Accueil Articles SharePoint
SharePoint
Architecture SharePoint SE : Matrice des flux réseaux et des Comptes de Service

Architecture SharePoint SE : Matrice des flux réseaux et des Comptes de Service

30 May 2026 Mis à jour le 09 Jun 2026 MAKHZOUM Hussein
SharePoint SE Comptes de Service Architecture Réseau Matrice de flux Active Directory SQL Server Pare-feu Sécurité SysAdmin

Le déploiement d'une ferme SharePoint Subscription Edition (SE) ne s'improvise pas au moment de lancer le fichier setup.exe. La préparation de l'infrastructure est la phase la plus critique du projet. Elle repose sur deux piliers : l'application du principe de moindre privilège via une gestion stricte des comptes de service Active Directory, et la configuration millimétrée du pare-feu pour permettre aux différents rôles de communiquer sans compromettre la sécurité.

Voici le guide technique complet pour structurer vos comptes de service et préparer votre matrice de flux réseaux.

1. Stratégie de sécurité : Liste des Comptes de Service (Moindre Privilège)

Pour éviter qu'une compromission d'une application Web ne donne accès à toute la ferme, Microsoft impose de séparer les identités. Voici les comptes Active Directory que vous devez créer avant de lancer l'installation, avec leurs droits spécifiques.

Les Comptes d'Administration et d'Infrastructure

  • SP_Admin (Compte d'installation) : * Rôle : Exécute le setup et le Wizard de configuration.

    • Droits Locaux : Membre du groupe Administrateurs local sur tous les serveurs SharePoint.

    • Droits SQL : securityadmin et dbcreator.

  • SP_Farm (Compte de la Ferme) :

    • Rôle : C'est le cœur du système. Il fait tourner le service Timer (OWSTIMER), les pools d'applications de l'Administration Centrale, le STS (Security Token Service) et le Distributed Cache.

    • Droits Locaux : Log on as a service, Log on as a batch job. (Astuce : Il doit être Administrateur local temporairement lors du provisionnement du User Profile Service).

    • Droits SQL : Attribués automatiquement (dbo sur la base de config).

Les Comptes d'Applications (App Pools)

  • SP_SrvPool : Exécute les pools d'applications des Services SharePoint (MMS, BCS, etc.).

  • SP_WebPool : Identité des pools d'applications hébergeant vos sites web (Intranet, Extranet).

  • SP_MySitePool : Identité dédiée au pool d'applications des MySites / OneDrive.

Les Comptes de Recherche (Search)

  • SP_Search : Fait tourner le service Windows SharePoint Search Service.

  • SP_Crawl (Compte d'analyse) : * Rôle : Compte utilisé pour indexer le contenu.

    • Droits Spécifiques : Il doit avoir le droit Full Read (Lecture totale) sur les Web Applications. Attention : Il ne doit SURTOUT PAS être membre du groupe Farm Administrators, sinon l'indexation échouera sur certains contenus de sécurité.

Les Comptes de Synchronisation (User Profile)

  • SP_UPSS : Exécute le service User Profile Synchronization Service.

  • SP_Sync : * Rôle : Compte utilisé pour se connecter à l'Active Directory et importer les utilisateurs.

    • Droits Spécifiques : Nécessite le droit de délégation AD critique Replicate Directory Changes sur le domaine (via la console Utilisateurs et ordinateurs AD).

Le Cas Particulier : Le Cache Objet (Object Cache)

Pour que SharePoint affiche rapidement les menus de navigation et les éléments publiés, il utilise un cache objet qui s'exécute sous deux comptes sans privilèges d'administration :

  • SP_SupUser (Super User) : Compte utilisé par le cache pour lire les éléments (Accès total).

  • SP_SupReader (Super Reader) : Compte utilisé pour lire uniquement les éléments publiés (sans voir les brouillons).

2. Deep Dive : Matrice des Flux Réseaux (Ports Pare-feu)

Une ferme SharePoint n'est pas isolée. Elle communique massivement avec SQL, l'AD, et d'autres serveurs. Voici la matrice des ports critiques à ouvrir sur vos pare-feux internes (Firewall).

1. Flux Clients vers Load Balancer (F5 / NetScaler) vers WFE :

  • TCP 80 (HTTP) / TCP 443 (HTTPS) : Trafic web standard.

2. Flux Serveurs SharePoint (WFE/APP) vers SQL Server :

  • TCP 1433 : Port d'écoute par défaut du moteur SQL Server.

  • UDP 1434 : SQL Browser (nécessaire si vous utilisez des instances nommées).

3. Flux Serveurs SharePoint vers Active Directory (Contrôleurs de Domaine) : SharePoint est extrêmement bavard avec l'AD pour l'authentification Kerberos et la résolution de noms.

  • TCP/UDP 53 : DNS.

  • TCP/UDP 88 : Authentification Kerberos.

  • TCP 135 : RPC Endpoint Mapper.

  • TCP 389 / TCP 636 : LDAP / LDAPS.

  • TCP 445 : SMB (Partages réseau).

  • TCP 3268 / 3269 : Global Catalog.

  • TCP 49152 - 65535 : Ports RPC dynamiques (High ports).

4. Flux Serveurs SharePoint vers autres composants :

  • TCP 25 : Vers le serveur relais SMTP (Envoi d'emails).

  • TCP 443 : Vers les serveurs Exchange (EWS pour les calendriers MySite) ou vers l'Office Web Apps (OOS/WAC) pour l'édition de documents Office dans le navigateur.

5. Flux Intra-Ferme (Entre serveurs SharePoint) :

  • TCP 22233 à 22236 : Ports vitaux pour le Distributed Cache (AppFabric). Si ces ports sont fermés entre vos serveurs SharePoint, les sessions utilisateurs et les flux d'activités s'effondreront.

  • TCP 16222 à 16225 : Communication interne des composants de Recherche (Search Topology).

3. Script Pratique : Enregistrer les comptes dans SharePoint

Une fois votre ferme installée, plutôt que de taper les mots de passe de chaque compte de service à la main dans l'Administration Centrale, utilisez ce script PowerShell pour les enregistrer en tant que Managed Accounts (Comptes Gérés) de manière sécurisée :

PowerShell
 
# Saisissez les identifiants pour enregistrer les comptes de service
$Accounts = @("DOMAIN\SP_SrvPool", "DOMAIN\SP_WebPool", "DOMAIN\SP_Search")

Write-Host "Enregistrement des comptes gérés dans SharePoint..." -ForegroundColor Cyan

foreach ($Acc in $Accounts) {
    # Vérifie si le compte n'est pas déjà enregistré
    $Exists = Get-SPManagedAccount -Identity $Acc -ErrorAction SilentlyContinue
    
    if (!$Exists) {
        Write-Host "Veuillez entrer le mot de passe pour $Acc" -ForegroundColor Yellow
        $Cred = Get-Credential -UserName $Acc -Message "Mot de passe AD"
        New-SPManagedAccount -Credential $Cred
        Write-Host "Compte $Acc enregistré avec succès !" -ForegroundColor Green
    } else {
        Write-Host "Le compte $Acc est déjà un Managed Account." -ForegroundColor DarkGray
    }
}

4. Références officielles Microsoft

Pour valider vos prérequis de sécurité avant la mise en production, appuyez-vous sur les guides de l'éditeur :

Conclusion

La préparation d'une ferme SharePoint SE exige une rigueur militaire. Une erreur de droit sur le compte SP_Sync bloquera l'importation de vos profils, tandis qu'un port Distributed Cache oublié dans votre pare-feu causera des instabilités de session fantômes très complexes à déboguer. Imprimez votre matrice, validez-la avec vos équipes réseaux et sécurité, et votre déploiement se passera sans accroc.

MAKHZOUM Hussein
Auteur
MAKHZOUM Hussein
Consultant Cloud & Infrastructure Engineer
Voir le profil

Articles similaires