MOSS pertanian kecil instalasi dan konfigurasi kisah perang

Minggu ini, Aku sudah berjuang sedikit dengan tim saya untuk mendapatkan MOSS dipasang di sederhana dua-server peternakan. Setelah melewati itu, Saya memiliki penghargaan yang lebih besar untuk jenis masalah orang laporan di forum MSDN dan di tempat lain.

Konfigurasi akhir farm:

  • SQL/Index/Intranet WFE dalam firewall.
  • WFE di DMZ.
  • Beberapa jenis firewall antara DMZ dan internal server.

Sebelum kita memulai proyek, kita membiarkan klien tahu port yang diperlukan untuk membuka. Selama memberi dan menerima, bolak lebih dari itu, kami tidak pernah secara eksplisit mengatakan dua hal penting:

  1. SSL berarti Anda perlu sertifikat.
  2. DMZ server harus menjadi bagian dari domain.

Hari pertama, Kami muncul untuk menginstal MOSS dan belajar bahwa account domain untuk database dan MOSS tidak menciptakan. Untuk memindahkan hal-hal, kami pergi ke depan dan menginstal semuanya dengan account lokal pada intranet server.

Pada titik ini, kami menemukan kebingungan atas sertifikat SSL dan, Sayangnya, memutuskan untuk memiliki orang infrastruktur kami datang kembali di akhir minggu untuk melanjutkan instalasi DMZ server. Dalam waktu yang berarti, kami solusi arsitek pindah ke depan dengan barang-barang bisnis.

Akhir pekan yang berlalu dan klien memperoleh sertifikat.

Pria infrastruktur kami muncul dan menemukan bahwa DMZ server tidak bergabung dengan domain (domain perimeter dengan kepercayaan terbatas atau intranet domain). Kami membuang hampir 1/2 hari itu. Jika kita tidak membiarkan sertifikat SSL hilang rawa kami, kami akan telah menemukan ini sebelumnya. Oh, well….

Lain hari berlalu dan berbagai Komite keamanan, pihak yang berminat dan (tidak begitu) para pengamat tidak bersalah semua setuju bahwa itu adalah OK untuk bergabung dengan server DMZ dengan intranet domain (ini adalah POC, Setidaknya, tidak solusi produksi).

Infrastruktur pria masuk untuk membungkus hal. Kali ini kami berhasil melewati tantangan zaman modern dikenal sebagai "Wizard konfigurasi SharePoint." Kami memiliki mengintip di pusat administrasi dan … Yee haw! … DMZ server terdaftar di peternakan. Kita melihat lebih dekat dan menyadari kita melanggar terbuka Champaign sedikit tungau awal. WSS Layanan terjebak dalam "mulai" status.

Cerita panjang pendek, ternyata bahwa kita lupa untuk mengubah identitas account layanan melalui administrasi pusat dari akun lokal asli ke account domain baru. Kami melakukan itu, kembali berlari wizard konfigurasi dan voila! Kami berada di bisnis.

</akhir>

Berlangganan ke blog saya.

Technorati Tags:

5 pemikiran tentang “MOSS pertanian kecil instalasi dan konfigurasi kisah perang

  1. Cimares
    Hal ini sangat ok untuk memiliki SQL Anda dalam Vlan/subnet berbeda daripada Anda WFEs. Bahkan dianjurkan, setelah semua seperti yang disebutkan sebelumnya, pakar keamanan apa yang akan membiarkan Anda tetap SQL di dmz? Rekomendasi adalah bahwa lalu lintas SQL Anda tidak menggunakan kartu antarmuka yang sama sebagai lalu lintas pengguna, Namun bahkan koneksi ini mungkin pas melalui firewall untuk perlindungan tambahan.
    Pembatasan terkait dengan beberapa WFEs di lingkungan pertanian berkaitan jika Anda menggunakan Microsoft load balancing, kemudian ini semua harus di VLan sama.
    Balasan
  2. Paul

    Aku hampir bisa mengalahkan masalah Anda sertifikat SSL. Kami memiliki segala sesuatu diciptakan dan siap untuk memperluas aplikasi web dengan SSL (kemudian mengarahkan port 80 di IIS). Administrator memiliki file .cer siap untuk pergi. Tetapi tidak ada opsi atau gila contortions menerapkannya dalam IIS akan bekerja–situs selalu menampilkan halaman kosong seperti koleksi situs tidak ada.

    Setelah banyak membenturkan kepala, Kami belajar ini disebabkan oleh permintaan cert tidak datang dari server. Administrator hanya bertanya untuk cert dan adalah diemail kunci dihasilkan. Dengan tidak ada tombol pribadi, terowongan SSL tidak mendapatkan dibangun antara WFE dan browser. Kami membuang 1/2 hari itu.

    Balasan
  3. Kristen menulis:
    Sangat menarik! Aku sangat meragukan bahwa seharusnya tidak didukung untuk host WFE dalam satu VLAN DMZ dan APP/SQL dalam VLAN/DMZ lain.
    TechNet artikel tentang skenario Extranet didukung tidak memiliki keberatan apapun, baik – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, Jadi saya sangat berharap MS keliru.
    Dapatkah Anda menjelaskan apa yang harus menjadi masalah dengan meludah konfigurasi? Kinerja alasan hanya? Atau apakah mereka sebenarnya berarti WFE's harus sama VLAN/DMZ? Itu akan membuat lebih masuk akal untuk saya.
    Dengan Hormat,
    Kristen
    Balasan
  4. Paul Galvin
    Itu adalah pertanyaan yang sangat bagus.
    Kami melacak sangat erat ke dokumentasi MS, Jadi aku tidak bisa membayangkan bagaimana mereka akan menolak untuk mendukung itu. Mengatakan bahwa, Aku bukan orang infrastruktur, Jadi, mungkin bahwa aku 'm menyalahgunakan istilah dalam posting saya.
    Seperti yang saya mengerti, pendekatan yang benar akan memiliki (setidaknya) dua domain iklan. Satu domain internal dan satu di perimeter jaringan. Perimeter jaringan iklan akan memiliki "terbatas kepercayaan" hubungan dengan iklan internal.
    But you probably already know all that 🙂
    Garis bawah, Saya tidak tahu. Kami tidak menerima atau langsung ke Microsoft mencari bimbingan satu ini.
    –Paul G
    Balasan
  5. Tom Dietz
    Konfigurasi ini didukung? Pada konferensi SharePoint di Seattle Maret, Aku sedang mengobrol dengan beberapa Engineers Microsoft dan mereka mengatakan bahwa konfigurasi didukung tidak memungkinkan WFEs untuk menyeberangi VLAN atau router. Saya berasumsi bahwa karena WFE di DMZ, itu adalah menyeberangi semacam firewall router atau di VLAN sendiri.
    Jadi pada dasarnya DB dan WFE/aplikasi server harus semua VLAN sama.
    Mereka adalah benar-benar bersikeras tentang ini–Hal ini benar-benar slide dalam ' Geographical’ penggunaan sesi jika Anda memiliki akses ke dek.
    Aku sudah membaca TechNet artikel yang menggambarkan contoh konfigurasi yang bertentangan dengan pernyataan mereka, tetapi orang-orang MS pada dasarnya mengatakan TechNet salah.
    Balasan

Tinggalkan balasan

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai *