SharePointCommunity
Die deutschsprachige Community für SharePoint, Office 365 und mit Azure

Weltweit auf sharepoint zugreifen

bewertet von 0 Usern
Beantwortet Dieser Beitrag hat 2 Geprüfte Antworten | 11 Antworten | 2 Followers

Top-25-Beitragsschreiber
Weiblich
305 Beiträge
ExpoIT erstellt in 7 Aug 2017 15:31

eine Frage muss ich doch noch loswerden:

Wie kann ich weltweit auf SP zugreifen? Ohne Office 365 und OneDrive geht das? Einfach im Internet zur Verfügung stellen oder gibt es da sonderbares zu beachten?

 

 

Danke und Gruß

Viele Grüße AS

Beantwortet Geprüfte Antwort

Top-10-Beitragsschreiber
Männlich
18.371 Beiträge

Im Prinzip ist es so einfach: sorge dafür, daß die Adresse unter der das System läuft, also z.B. sharepoint.firma.tld, über die öffentlichen DNS-Server aufgelöst werden kann. Also so, wie es auch für Euer www.firma.de ist.

Jetzt gibt es mehrere Möglichkeiten, wie man das technisch macht. Man kann einem Webfrontend eine öffentliche IP geben und mit dem DNS direkt darauf zeigen. Der Server muß dazu in der DMZ stehen (und natürlich weiterhin die internen Server wie Datenbank und DC erreichen). Oder man verwendet sog. Gateway-Server, die die Requests von außen entgegennehmen und an den internen SharePoint weitergeben. Das muß mit Euren Sicherheitsbedürfnissen abgestimmt werden. Und man sollte im öffentlichen Netz natürlich alles per SSL verschlüsseln.

Wenn man es also einigermaßen sicher haben möchte, ist es definitiv nicht einfach und erfordert viel Infrastruktur-Know-How.

Viele Grüße
Andi
af @ evocom de
Blog
Top-10-Beitragsschreiber
Männlich
18.371 Beiträge

Also ich versuchs mal...

Ja, Du mußt die IP dem Server bekannt machen, damit das Betriebssystem überhaupt "weiß", daß ihm diese IP gehört. Das geht bei den Netzwerkeinstellungen.

Wenn es um sharepoint.company.com geht, muß diese Adresse als Host im DNS-Server eingetragen werden. Das muß der DNS sein, der die Masterrolle für company.com hat, d.h. der neue Eintrag muß sich auch ins weltweite Internet verbreiten. Wenn also jemand in einem fernen Land sharepoint.company.com aufruft, dann greift der ja nicht auf Euren DNS zu, sondern auf irgendeinen anderen. Dieser andere muß also ebenfalls fähig sein die Adresse in eine IP aufzulösen.

Das mit den AAM hast Du selbst schon gut beschrieben. Wie man das genau konfiguriert, bleibt dabei jedem selbst überlassen, also z.B. sharepoint.company.local für lokale Zugriffe und sharepoint.company.com als Extranet. Meine Empfehlung ist aber, wenn es irgendwie geht nur eine einzige Adresse zu benutzen. Also sharepoint.company.com auch für interne Zugriffe. Sonst gibt es irgendwann später doch immer Probleme weil z.B. Links in Benachrichtigungen oder Workflow-Mails nicht stimmen.

Viele Grüße
Andi
af @ evocom de
Blog

Alle Antworten

Top-10-Beitragsschreiber
Männlich
18.371 Beiträge

Im Prinzip ist es so einfach: sorge dafür, daß die Adresse unter der das System läuft, also z.B. sharepoint.firma.tld, über die öffentlichen DNS-Server aufgelöst werden kann. Also so, wie es auch für Euer www.firma.de ist.

Jetzt gibt es mehrere Möglichkeiten, wie man das technisch macht. Man kann einem Webfrontend eine öffentliche IP geben und mit dem DNS direkt darauf zeigen. Der Server muß dazu in der DMZ stehen (und natürlich weiterhin die internen Server wie Datenbank und DC erreichen). Oder man verwendet sog. Gateway-Server, die die Requests von außen entgegennehmen und an den internen SharePoint weitergeben. Das muß mit Euren Sicherheitsbedürfnissen abgestimmt werden. Und man sollte im öffentlichen Netz natürlich alles per SSL verschlüsseln.

Wenn man es also einigermaßen sicher haben möchte, ist es definitiv nicht einfach und erfordert viel Infrastruktur-Know-How.

Viele Grüße
Andi
af @ evocom de
Blog
Top-25-Beitragsschreiber
Männlich
561 Beiträge

Wenn ihr Microsoft-Komponenten einsetzen wollt, dann schaut euch den Web Application Proxy an der seit Windows Server 2012 mit an Bord ist. Damit könnt ihr einen Reverse Proxy zur Verfügung stellen, der auch als ADFS-Proxy fungieren kann. Damit habt ihr dann die Möglichkeit, die "wichtigen" Komponenten alle vom Internet abzuschotten. In der Microsoft Technet und in docs.microsoft.com finden sich einige Informationen dazu. Aber wie Andi auch schon gesagt hat, es ist nicht trivial und man sollte sich gut überlegen, was man tut.

