Tento týden, Trochu jsem bojoval se svým týmem, aby si MOSS nainstalován v jednoduché dvou serverové farmy. S prošla, Mám větší uznání za problémy lidí zprávy na fóra MSDN a jinde.
Konfigurace konečné farmy:
- SQL/Index/Intranet WFE uvnitř brány firewall.
- WFE v DMZ.
- Nějaký druh brány firewall mezi DMZ a interní server.
Než jsme začali projekt, Nechali jsme klient vědět, porty, které musí být otevřené. Během dávat a brát, a zpět nad, Řekli jsme nikdy výslovně dvě důležité věci:
- SSL znamená, že potřebujete certifikát.
- DMZ server musí být součástí domény.
Den první, k instalaci MOSS se objevil a zjistil, že nebyl vytvořen doménové účty pro databáze a MOSS. Přesunout věci, jsme šli dopředu a nainstaloval všechno s místním účtem na serveru sítě intranet.
V tomto okamžiku, zjistili jsme, že zmatek nad SSL certifikát a, Bohužel, rozhodl se, že náš člověk infrastruktury vrátit později tento týden pokračovat v instalaci serveru DMZ. V střední čas, Jsme architekti řešení pohnula s obchodními stuff.
Jde o víkendu a klient obdrží certifikát.
Naše infrastruktura chlap objeví a zjistí, že DMZ server není připojen k žádné doméně (obvodové doménu s omezenou důvěru nebo domény sítě intranet). Promarnili jsme téměř 1/2 den na to. Pokud jsme nenechali nás zabořit chybějící certifikát SSL, by jsme to zjistili dříve. Oh dobře….
Další den projde a různé bezpečnostní výbory, zúčastněné strany a (není to tak) Nevinní přihlížející všichni shodují, že je OK zapište DMZ server s domény sítě intranet (To je POC, Koneckonců, není výrobní řešení).
Infrastruktury prisel zabalit věci. Tentokrát jsme úspěšně projít moderní denní rukavici, laskavě známý jako "Průvodce konfigurací služby SharePoint." Jsme se podívat v centrální správě a … Yee haw! … DMZ server je uveden v serverové farmě. Jsme trochu pozorněji a uvědomit si, že jsme rozbila Champaign trochu roztoč brzy. Služba WSS se zasekl v "začíná" stav.
Dlouhý příběh krátký, ukazuje se, že jsme zapomněli změnit identitu účtu služby prostřednictvím Centrální správa z původního místního účtu na nový účet domény. Když jsme to dělali, znovu spuštěn Průvodce konfigurací a voila! Byli jsme v podnikání.
</Konec>
Téměř nemůže porazit své vydání certifikátu SSL. Jsme měli všechno, co vytvořili a byli připraveni rozšířit webové aplikace pomocí SSL (pak přesměrování portu 80 v rámci služby IIS). Správce měl soubor CER, který je připraven jít. Ale žádná z možností nebo crazy zkřivení aplikovat v IIS bude fungovat–místo vždy zobrazí prázdnou stránku jako kolekci webů neexistuje..
Po mnoho bouchání hlav, jsme se dozvěděli, že příčinou žádosti certifikát není z tohoto serveru. Správce jednoduše zeptal se pro jeden jakýsi a byl výsledný klíč e-mailem. Bez soukromého klíče, tunelové propojení SSL nelze získat postaven mezi WFE a prohlížeč. Promarnili jsme 1/2 den na to.