موس صغيرة مزرعة التثبيت والتكوين قصة الحرب

هذا الأسبوع, لقد كافحت قليلاً مع زملائي في الفريق للحصول على موس مثبت في تكتل اثنين بسيطة. وقد مرت عليه, ليس لدى مزيد من تقدير لتلك الأنواع من مشاكل الناس التقرير في منتديات MSDN وفي أماكن أخرى.

تكوين مزرعة النهائي:

  • WFE SQL/الفهرس/الإنترانت داخل جدار الحماية.
  • WFE في المنطقة المنزوعة السلاح.
  • نوعا من جدار حماية بين المنطقة المنزوعة السلاح وداخلي في الملقم.

قبل أن نبدأ المشروع, نسمح للعميل معرفة المنافذ التي بحاجة إلى أن تكون مفتوحة. وخلال الأخذ والعطاء, ذهابا وإيابا أكثر من ذلك, قلنا ابدأ صراحة أمرين هامين:

  1. SSL يعني أنك تحتاج إلى شهادة.
  2. يجب أن يكون الملقم المنطقة المجردة من السلاح جزءا من مجال.

يوم واحد, ونحن أظهرت لتثبيت موس وعلمت أن لم أكن قد تم إنشاء حسابات المجال لقاعدة البيانات، والمعايير الأمنية التنفيذية الدنيا. لتحريك الأمور على طول, لقد ذهبت إلى الأمام وتثبيت كل شيء مع حساب محلي على ملقم إنترانت.

عند هذه النقطة, فقد اكتشفنا الارتباك على شهادة SSL و, ومن المحزن, وقررت أن يكون لدينا البنية التحتية الرجل يعود في وقت لاحق من هذا الأسبوع لمتابعة تثبيت الملقم المنطقة المجردة من السلاح. وفي الوقت نفسه, نحن مهندسي الحل قدما مع الأشياء التجارية.

يمر عطلة نهاية أسبوع والعميل يحصل على الشهادة.

لدينا البنية التحتية الرجل يظهر ويكتشف أن الملقم المنطقة المجردة من السلاح لا يكون منضماً إلى أي مجال (أما في مجال محيط ذو ثقة محدودة أو المجال إنترانت). نحن إهدار ما يقرب 1/2 اليوم على أن. وإذا لم أكن قد تركنا شهادة SSL مفقود تعثر لنا, أن اكتشفنا هذا في وقت سابق. أوه جيدا….

يمر يوم آخر ومختلف اللجان الأمنية, الأطراف المهتمة و (غير ذلك) المارة الأبرياء جميع نتفق على أنه من "موافق" للانضمام إلى الملقم المنطقة المجردة من السلاح مع المجال إنترانت (وهذا هو الجسيمي, بعد كل ذلك, ليس حلاً الإنتاج).

يأتي الرجل البنية التحتية في إنهاء الأمور. هذه المرة نحن يمر بنجاح القفاز العصر الحديث بمودة المعروفة باسم "معالج تكوين SharePoint." لدينا نظرة خاطفة في الإدارة المركزية و … يي الزعرورة! … يتم سرد ملقم المنطقة المجردة من السلاح في المزرعة. أننا ننظر قليلاً أوثق، وندرك أننا كسر فتح الشمبانيا قليلاً سوس أوائل. خدمات WSS عالق في "بدءاً من" مركز.

قصة قصيرة طويلة, اتضح أن نسينا لتغيير هوية حساب الخدمة عن طريق الإدارة المركزية من الحساب المحلي الأصلي إلى حساب مجال جديد. أننا فعلنا ذلك, إعادة ركض معالج التكوين وويلا! وقد كنا في الأعمال التجارية.

</نهاية>

الاشتراك في بلادي بلوق.

[تشنورتي] بطاقات:

5 افكار عن "موس صغيرة مزرعة التثبيت والتكوين قصة الحرب

  1. سيماريس
    أنها على ما يرام تماما أن يكون SQL الخاصة بك في شبكة محلية ظاهرية فرعية مختلفة من WFEs الخاص بك. وفي الواقع أن من المستحسن, بعد كل شيء كما ذكرت من قبل, خبراء الأمن وما هو ذاهب إلى السماح لك عصا SQL في المنطقة المنزوعة السلاح? التوصية أن حركة المرور SQL الخاصة بك لا تستخدم بطاقات واجهة نفسه كحركة مرور المستخدم, ولكن حتى هذا الاتصال قد نظام تقييم الأداء من خلال جدار حماية لحماية إضافية.
    القيود المتصلة ب WFEs متعددة في بيئة مزرعة تتصل إذا كنت تستخدم Microsoft موازنة التحميل, ثم هذه يجب أن تكون كافة في نفس شبكة محلية ظاهرية.
    الرد
  2. بول

    أنا يمكن أن تغلب تقريبا مشكلتك شهادة SSL. نحن كان كل شيء تم إنشاؤها وكانوا على استعداد لتوسيع تطبيق ويب باستخدام SSL (قم بإعادة توجيه منفذ 80 في IIS). وكان المسؤول ملف.cer مستعدة للذهاب. ولكن أيا من الخيارات أو الالتواءات مجنون لتطبيقه في IIS سوف تعمل–يعرض الموقع دائماً صفحة فارغة مثل مجموعة الموقع غير موجود.

    بعد ضجيجا كثير من رؤساء, تعلمنا أن هذا ناجم عن طلب الشهادة لا يأتي من هذا الخادم. مدير البرنامج ببساطة وطلب سيرت وكان عبر البريد الإلكتروني الرئيسية الناتجة عن ذلك. مع لا مفتاح خاص, لا تحصل على بناء نفق SSL بين WFE في المستعرض. لقد اهدر 1/2 اليوم على أن.

    الرد
  3. كتب مسيحية:
    مثيرة جداً للاهتمام! أشك بشدة أنه لا ينبغي أن يؤيد استضافة WFE في واحدة من شبكة محلية ظاهرية/المنطقة المجردة من السلاح والتطبيق/SQL في شبكة محلية ظاهرية أخرى/المنطقة المجردة من السلاح.
    المقالات TechNet حول دعم سيناريوهات إكسترانت ليس لديها أي تحفظات, أما – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, لذا أمل مخلصا MS حصلت على خطأ.
    يمكنك وضع على ما ينبغي أن يكون المشكلة مع البصق التكوين? أسباب تتعلق بالأداء فقط? أو هل هم في الواقع يعني أن WFE وينبغي أن يكون على نفس شبكة محلية ظاهرية/المنطقة المنزوعة السلاح? شأنه أن يجعل الشعور أكثر بالنسبة لي.
    صدق,
    المسيحية
    الرد
  4. بول غالفين
    وهذا سؤال جيد جداً.
    نحن تتبع عن كثب شديد إلى وثائق مرض التصلب العصبي المتعدد, لذا لا أتصور كيف أنهم سيرفضون لدعمه. قال أن, أنا لست شخص البنية التحتية, لذا فمن الممكن أن أنا إساءة استخدام المصطلحات في منصبي.
    كما أفهمها, أن النهج الصحيح أن يكون (على الأقل) المجالات الإعلانية اثنين. المجال الداخلي واحد وواحدة في الشبكة المحيطة. الشبكة المحيطة سوف يكون إعلان "محدداً من الثقة" العلاقة مع الإعلانات الداخلية.
    But you probably already know all that 🙂
    خلاصة, لا أعرف. ونحن لا تتلقى أو نظرة مباشرة إلى Microsoft للتوجيه بشأن هذا واحد.
    –بول ز
    الرد
  5. توم ديتز
    يتم اعتماد هذا التكوين? مؤتمر SharePoint في سياتل في آذار/مارس, أنا الدردشة مع بعض مهندسي مايكروسوفت وقالوا أن التكوينات المعتمدة لا تسمح WFEs عبر شبكات محلية ظاهرية أو أجهزة التوجيه. تفترض منذ WFE في المنطقة المجردة من السلاح, هو معبر نوعا من جدار الحماية/جهاز التوجيه أو في الشبكة المحلية الظاهرية الخاصة به.
    ذلك أساسا الديسيبل، والخوادم WFE/التطبيق يجب أن تكون على نفس شبكة محلية ظاهرية.
    كانت مصرة حقاً حول هذا–أنها فعلا شريحة ' الجغرافي’ دورة نشر إذا كان لديك حق الوصول إلى سطح السفينة.
    لقد قرأت المقالات TechNet توضح تكوينات العينة التي تتناقض مع بياناتهم, ولكن الرجال مرض التصلب العصبي المتعدد أساسا قال أن TechNet خاطئ.
    الرد

اترك ردًا

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها *