MOLSA petita granja d'instal·lació i configuració guerra història

Aquesta setmana, Jo he lluitat una mica amb el meu equip per aconseguir molsa instal·lats en un simple dos servidors. Després d'haver travessat, Tinc una major apreciació pels tipus d'informe de problemes persones en els fòrums MSDN i en altres llocs.

La configuració del conjunt final:

  • SQL/índex/Intranet WFE del tallafoc.
  • WFE a la zona Desmilitaritzada.
  • Algun tipus de Tallafoc entre la zona Desmilitaritzada i el servidor intern.

Vam començar el projecte, deixem que el client sap quins ports necessaris per ser oberta. Durant l'estira i arronsa, i tornada sobre que, nosaltres mai explícitament diu dues coses importants:

  1. SSL significa que vostè necessita un certificat.
  2. El servidor de DMZ ha de ser part d'un domini.

Un dia, ens apareixia instal·lar molsa i après que els comptes del domini per a la base de dades i MOSS no havia estat creat. Per agilitar les coses en, vam seguir endavant i instal·lava tot amb un compte al servidor intranet local.

En aquest punt, vam descobrir la confusió sobre el certificat SSL i, tristament, va decidir que el nostre home infraestructura tornar més tard aquella setmana per continuar instal·lant el servidor de DMZ. En el temps mean, ens vam arquitectes solució traslladar endavant amb les coses de negoci.

Passa un cap setmana i el client obté el certificat.

Nostre home infraestructura apareix i descobreix que el servidor DMZ no està unida a qualsevol domini (un domini de perímetre amb confiança limitat o el domini de la intranet). Hem perdut gairebé un 1/2 dia que. Si no deixem que el certificat SSL que falta ens quedi empantanegat en, Hem vols descobert això abans. Oh bé….

Un altre dia passa i els diferents comitès de seguretat, parts interesades i (no és així) innocents tots d'acord que està bé per unir-se al servidor de DMZ amb el domini de la intranet (Aquest és un cep, després de tot, no una solució de producció).

Tipus d'infraestructura ve en acabar les coses. Aquesta vegada amb èxit passem pel el guant d'avui en dia coneguda afectuosament com el "mag de configuració de SharePoint." Vam fer una ullada a l'administració central i … Yee haw! … Servidor de DMZ apareix a la granja. Mirem una mica més proper i adonar-se que va obrir el cava una mica àcar aviat. Serveis WSS està encallat en un "començant" l'estat.

Llarga història curta, resulta que ens oblidem de canviar la identitat del compte de servei mitjançant l'administració central del compte local original al nou compte domini. Ho vam fer, va tornar a córrer el Mag de configuració i voila! Estàvem en el negoci.

</final>

Subscriure's al meu blog.

Etiquetas de Technorati:

5 comentaris a "MOLSA petita granja d'instal·lació i configuració guerra història

  1. Cimares
    És perfectament correcte tenir el seu SQL en una Vlan/subxarxa diferent que el seu WFEs. De fet es recomana, després de tot com es va esmentar abans, quin expert de seguretat és defraudaré a SQL s'adhereixen a la dmz? La recomanació és que el trànsit del seu SQL no utilitzar les mateixes targetes d'interfície com el tràfic d'usuari, No obstant això, fins i tot aquesta connexió pot pas a través d'un tallafoc per a la protecció addicional.
    La restricció relacionats amb múltiples WFEs en un entorn de conjunt es refereix a si està utilitzant Microsoft equilibri de càrrega, llavors aquestes ha tot i ser la mateixa VLan.
    Resposta
  2. Paul

    Gairebé pot vèncer a la seva emissió de certificat SSL. Vam tenir tot creada i estaven disposats a estendre l'aplicació web amb SSL (llavors redirigir Portuària 80 de l'IIS). L'administrador tenia un fitxer .cer llest per anar. Però cap de les opcions o contorsions boig per aplicar-lo a l'IIS funcionarà–el lloc sempre mostra una pàgina en blanc com la col·lecció de llocs no existeix.

    Després de molt cops de caps, hem après que això era provocat per la sol·licitud de cert no venint aquell servidor. L'administrador simplement va demanar per a un cert i va ser enviat per correu electrònic la clau resultant. Amb cap clau privada, el túnel SSL no podria aconseguir construït entre el WFE i el navegador. Hem perdut 1/2 dia que.

    Resposta
  3. Christian escrigué:
    Molt interessant! Dubto molt que no hauria de ser recolzat per albergar el WFE en una VLAN/DMZ i APP/SQL en un altre VLAN/DMZ.
    Els articles de TechNet sobre escenaris Extranet admesos no té les reserves, o bé – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, Així que espero sincerament el MS van equivocar.
    Pot elaborar sobre quina ha de ser el problema amb la configuració d'escopir? Només motius d'eficiència? O és que de fet vol dir que la De WFE ha de ser a la mateixa VLAN/DMZ? Que tindria més sentit per a mi.
    Sincerament,
    Cristià
    Resposta
  4. Paul Galvin
    Que és una molt bona pregunta.
    Hem estan seguint molt estretament a la documentació de MS, així em puc imaginar com es neguen a donar-hi suport. Que va dir, Jo no sóc una persona d'infraestructura, Així és possible que estic abusant termes en el meu post.
    Com ho entenc, l'enfocament correcte és que (com a mínim) dos dominis d'AD. Un domini intern i un altre a la xarxa de perímetre. De la xarxa de perímetre AD tindria un "limitat confiança" relació amb l'anunci interna.
    But you probably already know all that 🙂
    Bottom line, No sé. No podem rebre o buscar directament a Microsoft orientació en aquest.
    –Paul G
    Resposta
  5. Tom Dietz
    Aquesta configuració és compatible? A la conferència del SharePoint a Seattle al març, Jo estava parlant amb alguns Engineers de Microsoft i deien que les configuracions compatibles no permeten WFEs creuar VLAN o encaminadors. Suposo que ja és la WFE en una DMZ, està travessant una mena d'encaminador/tallafoc o està en el seu propi VLAN.
    Així que, bàsicament la DB i WFE/App servidors tenen d'estar a la mateixa VLAN.
    Eren realment convençut d'això–és en realitat una diapositiva en la ' Subdirección’ sessió de desplegament si teniu accés a la coberta.
    He llegit articles TechNet que il·lustren configuracions d'exemple que contradiu la seves declaracions, però els nois MS va dir bàsicament que TechNet està malament.
    Resposta

Deixi una contestació

no es publicarà la seva adreça de correu electrònic. Els camps necessaris estan marcats *