MOSS Pemasangan Farm Kecil dan Perang Konfigurasi Story

Minggu ini, Saya telah berjuang sedikit dengan pasukan saya untuk mendapatkan MOSS yang dipasang di ladang dua-server yang mudah. Setelah melaluinya, Saya mempunyai penghargaan yang lebih besar untuk pelbagai masalah orang melaporkan di forum MSDN dan di tempat lain.

Konfigurasi ladang akhir:

  • SQL / Indeks / Intranet WFE dalam firewall.
  • WFE dalam DMZ.
  • Beberapa jenis firewall DMZ di antara pelayan dalaman.

Sebelum kami memulakan projek, Kita biarkan pelanggan tahu Port-Port mana yang perlu dibuka. Semasa mengambil dan memberi, belakang dan ke hadapan berbanding, kita Jangan sekali-kali tersurat berkata dua perkara penting:

  1. SSL bererti anda perlu Sijil.
  2. Pelayan DMZ mesti menjadi sebahagian daripada domain.

Hari pertama, kami datang untuk memasang MOSS dan belajar bahawa akaun domain bagi pangkalan data dan MOSS tidak diwujudkan. Untuk mengalihkan benda-benda di sepanjang, kami pergi ke depan dan memasang segala-galanya dengan akaun tempatan pada pelayan intranet.

Pada ketika ini, kami mendapati kekeliruan itu ke atas Sijil SSL dan, sedih, memutuskan untuk lelaki infrastruktur kami kembali minggu itu untuk terus memasang pelayan DMZ. Dalam masa yang sama, kami penyelesaian Arkitek pindah ke hadapan dengan barangan perniagaan.

Hujung minggu yang berlalu dan pelanggan memperoleh sijil.

Kami lelaki infrastruktur menunjukkan dan mempelajari bahawa pelayan DMZ tidak menyertai sebarang domain (domain perimeter dengan Amanah yang terhad atau intranet domain). Kita sia-sia hampir satu 1/2 hari itu. Jika kita tidak membiarkan Sijil SSL hilang Rawa kita, kita akan mendapati ini lebih awal. Oh baik….

Lain hari Pas dan pelbagai Jawatankuasa Keselamatan, pihak yang berkepentingan dan (tetapi tidak semestinya) tidak bersalah dan, penduduk Tunisia semua bersetuju bahawa ia adalah OK untuk menyertai pelayan DMZ dengan intranet domain (Inilah POC, selepas semua, tidak penyelesaian pengeluaran).

Infrastruktur lelaki datang untuk membalut perkara. Kali ini kita berjaya melalui dengan cabaran zaman moden yang digelar sebagai "Pendeta konfigurasi SharePoint." Kami telah menceritakan di pusat pentadbiran dan … Yee haw! … DMZ server tersenarai di dalam ladang. Kita melihat sedikit lebih dekat dan menyedari kita bahagi terbuka Champaign sedikit mite awal. Perkhidmatan WSS terperangkap dalam sebuah "bermula" status.

Long cerpen, Ia ternyata bahawa kita lupa untuk menukar identiti akaun perkhidmatan melalui Pentadbiran Pusat dari akaun tempatan asal untuk akaun domain baru. Kita pula yang, berlari semula pendeta konfigurasi dan voila! Kami telah dalam perniagaan.

</akhir>

Langgan ke blog saya.

Technorati Tags:

5 pemikiran untuk "MOSS Pemasangan Farm Kecil dan Perang Konfigurasi Story

  1. Cimares
    Ianya sempurna ok mempunyai SQL anda yang berbeza Vlan/subjaringan daripada WFEs anda. Malah ia digalakkan, selepas semua seperti yang disebutkan sebelum ini, apa pakar Keselamatan akan membiarkan anda melekat SQL dalam dmz itu? Saranan adalah bahawa trafik SQL anda menggunakan kad antara muka yang sama sebagai pengguna lalu lintas, Namun walaupun sambungan ini mungkin pas melalui firewall untuk perlindungan tambahan.
    Sekatan yang berkaitan dengan WFEs yang pelbagai dalam persekitaran ladang yang berhubungan jika anda menggunakan Microsoft imbangan beban, maka ini semua mestilah VLan yang sama.
    Balas
  2. Paul

    Saya hampir boleh mengalahkan isu Sijil SSL anda. Kami mempunyai segala-galanya yang dicipta dan bersedia untuk memperluaskan aplikasi web dengan SSL (kemudian melencong port 80 di IIS). Pentadbir mempunyai fail .cer bersedia untuk pergi. Tetapi tiada pilihan atau contortions gila untuk mengaplikasikannya dalam IIS akan bekerja–Laman web ini sentiasa memaparkan halaman kosong seperti koleksi tapak tidak wujud.

