ЛИШАЙНИК маленьку ферму установки і конфігурації війна Історія

На цьому тижні, Я боролася трохи з моєю командою вийти ЛИШАЙНИК, встановлені в простий два серверної ферми. Пройшовши крізь нього, Я маю велику вдячність види проблем людей доповідь на MSDN форумах і в інших місцях.

Конфігурації остаточний ферми:

  • SQL, індекс, інтранет СФФБ всередині брандмауер.
  • СФФБ в DMZ.
  • Свого роду брандмауер між DMZ і внутрішній сервер.

Перш ніж ми почали проект, ми дозволимо клієнт знати, які порти повинні бути відкриті. Під час дати, ні взяти, вперед і назад над що, Ми ніколи не чітко сказав, що дві важливі речі:

  1. SSL означає, що вам потрібен сертифікат.
  2. DMZ сервера має бути членом домену.

Один день, ми показали встановити МОСС і дізнався, що облікові записи домену для бази даних та ЛИШАЙНИК не створено. Щоб рухати речі вперед, Ми пішли вперед і встановлений все з локального облікового запису на сервері інтрамережі.

На даний момент, Ми виявили, що плутанина через SSL сертифікат і, на жаль, вирішила, щоб наші інфраструктури хлопець повернутися пізніше на цьому тижні, щоб продовжити установку ДМЗ сервера. Тим часом, Ми рішення архітекторів просунулися вперед зі бізнес речі.

Вихідні йде і клієнт отримує сертифікат.

Нашу інфраструктурою хлопець показує вгору і виявляє, що ДМЗ сервер не вступив до будь-якого домену (периметр домену з обмеженого довіри або інтранет домену). Ми тільки даром майже за 1/2 день, на які. Якщо ми не дозволимо відсутній сертифікат SSL нас загрузнути, Ми б виявили це раніше. Ну що ж….

Ще один день проходить і різні комітети безпеки, зацікавлених сторін та (не так) невинних перехожих всі згоден, що це ОК, щоб приєднатися до сервера DMZ з інтрамережі домену (Це є ПСУ, Як би там не було, не виробництва рішення).

Інфраструктура хлопець приходить упаковка речей до. Цей час ми успішно пройти до сучасної рукавичку, як Ласкаво називають "Майстер конфігурації SharePoint." У нас є можливість зазирнути в центрі адміністрування та … Yee haw! … DMZ сервера зазначено у фермі. Ми виглядати трохи ближче і розумію, що ми зламав відкрити Шампейн трохи кліщ рано. WSS послуги застрягла в на "починаючи" статус.

Коротше кажучи, виходить, що ми забули, щоб змінити відомості про обліковий запис служби за допомогою Центру адміністрування оригінальний локальний обліковий запис на новий обліковий запис домену. Ми зробили, що, знову побіг майстра настроювання і вуаля! Ми були в бізнесі.

</кінець>

Підписатися на мій блог.

5 думки про «ЛИШАЙНИК маленьку ферму установки і конфігурації війна Історія

  1. Cimares
    Це абсолютно нормально мати ваш SQL в різних Vlan/підмережі, ніж ваш WFEs. На самом деле рекомендується, Зрештою, як згадувалося раніше, те, що експерт з безпеки буде нехай ви дотримуєтеся SQL у dmz? Рекомендовано не, що ваш трафік SQL не використовує однакові карти інтерфейс користувача трафіку, Однак навіть це підключення може ПА через брандмауер для додаткового захисту.
    Обмеження, пов'язані з кількома WFEs в середовищі ферми відноситься до, у разі використання Microsoft балансування навантаження, Потім вони всі повинні бути в тому ж VLan.
  2. Пол

    Я майже можете бити ваш Видача сертифіката SSL. Ми мали все, що створено і були готові розширити веб-ОК з SSL (переспрямуйте порт 80 у службі IIS). Адміністратор мав CER-файлом, готовий до роботи. Але ЖОДЕН із варіантів або crazy програмі застосувати його в IIS буде працювати–сайт завжди відображає пусту сторінку як колекції сайтів не існує.

    Після багато стукати глав, Ми дізналися, що це було викликано cert запит, не виходячи з цього сервера. Адміністратор просто запитав для на cert і був по електронній пошті отриманий ключ. З не закритий ключ, не отримати побудований SSL-тунель між на СФФБ і браузер. Ми витратили 1/2 день, на які.

  3. Крістіан пише:
    Дуже цікаво! Я дуже сумніваюся, що не повинно бути підтримано провести СФФБ в один VLAN/ДМЗ і в іншому VLAN/ДМЗ APP/SQL.
    TechNet статті про підтримується екстранет сценарії не мати будь-які застереження, у будь-якому – але TechNet може бути неправильним 🙂 Жоден із наших клієнтів не дозволить своїм серверам SQL розміщуватись у тій же VLAN/DMZ, що й WFE, так що я щиро сподіваюся, що MS не зрозуміли.
    Ви можете зупинитися на те, що повинно бути проблема з плюватися конфігурації? Продуктивність причин тільки? Чи вони по суті означає, що на СФФБ в повинна бути на VLAN ж DMZ? Що має більше сенсу для мене.
    Щиро ваш,
    Християнські
  4. Paul Galvin
    Це дуже добре запитання.
    Ми дуже тісно відстеження документацію з MS, так що я не можу уявити, як вони б відмовлятися його підтримують. Що сказав, Я не інфраструктури людина, так що виключено, що я зловживають термінів у моїй статті.
    Як я розумію, правильний підхід, щоб мати (по крайней мере) два оголошення домени. Один внутрішній домен і одна в мережі по периметру. Периметр мережі оголошення буде мати на позначку «обмежено довіри" відносини з внутрішніх оголошення.
    Але ви, мабуть, уже все це знаєте 🙂
    Нижній рядок, Я не знаю. Ми не отримують або дивитися безпосередньо до корпорації Майкрософт для керівництва на цьому.
    –Paul G
  5. Том Dietz
    Підтримується цю конфігурацію? На конференції SharePoint в Сіетлі в березні, Я розмовляв з деякі інженери Microsoft і вони сказали, що підтримуваних конфігурацій заборонити WFEs перетнути мережі VLAN або маршрутизатори. Я припускаю, що оскільки на СФФБ є в ДМЗ, вона перетинає якийсь брандмауер/маршрутизатор або в свій власний VLAN.
    Тому в основному БД і СФФБ/серверах всі повинні бути на тому ж VLAN.
    Вони були дійсно Адамант про це–Це насправді слайда в на ' географічним принципом’ розгортання сесії, якщо у вас є доступ до палубі.
    Я читав TechNet статей, які ілюструють зразок конфігурацій, які суперечать їх заяви, але хлопці MS основному сказав, що TechNet неправильно.

Дати відповідь

Ваша електронна адреса не буде опублікований. Обов'язкові поля позначені * *