MOSS kis Farm telepítés és konfiguráció háborús történet

Ezen a héten, Én is küzdöttem egy kicsit az én csapat-hoz kap beiktatott-ban egy egyszerű két kiszolgálófarm moha. Miután átesett, Nekem van egy nagyobb elismerését a különféle problémákat az emberek jelentést MSDN fórumok és máshol.

A végső kiszolgálófarm-konfiguráció:

  • Index/SQL/Intranet EHÉ a tűzfalon belül.
  • A DMZ-ben EHÉ.
  • Valamilyen tűzfalat a DMZ és a belső szerver között.

Mielőtt elkezdtük a projekt, hagyjuk, hogy az ügyfél tudja, hogy mely portokat nyitva kellett. Során a jogok és kötelezettségek, előre-hátra, mint hogy, Mi soha nem kifejezetten azt mondta, két fontos dolog:

  1. SSL azt jelenti, hogy szüksége van egy tanúsítvány.
  2. A DMZ-kiszolgálónak kell lennie egy tartományhoz.

Egy nap, gyűlt össze, hogy telepítse a moha, és megtudta, hogy a tartományi fiókok adatbázis és moha nem hozták létre.. Mozgassa a dolgokat végig a, Mentem előre, és telepített mindent intranetes kiszolgálón helyi fiókkal rendelkező.

Ezen a ponton, felfedeztük a zűrzavar felett az SSL-tanúsítvány és, Sajnos, úgy döntött, hogy az infrastruktúra fickó jön vissza később a héten, továbbra is a DMZ szerver telepítése. Az átlagos idő, Mi a megoldás architekt mozgott előre az üzleti dolgokat.

Egy hét telik el, és az ügyfél beszerzi a tanúsítvány.

Mi infrastruktúra srác felbukkan, és felfedezi, hogy a DMZ szerver nem olyan tartományhoz csatlakozik (akár egy kerülete korlátozott bizalommal vagy a intranetes tartomány). Mi közel elpusztít egy 1/2 napján. Ha nem hagyjuk, hogy a hiányzó SSL-tanúsítványt, bog nekünk le, Mi lenne rájöttek erre korábban. Hát igen….

Egy másik nap halad, és a különböző biztonsági bizottságok, az érdekelt felek és a (nem így) minden ártatlan járókelőket egyetértenek abban, hogy ez rendben van, hogy csatlakozzon a DMZ szerver az intranetes tartomány (Ez a POC, végülis, nem a termelés megoldás).

Infrastruktúra srác jön hogy betakar a dolgokat. Ebben az időben sikeresen át a mai vesszőt szeretettel az úgynevezett "a SharePoint konfigurációs varázsló." Van egy kandikál a Központi felügyeletben és a … Yee haw! … DMZ szerver szerepel a farm. Mi egy kicsit közelebbről, és rájönnek, hogy szakítottunk nyitott a Champaign egy atka kicsit korai. WSS szolgáltatások van megragadt-ban egy "kezdő" állapot.

Hosszú történet röviden, kiderül, hogy elfelejtettük az eredeti helyi fiók a személyazonosságát a via központi felügyeleti fiók átállítása az új tartományi fiók. Mi volt, hogy, újra futott a konfigurációs varázsló és voál! Voltunk az üzleti életben.

</vége>

Subscribe to my blog.

Technorati Tags:

5 gondolatok „MOSS kis Farm telepítés és konfiguráció háborús történet

  1. Cimares
    Tökéletesen rendben, hogy egy másik Vlan mint a WFEs alhálózaton az SQL. Sőt ajánlott, Elvégre, mint már említettük, Milyen biztonsági szakértő hagyom, hogy kibír SQL a dmz-ben? Az ajánlás az, hogy az SQL-forgalom nem használja az azonos interfész kártyák, mint a felhasználói forgalmat, Mindazonáltal még ez a kapcsolat lehet további védelem tűzfalon keresztül pas.
    Kiszolgálófarm-környezetben több WFEs kapcsolatos korlátozás vonatkozik, ha használja a Microsoft terheléselosztás, majd ezeket kell az azonos VLan-ban.
    Válasz
  2. Paul

    Szinte lehet verni a SSL igazolás kiadása. Már mindent létre, és készek az SSL web app kiterjeszti (majd a port átirányítás 80 az IIS szolgáltatásban). A rendszergazda volt egy .cer fájl készen áll. De egyik sem a lehetőségek vagy őrült csavarják, alkalmazni az IIS működik–a webhely mindig megjelenít egy üres oldal mint a helycsoport nem létezik.

    Miután sok beverte a fej, megtudtuk, hogy ez okozta a cert kérés, a kiszolgáló nem jön. A rendszergazda egyszerűen megkérdezte a a cert és e-mailben a kulcs. Nincs privát kulcs, az SSL-bújtatást a EHÉ és a böngésző közötti nem kap épített. Mi elpusztít 1/2 napján.

    Válasz
  3. Keresztény ezt írja::
    Nagyon érdekes! Erősen kétséges, hogy nem támogatja a fogadó EHÉ egy VLAN/DMZ és APP/SQL másik VLAN, DMZ-ben.
    A műszaki cikkek támogatott extranetes forgatókönyvek nem volna akármi foglalások, vagy – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, Őszintén remélem az MS baj van.
    A középkornak mit kell köpködni a konfigurációs probléma? Teljesítmény-problémák miatt csak? Vagy csinál ők valójában azt jelenti, hogy a EHÉ barátait kell az azonos VLAN/DMZ? Tenné, hogy több értelme nekem.
    Üdvözlettel,
    Keresztény
    Válasz
  4. Paul Galvin
    Ez egy nagyon jó kérdés.
    Tudjuk nyomon követni nagyon szorosan a MS dokumentációt, így nem tudom elképzelni, hogyan megtagadják támogatásához. Azt mondta, hogy, Nem vagyok egy infrastruktúra-személy, így lehetséges, hogy vagyok visszaél feltételek a hozzászólásomat.
    Ahogy én látom, a helyes megközelítés az, hogy a (legalább) két AD tartományok. Egy belső tartomány, és az egyik a peremhálózaton. A szegélyhálózat Active volna egy "csak korlátozott mértékben bízik" a belső hirdetés kapcsolata.
    But you probably already know all that 🙂
    Alsó sorban, nem tudom. Mi nem kap, vagy közvetlenül a Microsoft keres ez egy útmutatást.
    –Paul G
    Válasz
  5. Tom Dietz
    Ez a konfiguráció támogatja? A SharePoint Konferencia március Seattle-ben, Voltam beszélgetni néhány Microsoft Engineers, és azt mondták, hogy a támogatott konfigurációk nem teszi lehetővé a WFEs, hogy több VLAN-ok vagy útválasztók. Feltételezem, hogy mivel a EHÉ a DMZ-ben, az átkelő valamilyen tűzfal/router, vagy a saját VLAN.
    Tehát alapvetően a DB és a szerverek EHÉ/App van, hogy az azonos VLAN.
    Ez igazán hajthatatlanok voltak, hogy–van valójában egy diát a "földrajzi’ Ha rendelkezünk hozzáféréssel a fedélzetre telepítési munkamenet.
    Olvastam a műszaki cikkek bemutatják, minta konfigurációk, amelyek ellentmondanak a nyilatkozatok, de a MS fiúk alapvetően azt mondta, hogy műszaki hibás.
    Válasz

hagyj válaszüzenetet

Az e-mail címed nem kerül nyilvánosságra. Kötelező kitölteni *