MOSS malej farme inštalácie a konfigurácie vojnovým príbehom

Tento týždeň, Som trochu bojoval so svojím tímom dostať MOSS inštalované v jednoduchých dvoj-serverovej farmy. Cez to, Mám väčšie uznanie pre typy problémov ľudí správu na fórach MSDN a inde.

Konečné farme konfigurácii:

  • SQL/Index/Intranet ECR vnútri brány firewall.
  • ECR v DMZ.
  • Nejaký firewall medzi DMZ a interný server.

Než sme začali projekt, necháme klienta vedieť, aké porty treba otvoriť. Počas dávania a brania, tam a späť cez to, sme nikdy výslovne povedal dve dôležité veci:

  1. SSL znamená potrebujete certifikát.
  2. DMZ server musí byť súčasťou domény.

Jeden deň, ukázal na inštaláciu MOSS a naučil, že doménové kontá pre databázu a MOSS nebola vytvorená. Sa pohybovať sa veci, sme šli napred a inštalované všetko s lokálnym kontom na serveri siete intranet.

V tomto momente, Zistili sme zmätok cez SSL certifikát a, Smutne, rozhodli, že naše infraštruktúry chlap sa vrátil koncom tohto týždňa chcete pokračovať v inštalácii sa DMZ server. Do tej doby, Máme riešenie architektov pohyboval vpred s obchodné veci.

Víkend plynie a klient získa certifikát.

Naša infraštruktúra chlap ukazuje hore a zistí že DMZ server nie je pripojený k žiadnej doméne (obvod doménu s obmedzenej dôveryhodnosti alebo intranetovej domény). Zbytočne sme takmer 1/2 deň na to. Ak necháme nemal chýba SSL certifikát zapadnúť nás, by sme to zistili skôr. No….

Ďalší deň prejde a rôzne bezpečnostné výbory, zainteresované strany a (nie je to tak) nevinných okoloidúcich všetci súhlasiť, že je OK pripojiť DMZ server s doménou intranetu (Toto je POC, napokon, nie je riešenie výroby).

Infraštruktúry chlap príde k zabaliť veci. Tento čas sme úspešne prejsť moderné-dňový rukavicu, oddaný, známe ako "sprievodcu konfiguráciou služby SharePoint." Máme nahliadnuť v centrálnej správe a … Yee haw! … DMZ server je uvedený vo farme. Sme sa pozrieť trochu bližšie a uvedomiť si, sme sa rozišli otvoriť Champaign trochu roztoč čoskoro. Služieb WSS je uviazol v "začína" stav.

Dlhý príbeh krátky, Ukázalo sa, že sme zabudli zmeniť identifikáciu konta služby prostredníctvom centrálnej správy z pôvodných konta lokálneho nové konto domény. Urobili sme, že, Re-bežal sprievodcu konfiguráciou a voila! Boli sme v podnikaní.

</koniec>

Vyberajte môj blog.

5 myšlienky na "MOSS malej farme inštalácie a konfigurácie vojnovým príbehom

  1. Cimares
    To je úplne v poriadku mať svoj SQL v inej Vlan/podsieti ako vaše WFEs. V skutočnosti sa odporúča, Veď ako spomenul, čo bezpečnostný expert bude vám držať SQL v dmz? Odporúčanie je, že návštevnosť SQL používať rovnaké rozhranie karty ako používateľskú návštevnosť, Avšak aj toto pripojenie môže pas cez bránu firewall pre dodatočnú ochranu.
    Obmedzenia súvisiace s viacerými WFEs v prostredí farmy súvisí, ak používate Microsoft aženia, potom tieto musí všetko byť v rovnakej VLan.
    Odpoveď
  2. Paul

    Takmer nemôže poraziť SSL certifikátu problém. Sme mali všetko, čo vytvoril a boli pripravení rozšíriť web app s použitím protokolu SSL (potom presmerovať port 80 v službe IIS). Správca mal .cer súbor, ktorý je pripravený ísť. Ale žiadne možnosti alebo blázon skrivenie uplatňovať v IIS bude fungovať–stránky vždy zobrazuje prázdnu stranu ako kolekcia lokalít neexistuje.

    Po veľa búchanie hláv, sme sa dozvedeli, to bolo spôsobené certifikátu žiadosť nepríde z tohto servera. Administrátor jednoducho požiadal pre certifikátu a bol e-mailom výsledné kľúč. Bez súkromného kľúča, tunel SSL mohol dostať nepostavili medzi ECR a prehliadač. Sme zbytočne 1/2 deň na to.

    Odpoveď
  3. Christian písal:
    Veľmi zaujímavé! Veľmi pochybujem, že by nemali byť podporované hostiť ECR VLAN-DMZ a APP/SQL v inej VLAN/DMZ.
    TechNet články o podporované extranetových scenároch nemá žiadne výhrady, buď – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, Takže úprimne dúfam, že MS to mám zle.
    Môžete vypracovať na čo mali problém s pľuvanie konfiguráciu? Výkon dôvodov iba? Alebo v skutočnosti znamenajú, že ECR sa by mala byť na rovnakej VLAN/DMZ? Ktoré by väčší zmysel pre mňa.
    S pozdravom,
    Kresťanské
    Odpoveď
  4. Paul Galvin
    To je veľmi dobrá otázka.
    Sme veľmi pozorne sledujete MS dokumentáciu, tak neviem si predstaviť, ako by oni odmietnu ho podporujú. To povedal, Nie som človek infraštruktúry, Takže je možné že som zneužíva výrazy v mojom príspevku.
    Ako som pochopil, správny prístup je, že (aspoň) dve domény AD. Jeden vnútorný domény a jeden v demilitarizovanej. V demilitarizovanej AD by mali "obmedzenej dôveryhodnosti" vzťah vnútornej reklamy.
    But you probably already know all that 🙂
    Sečteno podtrženo, neviem. Sme sa prijímať ani pozrieť priamo do spoločnosti Microsoft pre usmernenie na tohle.
    –Paul G
    Odpoveď
  5. Tom Dietz
    Táto konfigurácia je podporovaná? Na konferencii v Seattli v marci SharePoint, Bol chatovanie s niektorými Microsoft Engineers a oni povedali, že podporované konfigurácie neumožňujú WFEs cez VLAN alebo smerovačov. Predpokladám, že keďže ECR sa DMZ, je prechod nejaký brány firewall/router, alebo je v jeho vlastné VLAN.
    Takže v podstate DB a ECR/App servery majú byť na rovnakej VLAN.
    Oni boli naozaj skalopevne presvedčený o tejto–je to vlastne snímku "geografické’ nasadenie reláciu, ak máte prístup na palubu.
    Som čítal TechNet články, ktoré znázorňujú vzorku konfigurácie, ktoré sú v rozpore s ich vyhlásenia, ale chlapci MS v podstate povedal, že TechNet je zle.
    Odpoveď

nechať odpoveď

Vaša e-mailová adresa nebude zverejnená. Povinné položky sú označené *