מוס חווה קטנה התקנה וקביעת תצורה של סיפור המלחמה

בשבוע זה, אני נאבקתי קצת עם הקבוצה שלי כדי לקבל מוס המותקן חווה 2-שרת פשוטה. יש לעבור דרך זה, יש לי הערכה גדולה יותר עבור סוגי בעיות לאנשים הדו ח ב- MSDN בפורומים ובמקומות.

התצורה הסופית החווה:

  • SQL/אינדקס/אינטראנט WFE בתוך חומת האש.
  • WFE של האזור המפורז.
  • פיירוול בין האזור המפורז לשרת פנימי.

לפני שהתחלנו את הפרויקט, נניח שהלקוח יודע באילו יציאות צריך להיות פתוח. במהלך תן וקח, הלוך ושוב על זה, אנחנו אף פעם לא במפורש אמר שני דברים חשובים:

  1. SSL אומר שאתה צריך אישור.
  2. השרת DMZ חייב להיות חלק מתחום.

יום אחד, אנחנו הופיע להתקין מוס, למדתי חשבונות תחום עבור מסד הנתונים ואת מוס לא נוצר. כדי לזרז את העניינים, ו מותקן הכל בעל חשבון מקומי בשרת רשת אינטרא-נט.

בנקודה זו, גילינו את הבלבול מעל באישור ה-SSL ו, למרבה הצער, החליטה להיות הבחור שלנו תשתית לחזור מאוחר יותר באותו השבוע כדי להמשיך בהתקנת השרת DMZ. זמן ממוצע, לאדריכלים פתרון עברנו קדימה עם החומר עסקים.

שבוע עובר, הלקוח ישיג את האישור.

הבחור התשתית שלנו מופיע ומגלה כי השרת DMZ לא הצטרף לתחום כלשהו (תחום היקפית עם יחסי האמון מוגבלים או קבוצת המחשבים באינטרא-נט). . בזבזנו כמעט 1/2 ביום זה. אם לא ניתן אישור SSL חסרים לקבור אותנו, גילינו זה מוקדם יותר. נו טוב….

עוד יום עובר, הוועדות אבטחה שונים, בעלי ואני (לא כל כך) כל תמימים מסכים שזה אישור להצטרף השרת DMZ המחשבים באינטרא-נט (זהו POC, אחרי הכל, לא פתרון ייצור).

תשתית בחור שמגיע לסיום. הפעם אנחנו עוברים בהצלחה הכפפה המודרנית המכונה בחיבה "אשף קביעת התצורה של SharePoint." . יש לנו הצצה בניהול מרכזי, … . כמעט הגענו! … רשום DMZ שרת בחווה. נוכל לראות יותר מקרוב ולהבין שאנחנו פתחה את שמפיין קצת מוקדם. שירותי WSS. זה תקוע "מתחילה" מצב.

סיפור ארוך קצר, מסתבר ששכחנו לשנות את הזהות של חשבון השירות באמצעות הניהול המרכזי של הלקוח המקומי המקורי לחשבון התחום החדש. אנחנו עשינו את זה, רן מחדש את אשף קביעת התצורה וזהו! היינו בעסקים.

</קצה>

מנוי על הבלוג שלי.

תגיות טכנורטי:

5 מחשבות על "מוס חווה קטנה התקנה וקביעת תצורה של סיפור המלחמה

  1. Cimares
    זה לגמרי בסדר שיש SQL שלך ברשת Vlan/משנה שונה מאשר WFEs שלך. למעשה, מומלץ, אחרי הכל, כפי שהוזכר קודם לכן, . מומחה לאבטחה? מה הולך לתת לך להכניס SQL בהאזור המפורז? ההמלצה היא כי התנועה SQL שלך אינו משתמש כרטיסי ממשק אותו כמו התעבורה המשתמש, אולם גם חיבור זה עשוי pas דרך חומת אש להגנה נוספת.
    ההגבלה הקשורים WFEs מרובים בסביבת חווה מתייחס אם אתה משתמש Microsoft עומסים, אז אלה כנראה באותה VLan.
  2. פול

    אני כמעט יכול לנצח את בעיית תעודת SSL. אנו היה הכל נוצר, היו מוכנים להרחיב את היישום אינטרנט באמצעות SSL (לאחר מכן ניתוב מחדש של יציאות 80 ב- IIS). המנהל היה מוכן ללכת קובץ ה-. cer. אבל אף אחד האפשרויות או משוגע מנסה להתקבל לקרקס כדי להחיל אותה ב- IIS יעבוד–האתר מציג תמיד דף ריק כמו אוסף האתרים לא קיים.

    לאחר הרבה דפיקות של ראשי, למדנו שזה נגרם על-ידי בקשת האישור לא בא לשרת. מנהל המערכת בפשטות שאל עבור אישורים וכתבתי היה המפתח וכתוצאה מכך. עם מפתח פרטי, המנהרה SSL יכול לא נבנה בין WFE את הדפדפן. . בזבזנו 1/2 ביום זה.

  3. כריסטיאן כתב:
    . מאוד מעניין! אני בספק כי זה לא צריך להיות נתמך לארח WFE את אחד VLAN/DMZ, APP/SQL ב- VLAN אחרת/DMZ.
    המאמרים TechNet על הנתמכים האקסטרא-נט תרחישים אין כל השגות, גם – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, אז אני מקווה מאוד ש-MS טעו.
    אתה יכול לפרט על מה צריך להיות הבעיה עם לירוק את התצורה? ביצועיים בלבד? או הם למעשה אומרים את זה של WFE צריך להיות ב- VLAN זהה/מהאזור המפורז? זה יותר הגיוני לי.
    בברכה,
    כריסטיאן
  4. פול Galvin
    . זו שאלה טובה מאוד.
    אנו עוקבים מקרוב בתיעוד MS, אז אני לא יכול לדמיין איך הם יסרבו לתמוך בזה. אמר, אני לא אדם תשתית, אז זה אפשרי כי אני מתעלל. תנאי בפוסט שלי.
    כפי שאני, הגישה הנכונה היא לעשות (לפחות) שני תחומים לספירה. תחום אחד פנימי ואחד הרשת ההיקפית. של הרשת ההיקפית לספירה היה של "מוגבל אמון" מערכת היחסים עם המודעה פנימי.
    But you probably already know all that 🙂
    השורה התחתונה, לא יודע. אנחנו לא מקבלים, או להסתכל ישירות ל- Microsoft לקבלת הדרכה בעניין הזה.
    –פול G
  5. טום דיז
    תצורה זו נתמכת? בכנס SharePoint בסיאטל בחודש מרץ, צ'וטטתי עם כמה מהנדסי מיקרוסופט ואמרו כי תצורות נתמכות אינם מאפשרים WFEs לחצות רשתות Vlan או נתבים. אני מניח כי מאז WFE זה ב DMZ, זה חוצה מעין חומת אש/נתב או ב- VLAN משלו.
    אז בעצם את DB ושרתי יישום WFE כולנו חייבים להיות באותה VLAN.
    הם היו ממש נחוש על זה–. זה למעשה שקופית ' גיאוגרפי’ הפעלה הפריסה אם יש לך גישה לסיפון.
    קראתי מאמרים TechNet שממחישים תצורות דוגמה הסותרת את ההצהרות שלהם, . אבל החבר'ה MS בעיקרון אמר כי TechNet הלא נכון.

תשאיר הודעה

כתובת האימייל שלך לא תפורסם. שדות חובה מסומנים *