MOSS の小規模ファームをインストールおよび構成の戦争の話

今週, 私は単純な 2 つのサーバー ファームにインストールされているコケを取得する私のチームは少し苦労しました. それをを経てください。, 私は問題の人々 のレポートのための大きな感謝の MSDN フォーラムおよび他の場所があります。.

最終的なファーム構成:

  • ファイアウォールの内側の SQL/インデックス/イントラネット WFE.
  • WFE、DMZ 内.
  • いくつか、DMZ と内部のサーバー間にファイアウォールの種類.

私たちのプロジェクトを開始する前に, どのポートを開く必要が知っているクライアントにさせて. ギブアンド テイクの中に, 前後で, 我々 は決して明示的に 2 つの重要なものです。:

  1. SSL 証明書が必要なことを意味します.
  2. DMZ サーバーがドメインの一部にする必要があります。.

1 日目, 我々 は MOSS をインストールする示し、データベースとモスのドメイン アカウントが作成されていなかったことを学んだ. に沿って移動することに, 我々 は先に行って、イントラネット サーバー上のローカル アカウントにすべてをインストール.

この時点で, 我々 は SSL 証明書に、混乱を発見したと, 悲しいことに, DMZ サーバーのインストールを続行する、1 週間戻ってくる私たちインフラストラクチャ男を持っていることを決めた. 平均時間で, ソリューション ・ アーキテクト先のビジネスのものに引っ越しました.

週末が経つし、クライアント証明書を取得します。.

私たちのインフラストラクチャの男が現れるし、DMZ サーバーはすべてのドメインに参加していない発見 (限定的な信頼境界ドメインまたはイントラネット ドメインのいずれか). 我々 は無駄に近く、 1/2 その日. SSL 証明書が見つからない私たちを取れなくさせていなかった場合, 我々 は既にこれを発見しただろう. まあ….

別の 1 日券や各種セキュリティ委員会, 利害関係者と (そうではありません。) すべての無実の見物人はイントラネット ドメインで DMZ サーバーを参加 OK だと同意します。 (これは、POC です。, 結局その程度です, 生産ソリューションではないです。).

インフラストラクチャ男は物事をラップする、します。. 今回は我々 が正常に通過、「SharePoint 構成ウィザードとして愛情を込めて知られている現代日ガントレット。" サーバーの全体管理あると … イーサンザシ! … DMZ サーバーは、ファームに記載されて. 私たちは、少し詳しく見てし、我々 こじ開けたシャンペーン ダニ少し早くを実現. WSS サービスがで立ち往生している、"開始" ステータス.

長い話を短く, それは元のローカル アカウントから新しいドメイン アカウントにサーバーの全体管理でサービス アカウントの id を変更するを忘れるということが判明します。. それをやった, 構成ウィザードを再実行し、出来上がり! 我々 は、ビジネス.

</終了>

私のブログを購読します。.

Technorati のタグ:

5 「上の思考MOSS の小規模ファームをインストールおよび構成の戦争の話

  1. Cimares
    SQL、Wfe とは異なる Vlan/サブネットが完全に ok です。. 実際にはお勧め, 前に述べたようにすべての後, どのようなセキュリティの専門家は、dmz 内の SQL を固執することができますつもりです。? SQL トラフィックがユーザー トラフィックとして同じインターフェイス カードを使用しないお勧め, ただしもこの接続を保護するためのファイアウォールを介して pas 可能性があります.
    ファーム環境で複数台の Wfe に関連する制約は、Microsoft 負荷分散を使用する場合に関連しています。, これらすべてが同じ VLan 内.
  2. ポール

    私はほとんどあなたの SSL 証明書の問題を打つことができます。. 我々 は作成すべてを持っていたおよび SSL で web アプリケーションを拡張する準備ができていた (リダイレクト ポート 80 IIS で). 管理者は .cer ファイルに行く準備ができていた. IIS でそれを適用するオプション、またはクレイジーこじつけのどれも動作しませんが、–サイトは、常にサイト コレクションが存在しないような空白のページを表示します。.

    多くの頭の強打後, これは、そのサーバーから来ていない証明書要求によって引き起こされたを学びました. 管理者だけ 質問 cert の結果のキーを送られたし、. 秘密キーがないと, WFE とブラウザー間 SSL トンネルにビルドされない可能性があります。. 我々 は無駄に 1/2 その日.

  3. キリスト教が書いた:
    非常に興味深い! 私はそれが 1 つの VLAN/DMZ と別の VLAN/DMZ 内のアプリ/SQL の WFE をホストするサポートされるべきではない疑い.
    については、TechNet の記事 サポートされるエクストラネット シナリオ すべての予約を持っていません。, いずれか – しかし、TechNet は間違っている可能性があります 🙂 私たちのクライアントは、SQL Server が WFE と同じ VLAN/DMZ に配置されることを許可しませんでした。, 私は心から願っていますので、MS 間違ってそれを得た.
    吐き、構成の問題について詳しく説明することができます。? パフォーマンス上の理由のみ? または彼らは実際にことを意味します WFE 同じ VLAN/DMZ にする必要があります。? かなっている以上私に.
    心から,
    キリスト教
  4. ポール Galvin
    非常に良い質問ですね.
    MS は、マニュアルを非常に密接に追跡します。, だから私はどのように彼らはそれをサポートする断る想像することはできません。. つまり, 私はインフラストラクチャ人ではないです。, だから、私の記事で言葉を乱用していることは.
    それを理解して, 適切なアプローチとしています (少なくとも) 2 つの AD ドメイン. 内部ドメインと境界ネットワーク内の 1 つ. 境界領域のネットワークの広告は、"限られた信頼だろう" 内部の広告との関係.
    しかし、あなたはおそらくそれをすべてすでに知っています 🙂
    一番下の行, 知りません. 我々 受信やこの 1 つについてマイクロソフトに直接見ていません。.
    –ポール G
  5. トム ディーツ
    この構成がサポートされています? 3 月にシアトルで SharePoint 会議で, いくつかのマイクロソフトのエンジニアと話していたし、彼らはサポートされている構成は、Wfe Vlan またはルーターを越えることを許可しないことを言った. 私は WFE は DMZ を想定します。, ファイアウォール/ルータのいくつかの並べ替えを交差させているか、独自の VLAN は、.
    ので、基本的に、DB と WFE アプリケーション サーバーが同一の VLAN にする必要があります。.
    彼らは本当にこのことについて断固としました。–それは実際にスライドを、' 地理’ 導入セッションのデッキへのアクセスがある場合.
    彼らの声明を否定するサンプル構成を示す TechNet の記事を読んだ, しかし、MS みんなは基本的に TechNet が間違っていると述べた.

メッセージを残してください

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *