MUSCHIO piccola fattoria installazione e storia di configurazione di guerra

Questa settimana, Ho lottato un po' con la mia squadra per ottenere installato in una semplice due server farm MOSS. Dopo aver passato attraverso di essa, Ho un maggiore apprezzamento per i tipi di relazione di persone problemi sul forum MSDN e altrove.

La configurazione finale farm:

  • WFE SQL/indice/Intranet all'interno del firewall.
  • WFE nella DMZ.
  • Una sorta di firewall tra la DMZ e server interno.

Prima abbiamo iniziato il progetto, Lasciamo il client conosce quali porte aveva bisogno di essere aperta. Durante il dare e avere, avanti e indietro, oltre che, non abbiamo mai esplicitamente detto due cose importanti:

  1. Significa che è necessario un certificato SSL.
  2. Il server DMZ deve essere parte di un dominio.

Primo giorno, Siamo arrivati a installare MOSS e imparato che non erano stati creati gli account di dominio per database e muschio. Spostare le cose, Siamo andati avanti e tutto installato con un account locale sul server intranet.

A questo punto, abbiamo scoperto la confusione sopra il certificato SSL e, Purtroppo, ha deciso di avere il nostro ragazzo di infrastruttura di tornare più tardi quella settimana per continuare l'installazione del server DMZ. Nel frattempo, noi architetti soluzione spostato in avanti con la roba di business.

Passa un week-end e il client ottiene il certificato.

Il nostro ragazzo infrastruttura presenta e scopre che il server DMZ non appartenente a qualsiasi dominio (un dominio di perimetro con fiducia limitata o il dominio intranet). Abbiamo perso quasi un 1/2 giorno su quello. Se non avessimo lasciamo noi impantanarsi il certificato SSL mancante, avremmo scoperto questo all'inizio. Oh, va bene….

Un altro giorno passa e i vari comitati di sicurezza, le parti interessate e (non è così) passanti innocenti tutti d'accordo che è OK per aggiungere il server DMZ con il dominio intranet (Questo è un POC, Dopotutto, non una soluzione di produzione).

Arriva tipo di infrastruttura per concludere. Questa volta abbiamo passare con successo attraverso l'il guanto di sfida di moderno-giorno affettuosamente soprannominata la "Configurazione guidata SharePoint." Abbiamo una sbirciatina in Amministrazione centrale e … Yee haw! … DMZ server è elencato nella farm. Guardiamo un po' più vicino e realizzare che abbiamo rotto aperto Champaign un po' acaro presto. Servizi di WSS è bloccato in un "a partire" status.

Lunga storia breve, si scopre che abbiamo dimenticato di modificare l'identità dell'account del servizio tramite Amministrazione centrale dall'account locale originale per il nuovo account di dominio. L'abbiamo fatto, ri-correva la configurazione guidata e voilà! Siamo stati in affari.

</fine>

Iscriviti al mio blog.

5 pensieri su "MUSCHIO piccola fattoria installazione e storia di configurazione di guerra

  1. Cimares
    È perfettamente ok per avere il vostro SQL in una Vlan/subnet diversa rispetto tuo Web front-end. Infatti è consigliabile, Dopo tutto, come accennato prima, quale esperto di sicurezza sta per farvi attaccare SQL nella dmz? La raccomandazione è che il traffico SQL non utilizza le stesse schede di interfaccia come il traffico degli utenti, Tuttavia, anche questa connessione può passo attraverso un firewall per una protezione aggiuntiva.
    La restrizione relazionata al WFEs multiple in un ambiente farm si riferisce se si utilizza il bilanciamento del carico di Microsoft, quindi questi devono essere tutti nella stessa VLan.
    Risposta
  2. Paul

    Quasi riesco a battere il vostro problema di certificato SSL. Abbiamo avuto tutto il creato ed erano pronti ad estendere l'applicazione web con SSL (quindi reindirizzare la porta 80 in IIS). L'amministratore era un file con estensione cer pronto ad andare. Ma nessuna delle opzioni o pazzi contorsioni per applicarlo in IIS funzionerà–il sito viene visualizzato sempre una pagina vuota come non esiste la raccolta siti.

    Dopo tanto sbattere delle teste, Abbiamo imparato che questo è stato causato dalla richiesta cert non provenienti da tale server. L'amministratore semplicemente ha chiesto per un cert ed è stata inviata la chiave risultante. Con nessuna chiave privata, il tunnel SSL potrebbe non avere costruito tra il WFE e il browser. Abbiamo sprecato 1/2 giorno su quello.

    Risposta
  3. Christian ha scritto:
    Molto interessante! Dubito fortemente che non dovrebbe essere supportato per ospitare il WFE in una VLAN/DMZ e APP/SQL in un altro VLAN/DMZ.
    Gli articoli di TechNet sulla scenari supportati Extranet non ha alcuna riserva, entrambi – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, quindi spero sinceramente che il MS ho sbagliato.
    Potete elaborare su quello che dovrebbe essere il problema con la configurazione di sputare? Motivi di prestazioni solo? O in realtà significano che il Di WFE dovrebbe essere sulla stessa VLAN/DMZ? Che avrebbe più senso per me.
    Sinceramente,
    Cristiana
    Risposta
  4. Paul Galvin
    Questa è una domanda molto buona.
    Noi stiamo di rilevamento molto molto attentamente la documentazione di MS, così non riesco a immaginare come sarebbe rifiutano di sostenerlo. Che ha detto, Io non sono una persona di infrastruttura, quindi è possibile che io sto violando i termini nel mio post.
    Se ho capito bene, l'approccio corretto è quello di avere (almeno) due domini di AD. Un dominio interno e uno nella rete perimetrale. La rete perimetrale AD avrebbe una "limitata fiducia" rapporto con l'annuncio di interno.
    But you probably already know all that 🙂
    Linea di fondo, Non lo so. Non abbiamo ricevere o cercare direttamente a Microsoft una guida su questo.
    –Paul G
    Risposta
  5. Tom Dietz
    Questa configurazione è supportata? Alla conferenza di SharePoint a Seattle nel mese di marzo, Stavo chiacchierando con alcuni Engineers Microsoft e mi hanno detto che le configurazioni supportate non consentono WFEs attraversare VLAN o router. Presumo che poiché il WFE è in una DMZ, esso sta attraversando una sorta di router/firewall o è nella propria VLAN.
    Quindi, fondamentalmente il DB server WFE/App e tutti devono essere sulla stessa VLAN.
    Erano davvero irremovibile su questo–è in realtà una diapositiva ' geografica’ sessione di distribuzione se si dispone di accesso al ponte.
    Ho letto gli articoli di TechNet che illustrano le configurazioni di campione che contraddicono le loro dichiarazioni, ma i ragazzi di MS ha detto sostanzialmente che TechNet è sbagliato.
    Risposta

Lasciare una risposta

L'indirizzo email non verrà pubblicato. i campi richiesti sono contrassegnati *