none
http & https mit IIS RRS feed

  • Frage

  • Hallo, 

    zwei generelle Frage zum IIS als "Webserver". Ich möchte mich nochmal vergewissern, vielleicht denke ich in die falsche Richtung

    Durch ein SSL Zertifikat ist es ja relativ simpel möglich, dem IIS auch SSL Verbindungen beizubringen. 

    Fragen: 
    Wie können Anfragen aus dem Intranet von Anfragen aus dem Extranet getrennt werden?
    Intranet Kommunikation sollte über normale HTTP Anfragen abgewickelt werden, wohingegen Extranet Anfragen über HTTPS beantwortet werden sollen. 
    Wie ist das möglich? 


    Dank & Gruß, olli
    Mittwoch, 20. Januar 2010 18:21

Antworten

  • Hi,

    Am 20.01.2010 19:21, schrieb kleineso:
    > Intranet Kommunikation sollte über normale HTTP Anfragen abgewickelt
    > werden, wohingegen Extranet Anfragen über HTTPS beantwortet werden sollen.
    > Wie ist das möglich?

    Du musst den Rechner über unterschiedliche Namen ansprechen.

    Aber warum intern per HTTP? Das macht keinen Sinn.

    Eine SPLIT DNS Konfiguration sollte funktionieren.
    Du verwaltest "intern" im AD deine externe Domäne als eigene
    Forward Lookup Zone. Musst natürlich alle Systeme, auch die
    externen manuell pflegen.
    Dann kannst du den IIS so konfigurieren, daß er auf einer bestimmten
    IP Adresse (der internen) über die er dann von intern auch angesprochen
    wird auf Port 80 antwortet.

    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: www.gruppenrichtlinien.de - deutsch
    Discuss : www.freelists.org/list/gpupdate
    • Als Antwort markiert kleineso Samstag, 23. Januar 2010 19:45
    Mittwoch, 20. Januar 2010 23:22
  • Hi olli 

    für deinen Zweck kannst du auch den Microsoft ISA Server einsetzen. Durch SSL Bridging (Infos auch hier) können dann externe Requests vom ISA Server von HTTPS auf HTTP auf Basis der Veröffenltichungsregelen umgeleitet werden.

    Falls kein ISA Server vorhanden ist, kann man dann die Requests per verschiedenen Lösungen wie von Martin (durch Firewall Regeln) oder wie von Mark (durch DNS Requests) beschrieben, entsprechend umleiten.

    Hoffe das hilft dir weiter.

    Gruß
    Andrei
    • Bearbeitet Andrei TalmaciuModerator Freitag, 22. Januar 2010 13:55 Referenzen zu verschiedenen IIS Seiten entfernt
    • Als Antwort markiert kleineso Samstag, 23. Januar 2010 19:45
    Donnerstag, 21. Januar 2010 10:30
    Moderator

Alle Antworten

  • Hi Olli,

    ist meines Wissens nicht möglich. Ehrlich gesagt würde ich im IIS keinen Sinn für solch eine Funktion sehen... 
    Anfragen aus dem Extra-und Intranet werden normallerweise durch eine Firewall getrennt ;-).

    Gruß
    Martin
    Mittwoch, 20. Januar 2010 20:42
  • Hi Martin, 


    besten Dank für deine Antwort. 
    Da fehlt mir eben das genauere Vorstellungsvermögen. 

    Wie kann ich mir das also vorstellen. 

    Eine Anfrage zu meinem Webserver kommt von extern, sagen wir aus dem Internet. Eine Anforderung z.B. ist, dass externe Anfragen über HTTPS laufen müssen. Für interne Zugriffe langt HTTP. 

    Der externe Benutzer soll so wenig Aufwand wie möglich haben und auch an sein Ziel gelangen, wenn er http in die die Adresszeile hämmert (also umgeleitet werden).


    Dank & Gruß, olli
    Mittwoch, 20. Januar 2010 21:18
  • Hi Olli,

    du kannst aber nur eine besimmte Seite entweder über HTTP oder HTTPS veröffentlichen. 

    Du könntest doch aber im IIS eine Umleitung auf HTTPS konfigurieren : http://support.microsoft.com/kb/975341/de

    Gruß
    Martin
    Mittwoch, 20. Januar 2010 22:34
  • Hi,

    Am 20.01.2010 19:21, schrieb kleineso:
    > Intranet Kommunikation sollte über normale HTTP Anfragen abgewickelt
    > werden, wohingegen Extranet Anfragen über HTTPS beantwortet werden sollen.
    > Wie ist das möglich?

    Du musst den Rechner über unterschiedliche Namen ansprechen.

    Aber warum intern per HTTP? Das macht keinen Sinn.

