MOSS boerderijtje installatie en configuratie oorlog verhaal

Deze week, Ik heb een beetje moeite met mijn team te krijgen MOSS geïnstalleerd in een eenvoudige twee-server-farm. Zijn gegaand door het, Ik heb een grotere waardering voor de soorten problemen mensen rapport over de MSDN forums en elders.

De definitieve farmconfiguratie:

  • SQL/Index/Intranet WFE binnen de firewall.
  • WFE in de DMZ.
  • Een soort van firewall tussen de DMZ en de interne server.

Voordat we begonnen met het project, We laten de client weten welke poorten die nodig zijn om open. Tijdens het geven en nemen, heen en weer over die, we nooit uitdrukkelijk gezegd twee belangrijke dingen:

  1. SSL betekent dat u een certificaat nodig.
  2. De DMZ-server moet deel uitmaken van een domein.

Dag één, we opdagen om te installeren MOSS en geleerd dat de domeinaccounts voor database en MOSS niet had gemaakt. Om dingen te bewegen langs, wij doorgingen en alles geïnstalleerd met een lokale account op de intranetserver.

Op dit punt, We ontdekten de verwarring over het SSL-certificaat en, Helaas, besloten om onze infrastructuur-vent later die week terugkomen op doorgaan met de installatie van de DMZ-server. In de tussentijd, We oplossing architecten verplaatst vooruit met de zakelijke dingen.

Een weekend gaat door en de client het certificaat verkrijgt.

Onze infrastructuur vent uiterlijk vertoon opwaarts en ontdekt dat de DMZ-server niet is opgenomen in een domein (een omtrek-domein met beperkte vertrouwen of het intranet domein). We verloren bijna een 1/2 dag op dat. Als we niet had laten de ontbrekende SSL certificaat ons moeras, We zouden hebben ontdekt dit eerder. Ach….

Dag loopt en de diverse parlementaire commissies van de veiligheid, belanghebbende partijen en (niet zo) onschuldige omstanders alle ermee eens dat het OK om toe te treden de DMZ-server met het intranet-domein (Dit is een POC, Eindelijk, niet een productie-oplossing).

Infrastructuur man komt in dingen om omhoog te verpakken. Deze keer we met succes doorheen de de modern-dag handschoen liefkozend de "Wizard SharePoint configureren." We hebben een kijkje in Centraal beheer en … Yee haw! … DMZ server wordt in de farm weergegeven. We een beetje dichterbij kijken en beseffen dat we brak open de Champaign een beetje mijt vroeg. WSS diensten zit vast in een "starten" status.

Lang verhaal kort, het blijkt dat we vergeten te wijzigen van de identiteit van de service-account via Centraal beheer van de oorspronkelijke lokale account naar het nieuwe domeinaccount. We hebben dat gedaan, opnieuw liep de configuratiewizard en voila! We waren in het bedrijfsleven.

</einde>

Abonneren op mijn blog.

Technorati Tags:

5 gedachten over "MOSS boerderijtje installatie en configuratie oorlog verhaal

  1. Cimares
    Het is volkomen o.k. om uw SQL in een ander Vlan/subnet bevindt dan uw WFEs. In feite wordt aangeraden, immers zoals eerder vermeld, wat veiligheidsdeskundige gaat om te laten u SQL stok in de dmz? De aanbeveling is dat uw SQL-verkeer niet dezelfde interfacekaarten als de gebruikersverkeer gebruikt, maar zelfs deze verbinding kan pas via een firewall voor extra bescherming.
    De beperking aan meerdere WFEs in de omgeving van een farm gerelateerde heeft betrekking op als u van Microsoft taakverdeling gebruikmaakt, vervolgens moeten deze alle in het hetzelfde VLan.
    Antwoord
  2. Paul

    Ik kan bijna het verslaan van uw SSL certificaat probleem. We hadden alles gemaakt en waren klaar om uit te breiden van de web-app met SSL (dan redirect poort 80 in IIS). De beheerder had een CER-bestand klaar om te gaan. Maar geen van de opties of gek verdraaiingen toe te passen in IIS zal werken–de site geeft altijd een lege pagina als de siteverzameling niet bestaat.

    Na veel bonzen van hoofden, We hebben geleerd dat dit werd veroorzaakt door het cert-verzoek niet afkomstig van die server. De beheerder gewoon gevraagd voor een cert en de resulterende sleutel was gemaild. Met geen persoonlijke sleutel, de SSL-tunnel kan niet krijgen gebouwd tussen de WFE en de browser. We verloren 1/2 dag op dat.

    Antwoord
  3. Christian wrote:
    Zeer interessant! Ik betwijfel sterk dat het niet zou moeten worden ondersteund om de WFE in een VLAN/DMZ en APP/SQL in een ander VLAN/DMZ host.
    De TechNet-artikelen over Ondersteunde scenario Extranet 's niet hebben enig voorbehoud, beide – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, dus ik hoop oprecht dat de MS hebben het mis.
    U kunt ingaan op wat het probleem met de configuratie spugen zou moeten zijn? Prestatieoverwegingen alleen? Of doen zij in feite betekenen dat de WFE van moet worden op de dezelfde VLAN/DMZ? Dat zou meer zin te maken voor mij.
    Oprecht,
    Christelijke
    Antwoord
  4. Paul Galvin
    Dat is een zeer goede vraag.
    We zijn zeer nauw volgen de MS-documentatie, dus ik me niet hoe ze zou weigeren voorstellen kan te steunen. Dat gezegd, Ik ben niet een persoon infrastructuur, zo is het mogelijk dat ik ben misbruik van voorwaarden in mijn post.
    Zoals ik het begrijp, de juiste aanpak is dat (ten minste) twee AD-domeinen. Een interne domein en één in het perimeternetwerk. Het perimeternetwerk AD zou hebben een "tijdelijke"regeling vertrouwen" relatie met de interne AD.
    But you probably already know all that 🙂
    Bottom line, Ik weet het niet. Wij niet ontvangen of kijk direct naar Microsoft voor meer informatie over deze.
    –Paul G
    Antwoord
  5. Tom Dietz
    Deze configuratie wordt ondersteund? Op de SharePoint-conferentie in Seattle in maart, Ik was chatten met sommige Microsoft-Engineers en ze zeiden dat ondersteunde configuraties niet toestaan WFEs te steken VLAN's of routers. Ik neem aan dat aangezien de WFE in een DMZ, het is een soort van firewall/router overschrijden of is in zijn eigen VLAN.
    Dus eigenlijk moet de DB en WFE/App Servers alle worden op de dezelfde VLAN.
    Ze waren echt onvermurwbaar over dit–het is eigenlijk een dia in het ' geografisch’ implementatie sessie hebt u toegang tot het dek.
    Ik heb gelezen TechNet-artikelen die illustreren voorbeelden van configuraties die in strijd zijn met hun verklaringen, maar de jongens MS in feite gezegd dat TechNet verkeerd is.
    Antwoord

Laat een antwoord achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *