MAH majhni kmetiji namestitev in konfiguracijo vojne Story

Ta teden, Sem malce boril z mojo ekipo zadobiti MOSS umestiti v a prepost dve gruči. Ob šla skozi to, Imam večje zadovoljstvo za vrste težave ljudi poročilo na MSDN forumih in drugje.

Končno kmetije konfiguracijo:

  • Kazalo/SQL/Intranet WFE znotraj požarnega zidu.
  • WFE v DMZ.
  • Nekakšen zid med notranjim strežnikom in DMZ.

Preden smo začeli projekt, pustimo, da stranka ve, katera vrata je treba odprto. Med daje in sprejema, sem in tja čez ki, bomo nikoli izrecno rekel, dve pomembni stvari:

  1. SSL pomeni, da morate potrdilo.
  2. DMZ strežnika mora biti del domene.

En dan, smo pokazala namestiti MOSS in se naučili, da ne bi bilo ustvarjeno račune domene za zbirko podatkov in MOSS. Premakniti stvari skupaj, sva šla naprej in namestili vse z lokalnim računom v intranetni strežnik.

Na tej točki, smo odkrili zmedo preko SSL certifikata in, na žalost, odločila, da so naše infrastrukture fant vrnil kasneje ta teden, če želite nadaljevati nameščanje DMZ strežnika. V vmesnem času, smo rešitev arhitekte premakne naprej s poslovne stvari.

Vikend gre z in stranka pridobi certifikat.

Naš fant infrastrukture pokaže in odkrije, da DMZ strežnik ni pridružen nobeni domeni (oboda domene z omejeno zaupanje ali intranetno področje). Smo skoraj zapravili na 1/2 dan na tem. Če mi ni kaj manjka SSL certifikat nas bog navzdol, Ugotovili smo, bi to prej. Oh no….

Drugi dan prelazov in različni odbori, varnost, zainteresirane stranke in (ne tako) vsi nedolžni mimoidoči se strinjajo, da je OK, da se pridružijo DMZ strežnika s intranetno področje (To je a POC, navsezadnje, ne proizvodnje rešitev).

Infrastrukture človek pride zaviti stvari. Tokrat smo uspešno skozi je sodobna spopad Strasno znana kot "Čarovnik za konfiguracijo SharePoint." Imamo pokukati v osrednjem skrbništvu in … Yee haw! … DMZ strežnika iz gruče. Mi Poglej malo bližje in spoznali smo broke odprta Champaign malo pršice zgodaj. WSS storitev je zaljubljen v a "začetni" status.

Skrajšam zgodbo, Izkazalo se je, da smo pozabili spremeniti identiteto račun storitve prek osrednjega skrbništva iz izvirne lokalne računa na nov račun domene. Pri tem smo, ponovno tekel čarovnika za konfiguracijo in Opa! Smo bili v poslovnih.

</namen>

Naročite se na moj blog.

Technorati Tags:

5 misli o "MAH majhni kmetiji namestitev in konfiguracijo vojne Story

  1. Cimares
    To je popolnoma ok, da vaš SQL v različnih Vlan/podomrežja kot vaš WFEs. V resnici je priporočljivo, Konec koncev, kot že rečeno, kakšen varnostni strokovnjak bo vas držijo SQL v dmz? Priporočilo je, da SQL prometa ne uporablja isti vmesnik kartice kot uporabnik prometa, Toda tudi ta povezava morda pas skozi požarni zid za dodatno zaščito.
    Omejitev, povezanih z več WFEs v okolju kmetije nanaša, če uporabljate Microsoft uravnavanja obremenitve, potem ti mora vse biti v istem VLan.
    Odgovor
  2. Paul

    Skoraj lahko premagati vaše vprašanje potrdila SSL. Smo imeli vse, kar ustvari in bili pripravljeni razširiti spletno app z SSL (preusmerite vrata 80 v IIS). Skrbnik je datoteko .cer, ki je pripravljena iti. Vendar nobena od možnosti ali nor contortions, uporabiti v storitvah IIS dela–mesto vedno prikaže prazno stran, kot zbirka mest ne obstaja.

    Po veliko razbijati glave, smo se naučili, to je bila posledica cert zahtevo, ki ne prihajajo iz tega strežnika. Skrbnik preprosto vprašal za a cert in bilo emailed, je tak ključ. Z brez zasebnega ključa, SSL tunela ne dobijo vgrajen med na WFE in brskalnik. Smo zapravili 1/2 dan na tem.

    Odgovor
  3. Christian napisal:
    Zelo zanimivo! Močno dvomim, da jo ne bi smela podpreti za gostitelja WFE v en VLAN/DMZ in APP/SQL v drugo VLAN/DMZ.
    TechNet članke o podpira Ekstranet scenarijev nima zadržkov, bodisi – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, tako iskreno upam, da MS zmotili.
    Ali lahko poveste na kaj je treba problem z pljuvanje konfiguracijo? Uspešnost razlogov le? Ali ali v resnici pomeni, da je WFE's treba na isti VLAN/DMZ? Da bi bolj smiselno za mene.
    S spoštovanjem,
    Christian
    Odgovor
  4. Paul Galvin
    To je zelo dobro vprašanje.
    Smo so zelo tesno sledenje dokumentacijo, MS, tako ne morem si predstavljati, kako bi nočejo, da podpre. To je dejal, Nisem infrastrukture oseba, Zato je možno, da sem zlorablja pogoji v moj post.
    Kot razumem, pravilen pristop je, da so (vsaj) dva AD domen. Eno notranjo domeno in eno v obsegu omrežja. V obsegu omrežja AD bi lahko "omejeno zaupanje" odnos s notranji oglas.
    But you probably already know all that 🙂
    Bottom line, ne vem. Smo ni prejeli ali neposredno Microsoftu poiščite navodila glede tega.
    –Paul G
    Odgovor
  5. Tom Dietz
    Ta konfiguracija podprt? V SharePoint konferenca v Seattlu v marcu, Sem bil klepet z nekateri Microsoft Engineers in so rekli, da ne dovoljujejo podprtih konfiguracije WFEs prečkati VLAN ali usmerjevalniki. Predvidevam, da ker je WFE je v a DMZ, To je prehod neke vrste požarni zid/usmerjevalnik ali v lastno VLAN.
    Torej v bistvu DB in WFE/App strežniki morajo biti na isti VLAN.
    So bili res pomembno, o tem–To je dejansko diapozitiv na "geografsko’ uvajanje sejo, če imate dostop do krova.
    Bral sem članke TechNet, ki ponazarjajo vzorec konfiguracije, ki nasprotuje svoje izjave, ampak fantje MS v bistvu rekel, da TechNet je narobe.
    Odgovor

pusti odgovor

Vaš e-naslov ne bo objavljen. Obvezna polja so označena *