    Selepas banyak terhantuk kepala, kita belajar ini adalah disebabkan oleh ajakan diberi sijil yang tidak datang daripada pelayan itu. Pentadbir semata-mata ditanya bagi yang diberi sijil dan diubah melalui e-mel kekunci yang terhasil. Dengan kunci peribadi yang tidak, terowong SSL tidak dapat dibina antara WFE tersebut dan pelayar. Kita sia-sia 1/2 hari itu.

    Balas
  3. Kristian menulis:
    Sangat menarik! Saya amat ragu-ragu bahawa ia tidak perlu disokong untuk menjadi tuan rumah kepada WFE di dalam satu VLAN/DMZ dan aplikasi/SQL di VLAN/DMZ lain.
    Dalam rencana TechNet senario Extranet disokong tidak mempunyai sebarang Tempahan, mana-mana – tetapi TechNet boleh menjadi tidak betul 🙂 Tiada pelanggan kami akan membolehkan SQL Server mereka untuk duduk di atas VLAN yang sama / DMZ sebagai WFE, Jadi saya benar-benar berharap MS keliru.
    Bolehkah anda menghuraikan apa yang patut masalah dengan meludah konfigurasi? Sebab-sebab prestasi sahaja? Atau Adakah mereka sebenarnya bermaksud yang di WFE's harus diberikan kepada VLAN yang sama/DMZ? Yang membuatkan lebih faham saya.
    Ikhlas,
    Kristian
    Balas
  4. Paul Galvin
    Itulah soalan yang sangat baik.
    Kami menjejaki rapat kepada dokumentasi MS, Jadi saya tidak dapat membayangkan bagaimana mereka akan menolak untuk menyokongnya. Yang berkata, Saya bukan orang infrastruktur yang, oleh itu, adalah mungkin bahawa saya sedang menyalahgunakan terma-terma dalam post saya.
    Seperti yang saya faham ia, pendekatan yang betul adalah perlu (sekurang-kurangnya) bahwa AD. Satu domain dalaman dan satu lagi dalam rangkaian perimeter. Rangkaian perimeter AD akan mempunyai sebuah "terhad Amanah" hubungan dengan iklan dalaman.
    Tetapi anda mungkin sudah tahu semua yang 🙂
    Bottom line, Saya tidak tahu. Kita tidak pula menerima atau melihat terus ke Microsoft untuk panduan ini.
    –Paul G
    Balas
  5. Tom Dietz
    Konfigurasi ini disokong? Pada persidangan SharePoint di Seattle pada Mac, Saya sedang berbual dengan beberapa Engineers Microsoft dan mereka berkata bahawa tatarajah disokong tidak membenarkan WFEs untuk menyeberang VLANs atau penghala. Saya mengandaikan bahawa kerana WFE yang berada dalam DMZ yang, Ia yang merentasi beberapa jenis firewall/router atau sedang VLAN sendiri.
    Jadi pada dasarnya DB dan WFE/aplikasi pelayan semua harus berada pada VLAN yang sama.
    Mereka telah benar-benar menegaskan tentang perkara ini–Ia adalah benar-benar gambar di dalam ' geografi’ sesi penggunaan jika anda mempunyai akses kepada dek.
    Saya telah membaca artikel-artikel TechNet yang menggambarkan contoh tatarajah yang bercanggah dengan mereka penyata-penyata, tetapi pada dasarnya lelaki MS berkata bahawa TechNet adalah salah.
    Balas

Tinggalkan Jawapan

alamat e-mel anda tidak akan diterbitkan. Ruangan yang diperlukan ditanda *