Мох небольшой ферме установки и конфигурации войны история

На этой неделе, Я немного боролся с моей команде, чтобы получить Мосс, установлен в простой ферме двух серверов. Пройдя через него, У меня есть большую признательность за виды проблем люди доклада на форумах MSDN и других.

Конфигурация окончательный фермы:

  • SQL/индекс/Интранет WFE внутри брандмауэра.
  • WFE в DMZ.
  • Некоторые виды брандмауэра между DMZ и внутреннего сервера.

Прежде чем мы начали проект, Мы пусть знают, какие порты необходимо открыть клиент. Во время давать и принимать, назад и вперед над, Мы никогда не явно сказал две важные вещи:

  1. SSL означает, что вам нужен сертификат.
  2. DMZ сервера должен быть частью домена.

Один день, Мы показали до установки MOSS и узнал, что не созданы учетные записи домена для базы данных и Мосс. Чтобы переместить вещи, Мы пошли вперед и установил все с локальной учетной записью на сервере интрасети.

В этой точке, Мы обнаружили путаницы над SSL-сертификат и, к сожалению, решили нашей инфраструктуры парень вернуться позднее на этой неделе, чтобы продолжить установку сервера DMZ. В то же время, решение архитекторов переехали вперед с бизнес вещи.

Выходные идет, и клиент получает сертификат.

Наша инфраструктура парень показывает вверх и обнаруживает, что ДМЗ сервер не присоединен к домену (домен демилитаризованной зоны с ограниченным доверием или домена интрасети). Мы впустую почти 1/2 день на что. Если мы не позволим отсутствует сертификат SSL увязнуть нас, Мы бы обнаружили это ранее. Ну что ж….

Другой день, проходит и различные комитеты по вопросам безопасности, заинтересованных сторон и (не так) прохожих все согласны с тем, что это ОК, чтобы присоединиться к серверу DMZ с доменом интрасети (Это ПСУ, В конце концов, не решение производства).

Парень инфраструктура приходит обернуть вещи вверх. На этот раз, мы успешно пройти через строй самомоднейш дня, ласково известный как «мастер настройки SharePoint." У нас заглянуть в центре администрирования и … Йи Хо! … DMZ сервера указан в ферме. Мы смотрим немного ближе и понимают, что мы взломали Шампейн клеща бит рано. Службы WSS застрял в «начиная" статус.

Длинная история короткой, оказывается, что мы забыли изменить удостоверение учетной записи службы через центр администрирования от оригинального локальной учетной записи для новой учетной записи домена. Мы сделали это, вновь побежал мастера настройки и вуаля! Мы были в бизнесе.

</конец>

Подписаться на мой блог.

5 мысли о «Мох небольшой ферме установки и конфигурации войны история

  1. Cimares
    Это совершенно нормально, чтобы иметь ваш SQL в другой сети Vlan/подсети чем ваш WFE. В самом деле, рекомендуется, в конце концов, как упоминалось ранее, Какие безопасности эксперт собирается сообщить вам придерживаться SQL в ДЗ? Рекомендация является, что ваш трафик SQL не используют те же карты интерфейса как пользовательский трафик, Однако даже эта связь может pas через брандмауэр для дополнительной защиты.
    Ограничения, связанные с несколькими WFE в среде фермы относится к, если вы используете Microsoft балансировки нагрузки, Затем они все должны быть в той же VLan.
  2. Пол

    Я могу почти бить ваш выпуск сертификата SSL. Мы все созданы и были готовы расширить веб-приложение с помощью SSL (затем перенаправьте порт 80 в службах IIS). Администратор был CER-файл готов к работе. Но ни один из вариантов или сумасшедший вывихов применять его в IIS будет работать–сайт всегда отображает пустую страницу как семейства веб-сайтов не существует.

    После много треск головок, Мы узнали, что это было вызвано запрос сертификата, не исходит от этого сервера. Администратор просто спросил для сертификата и было отправлено полученный ключ. Не закрытым ключом, туннель SSL не может получить построена между WFE и браузера. Мы впустую 1/2 день на что.

  3. Кристиан написал:
    Очень интересно! Я очень сомневаюсь, что это не должно поддерживаться провести WFE в одной VLAN/DMZ и APP/SQL в другой сети VLAN/ДЗ.
    Статьи TechNet о Поддерживаемые сценарии экстрасети не имеет каких-либо оговорок, либо – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, Поэтому я искренне надеюсь, что MS напутал.
    Вы можете остановиться на что должны быть проблемы с плевки в конфигурации? Только для повышения производительности? Или они на самом деле означает, что WFE в должно быть на том же VLAN/ДЗ? Что бы больше смысла для меня.
    Искренне,
    Кристиан
  4. Пол Galvin
    Это очень хороший вопрос.
    Мы очень внимательно отслеживают в документации MS, так что я не могу представить, как они будут отказаться от поддержки его. Что сказал, Я не человек, инфраструктура, так что вполне возможно, что я злоупотребляет термины в моем посте.
    Как я понимаю, правильный подход заключается в том, чтобы иметь (по крайней мере) два AD домены. Один внутренний домен и один в защищаемой сети. В защищаемой сети объявление будет иметь «ограниченное доверие" отношения с внутренней рекламы.
    But you probably already know all that 🙂
    Нижняя линия, Я не знаю. Мы не получать и не выглядеть непосредственно в корпорацию Майкрософт для указания на это.
    –Пол g
  5. Том Дитц
    Эта конфигурация поддерживается? На конференции SharePoint в Сиэтле в марте, Я был в чате с некоторыми Microsoft инженеры, и они сказали, что поддерживаемые конфигурации не позволяют WFE пересечь VLAN или маршрутизаторы. Я полагаю, что поскольку WFE находится в DMZ, Она пересекает своего рода брандмауэра/маршрутизатора или в своей собственной сети VLAN.
    Поэтому в основном DB и серверов WFE/App, все должны быть на той же VLAN.
    Они были действительно твердо об этом–Это на самом деле слайд ' географические’ Развертывание сессии, если у вас есть доступ на палубу.
    Я читал статьи TechNet, которые иллюстрируют примеры конфигураций, которые противоречат их выступления, но в основном ребята MS сказал, что TechNet не так.

Оставь ответ

Ваш электронный адрес не будет опубликован. Обязательные поля помечены *