locked
Reverse Proxy IIS ARR RRS feed

  • Question

  • Bonjour,

    En tant qu'étudiant en réseaux, je teste cette configuration réseau chez moi :

     

    Box internet -> [Serveur 1 Lync] [Serveur 2 Web IIS] [Serveur 3 IIS7 + Exchange]

     

    Actuellement j'ai donc trois serveurs pour lequels je dois ouvrir les ports 80 et 443.

     

    Si je souhaite accéder aux serveurs depuis l'extérieur il me faut dons si j'ai bien compris un reverse proxy. Une extension pour IIS 7 (ARR) étant disponible, je l'ai installé sur mon serveur 3.

     

    Toutefois je n'arrive pas malgré mes recherches sur le net à rediriger les adresses URL vers les serveurs leurs correspondants.

     

    J'ai donc NATé les ports 80 et 443 sur le Serveur 3.

    Je précise que ayant une IP dynamique, j'utilise DynDns pour accéder aux serveurs.

     

    J'aimerai donc par exemple, quand je tape depuis l'extérieur :

    https://mondomaine.com/meet arriver à l'adresse meet.mondomaine.com à l'adresse IP du Serveur 1.

    http://mondomaine.com arriver à l'adresse serveur1.mondomaine.com à l'adresse IP du Serveur 2.

    https://mondomaine.com/owa arriver à l'adresse serveur3.domaine.com/owa à l'adresse IP du Serveur 3.

     

    Apparemment tout ça se passerait depuis le module Redirections URL de IIS7 ...

     

    J'ai tenté de suivre des tutoriels comme ici : http://blogs.developpeur.org/cyril/archive/2010/07/12/reverse-proxy-et-iis7-mise-en-place-du-module-application-request-routing-arr.aspx

    ou encore ici : http://learn.iis.net/page.aspx/805/reverse-proxy---rule-template/

     

    Mais je ne comprends vraiment pas grand chose avec les modèles ou expressions à utiliser.

     

    Merci pour votre aide !

    lundi 6 février 2012 22:43

Réponses

  • Bonjour,

    la solution classique en entreprise pour ce type de problème est d'installer un TMG (voire un UAG).

    Donc, tous les protocoles HTTP,HTTPS, ... sont reçus par un seul serveur, qui renvoit vers le site Interne en fonction du nom.

    (Une règle par site Web)

    En revanche, le certificat est un problème si chaque site web a son propre certificat. Il faut alors théoriquement disposer d'une adresse IP (publique) par certificat. Si l'on a qu'une seule adresse IP publique (Box...), la seule solution est alors d'utiliser un certificat de type "wildcard".

    A bientôt,


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info

    • Proposé comme réponse Florin Ciuca jeudi 9 février 2012 12:32
    • Marqué comme réponse tnicolas02 lundi 13 février 2012 10:36
    mardi 7 février 2012 13:15
  • Bonsoir,

    oui, ISA 2006 a exactement les mêmes fonctionnalités.

    Mes sites perso sont un exemple d'utilisation :

    https://exchange.faqexchange.info (OWA sur Exchange 2010)

    http://www.faqexchange.info (IIS sur Windows 2003)

    http://base.faqexchange.info (Sharepoint 2010 sur Windows 2008 R2)

    http://webfamilial.faqexchange.info (IIS sur Windows 2003)

    Tous ces liens passent par le même serveur TMG (le mode "sécurisé par ..." apparait sur la partie OWA.

    A bientôt,


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info

    • Marqué comme réponse tnicolas02 lundi 13 février 2012 10:36
    jeudi 9 février 2012 21:16
  • Bonjour,

    Voici quelque tutoriel concernant votre demande: How to generate a csr for an iis website using the windows Server 

    ou encore ce lien .. 

    Bonne chance, Gokan


    Founder of SharePoint CookBook: http://www.GokanOzcifci.be
    Microsoft Certified Technology Specialist: SharePoint 2010, Configuring
    Microsoft Certified Personal

    • Marqué comme réponse tnicolas02 lundi 13 février 2012 10:36
    vendredi 10 février 2012 20:51

Toutes les réponses

  • Bonjour,

    la solution classique en entreprise pour ce type de problème est d'installer un TMG (voire un UAG).

    Donc, tous les protocoles HTTP,HTTPS, ... sont reçus par un seul serveur, qui renvoit vers le site Interne en fonction du nom.

    (Une règle par site Web)

    En revanche, le certificat est un problème si chaque site web a son propre certificat. Il faut alors théoriquement disposer d'une adresse IP (publique) par certificat. Si l'on a qu'une seule adresse IP publique (Box...), la seule solution est alors d'utiliser un certificat de type "wildcard".

    A bientôt,


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info

    • Proposé comme réponse Florin Ciuca jeudi 9 février 2012 12:32
    • Marqué comme réponse tnicolas02 lundi 13 février 2012 10:36
    mardi 7 février 2012 13:15
  • Bonjour,

    J'ai actuellement sur un serveur le logiciel Microsoft ISA 2006 qui est apparement la version précédente de TMG 2010.

    Je vais donc voir au niveau des règles (où les créer dans ce logiciel et si la fonction de renvoi vers les serveurs est intégrée dans la version 2006).

    Je vais aussi voir du côté des wildcard.

    Merci

    mardi 7 février 2012 17:54
  • Bonsoir,

    oui, ISA 2006 a exactement les mêmes fonctionnalités.

    Mes sites perso sont un exemple d'utilisation :

    https://exchange.faqexchange.info (OWA sur Exchange 2010)

    http://www.faqexchange.info (IIS sur Windows 2003)

    http://base.faqexchange.info (Sharepoint 2010 sur Windows 2008 R2)

    http://webfamilial.faqexchange.info (IIS sur Windows 2003)

    Tous ces liens passent par le même serveur TMG (le mode "sécurisé par ..." apparait sur la partie OWA.

    A bientôt,


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info

    • Marqué comme réponse tnicolas02 lundi 13 février 2012 10:36
    jeudi 9 février 2012 21:16
  • Merci beaucoup pour toutes ces informations,

    Je vais m'aider de ce PDF trouvé sur internet http://msreport.free.fr/articles/IsaServer2006.pdf (la section m'intéressant étant la section 6.6.2)

    Cordialement,

    vendredi 10 février 2012 00:31
  • Finalement le problème venait du fait que dans les paramètres de dyndns, l'option n'était pas activée :

    create "*.domainname" alias
    (for example to use same settings for www.domainname.com)

    Maintenant que ça marche avec les sites HTTP, je vais voir avec HTTPS ...

    vendredi 10 février 2012 13:43
  • Bonsoir,

    Je ne vois pas trop comment créer de certificats Wildcard avec une autoritée de certification Windows Server 2008 R2.

    Auriez-vous un lien vers un tutoriel ou une explication ?

    Merci

    Cordialement,

    vendredi 10 février 2012 16:07
  • Bonjour,

    Voici quelque tutoriel concernant votre demande: How to generate a csr for an iis website using the windows Server 

    ou encore ce lien .. 

    Bonne chance, Gokan


    Founder of SharePoint CookBook: http://www.GokanOzcifci.be
    Microsoft Certified Technology Specialist: SharePoint 2010, Configuring
    Microsoft Certified Personal

    • Marqué comme réponse tnicolas02 lundi 13 février 2012 10:36
    vendredi 10 février 2012 20:51
  • Bonjour,

    Merci pour les liens.

    J'ai créer les règles pour OWA, ActiveSync et Outlook Anywhere ... en suivant ce tutoriel très complet : http://blogs.technet.com/b/exchange/archive/2009/12/17/3409102.aspx

    Cependant quand je teste les règles (qui sont donc en https) avec l'outil de test incorporé dans ISA, j'ai des erreurs :

    Testing URL http://mondomaine.com:443/ecp/

    Category : Published server certificate error

    Error details : 0x80090322 - Le nom principal de la cible n'est pas correct.

    Et ceci pour tous mes dossiers virtuels de exchange 2010 ...

    Quand j'accède depuis un ordinateur extérieur du domaine j'ai le message "Votre navigateur ne peut ouvrir la page car une connexion sécurisée au serveur n'a pu être établie."

    L'ordinateur externe arriverait à se connecter au serveur ISA (apparement) mais le certificat ne correspondrait pas avec le serveur Exchange ...

    Je ne comprends pas pourquoi le certificat que j'ai crée avec l'autoritée de certification intégrée pour exchange 2010 (où j'ai bien spécifié que je voulais l'option wildcard) ne conviendrait pas à ISA 2006 (je l'ai bien importé dans le dossier personnel du MMC certificat) ... Le certificat contient bien pourtant mon nom de domaine ...

    J'ai crée mon certificat en utilisant ce lien : http://unifiedit.wordpress.com/category/1-exchange-2010/certificat-2010/

    Si vous avez connaissance de cette erreur ...

    Merci beaucoup pour votre aide,

    Cordialement,


    samedi 11 février 2012 18:13
  • Bon, j'avance un peu,

    En ayant modifié l'onglet TO des 3 règles pour Exchange, et en remplaçant "nomserveurexchange" par "mail.mondomaine.com" (que j'ai pris soin d'inscrire dans le serveur DNS), ISA ne me met plus d'erreur pour la connexion aux différents sites d'exchange 2010. (j'ai des V vert maintenant).

    Cependant mon iphone (en 3g) n'arrive toujours pas à se connecter à l'adresse "https://mail.mondomaine.com/owa"

    Il arrive à s'y connecter apparement mais il y aurai un problème de certificat .

    ""Votre navigateur ne peut ouvrir la page car une connexion sécurisée au serveur n'a pu être établie."

    J'ai envoyé le certificat wildcard par email à mon iphone et je l'ai installé (il me le marque malgré ça en non-fiable).

    Je n'ai pas encore testé avec un navigateur d'ordinateur et je n'ai pas encore testé les fonctionnalitées ActiveSync et Outlook Anywhere  ...

    Merci pour votre aide.

    Cordialement,

    • Modifié tnicolas02 dimanche 12 février 2012 12:26
    dimanche 12 février 2012 12:19
  • Après un redémarrage des deux serveurs tout fonctionne, owa me met bien la page où j'entre mes identifiants protégés par ISA, exchange activesync fonctionne et outlook anywhere fonctionne aussi.

    Merci à tout pour vos liens et vos réponses !

    Problème résolu.

    lundi 13 février 2012 10:35