Tuần này, Tôi đã vật lộn một chút với đội của tôi để có được MOSS được cài đặt trong một trang trại máy chủ hai đơn giản. Có đi qua nó, Tôi có một sự đánh giá cao hơn cho các loại vấn đề người báo cáo trên diễn đàn MSDN và các nơi khác.
Cấu hình cuối cùng trang trại:
- WFE SQL/Index/mạng nội bộ bên trong các bức tường lửa.
- WFE trong DMZ.
- Một số loại tường lửa giữa DMZ và máy chủ nội bộ.
Trước khi chúng tôi bắt đầu dự án, chúng tôi cho khách hàng biết những cổng cần thiết để được mở. Trong thời gian cho và nhận, trở lại và ra trên đó, chúng tôi không bao giờ rõ ràng cho biết hai điều quan trọng:
- SSL có nghĩa là bạn cần một chứng chỉ.
- DMZ máy chủ phải là một phần của một tên miền.
Một ngày, chúng tôi đã cho thấy để cài đặt MOSS và đã học được rằng các tài khoản tên miền cho cơ sở dữ liệu và MOSS đã không được tạo ra. Để di chuyển những thứ, chúng tôi đã đi trước và cài đặt tất cả mọi thứ với một tài khoản địa phương trên máy chủ mạng nội bộ.
Tại thời điểm này, chúng tôi phát hiện ra sự nhầm lẫn trong giấy chứng nhận SSL và, đáng buồn, quyết định có guy cơ sở hạ tầng của chúng tôi trở lại sau này trong tuần đó để tiếp tục cài đặt máy chủ DMZ. Trong lúc này, chúng tôi kiến trúc sư giải pháp di chuyển về phía trước với các công cụ kinh doanh.
Một ngày cuối tuần đi theo và khách hàng có được giấy chứng nhận.
Guy cơ sở hạ tầng của chúng tôi cho thấy và phát hiện ra rằng DMZ máy chủ không được tham gia vào bất kỳ tên miền (một tên miền chu vi với niềm tin hạn chế hoặc vùng mạng nội bộ). Chúng tôi lãng phí gần một 1/2 ngày đó. Nếu chúng tôi đã không cho phép thiếu giấy chứng nhận SSL bog chúng tôi xuống, chúng tôi sẽ có phát hiện điều này trước đó. Oh, cũng….
Một ngày đi và Ủy ban an ninh khác nhau, quan tâm đến bên và (không phải như vậy) người ngoài vô tội tất cả đồng ý rằng nó là OK để tham gia các DMZ máy chủ với vùng mạng nội bộ (đây là một POC, Cuối cùng, không phải là một giải pháp sản xuất).
Cơ sở hạ tầng chàng có để bọc điều lên. Thời gian này chúng tôi vượt qua các găng sắt ngày trìu mến gọi là "thuật sĩ cấu hình SharePoint." Chúng tôi có một peek trong quản trị Trung ương và … Yee haw! … DMZ máy chủ được liệt kê trong trang trại. Chúng tôi xem xét kỹ hơn một chút và nhận ra chúng tôi đã phá vỡ mở Champaign một chút mite sớm. Dịch vụ WSS mắc kẹt trong một "bắt đầu" tình trạng.
Long câu chuyện ngắn, nó chỉ ra rằng chúng ta quên để thay đổi nhận dạng của tài khoản Dịch vụ thông qua quản trị Trung ương từ tài khoản địa phương ban đầu để các tài khoản tên miền mới. Chúng tôi đã làm điều đó, chạy lại thuật sĩ cấu hình và thì đấy! Chúng tôi đã trong kinh doanh.
</kết thúc>
Tôi gần như có thể đánh bại của bạn vấn đề giấy chứng nhận SSL. Chúng tôi có tất cả những gì tạo ra và đã sẵn sàng để mở rộng các ứng dụng web với SSL (sau đó chuyển hướng port 80 trong IIS). Các quản trị viên đã có một tập tin .cer sẵn sàng để đi. Nhưng không ai trong số các tùy chọn hoặc điên contortions để áp dụng nó theo IIS sẽ làm việc–Các trang web luôn luôn hiển thị một trang trống như bộ sưu tập trang web không tồn tại.
Sau khi nhiều đập thủ trưởng, chúng tôi đã học được điều này là do yêu cầu cert không đến từ máy chủ đó. Các quản trị viên chỉ đơn giản là yêu cầu cho một cert và được gửi qua email cho chính kết quả. Với không có chìa khóa riêng, đường hầm SSL có thể không có được xây dựng giữa WFE và trình duyệt. Chúng tôi lãng phí 1/2 ngày đó.