SŪNU mazo saimniecību instalācijas un konfigurācijas kara stāsts

Šonedēļ, Esmu cīnījās mazliet ar mana komanda, lai iegūtu MOSS uzstādītas vienkāršas divu serveru fermas. Kam gājusi cauri, Man lielāku atzinību par problēmām cilvēki ziņojumu veidiem MSDN forumos un citur.

Gala fermas konfigurāciju:

  • SQL/Index/Intranet WFE ugunsmūra iekšpusē.
  • WFE DMZ.
  • Kāda veida ugunsmūri starp DMZ un iekšēja servera.

Pirms mēs sākām projektu, mēs let zināt, kurām ostām nepieciešams atvērt klienta. Laikā dod un ņem, turp un atpakaļ pār to, mēs nekad nav skaidri pateikusi, ka divas svarīgas lietas:

  1. SSL nozīmē, ka sertifikāts ir nepieciešams.
  2. DMZ serverim jābūt domēna daļa.

Viena diena, mums parādīja pat jāinstalē MOSS un iemācījušies nebija izveidots domēna kontu datu bāzi un sūnas. Lai pārvietotu lietas, mēs devāmies uz priekšu un instalēt visu ar lokālo kontu iekštīkla serverī.

Šajā brīdī, mēs atklājām apjukums pār SSL sertifikāts un, Diemžēl, nolēma, ka mūsu infrastruktūras puisis atgriezties vēlāk šajā nedēļā, lai turpinātu instalēt servera DMZ. Tajā pašā laikā, mēs risinājumu arhitektiem pārcēlās uz priekšu ar uzņēmējdarbības stuff.

Nedēļas nogale iet un klients iegūst sertifikātu.

Mūsu infrastruktūra puisis rāda uz augšu, un atklāj, ka DMZ serveris nav savienota, jebkura domēna (perimetra domēnu, kam ir ierobežotas uzticamības vai iekštīkla domēna). Mēs gandrīz netērēja 1/2 dienā, kas. Ja mēs nebūtu let mums būtiski palēninās trūkst SSL sertifikāts, mēs būtu atklājuši šo agrāk. Oh labi….

Citu dienu caurlaides un dažādas drošības komitejas, ieinteresētajām pusēm un (ne tik) nevainīgus garāmgājējus, visus vienoties, ka tas ir OK, lai pievienotos DMZ serveris ar iekštīkla domēna nosaukumu (tas ir POC, visbeidzot, nav ražošanas risinājumu).

Lai satīt lietas nāk infrastruktūras puisis. Šoreiz mēs veiksmīgi iziet cauri mūsdienu izaicinājumu affectionately pazīstama kā "SharePoint konfigurācijas vednis." Mums ir palūrēt centrālajā administrācijā un … Yee haw! … DMZ server ir iekļauta saimniecības. Mēs izskatās mazliet tuvāk un saprotam, ka mēs lauza atvērtā ērce mazliet Champaign agri. WSS pakalpojumu ir iestrēgusi "sākuma" statuss.

Garš stāsts īss, izrādās, ka mēs aizmirsām mainīt pakalpojuma kontu, izmantojot centrālās administrēšanas identitāti no sākotnējo lokālā konta jauno domēna kontam. Mēs to izdarījām, atkārtoti skrēja konfigurācijas vednis un voila! Mēs bijām uzņēmējdarbībā.

</beigās>

Abonēt manu blogu.

Technorati Tags: Technorati Tags:

5 domas par "SŪNU mazo saimniecību instalācijas un konfigurācijas kara stāsts

  1. Cimares
    Tas ir pilnīgi ok, lai ir jūsu SQL atšķirīgā apakštīklā/Vlan nekā jūsu WFEs. Patiesībā tas ir ieteicams, galu galā, kā jau tika minēts iepriekš, kādi drošības eksperts gatavojas ļaut jums stick SQL dmz? Ieteikums ir, ka trafika SQL neizmanto pašu interfeisa kartes kā lietotāja satiksmes, Tomēr pat šajā sakarā var pas caur ugunsmūri, lai sniegtu papildu drošību.
    Ierobežojums saistībā ar vairāku WFEs fermas vidē ir saistīts, ja jūs izmantojat Microsoft slodzes līdzsvarošanas, pēc tam tie visi jābūt pašu VLan.
    Atbilde
  2. Paul

    Es varu gandrīz beat SSL sertifikātu izdošanas. Mums bija viss veidots un bijām gatavi paplašināt web app ar SSL (pēc tam novirzīt port 80 IIS). Administrators bija gatava iet. cer failu. Bet neviena no opcijām vai traks contortions piemērot to IIS strādās–vietā vienmēr parāda tukšu lapu, piemēram, vietņu kolekcija nepastāv.

    Pēc daudz banging galvu, mēs esam iemācījušies, ka tas izraisīja sertifikāta pieprasījuma nav nāk no šī servera. Administrators vienkārši jautāja par cert un e-pastu iegūtais atslēga. Nav privātas atslēgas ar, SSL tuneli varētu uzbūvēta starp WFE un pārlūka. Mēs nelietderīgi 1/2 dienā, kas.

    Atbilde
  3. Kristians rakstīja:
    Ļoti interesanti! Es ļoti šaubu, ka to nevajadzētu atbalstīt uzņemt WFE vienā VLAN/DMZ un APP/SQL citu VLAN/DMZ.
    TechNet rakstu par atbalstīts ārtīkla scenāriji nav jebkurām rezervācijām, vai_nu – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, lai patiesi ceru, ka MS salaidīs grīstē.
    Jūs varat izstrādāt ar to, kas būtu ar spļaudīties konfigurācijas problēma? Izpildes iemeslu dēļ tikai? Vai viņi patiesībā domā, WFE ir nedrīkst par vienu un to pašu VLAN/DMZ? Kas būtu jēdzīgāks man.
    Ar sirsnīgu sveicienu,
    Kristiešu
    Atbilde
  4. Paul Galvin
    Tas ir ļoti labs jautājums.
    Mēs ļoti uzmanīgi sekot MS dokumentus, tāpēc nevaru iedomāties, kā viņi atsakās to atbalstīt. Ka teica, Es neesmu persona, infrastruktūras, tāpēc ir iespējams, ka esmu ļaunprātīgi noteikumus savā amatā.
    Kā es to saprotu, pareizā pieeja ir (vismaz) diviem AD domēni. Iekšējā vienu domēnu, un viens no perimetra tīkls. Perimetra tīkla reklāmu būtu "ierobežotas uzticamības" attiecības ar iekšējo AD.
    But you probably already know all that 🙂
    Grunts līnija, es nezinu. Mēs nesaņem un meklēt norādījumus par šo vienu tieši korporācijai Microsoft.
    –Paul G
    Atbilde
  5. Tom Dietz
    Tiek atbalstīta šī konfigurācija? SharePoint konferencē Sietlā, marta, Sarunājos ar kādu Microsoft Engineers, un viņi teica, ka atbalstītā konfigurācija neatļauj WFEs šķērsot VLANs vai maršrutētāju. Es pieņemu, ka jo WFE DMZ, tas šķērso kāda veida ugunsmūri/maršrutētāju vai atrodas tās pašas VLAN.
    Tātad būtībā DB un WFE/App serveri ir par vienu un to pašu VLAN.
    Viņi tiešām nelokāmi par to–tas ir faktiski slaidu ' ģeogrāfiski’ Ja jums ir piekļuve klāja izvietošanas sesija.
    Esmu izlasīt TechNet rakstus, kas ilustrē parauga sastāvi, kas ir pretrunā ar viņu paziņojumi, bet MS puiši būtībā teica, ka TechNet ir nepareizi.
    Atbilde

atstāt atbildi

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti *