Tento týždeň, Som trochu bojoval so svojím tímom dostať MOSS inštalované v jednoduchých dvoj-serverovej farmy. Cez to, Mám väčšie uznanie pre typy problémov ľudí správu na fórach MSDN a inde.
Konečné farme konfigurácii:
- SQL/Index/Intranet ECR vnútri brány firewall.
- ECR v DMZ.
- Nejaký firewall medzi DMZ a interný server.
Než sme začali projekt, necháme klienta vedieť, aké porty treba otvoriť. Počas dávania a brania, tam a späť cez to, sme nikdy výslovne povedal dve dôležité veci:
- SSL znamená potrebujete certifikát.
- DMZ server musí byť súčasťou domény.
Jeden deň, ukázal na inštaláciu MOSS a naučil, že doménové kontá pre databázu a MOSS nebola vytvorená. Sa pohybovať sa veci, sme šli napred a inštalované všetko s lokálnym kontom na serveri siete intranet.
V tomto momente, Zistili sme zmätok cez SSL certifikát a, Smutne, rozhodli, že naše infraštruktúry chlap sa vrátil koncom tohto týždňa chcete pokračovať v inštalácii sa DMZ server. Do tej doby, Máme riešenie architektov pohyboval vpred s obchodné veci.
Víkend plynie a klient získa certifikát.
Naša infraštruktúra chlap ukazuje hore a zistí že DMZ server nie je pripojený k žiadnej doméne (obvod doménu s obmedzenej dôveryhodnosti alebo intranetovej domény). Zbytočne sme takmer 1/2 deň na to. Ak necháme nemal chýba SSL certifikát zapadnúť nás, by sme to zistili skôr. No….
Ďalší deň prejde a rôzne bezpečnostné výbory, zainteresované strany a (nie je to tak) nevinných okoloidúcich všetci súhlasiť, že je OK pripojiť DMZ server s doménou intranetu (Toto je POC, napokon, nie je riešenie výroby).
Infraštruktúry chlap príde k zabaliť veci. Tento čas sme úspešne prejsť moderné-dňový rukavicu, oddaný, známe ako "sprievodcu konfiguráciou služby SharePoint." Máme nahliadnuť v centrálnej správe a … Yee haw! … DMZ server je uvedený vo farme. Sme sa pozrieť trochu bližšie a uvedomiť si, sme sa rozišli otvoriť Champaign trochu roztoč čoskoro. Služieb WSS je uviazol v "začína" stav.
Dlhý príbeh krátky, Ukázalo sa, že sme zabudli zmeniť identifikáciu konta služby prostredníctvom centrálnej správy z pôvodných konta lokálneho nové konto domény. Urobili sme, že, Re-bežal sprievodcu konfiguráciou a voila! Boli sme v podnikaní.
</koniec>
Takmer nemôže poraziť SSL certifikátu problém. Sme mali všetko, čo vytvoril a boli pripravení rozšíriť web app s použitím protokolu SSL (potom presmerovať port 80 v službe IIS). Správca mal .cer súbor, ktorý je pripravený ísť. Ale žiadne možnosti alebo blázon skrivenie uplatňovať v IIS bude fungovať–stránky vždy zobrazuje prázdnu stranu ako kolekcia lokalít neexistuje.
Po veľa búchanie hláv, sme sa dozvedeli, to bolo spôsobené certifikátu žiadosť nepríde z tohto servera. Administrátor jednoducho požiadal pre certifikátu a bol e-mailom výsledné kľúč. Bez súkromného kľúča, tunel SSL mohol dostať nepostavili medzi ECR a prehliadač. Sme zbytočne 1/2 deň na to.