สัปดาห์นี้, ฉันได้ต่อสู้เล็กน้อยพร้อมทีมงานของฉันไปมอสองเซิร์ฟเวอร์ฟาร์มเรื่องการติดตั้ง. ไม่ผ่านมันไปแล้ว, มีเพิ่มมากขึ้นสำหรับชนิดของรายงานปัญหาคน ในฟอรั่ม MSDN และอื่น ๆ.
การกำหนดค่าฟาร์มขั้นสุดท้าย:
- WFE SQL/ดัชนี/อินทราเน็ต ภายในไฟร์วอลล์.
- WFE ใน DMZ.
- บางชนิดของไฟร์วอลล์ DMZ และเซิร์ฟเวอร์ภายใน.
ก่อนที่เราเริ่มต้นโครงการ, เราแจ้งให้ลูกค้าทราบว่าต้องเปิดพอร์ตใด. ในระหว่างการใช้และให้, และกลับไปที่, เรากล่าวว่า สิ่งสำคัญสองอย่างไม่ชัดเจน:
- SSL หมายความว่า คุณต้องการใบรับรอง.
- เซิร์ฟเวอร์ DMZ ต้องเป็นส่วนหนึ่งของโดเมน.
วันหนึ่ง, เราพบว่าค่าการติดตั้งมอ และเรียนรู้ว่า ไม่ได้สร้างบัญชีโดเมนสำหรับฐานข้อมูลและมอสส์. การย้ายสิ่งต่าง ๆ ไปตาม, เราไปข้างหน้า และติดตั้งทุกบัญชีท้องถิ่นบนเซิร์ฟเวอร์อินทราเน็ต.
ณ จุดนี้, เราพบความสับสนมากกว่าใบรับรอง SSL และ, เศร้า, ตัดสินใจที่จะมีคนโครงสร้างพื้นฐานของเรากลับมาในภายหลังสัปดาห์ที่ดำเนินการติดตั้งเซิร์ฟเวอร์ DMZ. ในเวลาเฉลี่ย, สถาปนิกโซลูชันของเราย้ายไปข้างหน้ากับสิ่งธุรกิจ.
วันผ่านไป และลูกค้าได้รับใบรับรอง.
คนโครงสร้างพื้นฐานของเราแสดงขึ้น และตรวจพบว่า เซิร์ฟเวอร์ DMZ ไม่ได้เข้าร่วมกับโดเมนใด ๆ (โดเมนในขอบเขต ด้วยความเชื่อถือที่จำกัดหรือโดเมนของอินทราเน็ต). เราเสียเกือบเป็น 1/2 วันในที่. ถ้าเราไม่ได้ให้ใบรับรอง SSL ไม่ bog เราลง, เราจะพบนี้ก่อนหน้านี้. โอ้ ดี….
ผ่านไปอีกวันและคณะกรรมการความปลอดภัยต่าง ๆ, สนใจบุคคล และ (ไม่ใช่) bystanders บริสุทธิ์ทั้งหมดยอมรับว่า มันก็โอเคเข้าเซิร์ฟเวอร์ DMZ กับโดเมนของอินทราเน็ต (นี่คือการ POC, ท้ายที่สุด, ไม่แก้ปัญหาการผลิต).
โครงสร้างผู้ชายมาจบเรื่อง. เวลานี้เราประสบความสำเร็จผ่านการ gauntlet สมัยที่เรียกว่าเสน่หา "SharePoint กำหนดค่าตัวช่วยสร้างการ" เราได้มองในดูแลจากศูนย์กลาง และ … ยี่ฮ่อ! … DMZ server อยู่ในฟาร์ม. เราดูใกล้ชิดน้อย และตระหนักถึงเรายากจนเปิดแชมเพนบิตไรก่อน. บริการ WSS ติดอยู่ในการ "เริ่มต้น" สถานะ.
เรื่องสั้นยาว, มันเปิดออกให้เราลืมที่จะเปลี่ยนแปลงข้อมูลประจำตัวของบัญชีผู้ใช้บริการผ่านการดูแลจากศูนย์กลางจากบัญชีเดิมของเครื่องกับบัญชีโดเมนใหม่. เราไม่ว่า, การรันวิซาร์ดการตั้งค่าคอนฟิก และ voila! เราอยู่ในธุรกิจ.
</สิ้นสุด>
ฉันเกือบจะสามารถเอาชนะปัญหาของใบรับรอง SSL. เรามีทุกอย่างที่สร้าง และมีความพร้อมที่จะขยายโปรแกรมประยุกต์เว็บด้วย (แล้ว เปลี่ยนเส้นทางพอร์ต 80 ใน IIS). ผู้ดูแลระบบมีแฟ้ม.cer พร้อมที่จะไป. แต่ไม่มีตัวเลือกหรือบ้า contortions เพื่อใช้ใน IIS จะทำงาน–ไซต์แสดงหน้าเปล่าเช่นไซต์คอลเลกชันไม่มีอยู่.
หลังมากพวกหัว, เราได้เรียนรู้นี้ที่เกิดจากการร้องขอใบรับรองที่ไม่ได้มาจากเซิร์ฟเวอร์. ผู้ดูแลระบบเพียง ถาม ในการใบรับรอง และได้ส่งอีเมลคีย์ได้. ไม่มีคีย์ส่วนตัว, ไม่ได้สร้างอุโมงค์ SSL ระหว่าง WFE และเบราว์เซอร์. เราสูญเสีย 1/2 วันในที่.