Im Rahmen eines Projektes suchten wir “Best Practices” Anweisung zum Thema Windows 2008 Server und SharePoint 2007. Wie fast zu erwarten war, hatte noch keiner der am Projekt beteiligten Consultant etwas in diese Richtung gemacht. Das bedeutete für uns, dass wir das Server Hardening der SharePoint Farm ohne Whitepaper einrichten mussten.
Wir benutzten auf dem Windows Server 2008 den „Windows Server 2008 Security Configuration Wizard“. In den Einstellungen kann man auch die interne Firewall des 2008 Servers konfigurieren. Passt perfekt. Aber wie genau funktioniert die Netzwerk Kommunikation in einer MOSS Farm? Hier unsere Erkenntnisse:
Kommunikationswege innerhalb der Farm
1. User Access
- TCP Port 80
- SSL Port 443
- Custom Port(s)
2. Search Query/Index Propagation
- Named Pipes, die File and Printer Sharing benötigen
- NBT -UDP Port 137,UDP Port 138, TCP Port 139
- Direct-hosted SMB -TCP/UDP Ports 445
3. MOSS Web Services
- TCP 56737
- TCP 56738 (SSL)
- Kann über “stsadm -setsspport” angepasst werden
4. SQL
- Default Instance: TCL Port 1433 (default), kann aber auch ein anderer frei gewählter (assigned) Port sein
- Named Instances: Irgend ein TCP ports (default), kann aber auch auf einen spezifischen frei gewählten (assigned) Port hören
5. Search Indexing
- TCP Port 80
- SSL Port 443
- Custom Port(s)
6. SSO
- Kommunikation mit dem “Encryption Key Server” benötigt RPC
- TCP 135 (RPC endpoint mapper)
- Zufällig höhere Port Nummern, oder
- fest zugewiesener Bereich von statischen Ports
Web Server Port Requirements
| ExternalCommunications | Internal Communications | |||||||
| Protocol | Port | Direction | Type | Protocol | Port | Direction | Type | |
| HTTP | 80 | InboundOutbound | TCP | 56737** | TCP | |||
| HTTPS | 443 | Inbound | TCP | 56738** | TCP | |||
| SMTP | 25 | InboundOutbound | TCP | |||||
| RPC* | 135 | InboundOutbound | TCP | |||||
Applikations-Server Ports
| ExternalCommunications | Internal Communications | |||||||
| Protocol | Port | Direction | Type | Protocol | Port | Direction | Type | |
| HTTP | 80 | InboundOutbound | TCP | 56737** | TCP | |||
| HTTPS | 443 | Inbound | TCP | 56738** | TCP | |||
| SMTP | 25 | InboundOutbound | TCP | |||||
| RPC* | 135 | InboundOutbound | TCP | |||||
| NBT | 137, 138,139 | InboundOutbound | ||||||
| SMB | 445 | InboundOutbound | TCPUDP | |||||
| Kerberos | 88 | InboundOutbound | TCPUDP | |||||
Datenbank Server Ports
| InternalCommunications | |||
| Protocol | Port | Direction | Type |
| SQLListener | 1433 | InboundOutbound | TCP |
| SQL Probe | 1434 | Inbound | TCP |
Weitere Informationen
Eine Liste der Benutzerkonten die innerhalb der Farm verwendet werden findet man im Scolab “Artikel SharePoint Farm Sicherheitsüberlegungen“.
Kommentar abgeben