermöglichen. Setzen Sie einen Proxyserver ein, der eine Authentifizierung beim Zugriff auf das Internet erfordert, wird es Ihnen nicht möglich sein, Webparts aus dem Internet zu laden, da das ServerXMLHTTP-Objekt nicht in der Lage ist, einen Internetzugang zu nutzen, der eine Authentifizierung benötigt. Um sicherzustellen, dass die externe IP-Adresse Ihres Servers auf dem Proxyserver eingestellt ist, gehen Sie wie folgt vor: 1. Klicken Sie mit der rechten Maustaste auf das Symbol Netzwerkumgebung und wählen Sie aus dem Kontextmenü die Option Eigenschaften. D Internet-Einbindung SharePoint Portal Server im Extranet 321

2. Klicken Sie mit der rechten Maustaste auf die Netzwerkkarte, die mit dem Internet verbunden ist, und wählen Sie auch hier wieder den Unterpunkt Eigenschaften. 3. Unter Aktivierte Komponenten werden von dieser Verbindung verwendet klicken Sie doppelt auf Internetprotokoll (TCP/IP). 4. Klicken Sie auf die Schaltfläche Erweitert. Kontrollieren Sie die dort eingetragenen IP-Adressen, um sicherzustellen, dass die Ihnen zugewiesene externe Adresse auch tatsächlich eingetragen ist. Es handelt sich um die gleiche Adresse, die wir in einem der vorherigen Abschnitte bei der Konfiguration des DNS-Servers verwendet hatten. 5. Ist die Adresse in der Liste enthalten, können Sie das Eigenschaftenfenster wieder schließen. Andernfalls klicken Sie bitte unterhalb des Feldes IP-Adressen auf Hinzufügen. 6. Tragen Sie die externe Adresse in das Feld IP-Adresse ein. 7. Tragen Sie die dazugehörende Subnetzmaske in das dafür vorgesehene Feld ein. 8. Klicken Sie auf die Schaltfläche Hinzufügen, um das Fenster zu schließen. 9. Schließen Sie das Eigenschaftenfenster und anschließend auch das Eigenschaftenfenster der Netzwerkkarte. 10. Starten Sie vorsichtshalber den Server neu. 11. Ordnen Sie nun die externe IP-Adresse innerhalb des ISA Servers der internen Adresse zu. Wenn Sie die Zuordnung innerhalb des ISA-Servers vorgenommen haben, dann kann es bis zu 15 Minuten dauern, bis diese Zuordnung aktiv wird. Geschieht dies auch nach 15 Minuten nicht, kontrollieren Sie die entsprechenden Einstellungen und starten Sie die entsprechenden Dienste neu. Führt auch dies nicht zu dem gewünschten Erfolg (nach wiederum 15 Minuten Wartezeit), starten Sie den Proxyserver neu. HINWEIS Testen des Extranet vom Intranet aus In den nächsten beiden Schritten werden Sie überprüfen, ob die von Ihnen vorgenommenen Einstellungen den Zugriff auf den Server aus dem Extranet ermöglichen. In einem ersten Schritt testen Sie den Zugriff über das Intranet. Führen Sie die nachfolgend beschriebenen Schritte auf dem Server aus. 322 Kapitel 7

Gehen Sie dazu wie folgt vor: 1. Legen Sie eine Testdatei im Homeverzeichnis der neuen Website ab. 2. Erzeugen Sie hierzu eine Datei mit dem Namen Default.htm und speichern Sie diese in jenem Homeverzeichnis ab, das Sie bei der Anlage der neuen Website festgelegt hatten (vgl. Abbildung 7.14). Abbildung 7.14: Basisverzeichnis der neuen Website D 3. Geben Sie etwas Text in die Datei Default.htm ein (beispielsweise <H1>SPS.INFO-AGE.NET würde hier aufgerufen werden</h1>). 4. Erzeugen Sie einen Eintrag in der HOSTS-Datei des Servers. Öffnen Sie hierzu die HOSTS-Datei, die sich normalerweise innerhalb des Verzeichnisses WINNT\System32\drivers\etc des Laufwerkes, auf welchem das Betriebssystem installiert ist, befindet. 5. Fügen Sie die interne IP-Adresse des SharePoint Portal Server 2001, gefolgt durch den externen Namen des SharePoint Portal Server 2001, in die Datei ein (Beispiel: 192.168.1.45 SPS.INFO-AGE.NET). 6. Speichern Sie die Datei. 7. Ändern Sie innerhalb des Microsoft Internet Explorer die Proxyservereinstellungen. Öffnen Sie hierzu den Internet Explorer und rufen Sie den Menübefehl Extras/Internetoptionen auf. Aktivieren Sie die Registerkarte Verbindungen. Klicken Sie hier im Bereich LAN-Einstellungen auf die Schaltfläche Einstellungen. Aktivieren Sie dort die Option Proxyserver verwenden sowie die Option Proxyserver für Internet-Einbindung SharePoint Portal Server im Extranet 323

