none
IIS směrování dle obsahu URL

    Dotaz

  • Zdravím,

    dopředu píši, že s IIS nemám prakticky žádné zkušenosti a s tvorbou webů taky ne. Ve vnitřní síti mám dva weby, každý na jiné IP. Tyto weby budou dostupné z internetu. Problém je, že z požadavku vyplývá, aby byly oba dostupné na stejné adrese a stejném portu, což jsem označil za nemožné. Ale jeden člověk mi řekl, že je možné na IIS provést přesměrování na jinou adresu na základě obsahu URL.  Např. na 192.168.1.10:443 přijde požadavek na web https://mail.domena.cz a IIS ho přesměruje na server 192.168.1.11. Když na 192.168.1.10:443 přijde požadavek na web https://eshop.domena.cz, IIS ho přesměruje na server 192.168.1.12. Je to takhle možné, nebo je to nesmysl? V případě, že je to možné, můžete mě navést jak to nastavit? Díky.

    Vlastimil Škoda

    čtvrtek 14. března 2019 12:09

Odpovědi

  • Bindigs na host header (rada od BB) ale neresi puvodni zadani.

    Jestli spravne chapu, pak zadani je:
    Mam jednu internetovou IP adresu a jeden SSL port 443. Podle toho, co napise externi uzivatel v internetu za URL (mail a eshop), koncim na dvou ruznych internich strojich navzajem nezavislych, na kazdem je WEB. Na jednom provozuji mail, na druhem eshop.

    Resitelne to je, ale nikoliv pres IIS. Toto resi napr. reverzni proxy.

    Host header na IIS by to resil pouze v tom pripade, ze na JEDNOM serveru s JEDNIM IIS provozuji mail i eshop = v IIS jsou dve WEB site.



    čtvrtek 14. března 2019 13:34

Všechny reakce

  • Nastavíš Host name (v sekci Bindings).

    Ale to je jedna část. Druhá část je publikace webu do internetu. Předpokládám tedy, že server s IIS má privátní IP adresu? Čím to budeš publikovat?


    BB



    čtvrtek 14. března 2019 12:13
  • Na bráně do internetu nastavím přesměrování požadavků na portu 443 na adresu serveru s IIS na portu 443 a IIS bude přesměrovávat požadavky dle obsahu URL.
    čtvrtek 14. března 2019 12:29
  • Bindigs na host header (rada od BB) ale neresi puvodni zadani.

    Jestli spravne chapu, pak zadani je:
    Mam jednu internetovou IP adresu a jeden SSL port 443. Podle toho, co napise externi uzivatel v internetu za URL (mail a eshop), koncim na dvou ruznych internich strojich navzajem nezavislych, na kazdem je WEB. Na jednom provozuji mail, na druhem eshop.

    Resitelne to je, ale nikoliv pres IIS. Toto resi napr. reverzni proxy.

    Host header na IIS by to resil pouze v tom pripade, ze na JEDNOM serveru s JEDNIM IIS provozuji mail i eshop = v IIS jsou dve WEB site.



    čtvrtek 14. března 2019 13:34
  • Virtualni weby jdou nejaky patek i na SSL

    Ale

    1. to nesouvisi s Windows
    2. to jsou IMHO zaklady webu

    MP

    čtvrtek 14. března 2019 13:38
    Moderátor
  • JJ, přesně tak. Ale tazatel výslovně uváděl IIS a neveřejné IP. Tak jsem odpovídal z pohledu IIS. A pak tam doplnil tu část o publikování. Ale o tom jsme se stejně nic nedozvěděli.

    BB

    čtvrtek 14. března 2019 13:39
  • Nefunguje mi to. Asi dělám něco špatně. Ve vnitřní síti mám dva weby. Na adrese 192.168.1.3:80 a 192.168.1.202:80. IIS mi běží na 192.168.1.110. Na bráně nasměruji port 80 na adresu 192.168.1.110:80. Teď potřebuji, aby IIS směroval dotazy podle obsahu URL na konkrétní servery. Jak mám nastavit vazby, aby pokud je v URL mail.domena.cz směroval komunikaci na 192.168.1.110:80 a pokud je v URL eshop.domena.cz směroval komunikaci na 192.168.1.3:80?
    čtvrtek 14. března 2019 13:55
  • Bindigs na host header (rada od BB) ale neresi puvodni zadani.

    Jestli spravne chapu, pak zadani je:
    Mam jednu internetovou IP adresu a jeden SSL port 443. Podle toho, co napise externi uzivatel v internetu za URL (mail a eshop), koncim na dvou ruznych internich strojich navzajem nezavislych, na kazdem je WEB. Na jednom provozuji mail, na druhem eshop.

    Resitelne to je, ale nikoliv pres IIS. Toto resi napr. reverzni proxy.

    Host header na IIS by to resil pouze v tom pripade, ze na JEDNOM serveru s JEDNIM IIS provozuji mail i eshop = v IIS jsou dve WEB site.



    Zadání chápete dobře. Pokud máte pravdu tak je jasný, že mi to přes IIS nefunguje. Můžete být prosím konkrétnější co se týče reverzní proxy?
    čtvrtek 14. března 2019 14:04
  • Počkej, Ty máš IIS na jednom serveru (192.168.1.110) a weby na dvou dalších serverech (192.168.1.3 a 192.168.1.202)? Chápu to správně?

    Nebo jsou tyhle tři IP adresy přiřazené jednomu serveru?


    BB

    čtvrtek 14. března 2019 14:26
  • jak rikam: precti si zadani. ja ho pochopil. Host header neni reseni.

    Zadatel ve zkratce chce> mam jednu vnejsi IP adresu, 2 DNS jmena a dva interni servery. jak to mam rozdelit, aby zvenku na jedno jmeno reagoval jeden, na druhe jmeno ten druhy.

    V tom prvnim dotazu to je hodne kostrbate napsane... vynech slova o IIS  :)


    čtvrtek 14. března 2019 15:07
  • Už mi dochází, že ty dva weby nejsou na tom uvedeném IIS. :o)

    Pak je to jasné, nemá smysl do toho zapojovat další server s IIS. Řešením je budˇreversibilní proxy nebo dvě veřejné IP.


    BB

    čtvrtek 14. března 2019 15:10
  • Presne. A obavam se, ze reverzni proxy s HTTPS na windows nedame. Bude to chtit nejaky "chytrejsi" vstupni firewall, ktery to umi, nebo zminene 2 IP adresy.

    Pokud by vnitrni servery byly HTTP, pak by sel asi pouzit URL rewrite modul. https://blogs.msdn.microsoft.com/friis/2016/08/25/setup-iis-with-url-rewrite-as-a-reverse-proxy-for-real-world-apps/

    Ale nachozene to nemam. Vyse zminenou potrebu u zakazniku resime na vstupnich FW, ktere reverzni proxy umi...

    MP mozna navrhne nejake *nixove reseni, ale to uz jsme mimo obsah MS diskuzi.

    čtvrtek 14. března 2019 15:24
  • A jeste me napadlo, ze by slo asi pouzit kousek z WEB application proxy.

    Naznaceno  napr. https://www.admin-enclave.com/de/articles-by-year/36-data-articles/website_articles/articles/skypeforbusiness_articles/224-use-ms-web-application-proxy-as-reverse-proxy-and-adfs-with-skype-for-business.html

    Ale bude se muset nainstalovat ADFS, ktere tam pak bude lezet ladem :)

    opet - nachozene to nemam, nikdy jsem nepotreboval resit :) Radeji koupit dalsi  IP, vse bude pruhledne a jednoduche i pro bezneho admina.



    čtvrtek 14. března 2019 15:31
  • Řešení s druhou IP mám v záloze. Jako firewall používáme Kerio Control, kde jsem reverzní proxy server našel. Mrknu do manuálu a zkusím to nastavit. Moc díky všem.
    čtvrtek 14. března 2019 16:06
  • Počkej, Ty máš IIS na jednom serveru (192.168.1.110) a weby na dvou dalších serverech (192.168.1.3 a 192.168.1.202)? Chápu to správně?

    Nebo jsou tyhle tři IP adresy přiřazené jednomu serveru?


    BB

    Všechny tři IP jsou samostatně.
    čtvrtek 14. března 2019 16:09
  • Použij Azure AD App Proxy a nepotřebuješ ani jednu veřejnou IP a přitom můžeš bezpečně publikovat webů a serverů kolik chceš do internetu :-) https://docs.microsoft.com/cs-cz/azure/active-directory/manage-apps/application-proxy
    čtvrtek 14. března 2019 16:26
  • Multihomed server = windows smrt. Ale kdo chce kam ...

    MP

    čtvrtek 14. března 2019 18:20
    Moderátor
  • Zdravím,

    tak jsme to zprovoznil přes reverzní proxy server a jsem moc spokojen. Moc všem děkuji, opět jsme se tu naučil něco nového.

    Vlastimil Škoda

    pátek 15. března 2019 11:55