    Eine SPLIT DNS Konfiguration sollte funktionieren.
    Du verwaltest "intern" im AD deine externe Domäne als eigene
    Forward Lookup Zone. Musst natürlich alle Systeme, auch die
    externen manuell pflegen.
    Dann kannst du den IIS so konfigurieren, daß er auf einer bestimmten
    IP Adresse (der internen) über die er dann von intern auch angesprochen
    wird auf Port 80 antwortet.

    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: www.gruppenrichtlinien.de - deutsch
    Discuss : www.freelists.org/list/gpupdate
    • Als Antwort markiert kleineso Samstag, 23. Januar 2010 19:45
    Mittwoch, 20. Januar 2010 23:22
  • Hi olli 

    für deinen Zweck kannst du auch den Microsoft ISA Server einsetzen. Durch SSL Bridging (Infos auch hier) können dann externe Requests vom ISA Server von HTTPS auf HTTP auf Basis der Veröffenltichungsregelen umgeleitet werden.

    Falls kein ISA Server vorhanden ist, kann man dann die Requests per verschiedenen Lösungen wie von Martin (durch Firewall Regeln) oder wie von Mark (durch DNS Requests) beschrieben, entsprechend umleiten.

    Hoffe das hilft dir weiter.

    Gruß
    Andrei
    • Bearbeitet Andrei TalmaciuModerator Freitag, 22. Januar 2010 13:55 Referenzen zu verschiedenen IIS Seiten entfernt
    • Als Antwort markiert kleineso Samstag, 23. Januar 2010 19:45
    Donnerstag, 21. Januar 2010 10:30
    Moderator
  • Hi,

    @Andrei:
    >einer IIS Seite kann nur ein Port zugewiesen werden (etnweder 80 oder 443 in diesem Fall).

    Könntes Du das bitte mal konkretisieren, weil so ist es IMHO nicht richtig, denn ich kann pro virtuelles Verzeichnins mit z.B. einer Seite
    sowohl Port 80 und 443 gleichzeitig verwenden.


    Gruß Ralph Andreas Altermann
    Freitag, 22. Januar 2010 12:02
  • Hi,

    Am 22.01.2010 13:02, schrieb Andreas Altermann:
    > >einer IIS Seite kann nur ein Port zugewiesen werden (etnweder 80 oder
    > 443 in diesem Fall).
    > Könntes Du das bitte mal konkretisieren, weil so ist es IMHO nicht
    > richtig, denn ich kann pro virtuelles Verzeichnins mit z.B. einer Seite
    > sowohl Port 80 und 443 gleichzeitig verwenden.

    Das ändert ja nichts daran, daß du einen Port für HTTP hast und einen
    für HTTPS pro Seite. Du kannst für ein Virtuelles Verzeichnis keinen
    anderen Port verwenden, als die, die für die Seite festgelegt wurde.

    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: www.gruppenrichtlinien.de - deutsch
    Discuss : www.freelists.org/list/gpupdate
    Freitag, 22. Januar 2010 12:55
  • Hi Andreas

    Danke dass du das Thema aufgebracht hast, denn du hast nämlich Recht, meine Aussage betrifft nur SharePoint, wo so eine Umstellung wegen der Arhitektur nicht erlaubt wird.

    Und dazu muss man nicht unbedingt virtuelle Verzeichnisse einsetzen, es funktioniert direkt über die Sitebindungen: http://technet.microsoft.com/de-de/library/cc731692(WS.10).aspx

    Gruß
    Andrei
    Freitag, 22. Januar 2010 13:51
    Moderator
  • Hallo zusammen, besten Dank für die Antworten. Allerdings ergeben sich daraus für mich noch mehr fragen. Ich muss mich für eine Anforderung grob mit diesem Thema befassen und versuche mir ein Bild zu verschaffen. Jetzt habe ich erstmal wieder etwas Stoff zum lesen und melde mich alsbald wieder. Grüße, olli
    Samstag, 23. Januar 2010 19:44
  • Hi

    Am 23.01.2010 20:44, schrieb kleineso:
    > [...] Ich muss mich für eine Anforderung grob mit diesem Thema
    > befassen und versuche mir ein Bild zu verschaffen.

    Das erste Bild sollte ergebe, daß es keinen Sinn macht http
    im LAN zu verwenden, wenn https zur Verfügung steht.

    Wenn du Angst hast, "wo innen" -> "nach aussen" über dein WAN
    zuzugreifen, dann lässt sich das auch intern mit DNS und eine
    SPLIT Konfiguration lösen.

    Der externe Name wie schon vorher mit seiner internen IP verwaltet
    werden.

    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: www.gruppenrichtlinien.de - deutsch
    Discuss : www.freelists.org/list/gpupdate
    Sonntag, 24. Januar 2010 10:31