Denne uken, Jeg har slitt litt med mitt lag å få MOSS installert i en enkel to-serverfarm. Etter å ha gått gjennom den, Jeg har en større forståelse for slags problemer folk rapport på MSDN-foraene og andre steder.
Den endelige farmkonfigurasjonen:
- SQL/Index/intranett WFE innenfor brannmuren.
- WFE i DMZ.
- En slags brannmuren mellom DMZ og den interne serveren.
Før vi startet prosjektet, Vi lar klienten vet hvilke porter måtte være åpne. Under gi og ta, frem og tilbake over som, vi sa aldri uttrykkelig to viktige ting:
- SSL betyr at du trenger et sertifikat.
- DMZ server må være del av et domene.
Dag én, Vi møtte opp for å installere MOSS og lært at domenekontoene for database og MOSS hadde opprettet. Å flytte ting sammen, Vi gikk foran og installert alt med en lokal konto på intranett-server.
På dette punktet, Vi oppdaget forvirring over SSL-sertifikatet og, Dessverre, besluttet å ha vår infrastruktur fyr komme tilbake senere denne uken fortsette installasjonen DMZ server. I mellomtiden, Vi løsning arkitekter flyttet frem med forretningsområder ting.
En helg går, og klienten får sertifikatet.
Vår infrastruktur fyr dukker opp og oppdager at DMZ server ikke er med i noe domene (enten en perimeterdomenekontrolleren med begrenset tillit eller intranett-domene). Vi kastet bort nesten en 1/2 dag på som. Hvis vi ikke hadde lar mangler SSL-sertifikatet knele oss, Vi hadde oppdaget dette tidligere. Nåvel….
En annen dag, passerer og de ulike sikkerhet-komiteene, interesserte parter og (ikke så) uskyldige tilskuere alle enige om at det er OK å delta DMZ server med intranett-domene (Dette er en POC, når alt kommer til alt, ikke en produksjon-løsning).
Infrastruktur fyr kommer inn å bryte ting opp.. Denne gangen vi kunne passere gjennom den moderne gapestokk kjærlig kjent som "konfigurasjonsveiviseren for SharePoint." Vi har en titt i Sentraladministrasjon og … Yee haw! … DMZ-serveren er oppført i farmen. Vi se litt nærmere og innser vi brøt åpen Champaign litt midd tidlig. WSS tjenester er fast i en "starter" status.
Lang historie kort, Det viser seg at vi glemte å endre identiteten til tjenestekontoen via Sentraladministrasjon fra den opprinnelige lokale kontoen til nye domenekontoen. Vi gjorde det, re-løp konfigurasjonsveiviseren og voila! Vi var i virksomhet.
</slutten>
Jeg kan nesten slå SSL sertifikat problemet. Vi hadde alt opprettet og var klar til å utvide webprogrammet med SSL (Omdiriger deretter porten 80 i IIS). Administratoren hadde en CER-filen klar til å gå. Men ingen alternativer eller gal contortions bruke den i IIS fungerer–nettstedet viser alltid en tom side som områdesamlingen ikke finnes.
Etter mye banging av hoder, vi lærte Dette skyldtes cert forespørselen ikke kommer fra serveren. Administratoren bare spurte for en cert og ble sendt nøkkelen. Med ingen privat nøkkel, SSL-tunnel kunne ikke får bygget mellom WFE og leseren. Vi kastet bort 1/2 dag på som.