Diese Woche, Ich habe ein bisschen mit meinem Team MOSS in einer einfachen zwei-Serverfarm installiert bekommen kämpfte.. Durch es gegangen, Ich habe eine größere Wertschätzung für die Arten von Problemen Menschen Bericht auf den MSDN-Foren und anderswo.
Die endgültige Farmkonfiguration:
- SQL/Index/Intranet WFE innerhalb der firewall.
- WFE in der DMZ.
- Eine Art von Firewall zwischen DMZ und dem internen server.
Bevor wir das Projekt gestartet, wir damit der Client weiß, welche Ports geöffnet sein musste. Während das geben und nehmen, hin und her über die, Wir sagten nie explizit zwei wichtige Dinge:
- SSL bedeutet, dass Sie ein Zertifikat.
- Der DMZ-Server muss Teil einer Domäne sein..
Tag eins, Wir installieren MOSS auftauchte und gelernt, dass die Domänenkonten für Datenbank und MOSS erstellt wurde, hatte nicht. Um die Dinge bewegen sich entlang, Wir gingen voran und alles mit einem lokalen Konto auf dem Intranetserver installiert.
An diesem Punkt, Wir entdeckten die Verwirrung über das SSL-Zertifikat und, Leider, beschlossen, unsere Infrastruktur-Kerl wieder später in dieser Woche kommen weiterhin den DMZ-Server installieren. In der Zwischenzeit, zogen wir Lösungsarchitekten voran mit dem Geschäft.
Ein Wochenende vergeht und der Client erhält das Zertifikat.
Unsere Infrastruktur Kerl auftaucht und entdeckt, dass der DMZ-Server keiner Domäne nicht beigetreten ist (entweder einer Umkreisdomäne mit begrenztes Vertrauen oder den Intranetdomäne). Wir verloren fast ein 1/2 Tag darauf. Wenn wir das fehlende SSL-Zertifikat, das uns bog lassen hatte nicht, Wir würden dies früher entdeckt haben. Na ja….
Ein weiterer Tageskarten und der verschiedenen Ausschüsse für Sicherheit, interessierten Parteien und (nicht so) Alle unbeteiligte Zuschauer einig, dass es OK, um den DMZ-Server mit der Intranetdomäne beitreten (Dies ist ein POC, Letztendlich, keine Lösung).
Infrastruktur-Mann kommt in Sachen einpacken. Diesmal erfolgreich durchlaufen die heutigen Gauntlet liebevoll bekannt als "SharePoint-Konfigurations-Assistenten." Wir haben einen Blick in der Zentraladministration und … Yee-haw! … DMZ-Server in der Farm aufgeführt. Wir schauen ein wenig näher und erkennen, dass wir offen die Champaign Milbe etwas früh brach. WSS-Dienstleistungen steckt einer "starten" Status.
Lange Rede, kurzer Sinn, Es stellt sich heraus, dass wir vergessen haben, um die Identität des Dienstkontos über zentrale Administration aus dem ursprünglichen lokalen Konto auf das neue Domänenkonto ändern. Wir haben das, ließ den Konfigurations-Assistenten und voila! Wir waren im Geschäft.
</Ende>
Ich kann fast schlagen Ihr SSL-Zertifikat-Problem. Wir hatten alles erstellt und waren bereit, die Web-app mit SSL zu erweitern (leiten Sie anschließend port 80 in IIS). Der Administrator hatte eine CER-Datei bereit zu gehen. Aber keine der Optionen oder verrückte Verrenkungen in IIS Anwendung funktioniert–die Website zeigt immer eine leere Seite wie die Websitesammlung nicht vorhanden.
Nach viel schlagen Köpfe, Wir haben gelernt, dass die Ursache hierfür war der Zertifikat-Anforderung, die nicht von diesem Server kommen. Der Administrator einfach fragte für ein Cert und war den resultierenden Schlüssel per e-Mail. Mit keinen privaten Schlüssel, der SSL-Tunnel könnte nicht zwischen der WFE und dem Browser gebaut werden. Wir verloren 1/2 Tag darauf.