Ĉi tiu semajno, Mi luktis iom kun mia teamo akiri MUSKON instalita en simpla du-servila bieno. Iris tra ĝi, Mi havas pli grandan dankecon por la specoj de problemaj homoj raporto sur la MSDNaj forumoj kaj aliloke.
La fina biena konfiguracio:
- SQLa/Indekso/Intrareta WFE en la firewall.
- WFE en la DMZ.
- Iu speco de firewall inter la DMZ kaj la interna servilo.
Antaŭ ol ni komencis la projekton, Ni lasis la klienton scias kiun havenoj devita esti turniro. Dum la doni kaj preni, Malantaŭa kaj antaŭen super tio, Ni neniam eksplicite diris du gravajn aferojn:
- SSL signifas vin devas ateston.
- La DMZa servilo devas esti parto de domajno.
Tage unu, Ni aperis instali MUSKON kaj lernis ke la domajnaj kontoj por datumaro kaj MUSKO ne estis kreita. Movi aferojn laŭ, Ni iris antaŭen kaj instalis ĉion kun loka konto sur la intrareta servilo.
Ĉe ĉi tiu punkto, Ni eltrovis la konfuzon super la SSLa atesto kaj, Bedaŭrinde, Decidita havi nian infrastrukturan ulon revenita poste ke semajno daŭri instalanta la DMZan servilon. En la malbona tempo, Ni solvaj arkitektoj movis antaŭen kun la komerca aĵo.
Semajnfino iras de kaj la kliento akiras la ateston.
Nia infrastruktura ulo aperas kaj eltrovas ke la DMZa servilo ne estas aliĝita al ajna domajno (Aŭ perimetra domajno kun limhava fido aŭ la intrareta domajno). Ni malŝparis preskaŭ 1/2 Tago sur tio. Se ni ne lasis la forestantan SSLan ateston bog ni malsupren, Ni estus eltrovinta ĉi tiun pli fruan. Oh puto….
aliaj tagaj transludoj kaj la diversaj sekurecaj komitatoj, Interesita partiojn kaj (Ne sekve) Senkulpaj spektantoj ĉiuj konsentas ke ĝi estas BONE aliĝi la DMZan servilon kun la intrareta domajno (Tio ĉi estas POC, Post kiam ĉiuj, Ne produktada solvo).
Infrastruktura ulo eniras volvi aferojn supre. Ĉi tiu tempo ni sukcese pasas tra la la moderna-tago gauntlet ame sciita kiel la "SharePoint Konfiguracia Sorĉisto." Ni havas peek en centra administro kaj … Yee haw! … DMZa servilo estas enlistigita en la bieno. Ni rigardas malgrandan pli proksima kaj konscias nin rompis malfermi la Champaign akaro mordis frue. WSSaj servoj estas senmoviĝita en "komencanta" Statuso.
Longa rakonto mallonga, Ĝi rezultas ke ni forgesis ŝanĝi la identecon de la serva konto tra centra administro de la originala loka konto al la nova domajna konto. Ni faris tion, Re-kuris la konfiguracian sorĉiston kaj voila! Ni estis en komerco.
</Fino>
Mi preskaŭ povas venki vian SSLan atestan aferon. Ni havis ĉion kreita kaj estis preta etendi la araneaĵon app kun SSL (Tiam redirekti havenon 80 En IIS). La administranto havis .Cer registras pretan iri. Sed NENIU de la elektoj aŭ freneza contortions apliki ĝin en IIS laboros–La ejo ĉiam montras malplenan paĝon kiel la eja kolekto ne ekzistas.
Post kiam multe da pafbruanta de kapoj, Ni lernis tion ĉi estis kaŭzita de la cert petas ne venanta de tiu servilo. La administranto simple Demandita Por cert kaj estis retpoŝtigita la rezultintan ŝlosilon. Kun neniu privata ŝlosilo, La SSLa tunelo ne povus akiri konstruita inter la WFE kaj la retumilo. Ni malŝparis 1/2 Tago sur tio.