Mech małe gospodarstwo instalacji i konfiguracji wojna historia

W tym tygodniu, I borykały się trochę z moim zespołem aby mech zainstalowane w prosty dwie farmy. Po przejściu przez to, Mam większe uznanie dla tego rodzaju problemy ludzi raport na forum MSDN i gdzie indziej.

Konfiguracja farmy końcowe:

  • Indeks/SQL/Intranet WFE wewnątrz zapory.
  • WFE w DMZ.
  • Pewnego rodzaju zapory między DMZ i wewnętrznego serwera.

Zanim zaczęliśmy projekt, Niech klient wie, które porty potrzebne, aby być otwarty. Podczas wymian, iz powrotem nad tym, nigdy nie wyraźnie powiedział dwie ważne rzeczy:

  1. SSL oznacza, że potrzebujesz zaświadczenie.
  2. Serwera DMZ musi być częścią domeny.

Jeden dzień, pojawił się zainstalować MOSS i dowiedziałem się, że domena kont dla bazy danych i mech nie został utworzony. Aby przenieść rzeczy, poszedł do przodu i zainstalowałem wszystko z lokalnego konta na serwerze intranetowym.

W tym momencie, Odkryliśmy błąd w certyfikacie SSL i, Niestety, zdecydowała się naszej infrastruktury facet wrócić później w tym tygodniu kontynuować Instalowanie serwera DMZ. Tymczasem, mamy rozwiązanie architektów wyprzedził rzeczy biznesowe.

Weekend mija i klient uzyskuje certyfikat.

Nasza infrastruktura facet pokazuje w górze i odkrywa, że serwera DMZ nie jest dołączony do żadnej domeny (z ograniczonym zaufaniem domeny obwodowej lub domeny intranetu). Zmarnowaliśmy prawie 1/2 dzień na który. Jeśli nie pozwolimy brak certyfikatu SSL zapełniać nas, chcieliby odkryliśmy to wcześniej. No cóż….

Kolejny dzień mija i różnych komitetów bezpieczeństwa, zainteresowanych stron i (nie tak) niewinnych przechodniów wszystkie zgadzają się, że jest OK do przyłączenia serwera DMZ, domeny intranetu (to jest PKOL, W sumie, nie rozwiązanie produkcji).

Infrastruktury facet przychodzi do owijania rzeczy. Tym razem możemy pomyślnie przejść przez rękawicę współczesne pieszczotliwie zwany "Kreatora konfiguracji programu SharePoint." Mamy pewien zerknąć w administracji centralnej i … yee haw! … Serwera DMZ jest wymienione w gospodarstwie. Musimy przyjrzeć się nieco bliżej i sobie sprawę, że Zerwaliśmy otwarte Champaign trochę roztocza na początku. WSS usług tkwi w "Uruchamianie" stan.

Długa historia krótkiego, okazuje się, że zapomnieliśmy zmienić tożsamość usługa konta za pomocą administracji centralnej z oryginalnym kontem lokalnym na nowe konto domeny. Zrobiliśmy to, ponownie uruchomiono kreatora konfiguracji i voila! Byliśmy w biznesie.

</koniec>

Subskrybowanie mój blog.

Technorati znaczniki:

5 przemyślenia na temat „Mech małe gospodarstwo instalacji i konfiguracji wojna historia

  1. Cimares
    To idealnie ok, aby mieć SQL w innej sieci Vlan/podsieci niż twój WFEs. W rzeczywistości to jest zalecana, przecież jak już wcześniej wspomniano, Jakie zabezpieczenie ekspert będzie pozwalają trzymać SQL w dmz? Zalecenie jest to, że ruch SQL nie użyć samej karty interfejsu jako ruch użytkownika, Jednak nawet to połączenie może pas przez zaporę dla dodatkowej ochrony.
    Ograniczenia związane z wielu WFEs w środowisku farmy odnosi się do przypadku korzystania z równoważenia obciążenia Microsoft, następnie te muszą być w samej sieci VLan.
  2. Paul

    Prawie można pokonać problem certyfikat SSL. Mieliśmy wszystko stworzył i były gotowe do rozszerzenia aplikacji sieci web z protokołem SSL (Przekierowanie portu 80 w usługach IIS). Zarządca miał plik .cer gotowy do pracy. Ale żadna z opcji lub szalony wygibasy do zastosowania go w usługach IIS będzie działać–stronie zawsze wyświetla puste strony jak zbiór witryn nie istnieje.

    Po dużo walić z głowy, Dowiedzieliśmy się, że było to spowodowane przez żądanie certyfikatu nie pochodzących z tego serwera. Administrator po prostu zapytał za pewnik i pocztą elektroniczną klawisza wynikowym. Bez klucza prywatnego, tunelu SSL nie może dostać zbudowany między WFE i przeglądarki. Zmarnowaliśmy 1/2 dzień na który.

  3. Christian napisał:
    Bardzo ciekawe! Bardzo wątpię, że nie powinno być wspierane gościć WFE w jednej sieci VLAN/DMZ i APP/SQL w innym VLAN/DMZ.
    W artykułach TechNet o obsługiwane Extranet scenariuszy nie mam zastrzeżeń, albo – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, tak szczerą nadzieję, że MS to mylą.
    Czy możesz rozwinąć to, co powinno być problem z konfiguracja plucie? Wydajność powodów tylko? Czy one w rzeczywistości oznacza to WFE powinien być na samym VLAN/DMZ? Się więcej zmysł do mnie.
    Z poważaniem,
    Chrześcijański
  4. Paul Galvin
    To jest bardzo dobre pytanie.
    Możemy są bardzo ściśle śledzenia do dokumentacji MS, więc nie można sobie wyobrazić, jak oni chcą go wspierać. Powiedział, że, Nie jestem osobą infrastruktury, tak to jest możliwe, że ja jestem nadużywa warunki w mój post.
    Jak rozumiem, prawidłowe podejście ma mieć (co najmniej) dwie domeny AD. Jednej domeny wewnętrznej i jeden w sieci obwodowej. W sieci obwodowej AD miałoby "ograniczone zaufanie" Relacja z wewnętrzną AD.
    But you probably already know all that 🙂
    Motto, Nie wiem. My nie otrzymują ani patrzeć bezpośrednio do firmy Microsoft dla orientacji na ten jeden.
    –Paweł G
  5. Tom Dietz
    Jest to konfiguracja jest obsługiwana? Na konferencji programu SharePoint w Seattle w marcu, Byłem na czacie z niektórych Microsoft Engineers i powiedzieli, że obsługiwanych konfiguracji nie pozwalają WFEs do sieci VLAN lub routery. Zakładam, że skoro WFE jest w DMZ, to jest przekraczanie jakiś firewall/router lub w jego własnej sieci VLAN.
    Więc w zasadzie DB i serwery WFE/aplikacja musi być w samej sieci VLAN.
    Były one naprawdę nieugięty o tym–to jest rzeczywiście slajdów "geograficzny’ wdrażania sesji, jeśli masz dostęp do pokładu.
    Czytałem artykuły TechNet, które ilustrują przykładowe konfiguracje, które zaprzeczają ich wypowiedzi, ale faceci MS w zasadzie powiedział, że technika jest źle.

Odpowiedz

Twoj adres e-mail nie bedzie opublikowany. wymagane pola są zaznaczone *