Beste Grüße

Olaf

 

Top-25-Beitragsschreiber
Weiblich
305 Beiträge

Wie kann ich denn SP16 onprem für externe Benutzer zugänglich machen?

eine gruppe ohne Rechte anlegen, aber dann irgendwo authentifizierungsanforderungen? 

im moment hab ich einfach wiedermal zu viele fragen

Viele Grüße AS

Top-25-Beitragsschreiber
Männlich
561 Beiträge

(Externe) Benutzer im Active Directory anlegen, den Benutzern ihre Anmeldeinformationen zukommen lassen, und ab dann läuft's wie für interne Benutzer.

Aber, wenn ich mich richtig erinnere, brauchst du für die Externen Benutzer auch eine SharePoint CAL.

Grüße

Olaf

 

Top-25-Beitragsschreiber
Weiblich
305 Beiträge

Es wird ja der Fall eintreten, dass öfters externe user auf unterschiedliche sites zugriff bekommen werden. Das klappt dann doch nicht, wenn ich nur einen externen user ins AD eintrage? Oder doch, weil diese dann die anderen urls nicht kennen?

Gibt es nicht die Möglichkeit externe User mit ihrer E-Mail-Adresse einzuladen?

Danke

Viele Grüße AS

Top-25-Beitragsschreiber
Männlich
561 Beiträge

Wenn du mit SharePoint Online arbeitest, dann funktioniert das mit dem Einladen, weil Office 365 diese Möglichkeiten bereitstellt. Bei einer on-prem SharePoint-Umgebung geht das nicht. Da müssen die Benutzer im AD angelegt und im SharePoint berechtigt werden, dann kann ihnen eine Mail mit dem Link auf die Site geschickt werden.

Alternativ kannst du auch mit einem eigenen Authentication Provider arbeiten, aber die einzige Änderung ist dann, dass die User nicht im Active Directory liegen. 

Beste Grüße

Olaf

 

Top-25-Beitragsschreiber
Weiblich
305 Beiträge

Du meinst doch ADFS?

Einen solchen Server haben wir, muss wohl jetzt die zwei (ADFS und SP) miteinander anfreunden :) irgendwie?

 

Viele Grüße AS

Top-25-Beitragsschreiber
Weiblich
305 Beiträge

jetzt habe ich eine öffentliche IP bekommen und der SP-Server ist im DMZ, muss ich auf dem SP-Server noch Einstellungen vornehmen oder im DNS-Server?

 

Viele Grüße AS

Top-10-Beitragsschreiber
Männlich
18.371 Beiträge

Du brauchst einen DNS-Eintrag, der auf die IP des Servers verweist. Im SharePoint bei den alternate access mappings und im IIS muß der DNS-Name eingetragen sein. Natürlich muß der DNS-Eintrag im öffentlichen Netz verfügbar sein.

Viele Grüße
Andi
af @ evocom de
Blog
Top-25-Beitragsschreiber
Weiblich
305 Beiträge

Helft ihr mir bitte mal beim Sortieren:

Also ich habe eine öffentliche IP genannt bekommen die für sharepoint.company.com sein soll.

Soll ich diese öffentliche IP-Adresse auch im SP-Server eintragen unter Network Connections (IP-Settings)? (Hier habe ich mehrere IP-Adressen jeweils für Apps, Mysite, Webanwendung "sharepoint.company.local")

Dann muss ich diese auch im DNS als Host eintragen? (

Andi Fandrich:

Du brauchst einen DNS-Eintrag, der auf die IP des Servers verweist.

) also auf die öffentliche IP-Adresse??

Andi Fandrich:

Im SharePoint bei den alternate access mappings und im IIS muß der DNS-Name eingetragen sein.

Also wenn ich im DNS den Namen spoeffentlich benutze, was steht dann im AAM? muss ich da "Map to External Resource" wählen und die Zone als Extranet angeben?

Internal Url:https://sharepoint.company.local Zone:Extranet Public URL for Zone: https://sharepoint.company.com  ???

Wo steht dann der DNS-Name im IIS? Doch nicht unter Sites???

Andi Fandrich:

Natürlich muß der DNS-Eintrag im öffentlichen Netz verfügbar sein.

???

 

 

 

 

 

 

 

Viele Grüße AS

Top-10-Beitragsschreiber
Männlich
18.371 Beiträge

Also ich versuchs mal...

Ja, Du mußt die IP dem Server bekannt machen, damit das Betriebssystem überhaupt "weiß", daß ihm diese IP gehört. Das geht bei den Netzwerkeinstellungen.

Wenn es um sharepoint.company.com geht, muß diese Adresse als Host im DNS-Server eingetragen werden. Das muß der DNS sein, der die Masterrolle für company.com hat, d.h. der neue Eintrag muß sich auch ins weltweite Internet verbreiten. Wenn also jemand in einem fernen Land sharepoint.company.com aufruft, dann greift der ja nicht auf Euren DNS zu, sondern auf irgendeinen anderen. Dieser andere muß also ebenfalls fähig sein die Adresse in eine IP aufzulösen.

Das mit den AAM hast Du selbst schon gut beschrieben. Wie man das genau konfiguriert, bleibt dabei jedem selbst überlassen, also z.B. sharepoint.company.local für lokale Zugriffe und sharepoint.company.com als Extranet. Meine Empfehlung ist aber, wenn es irgendwie geht nur eine einzige Adresse zu benutzen. Also sharepoint.company.com auch für interne Zugriffe. Sonst gibt es irgendwann später doch immer Probleme weil z.B. Links in Benachrichtigungen oder Workflow-Mails nicht stimmen.

Viele Grüße
Andi
af @ evocom de
Blog
Seite 1 von 1 (12 Elemente) | RSS