RÊU trang trại nhỏ cài đặt và cấu hình chiến tranh câu chuyện

Tuần này, Tôi đã vật lộn một chút với đội của tôi để có được MOSS được cài đặt trong một trang trại máy chủ hai đơn giản. Có đi qua nó, Tôi có một sự đánh giá cao hơn cho các loại vấn đề người báo cáo trên diễn đàn MSDN và các nơi khác.

Cấu hình cuối cùng trang trại:

  • WFE SQL/Index/mạng nội bộ bên trong các bức tường lửa.
  • WFE trong DMZ.
  • Một số loại tường lửa giữa DMZ và máy chủ nội bộ.

Trước khi chúng tôi bắt đầu dự án, chúng tôi cho khách hàng biết những cổng cần thiết để được mở. Trong thời gian cho và nhận, trở lại và ra trên đó, chúng tôi không bao giờ rõ ràng cho biết hai điều quan trọng:

  1. SSL có nghĩa là bạn cần một chứng chỉ.
  2. DMZ máy chủ phải là một phần của một tên miền.

Một ngày, chúng tôi đã cho thấy để cài đặt MOSS và đã học được rằng các tài khoản tên miền cho cơ sở dữ liệu và MOSS đã không được tạo ra. Để di chuyển những thứ, chúng tôi đã đi trước và cài đặt tất cả mọi thứ với một tài khoản địa phương trên máy chủ mạng nội bộ.

Tại thời điểm này, chúng tôi phát hiện ra sự nhầm lẫn trong giấy chứng nhận SSL và, đáng buồn, quyết định có guy cơ sở hạ tầng của chúng tôi trở lại sau này trong tuần đó để tiếp tục cài đặt máy chủ DMZ. Trong lúc này, chúng tôi kiến trúc sư giải pháp di chuyển về phía trước với các công cụ kinh doanh.

Một ngày cuối tuần đi theo và khách hàng có được giấy chứng nhận.

Guy cơ sở hạ tầng của chúng tôi cho thấy và phát hiện ra rằng DMZ máy chủ không được tham gia vào bất kỳ tên miền (một tên miền chu vi với niềm tin hạn chế hoặc vùng mạng nội bộ). Chúng tôi lãng phí gần một 1/2 ngày đó. Nếu chúng tôi đã không cho phép thiếu giấy chứng nhận SSL bog chúng tôi xuống, chúng tôi sẽ có phát hiện điều này trước đó. Oh, cũng….

Một ngày đi và Ủy ban an ninh khác nhau, quan tâm đến bên và (không phải như vậy) người ngoài vô tội tất cả đồng ý rằng nó là OK để tham gia các DMZ máy chủ với vùng mạng nội bộ (đây là một POC, Cuối cùng, không phải là một giải pháp sản xuất).

Cơ sở hạ tầng chàng có để bọc điều lên. Thời gian này chúng tôi vượt qua các găng sắt ngày trìu mến gọi là "thuật sĩ cấu hình SharePoint." Chúng tôi có một peek trong quản trị Trung ương và … Yee haw! … DMZ máy chủ được liệt kê trong trang trại. Chúng tôi xem xét kỹ hơn một chút và nhận ra chúng tôi đã phá vỡ mở Champaign một chút mite sớm. Dịch vụ WSS mắc kẹt trong một "bắt đầu" tình trạng.

Long câu chuyện ngắn, nó chỉ ra rằng chúng ta quên để thay đổi nhận dạng của tài khoản Dịch vụ thông qua quản trị Trung ương từ tài khoản địa phương ban đầu để các tài khoản tên miền mới. Chúng tôi đã làm điều đó, chạy lại thuật sĩ cấu hình và thì đấy! Chúng tôi đã trong kinh doanh.

</kết thúc>

Đăng ký vào blog của tôi.

Technorati Tags:

5 Những suy nghĩ trên "RÊU trang trại nhỏ cài đặt và cấu hình chiến tranh câu chuyện

  1. Cimares
    Nó là hoàn toàn ok để có SQL của bạn trong một Vlan khác nhau/mạng con hơn WFEs của bạn. Trong thực tế, đó khuyến cáo, sau khi tất cả như đã đề cập trước khi, chuyên gia bảo mật những gì sẽ cho phép bạn thanh SQL trong dmz? Các khuyến nghị là lưu lượng truy cập SQL của bạn không sử dụng các thẻ giao diện tương tự như lưu lượng truy cập của người dùng, Tuy nhiên ngay cả kết nối này có thể pas qua tường lửa bảo vệ bổ sung.
    Hạn chế liên quan đến nhiều WFEs trong một môi trường nông trại liên quan đến nếu bạn đang sử dụng Microsoft tải cân bằng, sau đó những phải tất cả trong cùng một VLan.
  2. Paul

    Tôi gần như có thể đánh bại của bạn vấn đề giấy chứng nhận SSL. Chúng tôi có tất cả những gì tạo ra và đã sẵn sàng để mở rộng các ứng dụng web với SSL (sau đó chuyển hướng port 80 trong IIS). Các quản trị viên đã có một tập tin .cer sẵn sàng để đi. Nhưng không ai trong số các tùy chọn hoặc điên contortions để áp dụng nó theo IIS sẽ làm việc–Các trang web luôn luôn hiển thị một trang trống như bộ sưu tập trang web không tồn tại.

    Sau khi nhiều đập thủ trưởng, chúng tôi đã học được điều này là do yêu cầu cert không đến từ máy chủ đó. Các quản trị viên chỉ đơn giản là yêu cầu cho một cert và được gửi qua email cho chính kết quả. Với không có chìa khóa riêng, đường hầm SSL có thể không có được xây dựng giữa WFE và trình duyệt. Chúng tôi lãng phí 1/2 ngày đó.

  3. Christian đã viết:
    Rất thú vị! Tôi rất nghi ngờ rằng nó không nên được hỗ trợ để lưu trữ WFE ở VLAN/DMZ và APP/SQL trong một VLAN/DMZ.
    Bài viết TechNet về hỗ trợ kịch bản Extranet không có bất kỳ Đặt phòng, một trong hai – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, Vì vậy, tôi chân thành hy vọng các MS đã nhận nó sai.
    Bạn có thể giải thích về những gì nên là vấn đề với phun cấu hình? Hiệu suất lý do chỉ? Hoặc họ làm trong thực tế có nghĩa là các Của WFE nên trên cùng một VLAN/DMZ? Mà sẽ làm cho ý nghĩa hơn với tôi.
    Trân trọng,
    Kitô giáo
  4. Paul Galvin
    Đó là một câu hỏi rất tốt.
    Chúng tôi đang theo dõi rất chặt chẽ để các tài liệu MS, Vì vậy tôi không thể tưởng tượng như thế nào họ sẽ từ chối để hỗ trợ nó. Mà nói, Tôi không phải là một người cơ sở hạ tầng, do đó, nó có thể rằng tôi đang lợi dụng điều khoản trong bài của tôi.
    Theo tôi biết, cách tiếp cận đúng là để có (tối thiểu) hai quảng cáo tên miền. Một miền nội bộ và một ở vành đai mạng. Vành đai mạng quảng cáo nào có một "giới hạn sự tin tưởng" mối quan hệ với quảng cáo nội bộ.
    But you probably already know all that 🙂
    Điểm mấu chốt, Tôi không biết. Chúng tôi đã không nhận được hoặc nhìn trực tiếp cho Microsoft để được hướng dẫn này.
    –Paul G
  5. Tom Dietz
    Cấu hình này được hỗ trợ? Tại hội nghị SharePoint tại Seattle Tháng ba, Tôi đã trò chuyện với một số Engineers Microsoft và họ nói rằng hỗ trợ cấu hình cho phép WFEs để vượt qua VLAN hoặc bộ định tuyến. Tôi cho rằng kể từ khi WFE là trong một DMZ, nó đi qua một số loại tường lửa/bộ định tuyến hoặc là ở VLAN riêng của mình.
    Vì vậy, về cơ bản DB và WFE/ứng dụng máy chủ, tất cả phải là trên cùng một VLAN.
    Họ đã được thực sự kiên quyết về việc này–đó là thực sự một slide các ' địa lý’ triển khai phiên nếu bạn có quyền truy cập vào tầng.
    Tôi đã đọc bài viết TechNet minh họa cấu hình mẫu mâu thuẫn với phát biểu của họ, nhưng những kẻ MS về cơ bản nói rằng TechNet là sai.

Để lại câu trả lời

Địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu *