MOSS pieni palvelinfarmi-asennuksen ja kokoonpanon sodan tarina

Tällä viikolla, Olen kamppaillut vähän minun joukkue saada MOSS asennettu yksinkertainen Kahden palvelimen palvelinfarmi. Joiden läpi, Minulla on ongelmia ihmiset raportin ollessa suurempi Arvonkorotus MSDN-foorumit ja muualla.

Lopullinen farmin kokoonpano:

  • SQL/hakemisto/Intranet WFE palomuurin sisäpuolella.
  • WFE demilitarisoitu alue.
  • Jonkinlainen palomuuri DMZ ja sisäisen palvelimen välillä.

Ennen kuin aloitimme projektin, annamme asiakkaan tietää, mitkä portit on tarpeen olla avoin. Aikana antaa ja ottaa, edestakaisin tuosta, sanoimme koskaan varsinaisesti kaksi tärkeää asiaa:

  1. SSL tarkoittaa tarvitset varmenteen.
  2. DMZ-palvelin täytyy kuulua toimialueeseen.

Päivästä lähtien, oli jopa asentaa MOSS ja oppinut, että toimialuetilit tietokantaan ja MOSS ei ollut luotu. Asioiden edistämiseksi, Menin eteenpäin ja asentaa kaikki paikallisen käyttäjätilin intranet-palvelimelle.

Tässä vaiheessa, huomasimme sekaannus aikana SSL-sertifikaatti ja, Valitettavasti, päättänyt olla meidän infrastruktuuri kaveri palata myöhemmin viikolla jatkaa asennusta DMZ-palvelin. Sillä välin, Meidän ratkaisu arkkitehdit edennyt liiketoiminta jutut.

Viikonloppu kuluu ja asiakas saa todistuksen.

Meidän infrastruktuuri kaveri näkyy ja huomaa että DMZ-palvelin ei ole liitetty mihinkään toimialueeseen (edustan toimialueen rajoitettu luottamus tai intranet-toimialueen). Tuhlasimme lähes 1/2 joka päivä. Jos annamme ei ollut puuttuu SSL-varmenteen juuttua meille, Meidän huomanneet tämän aikaisemmin. Voi hyvin….

Toinen päivä päivältä ja eri turvallisuusasioiden komiteoiden, asianomaiset osapuolet ja (ei niin) viattomia sivullisia kaikki samaa, että se on OK liittyäksesi intranet-toimialueen DMZ-palvelin (Tämä on POC, Loppujen lopuksi, tuotanto-ratkaisu).

Infrastruktuurin kaveri tulee wrap asioita. Tällä kertaa onnistuneesti läpi nykyajan haaste hellästi tunnetaan nimellä "ohjatun SharePointin määrittämisen." Meillä on kurkistaa keskitetyn hallinnan ja … yee haw! … DMZ-palvelin näkyy tilalla. Katsoa hieman tarkemmin ja ymmärtää rikkoi avoinna Champaign punkki vähän aikaisin. WSS-palveluita on juuttunut "alkaa" tila.

Pitkän tarinan lyhyesti, on käynyt ilmi, unohdin muuttaa käyttäjätietoja kautta keskitetyn hallinnan tili alkuperäinen paikallisen tilin toimialueen käyttäjätilejä. Teimme näin, Ohjattu määritystoiminto uudelleen juoksi ja voila! Olimme liike.

</loppu>

Tilaa blogiin.

Technorati Tags:

5 ajatuksia ”MOSS pieni palvelinfarmi-asennuksen ja kokoonpanon sodan tarina

  1. Cimares
    Se on täysin ok olla SQL eri Vlan/aliverkkoon kuin sinun WFEs. Itse asiassa suositellaan, Loppujen lopuksi, kuten edellä mainittiin, mitä tietoturva-asiantuntija on menossa voit kiinni SQL DMZ? Suositus on, että SQL-liikennettä ei käytä sama liitäntä kortit käyttäjä liikenne, mutta myös tässä yhteydessä voi pas lisäsuojaa palomuurin läpi.
    Useita WFEs palvelinfarmissa liittyvät rajoitus liittyy jos käytät Microsoft kuormituksen tasapainotus, sitten nämä on oltava sama VLan.
    Vastaus
  2. Paul

    Voin melkein ehkä SSL sertifikaatti antaa. Meillä oli kaikki luotu ja oli valmis laajentamaan web App-sovelluksen SSL (sataman huolinta 80 IIS: n). Pesänhoitaja oli .cer-tiedoston, joka on valmis menemään. Mutta yksikään vaihtoehdoista tai hullu joutunut soveltamaan sitä IIS ei toimi–sivusto näyttää aina tyhjä sivu kuin sivustokokoelmassa ei ole.

    Jälkeen paljon hakkaamista pään, opimme, että tämä johtui ole peräisin palvelimen varmenteen tilauksesta. Järjestelmänvalvoja vain kysyi varten cert ja olivat sähköpostitse, tuloksena oleva avain. Ja yksityisen avaimen, SSL-tunnelia ei saa rakentaa WFE ja selaimen välisen. Olemme hukanneet 1/2 joka päivä.

    Vastaus
  3. Christian kirjoitti:
    Erittäin mielenkiintoinen! Olen erittäin epävarma, että sitä ei pitäisi tukea isäntä WFE yhdessä VLAN/DMZ ja APP/SQL toinen VLAN DMZ.
    Käsittelevät TechNet-artikkelit Tuetut Extranet skenaarioita ei ole mitään varauksia, joko – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, joten Toivon vilpittömästi MS väärässä.
    Voitko tarkentaa mitä pitäisi olla ongelma sylkeminen kokoonpano? Vain? Tai ne itse asiassa tarkoittavat, että että WFE's pitäisi olla sama VLAN/DMZ? Että olisi järkevämpää minulle.
    Kunnioittaen,
    Kristillisdemokraatit
    Vastaus
  4. Paul Galvin
    Se on erittäin hyvä kysymys.
    Seuraat tarkasti MS ohjeista, joten en voi kuvitella, miten he kieltäytyvät kannattaa. Sanoi, En ole infrastruktuurin henkilö, joten on mahdollista, että olen väärin termejä viestiini.
    Ymmärtääkseni, oikea tapa on olla (ainakin) Kaksi AD verkkotunnuksia. Yksi sisäisen toimialueen ja yksi edustaverkon. Ympäröivän verkon mainos olisi "rajoitettu luottamus" suhde sisäinen ilmoitus.
    But you probably already know all that 🙂
    Bottom line, En tiedä. Emme saa tai katsoa suoraan Microsoft ohjausta tässä.
    –Paul G
    Vastaus
  5. Tom Dietz
    Tämä kokoonpano tukee? Seattle Maaliskuu SharePoint-konferenssissa, Olin chattailuun Microsoft Engineers, ja he sanoivat, että tuetuista kokoonpanoista eivät salli WFEs ylittämään VLAN tai reitittimet. Oletan, että koska WFE on DMZ, se ylittää jonkinlainen palomuuri/reititin tai on oman VLAN.
    Joten periaatteessa DB ja WFE/App palvelimia täytyy olla sama VLAN.
    Ne olivat todella varma tästä–se on todella dia "maantieteellinen’ käyttöönoton istunnon jos kannelle.
    Olen lukenut TechNet artikkeleita, jotka kuvaavat näyte kokoonpanoissa, jotka ovat ristiriidassa heidän puheenvuoronsa, mutta MS kaverit pohjimmiltaan sanoi, että TechNet on väärin.
    Vastaus

Jätä vastaus

Sähköpostiosoitettasi ei julkaista. pakolliset kentät on merkitty *