MOSS liten gård Installation och konfiguration krig berättelse

5 svar

Denna vecka, Jag har kämpat lite med mitt team för att få MOSS installerat i en enkel två-servergrupp. Efter att ha gått igenom det, Jag har en större förståelse för typer av problem människor rapport på MSDN forum och någon annanstans.

Den slutliga Gruppkonfiguration:

  • SQL/Index/intranät WFE innanför brandväggen.
  • WFE i DMZ.
  • Någon form av brandvägg mellan DMZ och den interna servern.

Innan vi började projektet, Vi låter klienten vet vilka portar måste vara öppna. Under ge och ta, fram och tillbaka över det, vi sagt aldrig uttryckligen två viktiga saker:

  1. SSL innebär att du behöver ett intyg.
  2. Den DMZ servern måste vara del av en domän.

Dag ett, Vi visade upp för att installera MOSS och lärt att domänkonton för databasen och mossa inte hade skapats. Att flytta saker, Vi gick vidare och installerat allt med ett lokalt konto på servern intranät.

Vid denna punkt, Vi upptäckte förvirringen över SSL-certifikatet och, Tyvärr, beslutat att ha vår infrastruktur kille komma tillbaka senare samma vecka fortsätta installera DMZ server. Under tiden, Vi lösning arkitekter gått framåt med business grejer.

En helg går och klienten erhåller certifikat.

Vår infrastruktur kille visar upp och upptäcker att den DMZ servern inte är kopplad till någon domän (antingen en perimeter-domän med begränsat förtroende eller domänen intranät). Vi slösat bort nästan en 1/2 dag som. Om vi inte hade låta saknas SSL-certifikatet mosse oss ner, Vi skulle ha upptäckt detta tidigare. Jaha….

En annan dag passerar och de olika utskott som säkerhet, berörda parter och (inte så) oskyldiga åskådare alla överens om att det är OK att gå med den DMZ servern med domän för intranät (Detta är en POC, Trots allt, inte en produktion lösning).

Infrastruktur killen kommer att avsluta saker. Denna gång vi framgångsrikt passera den moderna gatlopp tillgivet kallas "guiden Konfigurera SharePoint." Vi har en titt i central administration och … Yee haw! … DMZ server finns med i gården. Vi tittar lite närmare och inser vi bröt öppet Champaign lite kvalster tidigt. WSS tjänster har fastnat i en "börjar" status.

Lång historia kort, Det visar sig att vi glömde att ändra identiteten på kontot via central administration av från det ursprungliga lokala kontot till det nya domänkontot. Vi gjorde det, nytt körde guiden och voila! Vi var i rörelse.

</slutet>

Prenumerera på min blogg.

5 tankar på "MOSS liten gård Installation och konfiguration krig berättelse

  1. Cimares
    Det är helt ok att ha din SQL i ett annat Vlan/än din WFEs. I själva verket rekommenderas det, ju som tidigare nämnts, Vad säkerhetsexpert kommer att låta dig hålla SQL i dmz? Rekommendationen är att din SQL-trafik inte använder samma gränssnittskort som användaren trafiken, men även denna anslutning kan pas genom en brandvägg för ytterligare skydd.
    Begränsningen avser flera WFEs i en gård miljö handlar om du använder Microsoft utjämning av, sedan måste dessa alla vara i samma VLan.
    Svar
  2. Paul

    Jag kan nästan slå ditt SSL-certifikat problem. Vi hade allt skapas och var redo att utvidga web app med SSL (dirigera sedan om porten 80 i IIS). Förvaltaren hade en CER-fil redo att gå. Men ingen av alternativ eller crazy krumbukter att tillämpa den i IIS fungerar–webbplatsen visar alltid en tom sida som webbplatssamlingen inte finns.

    Efter mycket smällar av huvuden, Vi lärde oss detta orsakades av cert begäran kommer inte från den servern. Administratören enkelt frågade för ett cert och var mailade den resulterande nyckeln. Med ingen privat nyckel, SSL-tunnel kunde inte få byggdes mellan WFE och webbläsaren. Vi slösat bort 1/2 dag som.

    Svar
  3. Christian skrev:
    Mycket intressant! Jag tvivlar starkt att det inte bör stödjas för att vara värd WFE i ett VLAN/DMZ och APP/SQL i ett annat VLAN/DMZ.
    TechNet artiklar om Extranät scenarier som stöds inte har några reservationer, antingen – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, så jag hoppas verkligen att MS fått om bakfoten.
    Du kan utveckla vad bör problemet med spotta konfigurationen? Endast av prestandaskäl? Eller menar de faktum att de WFES bör på samma VLAN/DMZ? Det skulle göra mer logiskt för mig.
    Vänliga hälsningar,
    Kristna
    Svar
  4. Paul Galvin
    Det är en mycket bra fråga.
    Vi spårar mycket noga i MS-dokumentationen, så jag inte kan tänka mig hur de skulle vägra att stödja det.. Som sagt, Jag är inte en infrastruktur person, så det är möjligt att jag missbruka villkoren i mitt inlägg.
    Som jag förstår det, rätt inställning är att ha (minst) två AD domäner. En inre domän och en i perimeternätverket. I perimeternätverket AD skulle ha ett "begränsat förtroende" relation med interna AD.
    But you probably already know all that 🙂
    Nedersta raden, Jag vet inte. Vi inte ta emot eller titta direkt till Microsoft för vägledning på den här.
    –Paul G
    Svar
  5. Tom Dietz
    Stöds denna konfiguration? På SharePoint-konferensen i Seattle i mars, Jag pratade med några Microsoft Engineers och de sa att stöds konfigurationer inte tillåter WFEs att passera VLAN eller routrar. Jag antar att eftersom WFE är i en DMZ, det passerar någon form av brandvägg/router eller är i sitt eget VLAN.
    Så i princip måste alla WFE/App servrar och DB vara på samma VLAN.
    De var verkligen övertygad om att detta–Det är faktiskt en bild i den "geografiska’ distribution session om du har tillgång till däck.
    Jag har läst TechNet artiklar som illustrerar urval konfigurationer som strider mot deras uttalanden, men MS killarna i princip sagt att TechNet är fel.
    Svar

Lämna svar

Din e-postadress kommer inte att publiceras. behövliga fält är markerade *