MUSKO Malgranda Biena Instalaĵo kaj Konfiguracia Milito Rakonto

5 respondoj

Ĉi tiu semajno, Mi luktis iom kun mia teamo akiri MUSKON instalita en simpla du-servila bieno. Iris tra ĝi, Mi havas pli grandan dankecon por la specoj de problemaj homoj raporto sur la MSDNaj forumoj kaj aliloke.

La fina biena konfiguracio:

  • SQLa/Indekso/Intrareta WFE en la firewall.
  • WFE en la DMZ.
  • Iu speco de firewall inter la DMZ kaj la interna servilo.

Antaŭ ol ni komencis la projekton, Ni lasis la klienton scias kiun havenoj devita esti turniro. Dum la doni kaj preni, Malantaŭa kaj antaŭen super tio, Ni neniam eksplicite diris du gravajn aferojn:

  1. SSL signifas vin devas ateston.
  2. La DMZa servilo devas esti parto de domajno.

Tage unu, Ni aperis instali MUSKON kaj lernis ke la domajnaj kontoj por datumaro kaj MUSKO ne estis kreita. Movi aferojn laŭ, Ni iris antaŭen kaj instalis ĉion kun loka konto sur la intrareta servilo.

Ĉe ĉi tiu punkto, Ni eltrovis la konfuzon super la SSLa atesto kaj, Bedaŭrinde, Decidita havi nian infrastrukturan ulon revenita poste ke semajno daŭri instalanta la DMZan servilon. En la malbona tempo, Ni solvaj arkitektoj movis antaŭen kun la komerca aĵo.

Semajnfino iras de kaj la kliento akiras la ateston.

Nia infrastruktura ulo aperas kaj eltrovas ke la DMZa servilo ne estas aliĝita al ajna domajno (Aŭ perimetra domajno kun limhava fido aŭ la intrareta domajno). Ni malŝparis preskaŭ 1/2 Tago sur tio. Se ni ne lasis la forestantan SSLan ateston bog ni malsupren, Ni estus eltrovinta ĉi tiun pli fruan. Oh puto….

aliaj tagaj transludoj kaj la diversaj sekurecaj komitatoj, Interesita partiojn kaj (Ne sekve) Senkulpaj spektantoj ĉiuj konsentas ke ĝi estas BONE aliĝi la DMZan servilon kun la intrareta domajno (Tio ĉi estas POC, Post kiam ĉiuj, Ne produktada solvo).

Infrastruktura ulo eniras volvi aferojn supre. Ĉi tiu tempo ni sukcese pasas tra la la moderna-tago gauntlet ame sciita kiel la "SharePoint Konfiguracia Sorĉisto." Ni havas peek en centra administro kaj … Yee haw! … DMZa servilo estas enlistigita en la bieno. Ni rigardas malgrandan pli proksima kaj konscias nin rompis malfermi la Champaign akaro mordis frue. WSSaj servoj estas senmoviĝita en "komencanta" Statuso.

Longa rakonto mallonga, Ĝi rezultas ke ni forgesis ŝanĝi la identecon de la serva konto tra centra administro de la originala loka konto al la nova domajna konto. Ni faris tion, Re-kuris la konfiguracian sorĉiston kaj voila! Ni estis en komerco.

</Fino>

Aboni al mia blogo.

Technorati Etikedoj:

5 pensoj pri "MUSKO Malgranda Biena Instalaĵo kaj Konfiguracia Milito Rakonto

  1. Cimares
    Ĝi estas perfekte bone havi vian SQL en malsama Vlan/subnet ol via WFEs. Fakte ĝi estas rekomendita, Post kiam ĉiuj kiel menciita antaŭe, Kio Sekureca fakulo estas iranta lasi vin bastona SQL en la dmz? La rekomendo estas ke via SQLa trafiko faras NOT uzas la samajn fasadajn kartojn kiel la uzanta trafiko, Tamen eĉ ĉi tiu konekto povas pas tra firewall por suplementa protekto.
    La restrikto rilatita al multobla WFEs en biena medio rilatas al se vi estas uzanta Microsoft ŝarĝo ekvilibriganta, Tiam ĉi tiuj devas ĉiujn esti en la sama VLan.
    Respondo
  2. Paul

