SAMANŲ mažuose ūkiuose diegimo ir konfigūravimo karo istorija

Šią savaitę, Aš kovojo šiek tiek su mano komanda gauti MOSS įrengti paprastas dviejų serverių. Paėjus per ji, Turiu didesnę dėkingi už problemų žmonės ataskaitą rūšių MSDN forumuose ir kitur.

Galutinis ūkio konfigūracijos:

  • SQL/Index/intraneto WFE viduje ugniasienę.
  • WFE, DMZ.
  • Tam tikros rūšies užkardos DMZ ir vidinė serverio.

Prieš pradėjome projektą, mes tegul žino, kuriems uostams reikia atidaryti kliento. Metu duoti ir priimti, pirmyn ir atgal per tą, Mes niekada aiškiai pasakė du svarbūs dalykai:

  1. SSL tai jums reikia sertifikato.
  2. DMZ serveris turi būti domeno dalis.

Pirmos dienos, Mes įdiegti MOSS parodė ir sužinojau, kad nebuvo sukurta domeno abonentų duomenų bazės ir samanų. Pereiti dalykų, Mes nuvyko į priekį ir įdiegti viską su vietos į intraneto serverio.

Šiuo metu, mes pamatėme painiavos per SSL pažymėjimą ir, Deja, nusprendėme, kad mūsų infrastruktūros vaikinas grįžti vėliau tą savaitę tęsti diegimą DMZ serveris. Tuo tarpu, Mes tirpalo architektų persikėlė į priekį su verslo daiktai.

Savaitgalis eina, ir klientas gauna pa.

Mūsų infrastruktūros vaikinas pasirodo ir atranda, kad DMZ serveris nėra prijungta prie bet kurio domeno (perimetro domeno su ribotą pasitikėjimą arba intraneto domeno). Mes iššvaistytos beveik per 1/2 dieną, kad. Jei mes ne leisti įklimpti mums trūksta SSL sertifikatas, Mes būtų atrastas tai anksčiau. Oh well….

Kitą dieną eina ir įvairių saugumo komitetų, suinteresuotųjų šalių ir (ne taip) nekaltų praeivių visi sutinka, kad ji yra OK prisijungti su intraneto domeno DMZ serveris (tai yra POC, vis dėlto, ne gamybos sprendimas).

Infrastruktūros vaikinas ateina į susivynioti dalykų. Šiuo metu mes sėkmingai pereiti į šiuolaikinės pirštinė meile vadinamas "SharePoint konfigūracijos vedlys." Mes turime žvilgtelėti centriniame administravime ir … Yee haw! … DMZ serverio yra nurodytas ūkio. Mes, šiek tiek arčiau ir suprantame, mes sumušė atidaryti Champaign šiek tiek erkė anksti. WSS paslaugų įstrigo į "pradeda" statusas.

Trumpai tariant, pasirodo, kad mes pamiršo pakeisti tarnybos abonementą per centrinė administracija tapatybė iš pirminės vietos paskyros į naują domeno sąskaitą. Mes padarėme, kad, vėl vyko konfigūravimo vedlį ir voila! Mes į verslo.

</pabaigos>

Prenumeruoti savo dienoraštį.

5 mintys apie "SAMANŲ mažuose ūkiuose diegimo ir konfigūravimo karo istorija

  1. Cimares
    Tai yra visiškai gerai, kad jūsų SQL kitame Vlan/potinklyje kaip savo WFEs. Iš tikrųjų yra rekomenduojama, Galų gale, kaip jau minėta, kokios saugumo ekspertas bus jums SQL prikaišioti dmz? Rekomenduojama kad jūsų SQL eismo nenaudoja tos pačios sąsajos kortelės vartotojo eismo, Tačiau net tai gali pas per užkardą papildoma apsauga.
    Apribojimas susijęs su keliais WFEs ūkio aplinkoje yra susijęs su jei jūs naudojate Microsoft apkrovos balansavimo, tada jie turi veikti pačiu VLan.
    Atsakyti
  2. Paul

    Aš beveik pabūti SSL sertifikato problemą. Mes turėjo viską sukūrė ir buvo pasirengęs išplėsti web app su SSL (tada nukreipimo uosto 80 IIS). Administratorius turėjo .cer failas pasiruošę eiti. Bet nė vienas iš variantų ar crazy Jadvyga Ciurlionyte jį taikyti IIS veiks–svetainėje visada rodo tuščią puslapį kaip svetainių rinkinio nėra.

    Po daug Banking galvos, mes sužinojome, tai sukėlė ne ateina iš to serverio cert prašymą. Administratorius tiesiog paprašė už a cert ir elektroniniu paštu gautą raktą. Su nėra privataus rakto, SSL tunelį ne gauti pastatytas tarp į WFE ir naršyklės. Mes iššvaistytos 1/2 dieną, kad.

    Atsakyti
  3. Christian rašė:
    Labai įdomus! Aš labai abejoju, kad jis neturėtų būti remiama surengti WFE vieną VLAN/DMZ ir APP/SQL, kita VLAN/DMZ.
    TechNet straipsnių apie palaikomos ekstraneto scenarijai neturi jokių išlygų, bet – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, todėl aš nuoširdžiai tikiuosi, kad valstybės narės gavo ji neteisinga.
    Ar galite parengti apie ką turėtų būti problema su spjaudytis konfigūraciją? Funkcionalumo tik? Ar jie iš tikrųjų reiškia, kad WFE's turėtų būti paties VLAN/DMZ? Tai padaryti daugiau prasmės man.
    Pagarbiai,
    Krikščionių
    Atsakyti
  4. Paul Galvin
    Tai labai geras klausimas.
    Mes labai atidžiai sekate MS dokumentus, todėl aš negaliu įsivaizduoti, kaip jie turėtų atsisakyti ją paremti. Sakė, kad, I 'm not asmeniui infrastruktūros, Todėl tikėtina, kad aš esu piktnaudžiauja sąlygas mano postą.
    Kaip suprantu, teisingas požiūris, kad (ne mažiau kaip) du skelbimo domenų. Vieno vidaus domeno ir vieną Perimetro tinklo. Perimetro tinklo skelbimų turite a "riboto pasitikėjimo" ryšys su vidaus AD.
    But you probably already know all that 🙂
    Bottom line, nežinau. Mes ne gauti arba tiesiai į Microsoft orientavimo šį vieną ieškoti.
    –Ipolitas Gudavičius
    Atsakyti
  5. Tom Dietz
    Nustaèius palaiko? Į SharePoint konferencija Sietle kovo mėnesį, Buvau kalbėtis su kai kurių Microsoft Engineers ir pasakė kad palaikomų konfigūracijų neleidžia WFEs kirsti VLAN ir maršrutizatoriai. Manau, kad nes į WFE, DMZ, jis kerta tam tikros rūšies firewall/router arba yra jo paties VLAN.
    Taigi, iš esmės DB ir WFE/App serveriai turi būti ant paties VLAN.
    Jie buvo tikrai Bezkompromisowy apie tai–tai iš tikrųjų skaidrę į "geografinė’ diegimo sesijos jei turite prieigą prie denio.
    Aš perskaičiau TechNet straipsnius, kurie iliustruoja mėginio konfigūracijų, kurios prieštarauja jų pareiškimai, bet MS vaikinai iš esmės sakė, kad TechNet negerai.
    Atsakyti

palik atsakymą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *