SAMMAL peremeheks paigaldus ja konfiguratsiooni sõja lugu

Sel nädalal, Olen võidelnud natuke minu meeskond saada lihtsa kaks serveriparki installitud MOSS. Olles läbinud, Mul on suuremat tunnustust liiki probleemidega inimesi aru MSDN-i foorumites ja mujal.

Lõplik serveripargi konfiguratsiooni:

  • SQL/Index/sisevõrgu WFE tulemüüri sees.
  • WFE DMZ.
  • Tulemüüri DMZ ja sisemine serveri vahel mingi.

Enne hakkasime projekti, anname teada, millised pordid peavad olema avatud kliendi. Ajal anda ja võtta, edasi-tagasi üle, et, Me ei ole kunagi selgelt ütles kaks olulist asja:

  1. SSL tähendab on serti tarvis.
  2. DMZ server peab kuuluma domeeni.

Päevast, Me näitas üles paigaldada MOSS ja õppinud, et domeenikontode andmebaasi ja SAMMAL ei olnud loodud. Liikuda asju, läksime edasi ja paigaldatud kõik sisevõrgu server kohalik konto.

Sel hetkel, avastasime ning segiajamise üle SSL-sertifikaat ja, Kahjuks, otsustas, et meie infrastruktuuri mees tule tagasi hiljem sel nädalal DMZ serveri installimise jätkamiseks. Samal ajal, Me lahus arhitektid edasi tõsta ettevõtte asju.

Nädalavahetusel läheb ja klient saab tunnistuse.

Meie infrastruktuuri mees näitab üles ja avastab, et DMZ server on liidetud kõik domeeni (perimeetri domeeni piiratud usalduse või sisevõrgu domeeni). Me raisata ligi ühe 1/2 päev, mis. Kui me poleks puudu SSL-sertifikaat, mis on raba meile ette, oleme oleks avastanud seda varem. Oh hästi….

Teine päev möödub ja erinevate turvakomiteed, huvitatud isikud ja (ei ole nii) süütu kõrvalseisjad kõik nõustuvad, et OK DMZ server intranet domeeniga liitumiseks (See on ka POC, Pealegi, mitte tootmise lahendus).

Infrastruktuuri mees jõuab, et asju pakkima. Seekord me edukalt läbida ka tänapäeva gauntlet nn "SharePointi konfigureerimisviisard." Meil piiluda administreerimiskeskuse ja … Yee huu! … DMZ server on loetletud talu. Me vaatama veidi lähemale ja mõistma, me murdis avatud Champaign natuke maimuke varakult. WSS teenused on sattunud ka "algus" olek.

Pikk lugu lühike, selgub, et me unustasime muuta administreerimiskeskuse kaudu teenusekonto identiteedi Algne kohalikult kontolt uue domeeni konto. Me tegime seda, uuesti jooksis konfigureerimise viisard ja voila! Olime äri.

</lõpp>

Telli minu blogi.

Technorati Tags:

5 mõtteid "SAMMAL peremeheks paigaldus ja konfiguratsiooni sõja lugu

  1. Cimares
    See on täiesti normaalne on teie SQL eri Vlan/alamvõrgus kui teie WFEs. Tegelikult on soovitatav, Lõppude lõpuks, nagu eespool mainitud, mida turvalisuse ekspert saab teile kinni SQL dmz? Soovitus on SQL liikluses kasutada sama liidese kaardid nagu kasutaja liiklus, kuid isegi sellega võib pas läbi tulemüüri täiendav kaitse.
    Mitme WFEs talu keskkonnas seotud piirang puudutab kasutamisel Microsoft koormuse tasakaalustamine, siis need peab kõik olema sama VLan.
    Vastus
  2. Paul

    Ma peaaegu võitsin SSL sertifikaadi väljaandmise. Meil oli kõik loodud ja olid valmis laiendama web app SSL (seejärel suunata port 80 IIS-i). Administraator oli valmis minema CER fail. Kuid ükski suvandid või hull contortions rakendada seda IIS töötab–sait tundub alati tühi leht nagu saidikogum pole olemas.

    Pärast palju pead peksma, saime teada, et selle põhjuseks oli cert taotluse, et server ei tule. Administraator lihtsalt küsis jaoks on cert ja oli meilitakse tulenev võti. Kellel polnud isiklikku v⌡tit, SSL tunnelit ei saada ehitati aastatel selle WFE ja brauseri. Me raisata 1/2 päev, mis.

    Vastus
  3. Christian kirjutas:
    Väga huvitav! Ma väga kahtlen, et see ei tohiks toetada võõrustada WFE ühes VLAN/DMZ ja teine VLAN/DMZ APP/SQL.
    TechNet artikleid toetatud Extranet stsenaariumid ei ole mingeid reservatsioone, Kas – kuid TechNet võib olla vale 🙂 Ükski meie klientidest ei luba oma SQL-serveritel istuda WFE-ga samal VLAN / DMZ-l, Ma siiralt loodan et MS sai vale.
    Saate te võiksite täpsustada milliseid tuleks probleem sülitamine konfiguratsiooni? Jõudluse huvides? Või kas nad tegelikult mõtlen, et kui WFE's peaks olema sama VLAN/DMZ? Mis oleks mõttekam mulle.
    Lugupidamisega,
    Christian
    Vastus
  4. Paul Galvin
    See on väga hea küsimus.
    Oleme jälgimise tihedat MS dokumentatsiooni, nii et ma ei suuda ette kujutada, kuidas nad keelduvad selle toetamiseks. Öeldud, Ma ei ole infrastruktuuri isik, Seega on võimalik, et ma olen kuritarvitab mõttes minu postitus.
    Nagu ma aru saan, õige lähenemine on, et (vähemalt) 2 reklaami domeenid. Üks sisemine domeen ja üks perimeter network. Perimeter network reklaami oleks, on "täielik usaldus" sisemine haldusdirektoriga.
    Aga küllap sa juba tead seda kõike 🙂
    Alumine rida, Ma ei tea. Me ei saa või otse Microsoftile otsima juhiseid selle ühe.
    –Paul G
    Vastus
  5. Tom Dietz
    Taoline konfiguratsioon toetab? Seattle märtsis konverentsil SharePointi, Ma olin jututoas mõned Microsoft Engineers ja nad ütlesid, et toetatud konfiguratsioonid ei võimalda WFEs ületada VLANs või ruuterid. Eeldan, et kuna selle WFE on mõne DMZ, see ületab mingisugune tulemüüri/ruuteri või on tema enda VLAN.
    Nii et põhimõtteliselt DB ja kõik peavad olema sama VLAN WFE/App serverid.
    Nad olid tõesti veendunud selle kohta–See on tegelikult slaidi ning "geograafiline’ juurutamise istungil kui pääsete tekile.
    Olen lugenud TechNeti esemeid, mis illustreerivad proovi konfiguratsioonid, mis on vastuolus nende avaldused, kuid MS poisid põhiliselt ütles TechNeti eksib.
    Vastus

Jäta vastus

Teie e-posti aadressi ei avaldata. Kohustuslikud väljad on tähistatud *