MOSS μικρό αγρόκτημα εγκατάστασης και ρύθμισης παραμέτρων πόλεμο ιστορία

Αυτή την εβδομάδα, Έχω αγωνιστεί λίγο με την ομάδα μου να πάρει τα ΒΡΎΑ που είναι εγκατεστημένο σε ένα απλό δύο-server αγρόκτημα. Έχοντας διανύσει, Έχω μια μεγαλύτερη εκτίμηση για τα είδη των προβλημάτων οι άνθρωποι έκθεση σχετικά με το φόρουμ MSDN και αλλού.

Η ρύθμιση παραμέτρων τελική συμπλέγματος:

  • ΙΟΙ SQL/Δείκτης/Intranet στο εσωτερικό του τείχους προστασίας.
  • ΙΟΙ στο DMZ.
  • Κάποιο είδος του τείχους προστασίας μεταξύ DMZ και ο εσωτερικός server.

Προτού ξεκινήσουμε το έργο, θα αφήσουμε τον πελάτη να γνωρίζετε ποιες θύρες πρέπει να είναι ανοικτή. Κατά τη διάρκεια το δούναι και λαβείν, εμπρός και πίσω πάνω από αυτό, είπαμε ποτέ ρητά δύο σημαντικά πράγματα:

  1. Σημαίνει ότι χρειάζεστε ένα πιστοποιητικό SSL.
  2. Το διακομιστή DMZ πρέπει να είναι μέρος ενός τομέα.

Πρώτη μέρα, που εμφανίστηκε για να εγκαταστήσετε το ΒΡΎΟ και μάθαμε ότι δεν είχε δημιουργηθεί λογαριασμών τομέα για τη βάση δεδομένων και ΒΡΎΑ. Να προχωρήσει η κατάσταση, πήγα μπροστά και να εγκαταστήσει τα πάντα με έναν τοπικό λογαριασμό στο διακομιστή intranet.

Σε αυτό το σημείο, ανακαλύψαμε τη σύγχυση το πιστοποιητικό SSL και, Δυστυχώς, αποφάσισε να έχουν άνθρωπός μας υποδομή επανέλθω αργότερα εκείνη την εβδομάδα, να συνεχίσετε με την εγκατάσταση του διακομιστή DMZ. Εν τω μεταξύ, λύση αρχιτέκτονες περάσαμε μπροστά με την ουσία επιχειρηματική.

Ένα Σαββατοκύριακο πηγαίνει και ο Πελάτης αποκτά το πιστοποιητικό.

Τις άνθρωπός υποδομή μας δείχνει και ανακαλύπτει ότι η διακομιστή DMZ δεν συνδέεται με οποιοδήποτε τομέα (είτε μια περίμετρο τομέα με περιορισμένη εμπιστοσύνη ή τον τομέα intranet). Χάσαμε σχεδόν μια 1/2 ημέρα που. Αν εμείς δεν είχα αφήσει το λείπουν SSL πιστοποιητικό μας κολλάει, θα ανακαλύψαμε αυτό νωρίτερα. OH καλά….

Μια άλλη μέρα περνάει και οι διάφορες επιτροπές ασφαλείας, ενδιαφερόμενα μέρη και (δεν είναι τόσο) αθώων παρευρισκομένων, όλοι συμφωνούν ότι είναι ΟΚ για να ενταχθούν στο διακομιστή DMZ με τον τομέα του intranet (Αυτό είναι ένα POC, Εξάλλου, δεν είναι μια λύση παραγωγής).

Υποδομή άντρα μπαίνει να τυλίξουν τα πράγματα. Αυτή τη φορά θα περνάμε με επιτυχία από το το γάντι σύγχρονος-ημέρας με αγάπη γνωστό ως ο "Οδηγός ρύθμισης παραμέτρων του SharePoint." Έχουμε μια ματιά στην κεντρική διαχείριση και … Yee haw! … Διακομιστή DMZ είναι εισηγμένη στο αγρόκτημα. Εμείς Κοιτάξτε λίγο πιο κοντά και να συνειδητοποιήσουν εμείς έσπασε ανοικτή την πεδιάδα λίγο άκαρι νωρίς. Υπηρεσίες WSS είναι κολλημένοι σε μια «ξεκινώντας" κατάσταση.

Μακρά ιστορία σύντομη, αποδεικνύεται ότι ξεχάσαμε να αλλάξετε την ταυτότητα του λογαριασμού στην υπηρεσία μέσω κεντρικής διαχείρισης από τον αρχικό τοπικό λογαριασμό στον νέο λογαριασμό τομέα. Κάναμε αυτό, εκ νέου έτρεξε τον Οδηγό ρύθμισης παραμέτρων και voila! Ήμασταν στην επιχείρηση.

</Τέλος>

Εγγραφείτε στο blog μου.

5 thoughts on «MOSS μικρό αγρόκτημα εγκατάστασης και ρύθμισης παραμέτρων πόλεμο ιστορία

  1. Cimares
    Είναι απολύτως εντάξει για να έχουν σας SQL σε διαφορετικό Vlan/υποδίκτυο από ό, τι σας WFEs. Στην πραγματικότητα, συνιστάται, μετά από όλα, όπως προαναφέρθηκε, τι εμπειρογνώμονας ασφάλειας πρόκειται να σας αφήσει να κολλήσετε SQL στο dmz? Η σύσταση είναι ότι σας κυκλοφορίας SQL δεν χρησιμοποιεί το ίδιο κάρτες διασύνδεσης ως την επισκεψιμότητα των χρηστών, Ωστόσο ακόμη και αυτή η σύνδεση μπορεί να ΠΑΣ μέσω ενός τείχους προστασίας για πρόσθετη προστασία.
    Ο περιορισμός που σχετίζονται με πολλαπλές WFEs σε περιβάλλον συμπλέγματος αφορά εάν χρησιμοποιείτε Microsoft εξισορρόπηση φόρτου, τότε αυτά όλων πρέπει να είναι σε ίδια VLan.
  2. Paul

    Μπορώ σχεδόν να νικήσει σας θέμα πιστοποιητικό SSL. Είχαμε τα πάντα δημιουργήθηκαν και ήταν έτοιμη να επεκτείνει το app web με SSL (στη συνέχεια ανακατευθύνει λιμάνι 80 στις υπηρεσίες IIS). Ο διαχειριστής είχε ένα αρχείο .cer που είναι έτοιμα να ξεκινήσουν. Αλλά καμία από τις επιλογές ή τρελό ακροβασίες για να εφαρμόσει στις υπηρεσίες IIS θα λειτουργήσει–η περιοχή εμφανίζει πάντα μια κενή σελίδα, όπως η συλλογή τοποθεσιών δεν υπάρχει.

    Μετά από πολύ χτυπώντας κεφάλια, μάθαμε αυτό προκλήθηκε από το αίτημα cert που δεν προέρχεται από αυτόν το διακομιστή. Ο διαχειριστής απλά ζήτησε για ένα cert και ήμουν με ηλεκτρονικό ταχυδρομείο το κλειδί. Με το ιδιωτικό κλειδί δεν, το SSL σήραγγα δεν θα μπορούσε να πάρει χτίστηκε μεταξύ το ΙΟΙ και το πρόγραμμα περιήγησης. Χάσαμε 1/2 ημέρα που.

  3. Christian έγραψε:
    Πολύ ενδιαφέρουσα! Πολύ αμφιβάλλω ότι δεν θα πρέπει να υποστηριχθεί να φιλοξενήσει το ΙΟΙ σε ένα VLAN/DMZ και APP/SQL σε ένα άλλο VLAN/DMZ.
    Τα άρθρα του TechNet σχετικά με Υποστηριζόμενα σενάρια Extranet δεν έχουν ενδοιασμούς, είτε – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, Εύχομαι ολόψυχα η MS το πήρα λάθος.
    Μπορείτε να επεκταθείτε σε ποια πρέπει να είναι το πρόβλημα με το φτύσιμο τη διαμόρφωση? Απόδοση λόγους μόνο? Ή στην πραγματικότητα σημαίνουν ότι το ΙΟΙ της θα πρέπει να είναι σε ίδια VLAN/DMZ? Που θα έχει περισσότερο νόημα για μένα.
    Με εκτίμηση,
    Χριστιανική
  4. Paul Galvin
    Αυτή είναι μια πολύ καλή ερώτηση.
    Εμείς παρακολουθείτε στενά στην έγγραφα MS, έτσι δεν μπορώ να φανταστώ πώς θα αρνούνται να υποστηρίξουν. Που είπε, Δεν είμαι ένα άτομο υποδομής, έτσι είναι πιθανό ότι εγώ κατάχρηση όρους στην θέση μου.
    Όπως το αντιλαμβάνομαι, η σωστή προσέγγιση είναι να έχουν (τουλάχιστον) δύο τομείς Διαφήμισης. Ένα εσωτερικό τομέα και ένα στο του περιμετρικού δικτύου. Του περιμετρικού δικτύου Διαφημίσεων θα έχουν μια "περιορισμένη εμπιστοσύνη" σχέση με την εσωτερική διαφήμιση.
    But you probably already know all that 🙂
    Κάτω γραμμή, Δεν ξέρω. Εμείς δεν λαμβάνουν ή αναζητήστε άμεσα στη Microsoft καθοδήγηση σε αυτό το σημείο.
    –Paul G
  5. Tom Dietz
    Υποστηρίζεται αυτήν τη ρύθμιση? Στο συνέδριο του SharePoint στο Σιάτλ το Μάρτιο, Μιλούσα με μερικά μηχανικοί της Microsoft και είπαν ότι οι υποστηριζόμενες ρυθμίσεις παραμέτρων δεν επιτρέπουν WFEs να διασχίσουν VLANs ή δρομολογητές. Υποθέτω ότι, δεδομένου ότι οι ΙΟΙ είναι στο DMZ, διασχίζει κάποιο είδος του τείχους προστασίας/router ή είναι στην ιδία VLAN.
    Έτσι, βασικά η DB και ΙΟΙ/App διακομιστές πρέπει να είναι σε ίδια VLAN.
    Ήταν πραγματικά ανένδοτοι–είναι στην πραγματικότητα μια διαφάνεια προς το «γεωγραφικό’ ανάπτυξη σύνοδο, αν έχετε πρόσβαση στο κατάστρωμα.
    Έχω διαβάσει άρθρα TechNet που απεικονίζουν δείγμα διαμορφώσεις που έρχονται σε αντίθεση με τις δηλώσεις τους, αλλά τα παιδιά MS ουσιαστικά είπε ότι TechNet είναι λάθος.

Αφήνω μια απάντηση

Η διεύθυνση email σας δεν θα δημοσιευθεί. τα απαιτούμενα πεδία είναι επισημασμένα *