lokale Adressen umgehen. Geben Sie die Adresse und die Portnummer für den Proxyserver ein und klicken Sie dann auf die Schaltfläche Erweitert. Geben Sie in das Feld Adressen, die wie folgt beginnen, keinen Proxyserver verwenden die Adresse der Domäne nach dem Muster *domäne ein und klicken Sie auf OK. In unserem Beispiel würden Sie für die Domäne *info-age.net eintragen. Klicken Sie auf die Schaltfläche OK und schließen Sie das Optionsfenster des Internet Explorers. 8. Geben Sie jetzt in die Adresszeile des Internet Explorers die Adresse nach dem Muster http://externer_server_name.domäne ein. In unserem Beispiel handelt es sich hierbei um http://sps.info-age.net (vgl. Abbildung 7.15). Abbildung 7.15: Test vom Intranet aus Wird die unter Abbildung 7.15 dargestellte Seite angezeigt, sind die Einstellungen korrekt. Ist dies nicht der Fall, kontrollieren Sie, ob die neu erstellte Website gestartet ist. Öffnen Sie hierzu nochmals den Internetdienste-Manager und klicken Sie mit der rechten Maustaste auf die neue Website. Ist im Kontextmenü die Option Start auswählbar, dann starten Sie die Site. 324 Kapitel 7

Test der Site aus dem Internet Nachdem der Test aus dem Intranet heraus erfolgreich war, müssen Sie nun den Zugriff aus dem Internet heraus testen. Hierzu verwenden Sie einen Rechner, der nicht mit Ihrem Firmennetzwerk verbunden ist. Um die Konfiguration über das Internet zu testen, gehen Sie wie folgt vor: 1. Stellen Sie eine Verbindung zu Ihrem ISP her und geben Sie dann in der Adresszeile des Internet Explorers die Adresse http://externe_fqdn ein, in unserem Beispiel also http://sps.info-age.net. Es sollte die oben aufgeführte Datei Default.htm angezeigt werden. 2. Im nächsten Schritt testen Sie nun, ob Sie in der Lage sind, den Arbeitsbereich über das Internet anzusprechen. Geben Sie hierzu die Adresse nach dem Schema http://externer_fqdn/arbeitsbereichsname ein, für unser Beispiel also http://sps.info-age.net/sps. Es sollte die Dashboardsite des SPS-Arbeitsbereiches erscheinen. D Festlegen der URL, die in E-Mail- Benachrichtigungen benutzt wird Steht der Server nicht mehr nur innerhalb des Intranets zur Verfügung, sondern kann auf den Server über das Internet zugegriffen werden, dann stellt sich sehr schnell die Frage, welches Format eigentlich die URL haben soll, die in E-Mail-Benachrichtungen (z. B. Abonnements, Genehmigungsverfahren) benutzt werden soll. SharePoint Portal Server 2001 kann für Benachrichtigungen NetBIOS- Namen, interne FQDN oder externe FQDN benutzen. Dabei ist er nicht in der Lage, automatisch zu wählen, welche URL für den entsprechenden Anwender die angemessene Art und Weise ist, wenn Sie einen FQDN ohne WINS einsetzen. Befinden Sie sich z. B. in einer Domäne, genehmigen Sie normalerweise ein Dokument unter Benutzung des NetBIOS-Namens. Der nächste Genehmiger befindet sich nun aber in einer anderen Domäne. Der Link, den diese Person in seiner Mail erhält, benutzt wiederum den NetBIOS- Namen für den Zugriff. Da der Empfänger sich jedoch in einer anderen Domäne befindet, kann er über diesen Link nicht auf das Dokument zugreifen, der Link läuft ins Leere. Über den WEB Storage System Explorer, den Sie im WEB Storage System Software Development Kit (SDK) finden, ist es möglich, die Art der URL zu definieren, in dem eine Eigenschaft für den Ordner, in welchem alle Arbeitsbereiche innerhalb des Servers abgelegt sind, gesetzt wird. Damit kann der Administrator festlegen, dass entweder der interne oder externe FQDN in die E-Mail eingefügt wird. Internet-Einbindung SharePoint Portal Server im Extranet 325

