모스 소규모 팜 설치 및 구성 전쟁 이야기

이번 주, 난 간단한 2 서버 팜에 설치 하는 이끼를 내 팀과 조금 싸 워 왔어. 그것을 통해 간 데, MSDN 포럼에 그리고 다른 곳에서 문제가 사람들이 보고서의 종류에 대 한 큰 감사를가지고.

최종 팜 구성:

  • 방화벽 내에 SQL/인덱스/인트라넷 WFE.
  • WFE DMZ에.
  • DMZ와 내부 서버 간의 방화벽의 일종.

우리는 프로젝트를 시작 하기 전에, 우리는 클라이언트 포트를 열어야 하는 데 필요한 게. 주고받는 동안, 그 동안 이리저리, 우리는 결코 명시적으로 중요 한 두 가지를 말했다:

  1. SSL은 인증서가 필요한 것을 의미 한다.
  2. DMZ 서버는 도메인의 일부 여야 합니다..

하루에 한, 우리 MOSS를 설치 하 고 데이터베이스와 이끼에 대 한 도메인 계정을 하지 않았다면 만들어진 배웠습니다.. 것 들을 따라 이동 하, 우리는 서 서 하 고 인트라넷 서버에 로컬 계정이 있는 모든 것을 설치.

이 시점에서, 우리는 SSL 인증서에 혼란을 발견 하 고, 슬프게도, 우리의 인프라 사람이 다시와 서 나중에 그 주 계속 DMZ 서버를 설치 하기로. 평균시에서, 우리 솔루션 건축가 비즈니스 물건 앞으로 이동.

주말가 및 클라이언트 인증서를 가져옵니다..

우리의 인프라가 나타나고 DMZ 서버를 도메인에 가입 되지 않은 발견 (제한 된 신뢰 경계 도메인 또는 인트라넷 도메인). 우리 거의 낭비를 1/2 그 날. 만약 우리가 우리를 수렁 누락 된 SSL 인증서 하지 않았다면, 우리는 발견이 이전. 오 오 잘….

또 다른 하루 패스 및 다양 한 보안 위원회, 관심을 당사자와 (그리) 무고 한 구경꾼 모든 동의 그것 DMZ 서버는 인트라넷 도메인 가입 확인 (이것은 한 POC, 어쨌든, 아니 생산 솔루션).

인프라 남자에 관해서 것 들을 마무리. 우리가 성공적으로 통과 하는이 시간에 다 정하게 "SharePoint 구성 마법사로 알려진 현대 결투." 우리는 중앙 관리에 있는 엿 고 … 유 호! … DMZ 서버 농장에 나열 됩니다.. 우리 조금 가까이 그리고 우리 파산 오픈 샴페인 마이트 조금 일찍 실현. WSS 서비스에 붙어 있는 "시작" 상태.

길고도 짧은 이야기, 그것은 우리가 원래 로컬 계정에서 새 도메인 계정을 중앙 관리를 통해 서비스 계정의 id를 변경 하려면 깜 빡 밝혀. 우리는 그랬다, 구성 마법사 re-ran 봐라! 우리는 사업에 있었다.

</끝>

내 블로그를 구독.

테크노 태그:

5 "에 대한 생각모스 소규모 팜 설치 및 구성 전쟁 이야기

  1. Cimares
    그것은 완벽 하 게 확인을 통해 보다 다른 Vlan 또는 서브넷에 있는 당신의 SQL. 사실 권장, 모든 앞에서 언급 한 후, 어떤 보안 전문가 dmz에 SQL을 충실 하면 거 야? 추천은 SQL 트래픽 사용자 트래픽 같은 인터페이스 카드를 사용 하지 않습니다., 그러나 심지어이 연결 될 수 있습니다 추가 보호를 위해 방화벽을 통해 파.
    Microsoft 로드 균형 조정을 사용 하는 경우 팜 환경에서 여러 Wfe에 관련 된 제한에 관한, 다음이 모두 동일한 VLan에 수 있어야 합니다..
    회신
  2. Paul

    난 거의 SSL 인증서 문제를 이길 수 있습니다.. 우리가 만든 모든 것을 했다 하 고 SSL로 웹 응용 프로그램 확장을 준비 했다 (포트 리디렉션 80 IIS에서). 관리자는.cer 파일 갈 준비를 했다. IIS에서 적용 하는 옵션 또는 미친 contortions 작동 하지만–사이트는 사이트 모음을 존재 하지 않는 것 처럼 빈 페이지에 항상 표시 됩니다..

