• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

IIS als Reverse Proxy einrichten

Apr 25, 2022 (Letztes Update) | Posted by Thomas Meutzner Administration |

 

IIS als Reverse Proxy einrichten

Möchten Sie einen Web-Service, der nur per HTTP kommuniziert per HTTPS absichern, ist die Einrichtung von IIS als Reverse Proxy eine Lösung. Ein Reverse Proxy kann auch verwendet werden, wenn wir uns die Verwendung verschiedener Zertifikate mit verschiedenen Web-Services ersparen möchten. Dann hinterlegen wir einmalig das Zertifikat im Reverse Proxy und dieser leitet alle Anfragen per HTTP an die einzelnen Web-Services weiter.

Inhaltsverzeichnis

  • 1 Zweck des Artikels
  • 2 Voraussetzungen
  • 3 Konfiguration des IIS
    • 3.1 Self-Signed Zertifikat erstellen
    • 3.2 Installation der Komponenten
    • 3.3 Einrichten des IIS
    • 3.4 Neue Site erstellen
    • 3.5 Einrichtung der Weiterleitungen
  • 4 Fazit

Was ist ein Reverse Proxy? Um es relativ einfach zu beschreiben ist ein Reverse Proxy ein Netzwerkgerät, das Anfragen, z.B. aus dem Internet, entgegennimmt und an einen oder mehrere interne Server weiterleitet, ohne dass diese dem Aufrufer bekannt sind.

Zweck des Artikels

In diesem Artikel wird die Einrichtung des IIS als Reverse Proxy beschrieben, um einen Webservice von außen per https über den Port 8585 zugänglich zu machen. Intern wird der Webservice über den Port 8686 angesprochen.

Voraussetzungen

  • ein installierter Microsoft Internet Information Services (IIS)
  • SSL Zertifikat für den HTTPS Zugriff
  • Application Request Routing (ARR) ab Version 3
  • URL Rewrite Modul für IIS ab Version 2

Konfiguration des IIS

Self-Signed Zertifikat erstellen

Für den Zugriff per HTTPS von ISS auf den Reverse Proxy ist ein Zertifikat notwendig. Wenn wir keines vorliegen haben, können wir uns das Zertifikat mithilfe des IIS selbst erstellen. Dazu wählen wir im Internet Information Services (IIS) Manager den Server aus und klicken im rechten Bildschirmbereich auf den Punkt “Server Certificates”. 

IIS Dashboard

Im Arbeitsbereich “Server Certificates” wählen wir im Actions-Menü den Eintrag “Create Self-Signed Certificate” aus.

Reverse Proxy Übersicht über die vorhandenen Zertifikate

Daraufhin erscheint ein Wizard, der durch den einzigen Arbeitsschritt zur Anlage eines Zertifikates führt. Wir müssen hier lediglich einen aussagekräftigen Namen für das Zertifikat angeben sowie den Store auswählen, in dem das Zertifikat gespeichert wird. In der Regel kann hier “Personal” übernommen werden.

Wizard zum Erstellen eines Self-Signed Zertifikates

Installation der Komponenten

Für die Installation der Module “Application Request Routing” und des “URL Rewrite” verwenden wir am besten den Microsoft Web Platform Installer.

Ist dieser im IIS noch nicht installiert, gelangen wir über die Action “Get New Web Platform Components” auf die Microsoft Seite, von der wir den Installer herunterladen und installieren können.

IIS Dashboard mit der Action “Get New Web Platform Components”

Nach der Installation können wir den Web Platform Installer entweder

  • über einen neuen Eintrag im Dashboard des IIS oder
  • über das Windows Startmenü aufrufen.

Im Suchfeld des Web Platform Installer suchen wir nach “Application Request Routing” und des “URL Rewrite”. Wenn wir die Module gefunden haben, fügen wir diese per Klick auf “Add” zur Liste der zu installierenden Module hinzu.

URL Rewrite Modul
URL Rewrite Modul

Application Request Routing Modul
Application Request Routing Modul

Beim Application Request Routing Modul ist zu beachten, dass wir die Version 3.x installieren, da diese die neueste Version ist.

Wurden alle benötigten Module ausgewählt, wird die Installation per Klick auf “Install” gestartet. Bei der Installation erfolgt noch die übliche Abfrage der Zustimmung zu den Lizenzbedingungen, die wir bestätigen.

Zustimmung zu den Lizenzbedingungen
Zustimmung zu den Lizenzbedingungen

Nach erfolgreicher Installation der Module, sollte der unten abgebildete Dialog angezeigt werden.

Abschluß der Installation
Abschluß der Installation

Einrichten des IIS

Nachdem wir die Vorbereitungen erfolgreich abgeschlossen haben, geht es jetzt an die Einrichtung des IIS, damit dieser als Reverse Proxy verwendet werden kann.

Neue Site erstellen

Für die Einrichtung des IIS als Reverse Proxy ist eine neue Website erforderlich, die wir über “Add Website” im IIS anlegen.

IIS Dashboard mit der Action “Add Website”
IIS Dashboard mit der Action “Add Website”

Nach dem Klick auf “Add Website” wird der Wizard für die Anlage einer neuen Website angezeigt.

Wizard zur Anlage einer neuen Website
Wizard zur Anlage einer neuen Website

Der Name der Website sollte ihrer Funktion entsprechen, damit wir diese von der normalen Website unterscheiden können.

Als physikalischen Pfad geben wir ein Verzeichnis auf der Festplatte an, in dem später vom IIS die Konfiguration für die Weiterleitung gespeichert wird. Der Web-Service selbst kann in einem separaten Verzeichnis gespeichert sein.

Beim Binding muss als Typ “https” ausgewählt werden, denn der Web-Service soll von außen nur über eine gesicherte Verbindung erreichbar sein. Wenn nichts anderes gewünscht wird, können wir die Einstellung der IP Adresse übernehmen und vergeben noch einen Port, über den später der Web-Service erreicht werden soll. In unserem Fall ist dies der Port 8585. Zusätzlich kann auch ein Hostname angegeben werden.

Da wir per https auf den Web-Service zugreifen möchten, muss unter “SSL certificate” das Zertifikat ausgewählt werden, welches erstellt wurde.

Einrichtung der Weiterleitungen

Anlage von Weiterleitungsregeln

Bis jetzt wurde der IIS nur darauf vorbereitet, dass er Anfragen an den Port 8585 per https entgegen nimmt. Der Web-Service auf den zugegriffen werden soll, ist bis jetzt immer noch nicht erreichbar. Deshalb werden im nächsten Schritt zwei Weiterleitungsregeln erstellt.

Dazu rufen wir im Dashboard der neu angelegten Website “ReverseProxy-Site” den Eintrag “URL Rewrite” auf. Wichtig hierbei ist, dass Sie für die nächsten Schritte die neu angelegte Website verwenden. Würden Sie stattdessen die Default Web Site verwenden und dort bereits ein Binding auf den Port 8585 angelegt haben, wäre diese Seite nicht mehr erreichbar. 

Dashboard der Website “ReverseProxy-Site”
Dashboard der Website “ReverseProxy-Site”

Mit einem Klick auf “Add Rules” starten wir den Wizard.

URL Rewrite Modul
URL Rewrite Modul

Auf der ersten Seite des Wizard wird als Template “Reverse Proxy” ausgewählt und mit “Ok” übernommen.

Add Rule Wizard - Seite 1
Add Rule Wizard – Seite 1

Auf der zweiten Seite des Wizard geben wir den Hostnamen oder die IP-Adresse inklusive den Port an, auf den wir den User weiterleiten möchten. In unserem Beispiel ruft der User die Url https://dachweb02.demo.net:8585 auf und soll intern an den Port 8686 weitergeleitet werden. Der Port kann auch weggelassen werden, wenn wir den User an einen anderen Server weiterleiten möchten und den Standardport verwenden möchten.

Add Rule Wizard - Seite 2
Add Rule Wizard – Seite 2

Da in unserem Beispiel eine unverschlüsselte Weiterleitung erfolgen soll, muss die Option “Enable SSL Offloading” aktiviert sein.

Mit einem Klick auf “Ok” wird die Regel angelegt. Bevor die Detail-Konfiguration der Regel erfolgen kann, muss noch eine zweite Regel mit den gleichen Einstellungen angelegt werden.

Konfiguration der ersten Weiterleitungsregel

Konfiguration der ersten Weiterleitungsregel

Über “Edit” oder per Doppelklick wird die Bearbeitungsseite der ersten Regel aufgerufen.

Unter “Match Url” wird als regulärer Ausdruck ^(.+)s://<DNS NAME>(.*) eingetragen. Der Platzhalter <DNS NAME> im Ausdruck muss durch den Hostnamen oder die IP Adresse ersetzt werden, die weitergeleitet werden soll. In unserem Beispiel sieht der reguläre Ausdruck so aus:

1
^(.+)s://dachweb02.demo.net(.*)&nbsp;

Mit Hilfe des Ausdruckes werden alle Anfragen die mit “https://dachweb02.demo.net” beginnen, durch diese Regel verarbeitet.

Die Url, an die weitergeleitet wird, ist unter “Action” im Feld “Rewrite URL” bereits angegeben und muss in der Regel nicht mehr geändert werden. Die Url Angabe wurde aus den Informationen übernommen, die bei der Anlage der Regel eingegeben wurden.

Alle anderen Einstellungen können übernommen werden. Wichtig ist noch, dass der Haken bei “Stop processing of subsequent rules” gesetzt ist. Damit werden keine anderen Regeln angewendet, wenn die Anfrage bereits durch diese Regel verarbeitet wurde.

Einstellungen der ersten Regel
Einstellungen der ersten Regel

Die Änderungen werden mit “Apply” gespeichert.

Konfiguration der zweiten Weiterleitungsregel

Die zweite Regel wird für Anfragen genutzt, die durch die erste Regel nicht verarbeitet werden. Öffnen Sie auch diese Regel per Doppelklick.

Unter “Match Url” sollte als regulärer Ausdruck (.*) angegeben sein. Ist dies nicht der Fall, so muss der Ausdruck geändert werden.
Die Url, an die weitergeleitet wird, ist unter “Action” im Feld “Rewrite URL” ebenfalls bereits angegeben und muss in der Regel nicht mehr geändert werden.

Alle anderen Einstellungen können auch hier übernommen werden. Wichtig ist ebenfalls wieder, dass der Haken bei “Stop processing of subsequent rules” gesetzt ist.

Einstellungen der zweiten Regel

Die Änderungen werden wieder mit “Apply” gespeichert.

Fazit

Wurden die beiden Regeln erstellt, kann die Weiterleitung zum Beispiel mithilfe eines API-Clients getestet werden.

Unterstützung benötigt?

Gerne stellen wir Ihnen unsere Leistungen und Lösungen in einem persönlichen Gespräch vor und würden uns über Ihre Kontaktaufnahme sehr freuen!

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 12.07.2021
Tags: ISSReverse Proxy
0

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next