Sharepoint accessible de l'extérieur et de l'intérieur
Sharepoint accessible de l'extérieur et de l'intérieur - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 18-04-2012 à 20:59:26
Je partirai aussi sur une infra comme ça.
Une ferme de machines (et sql qq part) et un reverse proxy en DMZ (un UAG ou TMG en fn de ce que tu veux faire ça le fait).
Faut juste configurer l'AAM sur le sharepoint pour qu'il pointe sur les différentes zones
Marsh Posté le 19-04-2012 à 09:42:12
Merci Je@nb 
Donc je peux très bien laisser une seule machine en DMZ :
- le reverse proxy
Et en LAN, je garde tous mes serveurs virtuels sur mes ESX :
- Sharepoint
- SQL
- ...
Les accès à ces machines par l'extérieur se feront par l'intermédiaire du reverse proxy.
N'est-ce pas dangereux, car de ce que je vois dans des infra, ils mettent des serveurs front en DMZ pour Sharepoint ou Exchange.
Merci 
Message édité par denis_92 le 19-04-2012 à 09:42:25
Marsh Posté le 19-04-2012 à 09:50:50
Tu peux mettre une infra sharepoint complète en DMZ si c'est pour de la publication de contenue mais ça veut dire que tu dois avoir de l'ADFS pour l'authentification en interne etc.
Pour ton scénario je pense que le reverse proxy est ce qu'il y a de mieux. C'est son but : couper un flux TCP Internet<>DMZ et DMZ<>LAN.
Pour Exchange c'est pareil, c'est un reverse proxy pour publier les parties web et un Exchange Edge pour le flux antispam
Marsh Posté le 19-04-2012 à 10:29:35
Merci Je@nb pour ton retour rapide ! 
Je pense partir sur celle solution de reverse proxy.
Vu que nous avons une grosse infrastructure VSphere avec un SAN en FC, nous pourrons l'utiliser pleinement en centralisant tous nos serveurs en LAN.
Marsh Posté le 19-04-2012 à 11:44:14
Tu peux mettre ton reverse proxy sur ton vsphere aussi. Suffit de mettre un VLAN en DMZ.
Ton reverse proxy peut aussi avoir une pate sur les 2 réseaux.
Marsh Posté le 19-04-2012 à 11:51:15
Tu as tout à fait raison.
Mais niveau sécurité, je suis plus serein en dissociant de façon physique les réseaux DMZ et LAN. 
Comme tu dis, je peux très bien virtualisés tous mes serveurs, et créer un VSwitch pour la DMZ avec un VLAN propre. 
Marsh Posté le 19-04-2012 à 12:02:53
Je vois de moins en moins de client en tout cas séparer les infras.
Marsh Posté le 19-04-2012 à 12:15:05
Ils ont donc une infrastructure VSphere avec plusieurs ESX et un SAN.
Ils séparent le tout par des VLAN, donc un spécifique pour la DMZ, qui est le seul à passer les FW ?
Je n'ai pas vraiment creusé le côté tout virtualisé, car nous avons qu'un serveur physique en DMZ pour le site web.
Mais c'est vrai que c'est plus simple à gérer avec une infra tout virtualisé.
![[:abnocte invictus]](https://forum-images.hardware.fr/images/perso/abnocte invictus.gif "[:abnocte invictus]")
Marsh Posté le 19-04-2012 à 13:00:54
| denis_92 a écrit : Ils ont donc une infrastructure VSphere avec plusieurs ESX et un SAN. |
Yes c'est ça. Tu virtualises tes différents LAN.
Marsh Posté le 19-04-2012 à 14:43:50
Voici la configuration réseau d'un de nos 2 ESX :
Cela me parait bizarre de n'avoir seulement 2 carte réseaux physiques pour l'intégralité de nos VM.
Et d'avoir 2 autres dédiés au Service console et vMotion.
Le service console est utilisé pour gérer l'ESX, et vMotion pour la bascule des machines virtuelles d'un ESX à l'autre ?
Dans la pratique pour une DMZ, on dédie un vSwitch, ou un crée juste un groupe de ports ?
Merci de votre aide 
Marsh Posté le 20-04-2012 à 09:33:45
Dans mon cas avec l'image que j'ai posté au dessus.
J'ajoute 2 cartes réseaux physiques sur chaque ESX qui seront dédiées à ma DMZ.
1. Vous connecterez ces ports de l'ESX directement sur le coeur de réseau dans un VLAN DMZ ?
2. Ou directement connectés sur les interfaces FW ?
Je pensais pour la première solution, qui signifie mutualisation de A à Z pour tous les LAN. Et ensuite avec des ACL, je filtre les accès sur mon coeur de réseau.
Mais le désavantage de cette solution, c'est que si ma DMZ se fait attaquée, mon LAN en pâtira ?
Merci pour vos avis 
Message édité par denis_92 le 20-04-2012 à 09:34:50
Marsh Posté le 25-04-2012 à 16:07:22
Perso, je préfère isoler sur du matériel différent, mais ça me regarde.
Donc solution 2 pour moi : la sortie du FW sur un (ou plusieurs) Switch(s) dédié(s) qui distribue(nt) vers les cartes réseaux des serveurs.
Message édité par still_at_work le 25-04-2012 à 16:07:49
---------------
In my bed, but still_at_work.
Sujets relatifs:
- Virtualisation VDI - 3VM sur MacBook et isolation exterieur
- Exchange ne reçoit plus d'emails de l'extérieur.
- restreindre l'acces a un routeur depuis l'exterieur
- Déploiement automatisé de plateformes Sharepoint et SQL
- exchange boite mail vers extérieur
- se connecter de l'exterieur à une VMWare (workstation - winXP)
- Nom de Domaine à l'extérieur
Marsh Posté le 18-04-2012 à 20:29:27
Bonjour,
Nous allons mettre en place dans mon entreprise une infrastructure SharePoint.
Voici nos besoins :
- Une partie de Sharepoint accessible de l'extérieur avec authentification de l'utilisateur et sans VPN ;
- Et une autre partie de Sharepoint accessible de l'intérieur avec authentification Kerberos (Windows) ;
Notre matériel actuel :
- Une infrastructure VSphere avec 2 ESX et de la place pour accueillir d'autres serveurs virtuelles ;
- Un cluster FW de 2 Fortinet Fortigate 100A ;
Ce que j'avais pensé :
- Mettre en place un reverse proxy en DMZ pour donner l'accès aux utilisateurs externes ;
- Utiliser un cluster Sharepoint en interne avec 2 machines virtuelles ;
Les informations internes et externes seront donc sur les mêmes machines Sharepoint, qu'en pensez-vous ? Auriez-vous une autre façon de procéder ?
Et quel reverse proxy serait recommandé, en sachant que cela sera sur une machine physique, et qu'il serait intéressant d'avoir une redondance sur ce point ? (Je pensais Forefront UAG)
Merci