มอฟาร์มขนาดเล็กติดตั้งและตั้งค่าคอนฟิกเรื่องสงคราม

สัปดาห์นี้, ฉันได้ต่อสู้เล็กน้อยพร้อมทีมงานของฉันไปมอสองเซิร์ฟเวอร์ฟาร์มเรื่องการติดตั้ง. ไม่ผ่านมันไปแล้ว, มีเพิ่มมากขึ้นสำหรับชนิดของรายงานปัญหาคน ในฟอรั่ม MSDN และอื่น ๆ.

การกำหนดค่าฟาร์มขั้นสุดท้าย:

  • WFE SQL/ดัชนี/อินทราเน็ต ภายในไฟร์วอลล์.
  • WFE ใน DMZ.
  • บางชนิดของไฟร์วอลล์ DMZ และเซิร์ฟเวอร์ภายใน.

ก่อนที่เราเริ่มต้นโครงการ, เราแจ้งให้ลูกค้าทราบว่าต้องเปิดพอร์ตใด. ในระหว่างการใช้และให้, และกลับไปที่, เรากล่าวว่า สิ่งสำคัญสองอย่างไม่ชัดเจน:

  1. SSL หมายความว่า คุณต้องการใบรับรอง.
  2. เซิร์ฟเวอร์ DMZ ต้องเป็นส่วนหนึ่งของโดเมน.

วันหนึ่ง, เราพบว่าค่าการติดตั้งมอ และเรียนรู้ว่า ไม่ได้สร้างบัญชีโดเมนสำหรับฐานข้อมูลและมอสส์. การย้ายสิ่งต่าง ๆ ไปตาม, เราไปข้างหน้า และติดตั้งทุกบัญชีท้องถิ่นบนเซิร์ฟเวอร์อินทราเน็ต.

ณ จุดนี้, เราพบความสับสนมากกว่าใบรับรอง SSL และ, เศร้า, ตัดสินใจที่จะมีคนโครงสร้างพื้นฐานของเรากลับมาในภายหลังสัปดาห์ที่ดำเนินการติดตั้งเซิร์ฟเวอร์ DMZ. ในเวลาเฉลี่ย, สถาปนิกโซลูชันของเราย้ายไปข้างหน้ากับสิ่งธุรกิจ.

วันผ่านไป และลูกค้าได้รับใบรับรอง.

คนโครงสร้างพื้นฐานของเราแสดงขึ้น และตรวจพบว่า เซิร์ฟเวอร์ DMZ ไม่ได้เข้าร่วมกับโดเมนใด ๆ (โดเมนในขอบเขต ด้วยความเชื่อถือที่จำกัดหรือโดเมนของอินทราเน็ต). เราเสียเกือบเป็น 1/2 วันในที่. ถ้าเราไม่ได้ให้ใบรับรอง SSL ไม่ bog เราลง, เราจะพบนี้ก่อนหน้านี้. โอ้ ดี….

ผ่านไปอีกวันและคณะกรรมการความปลอดภัยต่าง ๆ, สนใจบุคคล และ (ไม่ใช่) bystanders บริสุทธิ์ทั้งหมดยอมรับว่า มันก็โอเคเข้าเซิร์ฟเวอร์ DMZ กับโดเมนของอินทราเน็ต (นี่คือการ POC, ท้ายที่สุด, ไม่แก้ปัญหาการผลิต).

โครงสร้างผู้ชายมาจบเรื่อง. เวลานี้เราประสบความสำเร็จผ่านการ gauntlet สมัยที่เรียกว่าเสน่หา "SharePoint กำหนดค่าตัวช่วยสร้างการ" เราได้มองในดูแลจากศูนย์กลาง และ … ยี่ฮ่อ! … DMZ server อยู่ในฟาร์ม. เราดูใกล้ชิดน้อย และตระหนักถึงเรายากจนเปิดแชมเพนบิตไรก่อน. บริการ WSS ติดอยู่ในการ "เริ่มต้น" สถานะ.

เรื่องสั้นยาว, มันเปิดออกให้เราลืมที่จะเปลี่ยนแปลงข้อมูลประจำตัวของบัญชีผู้ใช้บริการผ่านการดูแลจากศูนย์กลางจากบัญชีเดิมของเครื่องกับบัญชีโดเมนใหม่. เราไม่ว่า, การรันวิซาร์ดการตั้งค่าคอนฟิก และ voila! เราอยู่ในธุรกิจ.

</สิ้นสุด>

สมัครสมาชิกไปยังบล็อกของฉัน.

แท็กของ Technorati:

5 คิดเกี่ยวกับ“มอฟาร์มขนาดเล็กติดตั้งและตั้งค่าคอนฟิกเรื่องสงคราม

  1. Cimares
    อยู่อย่าง มีของ SQL ใน Vlan/ย่อย อื่นที่กว่าของ WFEs. ในความเป็นจริงไม่, หลังจากทั้งหมดดังกล่าวก่อน, ผู้เชี่ยวชาญด้านความปลอดภัยใดจะให้คุณติด SQL ใน dmz? ข้อแนะนำคือ จราจรของ SQL ไม่ใช้การ์ดอินเทอร์เฟซเดียวกันเป็นการจราจรผู้ใช้, อย่างไรก็ตามแม้การเชื่อมต่อนี้อาจ pas ผ่านไฟร์วอลล์สำหรับการป้องกันเพิ่มเติม.
    ข้อจำกัดที่เกี่ยวข้องกับ WFEs หลายในสภาพแวดล้อมของฟาร์มที่เกี่ยวข้องกับถ้าคุณใช้ Microsoft สมดุล, แล้ว เหล่านี้ทั้งหมดต้องใน VLan เดียวกัน.
  2. พอล

    ฉันเกือบจะสามารถเอาชนะปัญหาของใบรับรอง SSL. เรามีทุกอย่างที่สร้าง และมีความพร้อมที่จะขยายโปรแกรมประยุกต์เว็บด้วย (แล้ว เปลี่ยนเส้นทางพอร์ต 80 ใน IIS). ผู้ดูแลระบบมีแฟ้ม.cer พร้อมที่จะไป. แต่ไม่มีตัวเลือกหรือบ้า contortions เพื่อใช้ใน IIS จะทำงาน–ไซต์แสดงหน้าเปล่าเช่นไซต์คอลเลกชันไม่มีอยู่.

    หลังมากพวกหัว, เราได้เรียนรู้นี้ที่เกิดจากการร้องขอใบรับรองที่ไม่ได้มาจากเซิร์ฟเวอร์. ผู้ดูแลระบบเพียง ถาม ในการใบรับรอง และได้ส่งอีเมลคีย์ได้. ไม่มีคีย์ส่วนตัว, ไม่ได้สร้างอุโมงค์ SSL ระหว่าง WFE และเบราว์เซอร์. เราสูญเสีย 1/2 วันในที่.

  3. คริสเตียนเขียน:
    น่าสนใจมาก! ฉันสูงสงสัยว่า มันไม่ควรได้รับการสนับสนุนการโฮสต์ใน VLAN/DMZ และ APP/SQL ใน DMZ อีก VLAN หนึ่งของ WFE.
    บทความ TechNet เกี่ยวกับ ได้รับการสนับสนุนสถานการณ์สมมติเอกซ์ทราเน็ต ไม่มีการจอง, อย่างใดอย่างหนึ่ง – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, ดังนั้นฉันหวังว่า MS จะได้ไม่ถูกต้อง.
    คุณสามารถอธิบายในสิ่งที่ควรเป็นปัญหากับการกำหนดค่าการคาย? เหตุผลด้านประสิทธิภาพ? หรือไม่พวกเขาในความเป็นจริงหมายถึง ที่ ของ WFE ควรอยู่ใน VLAN เดียว กัน/DMZ? ที่จะทำให้รู้สึกมากขึ้นกับฉัน.
    ขอแสดงความนับถือ,
    คริสเตียน
  4. Paul Galvin
    ที่เป็นคำถามที่ดีมาก.
    เรากำลังติดตามอย่างใกล้ชิดกับเอกสาร MS, ดังนั้นไม่คิดว่าพวกเขาจะปฏิเสธที่จะสนับสนุน. ที่กล่าวว่า, ผมไม่เป็นคนโครงสร้างพื้นฐาน, ดังนั้นจึงเป็นไปได้ว่า ฉันกำลังเหยียดหยามเงื่อนไขในโพสต์ของฉัน.
    ตามที่ผมเข้าใจ, วิธีถูกต้องจะมี (น้อย) โฆษณาโดเมนที่สอง. หนึ่งภายในโดเมนและหนึ่งในเครือข่าย perimeter. ของเครือข่าย perimeter โฆษณาจะมีการ "จำกัดความน่าเชื่อถือ" ความสัมพันธ์กับโฆษณาภายใน.
    But you probably already know all that 🙂
    บรรทัดด้านล่าง, ฉันไม่รู้. เราไม่ได้รับ หรือหาลักษณะคำแนะนำในนี้.
    –พอล G
  5. Tom Dietz
    สนับสนุนการกำหนดค่านี้หรือไม่? ในการประชุม SharePoint ในซีแอตเทิลในเดือนมีนาคม, ฉันได้สนทนากับวิศวกรบาง Microsoft และกล่าวว่า ได้รับการสนับสนุนไม่อนุญาต WFEs ข้าม VLANs หรือเราเตอร์. ผมถือว่าที่ตั้งแต่ WFE เป็น DMZ เป็น, ข้ามบางประเภทของเราเตอร์/ไฟร์วอลล์ หรืออยู่ใน VLAN ของตัวเอง.
    ดังนั้นพื้น DB และเซิร์ฟเวอร์ WFE/App ทั้งหมดต้องอยู่ใน VLAN เดียวกัน.
    พวกเขามีความมุ่งมั่นจริง ๆ เกี่ยวกับเรื่องนี้–เป็นจริงภาพนิ่งในการ ' Geographical’ เซสชันใช้งานถ้าคุณเข้าถึงดาดฟ้า.
    ผมเคยอ่านบทความ TechNet ที่แสดงตัวอย่างค่าที่ขัดแย้งกับคำสั่งของพวกเขา, แต่พวก MS โดยทั่วไปกล่าวว่า TechNet ไม่ถูกต้อง.

ทิ้งคำตอบไว้

ที่อยู่อีเมลของคุณจะไม่ถูกเผยแพร่. ช่องที่ต้องการถูกทำเครื่องหมาย *