هذا الأسبوع, لقد كافحت قليلاً مع زملائي في الفريق للحصول على موس مثبت في تكتل اثنين بسيطة. وقد مرت عليه, ليس لدى مزيد من تقدير لتلك الأنواع من مشاكل الناس التقرير في منتديات MSDN وفي أماكن أخرى.
تكوين مزرعة النهائي:
- WFE SQL/الفهرس/الإنترانت داخل جدار الحماية.
- WFE في المنطقة المنزوعة السلاح.
- نوعا من جدار حماية بين المنطقة المنزوعة السلاح وداخلي في الملقم.
قبل أن نبدأ المشروع, نسمح للعميل معرفة المنافذ التي بحاجة إلى أن تكون مفتوحة. وخلال الأخذ والعطاء, ذهابا وإيابا أكثر من ذلك, قلنا ابدأ صراحة أمرين هامين:
- SSL يعني أنك تحتاج إلى شهادة.
- يجب أن يكون الملقم المنطقة المجردة من السلاح جزءا من مجال.
يوم واحد, ونحن أظهرت لتثبيت موس وعلمت أن لم أكن قد تم إنشاء حسابات المجال لقاعدة البيانات، والمعايير الأمنية التنفيذية الدنيا. لتحريك الأمور على طول, لقد ذهبت إلى الأمام وتثبيت كل شيء مع حساب محلي على ملقم إنترانت.
عند هذه النقطة, فقد اكتشفنا الارتباك على شهادة SSL و, ومن المحزن, وقررت أن يكون لدينا البنية التحتية الرجل يعود في وقت لاحق من هذا الأسبوع لمتابعة تثبيت الملقم المنطقة المجردة من السلاح. وفي الوقت نفسه, نحن مهندسي الحل قدما مع الأشياء التجارية.
يمر عطلة نهاية أسبوع والعميل يحصل على الشهادة.
لدينا البنية التحتية الرجل يظهر ويكتشف أن الملقم المنطقة المجردة من السلاح لا يكون منضماً إلى أي مجال (أما في مجال محيط ذو ثقة محدودة أو المجال إنترانت). نحن إهدار ما يقرب 1/2 اليوم على أن. وإذا لم أكن قد تركنا شهادة SSL مفقود تعثر لنا, أن اكتشفنا هذا في وقت سابق. أوه جيدا….
يمر يوم آخر ومختلف اللجان الأمنية, الأطراف المهتمة و (غير ذلك) المارة الأبرياء جميع نتفق على أنه من "موافق" للانضمام إلى الملقم المنطقة المجردة من السلاح مع المجال إنترانت (وهذا هو الجسيمي, بعد كل ذلك, ليس حلاً الإنتاج).
يأتي الرجل البنية التحتية في إنهاء الأمور. هذه المرة نحن يمر بنجاح القفاز العصر الحديث بمودة المعروفة باسم "معالج تكوين SharePoint." لدينا نظرة خاطفة في الإدارة المركزية و … يي الزعرورة! … يتم سرد ملقم المنطقة المجردة من السلاح في المزرعة. أننا ننظر قليلاً أوثق، وندرك أننا كسر فتح الشمبانيا قليلاً سوس أوائل. خدمات WSS عالق في "بدءاً من" مركز.
قصة قصيرة طويلة, اتضح أن نسينا لتغيير هوية حساب الخدمة عن طريق الإدارة المركزية من الحساب المحلي الأصلي إلى حساب مجال جديد. أننا فعلنا ذلك, إعادة ركض معالج التكوين وويلا! وقد كنا في الأعمال التجارية.
</نهاية>
أنا يمكن أن تغلب تقريبا مشكلتك شهادة SSL. نحن كان كل شيء تم إنشاؤها وكانوا على استعداد لتوسيع تطبيق ويب باستخدام SSL (قم بإعادة توجيه منفذ 80 في IIS). وكان المسؤول ملف.cer مستعدة للذهاب. ولكن أيا من الخيارات أو الالتواءات مجنون لتطبيقه في IIS سوف تعمل–يعرض الموقع دائماً صفحة فارغة مثل مجموعة الموقع غير موجود.
بعد ضجيجا كثير من رؤساء, تعلمنا أن هذا ناجم عن طلب الشهادة لا يأتي من هذا الخادم. مدير البرنامج ببساطة وطلب سيرت وكان عبر البريد الإلكتروني الرئيسية الناتجة عن ذلك. مع لا مفتاح خاص, لا تحصل على بناء نفق SSL بين WFE في المستعرض. لقد اهدر 1/2 اليوم على أن.