    Mi preskaŭ povas venki vian SSLan atestan aferon. Ni havis ĉion kreita kaj estis preta etendi la araneaĵon app kun SSL (Tiam redirekti havenon 80 En IIS). La administranto havis .Cer registras pretan iri. Sed NENIU de la elektoj aŭ freneza contortions apliki ĝin en IIS laboros–La ejo ĉiam montras malplenan paĝon kiel la eja kolekto ne ekzistas.

    Post kiam multe da pafbruanta de kapoj, Ni lernis tion ĉi estis kaŭzita de la cert petas ne venanta de tiu servilo. La administranto simple Demandita Por cert kaj estis retpoŝtigita la rezultintan ŝlosilon. Kun neniu privata ŝlosilo, La SSLa tunelo ne povus akiri konstruita inter la WFE kaj la retumilo. Ni malŝparis 1/2 Tago sur tio.

    Respondo
  3. Christian skribis:
    Tre interesa! Mi tre dubas ke ĝi ne devus esti subtenita gastigi la WFE-a en unu VLANa/DMZ kaj APPa/SQL en alia VLANa/DMZ.
    La TechNet artikoloj pri Subtenis Extranet scenaroj Ne havas ajnajn rezervadojn, Aŭ – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, Do mi sincere esperas la F-inon akiris ĝin malĝuste.
    Povas vin ellaboras sur kio devus esti la problemo kun kraĉanta la konfiguracion? Elfaro rezonadas nur? Aŭ faras ilin fakte signifi ke la WFE-a Devus esti sur la sama VLANa/DMZ? Kiu farus pli da sento al mi.
    Sincere,
    Kristana
    Respondo
  4. Paul Galvin
    Tio estas tre bona demando.
    Ni estas spurantaj tre proksime al la F-ina dokumentaro, Do mi ne povas imagi kiel ilin rifuzus subteni ĝin. Kiu diris, Mi ne estas infrastruktura persono, Do ĝi estas ebla ke mi estas fitraktanta terminojn en mia poŝto.
    Kiel mi komprenas ĝin, La ĝusta alproksimiĝo estas havi (Almenaŭ) Du ADaj domajnoj. Unu interna domajno kaj unu en la perimetra reto. La AD de la perimetro reto havus "limhavan fidon" Interrilato kun la interna AD.
    But you probably already know all that 🙂
    Malsupra linio, Mi surmetas?? Scias. Ni ne ricevis aŭ rigardo rekte al Microsoft por gvido sur ĉi tiu unu.
    –Paul G
    Respondo
  5. Tom Dietz
    Estas ĉi tiu konfiguracio subtenis? Ĉe la SharePoint Konferenco en Seatlo en marto, Mi estis babilanta kun kelkaj Microsoft Inĝenieroj kaj ili diris ke subtenita konfiguraciojn ne permesas WFEs transiri VLANs aŭ routers. Mi supozas ke pro tio ke la WFE estas en DMZ, Ĝi estas transiranta iun specon de firewall/router aŭ estas en ĝia propra VLAN.
    Tiel resume la DB kaj WFE/App Serviloj ĉiuj devi esti sur la sama VLAN.
    Ili estis vere malcedemaj pri tio ĉi–Ĝi estas efektive glitejo en la ‘Geografia’ Deploja sesio se vi havas aliron al la ferdeko.
    Mi legis TechNet artikoloj kiu ilustras ekzemplajn konfiguraciojn kiu kontraŭdiras iliajn komunikaĵojn, Sed la F-inaj uloj resume dirita ke TechNet estas malĝuste.
    Respondo

Lasi Respondon al Paul Galvin Nuligi respondon

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita *