Folgende Aufgabenstellung:
Drei Webserver im Heimnetzwerk (oder Firmennetzwerk) sollen im Internet Veröffentlicht werden, soll heißen man soll Websites auf diesen Servern im Internet aufrufen können.
z.B. könnte das so aus sehen.
www.example.com und example.com hosten die Homepage auf Webserver1
exch-cas.example.com hostet das Outlook Web Acces / Die Outlook Web App auf Webserver2
mysite.example.com hostet den Sharepoint Server / Webserver 3
Damit alle Server ereichbar sind besitzen diese eine IP-Addresse. Wir gehen hier von Subnetz 10.0.0.0 /24 aus.
Ferner haben wir einen Router mit (Pseudo) DMZ (z.B. Fritzbox mit Exposed Host) auf Lan 1 (192.168.1.0 /24).
Wir gehen hier der einfachheit halber von einer Statischen IP-Addresse aus (1.1.1.1)
Die DNS Konfiguration ist recht einfach. Man benötigt im Grunde genommen zwei A Records
NS ns1.myhoster.net
NS ns2.myhoster.net
MX 10 mgate1.exampe.com
A example.com 1.1.1.1
A *.example.com 1.1.1.1
Jetzt wo die DNS Zone (umnötige Records wurden endpfernt, müssten aber im Produktiven Betrieb da sein, z.B. SOA, TTL, etc...) können wir das geheimnis lüften was es mit den unterschiedlichen IP-Subnetzen aufsich hat.
Der Router befindet sich gewissermaßen noch im Internet (aus sicht unsees Netzwerks). Da wir ja nur eine IP-Addresse haben (1.1.1.1) aber drei Webserver (oder auch mehr) muss ein anderer Weg gefunden werden.
Hier in diesen Fall kommt einfach DNS als Altanatives Routing zum einsatz. Wir benutzen ein ISA-Server / TMG einfach als Reverse Proxy. Das bedeutet das der ISA-Server im Internet als Webserver auftritt, in warheit lädt dieser aber auch gleichzeitg die Daten von den Server hinten im Backend nach. Also hat man hier eine Klassische Frontend Backend Architektur die natürlich noch verschatelter sein kann (z.B. der Datenbanck (SQL)-Server bei ASP.NET Anwendungen und den oen erwöhnten Sharepoint^^).
Jetzt wird für jede Seite einfach eine "Veröffentlichung" erstellt Beim ersten Anlegen einer Seite muss gleich noch das Socket erstellt werden, das ist ein sogenannter Weblistner. Da kann man auch gleich ein SSL-Zertifikat hinterlegen (Achtung 1 je Weblistner, und ein Weblistner je IP. Also sollte man ein Wildcard oder SAN Zertifikat nehmen^^, eventuell lassen sich diese beiden tricks ja auch kombinieren, ist aber aufrund unterschiedlicher SSL-Implementierungen nicht zu empfelen), so bekommt man auch gleich ein SSL-Ofloading oben drein mit.
Beim Anlegen einer veröffentlichung hat man auch gleich noch die möglichkeit einfach zu endscheiden ob die Webanwendung geclustert ist, also ob ein Loadbalancer (Stichword NLB) am werk ist oder ob die Seite anderweitig redundant konfiguriert wurde (z.B. mehrere IIS-Server mit der gleichen Website. Achtung: Hier bei sollte man den Computer-Key auf allen Webservern Syncron hallten da so der verschlüßelte Session State (Sitzungszustand) nicht mehr endschlüßelt werden kann und die Webanwendung mit einen Fehler abbricht!). Desweitere muss man einfach noch bei den Benutzergruppen sagen dass sich auch Anonyme Benutzer "anmleden" sollten. (Anonymous Permission erteilen) damit die Seite auch im Web aufrufbar ist.
Eine Autentifizierungs Deleigerung kann man unterlassen, soll heißen der Server Interveniert nicht in die Verbindung und der Server kann es so handhaben wie er will. (Bei Exchange und Sharepoint schalten wir die Autentifizierungs Delegierung einfach um auf NTLM^^). Die Homepage bleibt so wie sie ist und nutze ihre eigene Forms Autentifikation.
Zum schluss nur noch weitere sachen neben bei einrichten, z.B. Acces Rulles ins Internet, Portweiterleitungen für den Mail Server (Port 25).
Tipp: Wer mehr sicherheit will kan an Router (Firtzbox in diesem Fall) einfach mal Exposed Host rausnehmen und Staddessen einfach Ports eintragen (80,443,25) alles TCP.
Warnung: Auf garkeinem Fall den Port 8080 direkt weiter Leiten, auf diesen Port läuft der Proxy Server, wird dieser aus den Internet Verfügbar gemacht kann jede belibige Person mit Kentniss ihrer IP-Addresse im ihren Privaten Netzwerk Surfen und auf Daten zugriefen. Glücklicherweise ist der ISA-Server schon richtig eingstellt so dass in der Internet / External (Symbol mit der Weltkugel / Erde) keine Proxy Dienste zu lsst. Man sollte auch kein Traffik von External nach Internal erlauben, dass macht die Firewall auftomatisch (Publishings).
so, ich hoffe ich konnte einigen leuten helfen die ihre Server installieren wollen.
Drei Webserver im Heimnetzwerk (oder Firmennetzwerk) sollen im Internet Veröffentlicht werden, soll heißen man soll Websites auf diesen Servern im Internet aufrufen können.
z.B. könnte das so aus sehen.
www.example.com und example.com hosten die Homepage auf Webserver1
exch-cas.example.com hostet das Outlook Web Acces / Die Outlook Web App auf Webserver2
mysite.example.com hostet den Sharepoint Server / Webserver 3
Damit alle Server ereichbar sind besitzen diese eine IP-Addresse. Wir gehen hier von Subnetz 10.0.0.0 /24 aus.
Ferner haben wir einen Router mit (Pseudo) DMZ (z.B. Fritzbox mit Exposed Host) auf Lan 1 (192.168.1.0 /24).
Wir gehen hier der einfachheit halber von einer Statischen IP-Addresse aus (1.1.1.1)
Die DNS Konfiguration ist recht einfach. Man benötigt im Grunde genommen zwei A Records
NS ns1.myhoster.net
NS ns2.myhoster.net
MX 10 mgate1.exampe.com
A example.com 1.1.1.1
A *.example.com 1.1.1.1
Jetzt wo die DNS Zone (umnötige Records wurden endpfernt, müssten aber im Produktiven Betrieb da sein, z.B. SOA, TTL, etc...) können wir das geheimnis lüften was es mit den unterschiedlichen IP-Subnetzen aufsich hat.
Der Router befindet sich gewissermaßen noch im Internet (aus sicht unsees Netzwerks). Da wir ja nur eine IP-Addresse haben (1.1.1.1) aber drei Webserver (oder auch mehr) muss ein anderer Weg gefunden werden.
Hier in diesen Fall kommt einfach DNS als Altanatives Routing zum einsatz. Wir benutzen ein ISA-Server / TMG einfach als Reverse Proxy. Das bedeutet das der ISA-Server im Internet als Webserver auftritt, in warheit lädt dieser aber auch gleichzeitg die Daten von den Server hinten im Backend nach. Also hat man hier eine Klassische Frontend Backend Architektur die natürlich noch verschatelter sein kann (z.B. der Datenbanck (SQL)-Server bei ASP.NET Anwendungen und den oen erwöhnten Sharepoint^^).
Jetzt wird für jede Seite einfach eine "Veröffentlichung" erstellt Beim ersten Anlegen einer Seite muss gleich noch das Socket erstellt werden, das ist ein sogenannter Weblistner. Da kann man auch gleich ein SSL-Zertifikat hinterlegen (Achtung 1 je Weblistner, und ein Weblistner je IP. Also sollte man ein Wildcard oder SAN Zertifikat nehmen^^, eventuell lassen sich diese beiden tricks ja auch kombinieren, ist aber aufrund unterschiedlicher SSL-Implementierungen nicht zu empfelen), so bekommt man auch gleich ein SSL-Ofloading oben drein mit.
Beim Anlegen einer veröffentlichung hat man auch gleich noch die möglichkeit einfach zu endscheiden ob die Webanwendung geclustert ist, also ob ein Loadbalancer (Stichword NLB) am werk ist oder ob die Seite anderweitig redundant konfiguriert wurde (z.B. mehrere IIS-Server mit der gleichen Website. Achtung: Hier bei sollte man den Computer-Key auf allen Webservern Syncron hallten da so der verschlüßelte Session State (Sitzungszustand) nicht mehr endschlüßelt werden kann und die Webanwendung mit einen Fehler abbricht!). Desweitere muss man einfach noch bei den Benutzergruppen sagen dass sich auch Anonyme Benutzer "anmleden" sollten. (Anonymous Permission erteilen) damit die Seite auch im Web aufrufbar ist.
Eine Autentifizierungs Deleigerung kann man unterlassen, soll heißen der Server Interveniert nicht in die Verbindung und der Server kann es so handhaben wie er will. (Bei Exchange und Sharepoint schalten wir die Autentifizierungs Delegierung einfach um auf NTLM^^). Die Homepage bleibt so wie sie ist und nutze ihre eigene Forms Autentifikation.
Zum schluss nur noch weitere sachen neben bei einrichten, z.B. Acces Rulles ins Internet, Portweiterleitungen für den Mail Server (Port 25).
Tipp: Wer mehr sicherheit will kan an Router (Firtzbox in diesem Fall) einfach mal Exposed Host rausnehmen und Staddessen einfach Ports eintragen (80,443,25) alles TCP.
Warnung: Auf garkeinem Fall den Port 8080 direkt weiter Leiten, auf diesen Port läuft der Proxy Server, wird dieser aus den Internet Verfügbar gemacht kann jede belibige Person mit Kentniss ihrer IP-Addresse im ihren Privaten Netzwerk Surfen und auf Daten zugriefen. Glücklicherweise ist der ISA-Server schon richtig eingstellt so dass in der Internet / External (Symbol mit der Weltkugel / Erde) keine Proxy Dienste zu lsst. Man sollte auch kein Traffik von External nach Internal erlauben, dass macht die Firewall auftomatisch (Publishings).
so, ich hoffe ich konnte einigen leuten helfen die ihre Server installieren wollen.