FQDN Externe FQDN Interne FQDN Beschreibung Wird der externe FQDN benutzt, können Benutzer sowohl aus dem Intranet als auch aus dem Extranet auf den Link zugreifen. Allerdings wird in beiden Fällen dann Standardauthentifizierung oder SSL benötigt, abhängig davon, wie der Server konfiguriert ist. Allerdings muss dann entweder jeder seine Host-Datei verändern oder das Netzwerk muss so aufgebaut sein, externe Namen aufzulösen und Benutzer über den Proxyserver in das Internet und von dort wieder zurück in das Intranet zu leiten. Wird der interne FQDN verwendet, wird jeder Benutzer aus dem Intranet in der Lage sein, alle Links, die per Mail kommen, zu benutzen. Allerdings werden Benutzer aus dem Extranet Fehler erhalten, wenn Sie versuchen, den Link innerhalb der Mail zu nutzen. Haben Sie nur wenige externe Benutzer, macht es u. U. Sinn, den internen FQDN zu benutzen, damit nicht alle Benutzer die Host-Datei anpassen müssen. Tabelle 7.2: Unterschiede zwischen externen und internen FQDN Um festzulegen, an welche URL versandt wird, öffnen Sie bitte den WEB Storage System-Explorer. Verbinden Sie sich mit dem SharePoint Portal Server 2001 unter Verwendung seines NetBIOS-Namens. In unserem Beispiel bedeutet dies: http://hanseserv5/sharepoint Portal Server/Workspaces. Tragen Sie in das Feld Username den Namen eines Benutzers ein, der über Administrationsrechte auf dem Server verfügt. Geben Sie das entsprechende Passwort in das Passwortfeld ein. Tragen Sie anschließend in das URL-Feld die oben genannte Adresse ein (vgl. Abbildung 7.16). Abbildung 7.16: WEB Storage System Explorer Erweitern Sie den Knoten für http://netbios_name/sharepoint Portal Server/Workspaces, um sich das Schema detailliert anzusehen. Klicken Sie nun mit der rechten Maustaste in das Fenster Detail View und wählen Sie aus dem Kontextmenü den Eintrag Add property. Geben Sie in das Feld Definition name den Wert urn:schemas-microsoft-com:publishing:serverurl ein. Da die Eigenschaft zwischen Groß- und Kleinschreibung unterscheidet, achten Sie bitte bei der Eingabe darauf, dass alle Zei- 326 Kapitel 7

chen in Kleinbuchstaben erfasst werden. Als Datentyp wählen Sie bitte String. Möchten Sie nun weiterhin den NetBIOS-Namen benutzen, geben Sie in das Feld Value die Zeichenkette http://netbios_ Name (in unserem Beispiel also http://hanseserv5) ein. Möchten Sie dagegen einen internen oder einen externen FQDN benutzen, geben Sie als Wert den entsprechenden FQDN ein (vgl. Abbildung 7.17). Klicken Sie auf die Schaltfläche OK und verlassen Sie den WEB Storage System Explorer. Abbildung 7.17: WEB Storage Explorer: Add Property D SSL aktivieren Um den Datenaustausch über das Extranet sicherer zu gestalten, müssen Sie SSL aktivieren. Ist SSL für den Server aktiviert, erfolgt der Zugriff auf den Server über HTTPS://externer_Server_name.externer_domänen_ name/arbeitsbereichsname (https://sps.info-age.net/sps). Stellen Sie sicher, dass der Zugriff über eine Standardverbindung funktioniert, bevor Sie SSL für die Verbindung aktivieren. Um SSL für den Server zu aktivieren, gehen Sie wie folgt vor: b Öffnen Sie hierzu den Internetdienste-Manager, erweitern Sie den Knoten für den SharePoint Portal Server 2001 und klicken Sie mit der rechten Maustaste auf die Website, welche Sie neu erstellt haben. Wählen Sie im Kontextmenü den Eintrag Eigenschaften aus und aktivieren Sie die Registerkarte Verzeichnissicherheit. Hier finden Sie unter der Rubrik Sichere Kommunikation die Schaltfläche Serverzertifikat. Klicken Sie diese an. Es erscheint der Assistent für Webserver Zertifikate. Klicken Sie auf der Startseite des Assistenten die Schaltfläche Weiter an. b Aktivieren Sie die Option Neues Zertifikat erstellen. Klicken Sie auf die Schaltfläche Weiter. b Aktivieren Sie die Option Anforderung jetzt erstellen und später senden. Klicken Sie wiederum auf die Schaltfläche Weiter. Internet-Einbindung SharePoint Portal Server im Extranet 327

