Тази седмица, Аз съм се борят малко с моя екип да получите Мос, инсталирани в една проста две сървърна група. След като преминали през него, Имам по-голяма благодарност за вида на проблеми хората доклад на форумите на MSDN и другаде.
Конфигурацията на крайната ферма:
- SQL/индекс/интранет WFE вътре в защитната стена.
- WFE в DMZ.
- Някаква защитна стена между DMZ и вътрешния сървър.
Преди да започнем проекта, Ние нека клиентът знае кои пристанища трябва да бъдат отворени. По време на даване и получаване, назад и напред през този, Ние никога не изрично каза две важни неща:
- SSL означава ви трябва сертификат.
- DMZ сървърът трябва да бъде част от домейн.
Един ден, Ние се появи да инсталират МЪХА и научих, че не е бил създаден акаунтите на домейна за база данни и Мос. За да се движат нещата напред, Ние went напред и настанявам всичко с локален акаунт на сървър, интранет.
В този момент, открихме объркване през SSL сертификата и, за съжаление, решихме да нашия инфраструктура човек се върне по-късно тази седмица да продължите с инсталирането на DMZ сървъра. Междувременно, Ние разтвор архитекти преместени напред с бизнес неща.
Един уикенд течение и клиента получава сертификат.
Нашата инфраструктура човек показва и открива, че DMZ сървърът не е присъединен към домейн (периметър домейн с ограничено доверие или домейн интранет). Ние губи почти 1/2 деня, в който. Ако не оставим липсващите SSL сертификата ни блато, Ние ще са открили това по-рано. О добре….
Друг ден преминава и различните комитети, сигурност, заинтересовани страни и (не е така) невинни минувачи всички са съгласни, че това е ОК, за да се присъединят в DMZ сървър с домейна на интранет (Това е Рос, Все пак, не на производството решение).
Инфраструктурата човек идва, за да приключи нещата. Този път, ние успешно преминават през съвременните ръкавицата предано, известна като "съветника за конфигуриране на SharePoint." Ние имаме един поглед в централното администриране and … Иии haw! … DMZ сървър е в списъка в земеделското стопанство. Ние изглежда малко по-близо и реализира Скъсахме отворен Шампейн акар малко рано. ВиК услуги се заби в "Начална" статус.
Дълга история кратко, Оказва се, че сме забравили да промените самоличността на акаунта на услугата чрез централната администрация от оригиналния мастен сметка към новия домейн акаунт. Ние го направихме, отново се завтече на съветника за конфигуриране и готово! Ние бяхме в бизнеса.
</край>
Аз почти може да победи си SSL сертификат за издаване. Имахме всичко, създадено и са готови за разширяване на уеб ап с SSL (след това пренасочване на порт 80 в IIS). Администраторът е .cer файл готов да отида. Но нито една от опциите или луд contortions да го прилагат в IIS ще работи–Сайтът винаги показва празна страница като колекцията не съществува.
След много чука на глави, научихме, че това е причинено от cert искането не идва от този сървър. Администраторът просто попита за сигурен и е изпратена получения ключ. С никакъв частен ключ, SSL тунел може да не получите построен между WFE и на браузъра. Ние губи 1/2 деня, в който.