YOSUN küçük çiftlik yükleme ve yapılandırma savaş hikayesi

5 Cevaplar

Bu hafta, Biraz basit bir iki sunucu grubunda yüklü MOSS almak için benim ekibi ile mücadele ettik. İçinden gitmiş olan, Ben sorunları insanlar rapor türleri için daha büyük bir takdir MSDN forumlarında ve başka bir yerde var.

Final grubu yapılandırması:

  • Güvenlik duvarı içinde SQL/dizin/Intranet röportaj.
  • DMZ röportaj.
  • Bir çeşit DMZ ve iç sunucu arasında güvenlik duvarı.

Proje başlamadan önce, Biz hangi bağlantı noktalarının açık olması gerekiyordu istemciye izin. Vermek ve almak sırasında, Bu üzerinde ileri geri, iki önemli şey asla açıkça konuştuk:

  1. Bir sertifikaya gereksinim duyarsınız SSL anlamına gelir.
  2. DMZ sunucu bir etki alanının parçası olması gerekir.

Bir gün, MOSS yüklemek için ortaya çıktı ve etki alanı hesapları veritabanı ve MOSS için oluşturulmuş değildi öğrendim. İşlerin hızlanmasını mı, biz went önde ve intranet sunucuda yerel hesabı olan her şey yüklü.

Bu noktada, SSL sertifikası üzerinde karışıklık keşfettik ve, Ne yazık ki, o hafta DMZ sunucu yüklemeye devam etmek için geri altyapı adamımız yaptırmaya karar. Bu süre içinde, Biz çözüm Mimarlar devam ile iş şeyler taşındı.

Bir hafta geçiyor ve istemci sertifika elde eder..

Altyapı adamımız ortaya çıkıyor ve DMZ sunucu herhangi bir etki alanına katılmamış keşfeder (bir çevre etki alanı ile sınırlı güven veya intranet etki alanı). Biz neredeyse boşa bir 1/2 Bu gün. Bizi çıkmaza sokmak eksik SSL sertifikası izin yoktu, Biz bu daha önce keşfettim. Vay su kuyusu….

Başka bir gün geçer ve çeşitli güvenlik Komiteleri, ilgili taraflar ve (Bu doğru değil) masum bystanders tüm DMZ sunucu intranet etki alanıyla birleştirmek için Tamam katılıyorum (Burası bir PT, Sonuç olarak, bir üretim çözüm).

Şeyler tamamlamak için altyapı adam geliyor. Bu sefer biz başarıyla geçmek aracılığıyla günümüz dayağı sevgiyle bilinen "SharePoint Yapılandırma Sihirbazı'nı." Merkezi Yönetim'bir göz var ve … Yee haw! … DMZ sunucu grupta listelenen. Biz biraz daha yakından bakmak ve biz Champaign mite biraz erken açık kırdı fark. WSS Hizmetleri içinde sıkışmış bir "başlangıç" durumu.

Uzun lafın kısası, Meğer biz yönetim merkezi üzerinden hizmet hesabının kimliği özgün yerel hesaptan yeni etki alanı hesabı için değiştirmek için unuttum. Bunu yaptık, Yapılandırma Sihirbazı'nı yeniden koştu ve voila! İşinde olduğumuzu.

</sonunda>

Benim blog abone.

Technorati Tags:

5 “Üzerine düşüncelerYOSUN küçük çiftlik yükleme ve yapılandırma savaş hikayesi

  1. Cimares
    Farklı bir Vlan/alt sizin WFEs SQL için mükemmel ok. Aslında bu tavsiye edilir, Sonuçta daha önce belirtildiği gibi, hangi güvenlik uzmanı SQL dmz sopa izin verecek mi? SQL trafik kullanıcı trafiği aynı arayüz kartları kullanmayan önerilir, Ancak bile pas ek koruma için bir güvenlik duvarı üzerinden bu bağlantı olabilir.
    Microsoft yük dengeleme kullanıyorsanız bir çiftlik ortamında birden çok WFEs ilgili kısıtlama ile ilgilidir, o zaman bunlar aynı VLan olmalıdır.
    Yanıtla
  2. Paul

    Neredeyse SSL sertifika sorununuzu yenebilir. Biz oluşturulan her şey vardı ve SSL ile web app genişletmeye hazır olduğunu (port yönlendirme 80 IIS'de). Gitmek hazır bir .cer dosya yönetici vardı. Ama hiçbiri seçenekleri veya deli nedenlere IIS'de uygulamak için çalışacak–site, her zaman site koleksiyonu yok gibi boş bir sayfa görüntüler.

    Çok kafa vurarak sonra, öğrendik bu bu sunucudan gelen değil sertifika isteği neden oldu. Yönetici sadece sordu bir sertifika için ve sonuçta elde edilen anahtar gönderilecektir. Yok özel anahtarıyla birlikte, SSL tüneli röportaj ve tarayıcı arasında inşa değil. Biz boşa 1/2 Bu gün.

    Yanıtla
  3. Hıristiyan yazdı:
    Çok ilginç! O röportaj'ın bir VLAN/DMZ ve APP/başka bir VLAN/DMZ SQL'de barındırmak için desteklenen gerekmez çok şüphe.
    TechNet makaleleri hakkında Desteklenen extranet senaryoları herhangi bir rezervasyon yok, ya – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, Umarım bu yüzden MS yanlış anladın.
    Yapılandırma tükürme ile sorun ne olması gerektiği üzerinde ayrıntılı miyim? Performans nedenlerinden sadece? Ya aslında bu anlama geliyor Röportaj 's aynı VLAN/DMZ-meli var olmak? Bu daha mantıklı.
    Saygılarımla,
    Hıristiyan
    Yanıtla
  4. Paul Galvin
    Çok iyi bir soru.
    Biz çok yakından MS belgelerine izliyorsanız, Peki nasıl bunu destekleyecek biçimde reddederdim hayal bile edemiyorum. Dedi, Ben bir altyapı biri değilim, yazıma şartları kötüye mümkün olduğu kadar.
    Anladığım kadarıyla, doğru yaklaşım sahip olmaktır (en az) iki AD etki alanı. Bir iç etki alanı ve bir çevre ağındaki. Çevre ağı'nın reklam bir "güven sınırlı olurdu" Dahili reklam ile ilişkisi.
    But you probably already know all that 🙂
    Alt çizgi, Bilmiyorum. Biz almaz veya doğrudan Microsoft'a bu konuda rehberlik arayın.
    –Paul g
    Yanıtla
  5. Tom Dietz
    Bu yapılandırma desteklenmiyor? Mart ayında Seattle'da SharePoint toplantısında, Bazı Microsoft Engineers sohbet oldu ve desteklenen yapılandırmalar WFEs VLAN ya da rota geçmeye izin vermiyor söylediler. Ben röportaj bir DMZ olduğu kabul, Bunun bir çeşit güvenlik duvarı/router geçiyor ya da kendi VLAN.
    Yani temelde DB ve röportaj/App sunucuları aynı VLAN üzerinde olmak zorunda.
    Bu konuda çok kararlı olduklarını–Aslında bir slayt içeride ' coğrafi’ Güverte erişiminiz varsa dağıtım oturumu.
    Kendi deyimleri aykırı örnek yapılandırmaları göstermek TechNet makalelerinizi okudum, Ama MS adamlar temelde TechNet yanlış olduğunu söyledi..
    Yanıtla

Cevap bırak

E-posta hesabınız yayımlanmayacak. Gerekli alanlar işaretlendi *