b Auf der nächsten Seite geben Sie den Namen Ihres virtuellen Webs ein und wählen die Bitlänge für die Verschlüsselung. Im Interesse einer guten Performance wird hier eine Bitlänge von 512 vorgeschlagen. Wenn gewünscht, können Sie hier auch noch die Option für Server Gated Cryptography aktivieren, allerdings sollten Sie im Normalfall diese Option nicht wählen. Klicken Sie auf Weiter. b Auf der nächsten Seite tragen Sie den Namen Ihrer Organisation und Ihrer Abteilung ein (vgl. Abbildung 7.18). Klicken Sie anschließend auf Weiter. Abbildung 7.18: Eingabe der Organisation und der Abteilung b Tragen Sie nun den Common Name des Servers sowie den externen FQDN des Servers ein. Klicken Sie wieder auf Weiter. b Tragen Sie als Nächstes die Regionaldaten ein und klicken Sie auf Weiter. b Geben Sie den Dateinamen für die Zertifikatanforderung an und klicken Sie auf Weiter. b Sie gelangen auf die Zusammenfassungsseite (vgl. Abbildung 7.19). Klicken Sie auf Weiter. b Klicken Sie nun auf Fertig stellen und schließen Sie anschließend den Assistenten per Klick auf die Schaltfläche OK. Nachdem Sie nun die Zertifikatsanforderung beendet haben, können Sie die Datei an Ihre Zertifizierungsstelle senden. Von dort erhalten Sie Ihr Zertifikat. Dieses müssen Sie nun in den Internetdienste-Manager eintragen. 328 Kapitel 7

Abbildung 7.19: Zusammenfassung der Zertifikatanforderung D b Öffnen Sie hierzu den Internetdienste-Manager, erweitern Sie Knoten für den SharePoint Portal Server 2001 und klicken Sie mit der rechten Maustaste auf die Website, welche Sie neu erstellt haben. Wählen Sie im Kontextmenü den Eintrag Eigenschaften aus und aktivieren Sie die Registerkarte Verzeichnissicherheit. Hier finden Sie unter der Rubrik Sichere Kommunikation die Schaltfläche Serverzertifikat. Klicken Sie diese an. Es erscheint der Assistent für Webserver-Zertifikate. Klicken Sie auf der ersten Seite auf Weiter. b Klicken Sie auf die Schaltfläche Ausstehende Anforderung verarbeiten und Zertifikat installierten. Klicken Sie auf Weiter. b Wählen Sie die Zertifikatsdatei aus und klicken Sie auf Weiter. b Sie gelangen auf die Zusammenfassungsseite. Bestätigen Sie diese durch Klicken auf die Schaltfläche Weiter. b Klicken Sie auf Fertig stellen. b Ordnen Sie der Standardwebsite ein Zertifikat zu. Dies erlaubt es Ihnen, Port 443 für unterschiedliche SSL-Identitäten für diese Website zu entfernen. Öffnen Sie hierzu wieder den Assistenten für Webzertifikate und ordnen Sie das bestehende Zertifikat der Standardwebsite zu. b Danach führen Sie das Skript adsutil.vbs aus. Dieses befindet sich normalerweise im Verzeichnis Inetpub\AdminScripts. Geben Sie hierzu den Befehl cscript adsutil.vbs W3SVC/Nummer/Securebinding "IP_adresse_des_ servers:443:externe_fqdn_in_kleinbuchstaben". Dabei stellt die Nummer die interne Nummer Ihrer Website dar. Normalerweise werden die Nummern wie folgt vergeben: W3SVC/1 entspricht der Standardwebsite, W3SVC/2 der Administrationssite, Internet-Einbindung SharePoint Portal Server im Extranet 329

W3SVC/3 würde dann Ihrer neuen Website entsprechen. Um die Nummer herauszufinden, geben Sie den Befehl cscript adsutil.vbs enum W3SVC/<Nummer> ein, bis der Name Ihrer Website angezeigt wird. b Entfernen Sie nun den Port 443 von Ihrer Standardwebsite. Öffnen Sie hierzu wieder den Internetdienste-Manager. Erweitern Sie den Knoten für Ihren Webserver und klicken Sie mit der rechten Maustaste auf die Standardwebsite. Wählen Sie im Kontextmenü den Eintrag Eigenschaften aus. Auf der Registerseite Website klicken Sie auf die Schaltfläche Weitere Optionen. Wählen Sie im Feld Mehrere SSL-Identitäten für diese Website die IP-Adresse mit dem Port 443 aus und klicken Sie auf die Schaltfläche Entfernen. Klicken Sie auf die Schaltfläche OK, um das Fenster für Weitere Optionen zu schließen und anschließend nochmals auf OK, um die Eigenschaftenseite zu schließen. b Auf der neuen Website öffnen Sie nun mit der rechten Maustaste die Eigenschaftenseite und wechseln zur Registerkarte für Verzeichnissicherheit. Klicken Sie auf Bearbeiten im Bereich Sichere Kommunikation. Wählen Sie die Option Sicherer Kanal erforderlich (SSL). Klicken Sie nun auf OK und schließen Sie das Eigenschaftenfenster. b Starten Sie den Server neu. Ab nun sollten Sie auf den Arbeitsbereich über https:// zugreifen. 330 Kapitel 7