MOSS pequeña granja instalación y configuración guerra historia

Esta semana, Yo he luchado un poco con mi equipo a MOSS instalado en una granja simple de dos servidores. Después de haber atravesado, Tengo una mayor apreciación de los tipos de informe de problemas de personas en los foros MSDN y en otros lugares.

La configuración final de granja:

  • Intranet de índice SQL WFE dentro del firewall.
  • WFE en la DMZ.
  • Algún tipo de cortafuegos entre el DMZ y el servidor interno.

Antes de que empezamos el proyecto, dejamos que el cliente sabe que puertos deben ser abierto. En el dar y recibir, ida y vuelta en, Nosotros nunca explícitamente dicho dos cosas importantes:

  1. Significa que necesita un certificado SSL.
  2. Parte de un dominio debe ser el servidor de la DMZ.

Primer día, nos demostró para arriba para instalar MOSS y aprendimos que no se han creado las cuentas de dominio para la base de datos y el musgo. Para mover las cosas a lo largo de, nos fuimos adelante y todo lo instalado con una cuenta local en el servidor de intranet.

En este punto, descubrimos la confusión sobre el certificado SSL y, Lamentablemente, decidió que nuestro hombre infraestructura volver más adelante esa semana para continuar la instalación del servidor de la DMZ. En la media de tiempo, arquitectos de soluciones pasamos adelante con las cosas de negocios.

Pasa un fin de semana y el cliente obtiene el certificado.

Nuestro tipo de infraestructura se muestra y descubre que el servidor de la DMZ no está unido a cualquier dominio (un dominio de perímetro con confianza limitada o el dominio de intranet). Hemos desperdiciado casi un 1/2 día en. Si no dejamos el certificado SSL que falta nos empantanen, habría descubierto esto antes. Bueno….

Otro día pasa y los diversos comités de seguridad, las partes interesadas y (no es tan) transeúntes inocentes todos de acuerdo que es aceptar para unir el servidor de la DMZ con el dominio de intranet (se trata de un POC, Después de todo, no una solución de producción).

Tipo de infraestructura viene en envolver cosas para arriba. Esta vez pasamos con éxito por el el gran desafío de hoy en día conocido cariñosamente como el "SharePoint Asistente para configuración." Tenemos un vistazo de la administración central y … Yee haw! … Servidor DMZ se encuentra en la granja. Miramos un poco más y darse cuenta que rompió abierto el cava un poco ácaro temprano. Servicios WSS está atascada en un "a partir de" estado.

Larga historia corta, resulta que nos olvidamos de cambiar la identidad de la cuenta de servicio mediante administración central de la cuenta original local a la nueva cuenta de dominio. Lo hicimos, re-corriendo el Asistente de configuración y listo! Estábamos en el negocio.

</final>

Suscribirse a mi blog.

Etiquetas de Technorati:

5 pensamientos sobre "MOSS pequeña granja instalación y configuración guerra historia

  1. Cimares
    Es perfectamente aceptable que tu SQL en una subred/Vlan diferente que la WFEs. De hecho se recomienda, después de todo como se mencionó anteriormente, ¡ experto en seguridad va a dejar meter SQL en la dmz? La recomendación es que su tráfico SQL no utiliza tarjetas de interfaz de la misma como el tráfico de usuario, Sin embargo incluso esta conexión puede pas a través de un firewall para protección adicional.
    La restricción relacionadas con WFEs múltiples en un ambiente de granja se refiere a si utiliza equilibrio de carga de Microsoft, Entonces estos deben estar en la misma VLan.
    Respuesta
  2. Paul

    Yo casi puedo vencer su problema de certificado SSL. Teníamos todo lo creado y estaban listos para extender la aplicación web con SSL (luego redireccionar puertos 80 en IIS). El administrador tenía un archivo .cer listo para ir. Pero ninguna de las opciones o contorsiones loco para aplicarlo en IIS funcionará–el sitio muestra siempre una página en blanco como si no existiera la colección de sitios.

    Después de mucho golpes de cabezas, nos enteramos que esto fue causado por la petición de cert no provenientes de ese servidor. El administrador simplemente pedido para un certificado y fue enviado por correo electrónico la clave resultante. Con ninguna clave privada, no consigue construir el túnel SSL entre el ETF y el navegador. Hemos desperdiciado 1/2 día en.

    Respuesta
  3. Christian escribió:
    Muy interesante! Dudo altamente que no debería ser apoyado para albergar la estación WFE en una VLAN/DMZ y aplicación/SQL en otra VLAN/DMZ.
    Los artículos de TechNet sobre admite escenarios Extranet No tiene ningún tipo de reservas, tampoco – pero TechNet podría estar incorrecto 🙂 Ninguno de nuestros clientes permitiría que sus servidores SQL se ubicaran en la misma VLAN/DMZ que WFE., Así que espero sinceramente que la MS se equivocó.
    ¿Puedes explicarlo sobre cuál debe ser el problema de escupir la configuración? Sólo razones de rendimiento? O de hecho que significan la De WFE debe estar en la misma VLAN/DMZ? Eso tendría más sentido para mí.
    Sinceramente,
    Cristiano
    Respuesta
  4. Paul Galvin
    Esa es una pregunta muy buena.
    Estamos siguiendo muy de cerca la documentación MS, así que no puedo imaginar cómo se negarían a apoyar. Que dicho, No soy una persona de infraestructura, Así que es posible que estoy abusando de términos en mi post.
    Como yo lo entiendo, el planteamiento correcto es que (por lo menos) dos dominios de AD. Un dominio interno y uno en la red perimetral. La red perimetral AD tendría una "limitada confianza" relación con el anuncio interno.
    Pero probablemente ya sepas todo eso 🙂
    Línea inferior, No sé. No reciben ni mirar directamente a Microsoft para obtener orientación sobre esta.
    –Paul G
    Respuesta
  5. Tom Dietz
    Esta configuración es compatible? En la Conferencia de SharePoint en Seattle en marzo, Yo estuve charlando con algunos Engineers de Microsoft y me dijeron que configuraciones admitidas no permiten WFEs cruzar VLANs o routers. Supongo desde la estación WFE en una DMZ, se está atravesando a algún tipo de firewall o router o en su propia VLAN.
    Básicamente la DB y servidores de aplicaciones/WFE todos tienen que estar en la misma VLAN.
    Estaban muy firmes en esto–es realmente una diapositiva el ' geográfica’ sesión de despliegue si tienes acceso a la cubierta.
    He leído artículos de TechNet que ilustran las configuraciones muestra que contradicen sus declaraciones, Pero los tipos MS básicamente dijeron que pasa TechNet.
    Respuesta

Contesta

su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *