MECH stateček instalace a konfigurace válka příběh

Tento týden, Trochu jsem bojoval se svým týmem, aby si MOSS nainstalován v jednoduché dvou serverové farmy. S prošla, Mám větší uznání za problémy lidí zprávy na fóra MSDN a jinde.

Konfigurace konečné farmy:

  • SQL/Index/Intranet WFE uvnitř brány firewall.
  • WFE v DMZ.
  • Nějaký druh brány firewall mezi DMZ a interní server.

Než jsme začali projekt, Nechali jsme klient vědět, porty, které musí být otevřené. Během dávat a brát, a zpět nad, Řekli jsme nikdy výslovně dvě důležité věci:

  1. SSL znamená, že potřebujete certifikát.
  2. DMZ server musí být součástí domény.

Den první, k instalaci MOSS se objevil a zjistil, že nebyl vytvořen doménové účty pro databáze a MOSS. Přesunout věci, jsme šli dopředu a nainstaloval všechno s místním účtem na serveru sítě intranet.

V tomto okamžiku, zjistili jsme, že zmatek nad SSL certifikát a, Bohužel, rozhodl se, že náš člověk infrastruktury vrátit později tento týden pokračovat v instalaci serveru DMZ. V střední čas, Jsme architekti řešení pohnula s obchodními stuff.

Jde o víkendu a klient obdrží certifikát.

Naše infrastruktura chlap objeví a zjistí, že DMZ server není připojen k žádné doméně (obvodové doménu s omezenou důvěru nebo domény sítě intranet). Promarnili jsme téměř 1/2 den na to. Pokud jsme nenechali nás zabořit chybějící certifikát SSL, by jsme to zjistili dříve. Oh dobře….

Další den projde a různé bezpečnostní výbory, zúčastněné strany a (není to tak) Nevinní přihlížející všichni shodují, že je OK zapište DMZ server s domény sítě intranet (To je POC, Koneckonců, není výrobní řešení).

Infrastruktury prisel zabalit věci. Tentokrát jsme úspěšně projít moderní denní rukavici, laskavě známý jako "Průvodce konfigurací služby SharePoint." Jsme se podívat v centrální správě a … Yee haw! … DMZ server je uveden v serverové farmě. Jsme trochu pozorněji a uvědomit si, že jsme rozbila Champaign trochu roztoč brzy. Služba WSS se zasekl v "začíná" stav.

Dlouhý příběh krátký, ukazuje se, že jsme zapomněli změnit identitu účtu služby prostřednictvím Centrální správa z původního místního účtu na nový účet domény. Když jsme to dělali, znovu spuštěn Průvodce konfigurací a voila! Byli jsme v podnikání.

</Konec>

Přihlásit se na mém blogu.

Doplněk Technorati značky:

5 myšlenky na „MECH stateček instalace a konfigurace válka příběh

  1. Cimares
    Je to naprosto v pořádku mít vaše SQL v jiné Vlan/podsítě než váš WFEs. Ve skutečnosti se doporučuje, Koneckonců, jak bylo zmíněno dříve, Jaké bezpečnostní expert bude umožňují držet SQL v dmz? Doporučení je, že váš provoz SQL nepoužívá stejné rozhraní karty jako provozu, Nicméně i toto připojení může pas přes bránu firewall pro dodatečnou ochranu.
    Omezení související s více WFEs v prostředí farmy souvisí, pokud používáte Microsoft zátěže, pak toto musí být ve stejné VLan.
  2. Pavel

    Téměř nemůže porazit své vydání certifikátu SSL. Jsme měli všechno, co vytvořili a byli připraveni rozšířit webové aplikace pomocí SSL (pak přesměrování portu 80 v rámci služby IIS). Správce měl soubor CER, který je připraven jít. Ale žádná z možností nebo crazy zkřivení aplikovat v IIS bude fungovat–místo vždy zobrazí prázdnou stránku jako kolekci webů neexistuje..

    Po mnoho bouchání hlav, jsme se dozvěděli, že příčinou žádosti certifikát není z tohoto serveru. Správce jednoduše zeptal se pro jeden jakýsi a byl výsledný klíč e-mailem. Bez soukromého klíče, tunelové propojení SSL nelze získat postaven mezi WFE a prohlížeč. Promarnili jsme 1/2 den na to.

  3. Christian napsal/a:
    Velmi zajímavé! Velmi pochybuji, že by nemělo být podporovány hostit WFE v jedné VLAN/DMZ a APP/SQL v jiné VLAN/DMZ.
    Článcích na webu TechNet o podporované Extranet scénáře nemá žádné výhrady, buď – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, tak upřímně doufám, že MS to špatně pochopil.
    Můžete vypracovat na co by neměl být problém s plivání konfiguraci? Pouze z důvodů zlepšení výkonu? Nebo ve skutečnosti znamenají, že Si WFE by mělo být na stejné VLAN/DMZ? To by mi větší smysl.
    S pozdravem,
    Křesťanská
  4. Paul Galvin
    To je velmi dobrá otázka.
    Jsme velmi úzce sledujete MS dokumentaci, takže nemohu si představit, jak by odmítl podpořit. To řekl, Já nejsem člověk infrastruktury, je tedy možné, že mě zneužívá termíny v mém příspěvku.
    Jak jsem to pochopil, správný přístup je mít (nejméně) dvě domény AD. Jeden interní domény a jeden v obvodové síti. Obvodové síti AD by měl "omezené důvěryhodnosti" vztah s vnitřní AD.
    But you probably already know all that 🙂
    Čára dole, Nevím. Jsme neobdrží ani podívat přímo do Microsoft návod na tento jeden.
    –Paul G
  5. Tom Dietz
    Je tato konfigurace podporována? Na SharePoint konferenci v Seattlu v březnu, Byl jsem chatovat s nějakou Microsoft Engineers a řekli, že podporované konfigurace neumožňuje WFEs přes VLAN nebo směrovače. Předpokládám, že vzhledem k tomu, že WFE je zóna DMZ, To je přes nějaký druh brány firewall/router, nebo je ve vlastním VLAN.
    Takže v podstatě DB a WFE/App servery musí být na stejné VLAN.
    Byly to opravdu skálopevně přesvědčen o tom–je to vlastně snímku ' geografické’ nasazení relace, pokud máte přístup na palubu.
    Četl jsem články TechNet, které ilustrují příklady konfigurací, které odporují jejich prohlášení, ale MS kluci v podstatě řekl, že TechNet je nesprávný.

Zanech odpověď

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *