• Kommunikation zwischen Dienstanwendungen
  • Verbindungen mit externen Servern
  • Dienstanforderungen für die E-Mail-Integration
  • Dienstanforderungen für den Sitzungsstatus
  • SharePoint Server-Produkte-Dienste
  • Web.config (Datei)
  • Blockieren der standardmäßigen SQL Server-Ports


Kommunikation zwischen Dienstanwendungen

In einer Serverfarm sind alle Front-End-Webserver und Anwendungsserver SQL Server-Clientcomputer. Wenn Sie UDP 1434 auf dem SQL Server-Computer blockieren oder den Standardport für die Standardinstanz ändern, müssen Sie auf allen Servern, die eine Verbindung mit dem Computer mit SQL Server herstellen, einen SQL Server-Clientalias konfigurieren. Bei diesem Szenario gibt der SQL Server-Clientalias den TCP-Port an, der von der benannten Instanz abgehört wird.

Zum Herstellen einer Verbindung mit einer Instanz von SQL Server installieren Sie die SQL Server-Clientkomponenten auf dem Zielcomputer und konfigurieren dann den SQL Server-Clientalias mithilfe des SQL Server-Konfigurations-Managers. Zum Installieren der SQL Server-Clientkomponenten führen Sie das Setup aus und wählen nur die folgenden Clientkomponenten für die Installation aus:


  • Konnektivitätskomponenten
  • Verwaltungstools (enthalten den SQL Server-Konfigurations-Manager)


Informationen zu bestimmten Abhärtungsschritten zum Blockieren der Standard SQL Server Ports finden Sie unter configure SQL Server Security for SharePoint Server.

Kommunikation zwischen Dienstanwendungen


Standardmäßig erfolgt die Kommunikation zwischen SharePoint-Servern und Dienstanwendungen in einer Farm über HTTP mit einer Bindung an TCP 32843. Beim Veröffentlichen einer Dienstanwendung können Sie entweder HTTP oder HTTPS mit folgenden Bindungen auswählen:

  • HTTP-Bindung: TCP 32843
  • HTTPS-Bindung: TCP 32844

Daneben können Drittanbieter, die Dienstanwendungen entwickeln, eine dritte Möglichkeit implementieren:

  • net.tcp-Bindung: TCP 32845

Sie können die Protokoll- und Portbindung für jede Dienstanwendung ändern. Wählen Sie auf der Seite Dienstanwendungen in der Zentraladministration die Dienstanwendung aus, und klicken Sie dann auf Veröffentlichen.

Die HTTP/HTTPS/net. TCP-Bindungen können auch mithilfe der Cmdlets " Get-SPServiceHostConfig " und " SPServiceHostConfig Microsoft PowerShell" angezeigt und geändert werden.

Die Kommunikation zwischen Dienstanwendungen und SQL Server erfolgt über die standardmäßigen SQL Server-Ports oder die Ports, die Sie für die SQL Server-Kommunikation konfigurieren.

Verbindungen mit externen Servern

Mehrere Features von SharePoint Server können für den Zugriff auf Daten konfiguriert werden, die sich auf Server Computern außerhalb der Serverfarm befinden. Wenn Sie den Zugriff auf Daten auf externen Servercomputern konfigurieren, sollten Sie sicherstellen, dass die Kommunikation zwischen den entsprechenden Computern aktiviert ist. In den meisten Fällen sind die verwendeten Ports, Protokolle und Dienste von der externen Ressource abhängig.


Zum Beispiel:

  • Für Verbindungen mit Dateifreigaben wird der Datei- und Druckerfreigabedienst verwendet.
  • Bei Verbindungen mit externen SQL Server-Datenbanken werden die standardmäßigen oder angepassten Ports für die SQL Server-Kommunikation verwendet.
  • Für Verbindungen mit Oracle-Datenbanken wird normalerweise OLE DB verwendet.
  • Für Verbindungen mit Webdiensten werden sowohl HTTP als auch HTTPS verwendet.


Für die E-Mail-Integration ist die Verwendung von zwei Diensten erforderlich:

  • SMTP-Dienst
  • Microsoft SharePoint-Verzeichnisverwaltungsdienst

SMTP-Dienst

Für die E-Mail-Integration muss auf mindestens einem der Front-End-Webserver in der Serverfarm der SMTP-Dienst (Simple Mail Transfer-Protokoll) verwendet werden. Der SMTP-Dienst ist für die eingehende E-Mail-Kommunikation erforderlich. Für ausgehende E-Mail-Nachrichten können Sie entweder den SMTP-Dienst verwenden oder die Nachrichten über einen dedizierten E-Mail-Server in Ihrem Unternehmen weiterleiten, z. B. einen Computer mit Microsoft Exchange Server.

Microsoft SharePoint-Verzeichnisverwaltungsdienst


SharePoint Server enthält einen internen Dienst, den Microsoft SharePoint-Verzeichnisverwaltungsdienst, zum Erstellen von e-Mail-Verteilergruppen. Wenn Sie die E-Mail-Integration konfigurieren, haben Sie die Möglichkeit zur Aktivierung des Verzeichnisverwaltungsdienst-Features, mit dem Benutzer Verteilerlisten erstellen können. Wenn Benutzer eine SharePoint-Gruppe erstellen und die Option zum Erstellen einer Verteilerliste auswählen, erstellt der Microsoft SharePoint-Verzeichnisverwaltungsdienst die entsprechende Active Directory-Verteilerliste in der Active Directory-Umgebung.

In Umgebungen mit verstärkter Sicherheit wird empfohlen, den Zugriff auf den Microsoft SharePoint-Verzeichnisverwaltungsdienst durch Schützen der diesem Dienst zugeordneten Datei, SharePointEmailws.asmx, einzuschränken. Lassen Sie beispielsweise den Zugriff auf diese Datei nur für das Serverfarmkonto zu.

Darüber hinaus sind für diesen Dienst Berechtigungen in der Active Directory-Umgebung erforderlich, um Active Directory-Verteilerlistenobjekte zu erstellen. Die Empfehlung besteht darin, eine separate Organisationseinheit (Organizational Unit, OU) in Active Directory für SharePoint Server-Objekte einzurichten. Nur diese Organisationseinheit sollte Schreibzugriff auf das vom Microsoft SharePoint-Verzeichnisverwaltungsdienst verwendete Konto gewähren.

Dienstanforderungen für den Sitzungsstatus

Sowohl Project Server 2016 als auch InfoPath Forms Services den Sitzungsstatus beibehalten. Wenn Sie diese Features oder Produkte innerhalb der Serverfarm bereitstellen, sollten Sie den ASP.NET-Statusdienst nicht deaktivieren. Wenn Sie InfoPath Forms Services bereitstellen, sollten Sie den Dienst Ansichtstatus auch nicht deaktivieren.

SharePoint Server-Produkte-Dienste

Deaktivieren Sie nicht von SharePoint Server installierte Dienste (in der Momentaufnahme zuvor aufgeführt).

Wenn als lokales System ausgeführte Dienste in der Umgebung nicht zulässig sind, können Sie das Deaktivieren des SharePoint-Verwaltungsdiensts in Betracht ziehen. Sie müssen jedoch die Konsequenzen kennen und sie umgehen können. Dieser Dienst ist ein Win32-Dienst, der als lokales System ausgeführt wird.

Dieser Dienst wird vom SharePoint-Timerdienst zum Ausführen von Aktionen verwendet, für die Administratorberechtigungen auf dem Server erforderlich sind, beispielsweise Erstellen von IIS-Websites (Internetinformationsdienste), Bereitstellen von Code sowie Beenden und Starten von Diensten. Wenn Sie diesen Dienst deaktivieren, können Sie keine Aufgaben im Zusammenhang mit der Bereitstellung über die Website für die Zentraladministration ausführen. Sie müssen Microsoft PowerShell verwenden, um das Cmdlet Start-SPAdminJob auszuführen (oder das Befehlszeilentool Stsadm. exe zum Ausführen des execadmsvcjobs -Vorgangs verwenden), um Bereitstellungen mit mehreren Servern für SharePoint Server abzuschließen und um andere auszuführen. bereitstellungsbezogene Aufgaben.


Quelle: Microsoft: https://docs.microsoft.com/de-de/sharepoint/security-for-sharepoint-server/security-hardening