    머리를 두드리는 많은 후, 우리가 배운이 아니라 해당 서버에서 들어오는 인증서 요청에 의해 발생 했다. 관리자가 단순히 질문 인증서에 대 한 결과 키를 이메일로 했다. 개인 키가 없는, WFE와 브라우저 사이의 SSL 터널 건설 하지 수 없습니다.. 우리가 낭비 1/2 그 날.

    회신
  3. 기독교 쓴:
    아주 재미 있는! 나는 매우 의심이 한 VLAN/DMZ 및 애플 리 케이 션/SQL 다른 VLAN/DMZ에 WFE를 지원 해서는 안.
    에 대 한 TechNet 기사 지원 되는 익스트라넷 시나리오 어떤 예약을 하지 않습니다., 어느 – 하지만 TechNet은 올바르지 않을 수 있습니다. 🙂 어느 클라이언트도 SQL Server가 WFE와 동일한 VLAN/DMZ에 배치되도록 허용하지 않습니다., MS를가지고 잘못 된 그래서 내가 진심으 희망.
    당신은 어떤 구성을 침으로 문제가 되어야에 정교한 수 있습니다? 성능상의 이유로? 아니면 그들은 실제로 의미 하는 WFE의 동일한 VLAN/DMZ에 있어야 한다? 나에 게 더 많은 일리가 있을 것입니다..
    진심으,
    기독교
    회신
  4. 폴 Galvin
    그것은 아주 좋은 질문 이다.
    우리는 매우 밀접 하 게 MS 문서를 추적 하, 그래서 어떻게 그들이 그것을 지원 하기 위해 거부할 것 이라고 상상할 수 없다. 즉, 인프라 사람이 아니에요, 그래서 난 내 게시물에 용어를 학대 오전 가능.
    그것을 이해, 올바른 접근 하는 (적어도) 두 광고 도메인. 한 내부 도메인 및 주변 네트워크에 하나. 경계 네트워크의 광고는 "제한 된 신뢰 했" 내부 광고와의 관계.
    하지만 당신은 아마 이미 모든 것을 알고 있을 것입니다 🙂
    히 프 라인, 몰라요. 우리가 수신 되지 않았거나이에 대 한 지침은 Microsoft에 직접 보고.
    –폴 G
    회신
  5. 톰 Dietz
    이 구성은 지원 됩니다? 3 월에 시애틀에 있는 SharePoint 컨퍼런스에서, 일부 Microsoft 엔지니어와 채팅을 했다 그리고 그들은 지원 되는 구성 Vlan 또는 라우터를 통해 허용 하지 않습니다.. 이후는 WFE DMZ에는 그 가정, 그것은 일종의 방화벽/라우터를 건너 또는 자체 VLAN에.
    그래서 기본적으로 DB 및 WFE/애플 리 케이 션 서버 모두 동일한 VLAN에 있이 필요가.
    그들은 이것에 대해 정말 단 호 했다–그것은 실제로 슬라이드는 ' Geographical’ 갑판에 접근 한다면 배포 세션.
    그들의 문을 제기 하는 샘플 구성을 보여 주는 TechNet 기사 읽었습니다., 하지만 MS 들 기본적으로 TechNet 잘못 이다.
    회신

응답을 남기다

귀하의 이메일 주소는 공개되지 않습니다. 필요 입력 사항은 표시되어 있습니다 *