În această săptămână, M-am luptat un pic cu echipa mea pentru a obţine MOSS instalat într-o fermă de două-server simplu. Au trecut prin aceasta, Am o apreciere mai mare pentru tipurile de probleme oamenii raport pe forumuri MSDN şi în altă parte.
Configuraţia finală ferma:
- Index/SQL/Intranet WFE în interiorul firewall.
- WFE în DMZ.
- Un fel de paravan de protecţie între DMZ şi serverul de interne.
Înainte de a am inceput proiectul, lăsăm clientul ştiţi care porturile necesare pentru a fi deschise. În timpul dea şi să ia, înainte şi înapoi peste faptul că, noi niciodată în mod explicit a spus două lucruri importante:
- SSL înseamnă aveţi nevoie de un certificat de.
- DMZ server trebuie să fie parte a unui domeniu.
O zi, am aparut pentru a instala MOSS şi am învăţat că în conturile de domeniu pentru baza de date şi muşchi nu au fost create. Pentru a muta lucruri de-a lungul, am mers înainte şi a instalat totul cu un cont local pe intranet server.
La acest punct, am descoperit confuzia peste certificat SSL şi, din păcate, a decis să aibă tipul nostru infrastructura reveni mai târziu în această săptămână pentru a continua instalarea DMZ server. În acelaşi timp, avem solutia arhitecti mutat înainte cu chestii de afaceri.
Un week-end merge şi clientul obţine certificatul.
Tipul nostru de infrastructură prezinta-te şi descoperă că DMZ server nu este asociat orice domeniu (fie un domeniu de perimetru cu încredere limitat sau domeniul intranetul). Am pierdut aproape o 1/2 Ziua pe care. Dacă noi nu au lasa Certificatul SSL lipsesc ne incarca, ar am descoperit acest lucru mai devreme. Oh bine….
O altă zi trece şi de diferitele comitete de securitate, părțile interesate și (nu asa) trecătorilor nevinovaţi toate de acord că este OK să se alăture server DMZ cu domeniul intranetul (Aceasta este o POC, la urma urmei, nu o soluţie de producţie).
Infrastructura tip vine la înveli lucruri. De această dată vom trece cu succes prin provocarea modern-zi cu afecţiune cunoscută ca "expertul configurare SharePoint." Avem o incursiune în administraţia centrală şi … Yee haw! … DMZ serverul este listat în fermă. Ne uităm un pic mai aproape şi dau seama am rupt deschis Champaign un pic acarianul devreme. Serviciilor AAC este blocat într-o "incepand de" statutul.
Poveste lungă scurt, se pare că am uitat să schimbe identitatea la contul de serviciu prin intermediul administraţiei centrale din contul locale originale în noul cont de domeniu. Am făcut acest, re-fugit din Expertul de configurare şi voila! Am fost în afaceri.
</scop>
Eu pot bate aproape certificat SSL problema. Am avut tot ce a creat şi au fost gata să se extindă app web cu SSL (apoi atunci redirect portul 80 în IIS). Administratorul a avut un fişier .cer gata să meargă. Dar nici una dintre opţiuni sau contorsiuni nebun să-l aplice în IIS va funcţiona–site-ul afişează întotdeauna o pagină goală ca o colecţie de site-ul nu exista.
După mult trage de capete, am aflat acest lucru a fost cauzat de cererea cert nu vine de la acel server. Administratorul pur şi simplu întrebat pentru un cert şi a fost prin e-mail-cheie rezultând. Cu nici o cheie privată, Tunelul SSL nu ar putea obţine construit între WFE şi browser-ul. Am pierdut 1/2 Ziua pe care.