Windows Server 2016 getrennte IIS auf verschiedenen Servern mit 1 IP erreichbar

[ABACAD]

Guten Tag,

zu diesem Thema habe ich im Internet bislang keine Antwort gefunden, obwohl die Problematik (falls es überhaupt eine ist) wohl öfter vorkommen kann.

Zum Thema:

Momentan stelle ich in unserer Firma den Server soft- und hardwaremäßig von einem SBS 2008 mit Exchange 2007 um, auf einen Server 2016 Hyper-V-Host mit einer VM (Server 2016 (DC, AD, DHCP, DNS, Dateiserver, WebDAV)) und einer VM (Server 2016/Exchange 2016 (OWA, ActiveSynch)). Laut Microsoft ist dies auch als umgangssprachlich „Best Practice“ so vorgesehen.

Die beiden Server funktionieren untereinander auch problemlos, doch im Unterschied zur kombinierten DC/Exchange-Lösung des SBS 2008 mit einem gemeinsamen IIS sind nun zwei getrennte IIS vorhanden und daher stellen sich folgende Fragen:

Wie können Dienste/Sites auf den getrennten Servern wie FTP, WebDAV, OWA, Active Synch, etc. wieder über die 1 vorhandene öffentliche IP/Domain von außen erreicht werden?

Ist es dazu nötig / möglich die IIS miteinander zu verbinden, oder nimmt man dafür ein Routing im (wie in meinen Fall) vorgeschalteten, separaten VPN-Router vor (für den SBS ist hier der entsprechende IP-Eintrag vorhanden, aber eben nur 1 Eintrag)



für Antworten schon einmal Dank im Voraus,
mit freundlichen Grüßen

 

[snaxilian]

Bitte erkläre genau, was du vor hast: Willst du ftp.domain.local, webdav.domain.local, owa.domain.local usw. alle auf einer IP laufen lassen und je nach angesprochener Domain soll dann die Anfrage an VM1 oder VM2 gehen? Dann brauchst du einen Reverse Proxy. Ein IIS kann das, mit Apache, NGINX oder HAProxy ist das aber auch kein Problem um nur 3 Möglichkeiten zu nennen.

Mit etwas Glück kann das euer Router/Firewall direkt, ansonsten brauchst eben einen Reverse Proxy der alle Anfragen bekommt und dann intern weiter verteilt.
Die IIS "zu verbinden" für NLB oder ein Failover-Cluster macht keinen Sinn, da beide IIS dann beide Dienste bereit stellen müssten. Dies ist bei dir ja nicht der Fall.

 

[DocWindows]

DC mit AD als Fileserver der übers Internet per WebDAV ansprechbar ist? ist das wirklich ne gute Idee, bzw. "Best Practice"?

 

[snaxilian]

Nein, das ist Pfusch ersten Grades. Interne Systeme sollten niemals aus dem Internet erreichbar sein und Internetsysteme sollten nicht die internen Netze erreichen können bzw nur mit extra Usern die benötigten Dienste und Ports. Mehrere Netze, Routing & Firewalling dazwischen. DAS ist best practice und auch mit Hyper-V realisierbar. Einfach jede VM oder noch besser jeden Dienst in eigene VM und die Netze per VLAN trennen.

 

[ABACAD]

Hallo,

erstmal vielen Dank für die schnellen Antworten.

@snaxilian-1:
Richtig! Momentan ist es so, dass WebDAV, OWA, ActiveSynch und Co. über die vorhandene öffentliche IP/Domain (firma.de) von außen erreichbar sind, zb. Abruf über das Handy bei Active Sync. Das Gleiche sollte auch mit dem neuen Konstrukt möglich sein. Somit wäre der von Dir vorgeschlagene Reverse Proxy schon mal der richtige Weg.

@DocWindows:
Das heißt, dass der Fileserver mit WebDAV bzw. FTP auf einer eigenen, 3. VM laufen sollte, wofür dann eine weitere Lizenz fällig würde, da Server 2016 Standard mit 16 Cores nur maximal 2 VMs und den Host abdeckt, wenn man je VM 4, und den Host 8 Cores ansetzt. Demnach hätte uns der Händler besser beraten müssen.
Bedeutet im Umkehrschluss aber auch, dass die SBS-Lösungen aufgrund Ihrer Zusammenfassung generell nicht praxistauglich sind/waren.

@snaxilian-2
Aber ist es bei OWA und ActiveSync nicht zwingend, dass man diese aus dem Internet erreichen muss? Wird letzendlich über die vorgeschlagenen VLANs sicherlich auch so geschehen. Werde mich also mal näher mit VLANs befassen.

Hat mir schon viel geholfen,
schönen Abend noch.

 

[t-6]

Demnach hätte uns der Händler besser beraten müssen.
Bedeutet im Umkehrschluss aber auch, dass die SBS-Lösungen aufgrund Ihrer Zusammenfassung generell nicht praxistauglich sind/waren.

Der Caveat ist eben dass WebDAV/FTP auf dem Domänencontroller laufen, dem Herzstück des Netzwerks. Das Herzstück des Netzwerks ist so quasi direkt aus dem Internet erreichbar, was ein großes Nein-Nein ist.

Und ja; SBS waren nicht die praktikabelste Lösung.

Aber ist es bei OWA und ActiveSync nicht zwingend, dass man diese aus dem Internet erreichen muss?

Korrekt, wobei eine UTM mit Web Application Firewall (Sophos) hier ein Stück Sicherheit mitbringt indem sie die Anfragen aus dem Internet abfängt, nach einem gesonderten Firewall-Profil bewertet & dann die Infos vom Exchange (oder anderen HTTP/S-Servern) rüberholt und an den Client zurückgibt. Statt stumpf HTTPS TCP443 durchzuNATten, was jede Fritzbox kann.

Wird letzendlich über die vorgeschlagenen VLANs sicherlich auch so geschehen.

Nope. VLANs haben mit der Erreichbarkeit eines Exchanges aus dem Internet nichts zu tun.

btb: Wahrscheinlich wäre Office 365 für euch wirtschaftlicher, wenn man von einem typischen SB aus SBS ausgeht. Die Verfügbarkeit die Microsoft hinbekommt schafft ein SB nie im Leben, von ein paar anderen Faktoren mal abgesehen:
-OpEx-Posten "Wartung" entfällt
-kein massiver CapEx durch die benötigten Lizenzen, CALs, Hardware
-kein massiver CapEx durch die Installations-/Integrationskosten; wenn Ihr die jetzige Domäne nämlich beibehalten wollt, dürft Ihr jetzt den Zwischenschritt über einen Exchange 2013 machen wenn geringstmögliche Downtime nötig ist; oder PSTs jonglieren inkl. "warum funktioniert die Email-Adresse nicht mehr!?" nach dem Import --> als Pflichtlektüre sei hierzu Franky's Blog empfohlen zu den beiden wichtigsten Themen (Migration & Autodiscover) --> wenn du hier anfängst die Augen zu verdrehen, dann geh zu O365

 

[Masamune2]

Grundsätzlich ist der Ansatz mit dem Reverse Proxy schon mal der richtige, der muss vor beiden IIS laufen und teilt die Anfragen entsprechend auf. Mit VLANs brauchst du dich an dem Fall nicht beschäftigen, die haben damit erst mal nichts zu tun.

Die Fragen ist braucht ihr WebDAV wirklich? Das Protokoll ist ziemlich krude und nicht mehr wirklich zeitgemäß.

Wie viele User habt ihr denn im Unternehmen? Vielleicht ist die Migration auf einen Essentials Server 2016 und Office 365 die sinnvollere Lösung.

 

[snaxilian]

Afaik beziehen sich die 16 Cores auf die Physik und nicht auf Summe aus Physik + aller VMs. Ja, wenn man ein Windows-Klickibunti-Only-Unternehmen ist, dann muss man eben für jede VM bzw deren OS zahlen
Anstatt nem Reverse Proxy kannst auch versuchen oder gucken ob du die Standard-Ports umbiegen kannst. Dann brauchst keinen Reverse Proxy aber mussst eben die Ports (fast) überall mit angeben.
Im besten Fall bietet man keine Dienste nach extern an und wenn ein Mitarbeiter von extern auf Daten zugreifen will > VPN.
Aber igittigitt Sicherheit ist aufwendig und macht leider manchmal Dinge komplizierter und viele können oder wollen dies nicht einsehen also bläst man halt alles ins Netz.
Beraten wird auch idR das, was der Kunde anfordert. Jedes weitere Extra wie eben VLANs, mehrere VMs usw. sind eben aufwendiger und damit teurer. Das sind eben oft Unternehmen nicht bereit zu zahlen.
VLANs erfordern idR VLAN-fähige Switche als auch einen passenden Router und das macht man auch nicht mal eben nebenbei.
Zwingend notwendig ist gar nix. Wenn das aber gewünscht ist, dann muss man eben mit den Konsequenzen leben. Dienste voneinander trennen, im besten Fall jedwede Transportwege per TLS o.ä. absichern, 2-Faktor-Authentifizierung, nen brauchbaren Reverse Proxy oder WebApplicationFirewall die nur die notwendigen Befehle und Anfragen durch lässt, etc
Das alles ist u.a. Aufgabe der IT, den Chef oder Auftraggeber auf die Gefahren hinzuweisen. Nimmt dieser dies in Kauf und lehnt ggf. noch die Absicherungen ab tja dann lässt man sich das schriftlich geben und sucht sich entweder nen besseren Chef (bei interner IT) oder denkt sich: Tja, dann halt nicht und kümmert sich um den nächsten Kunden.

 

[t-6]

Die 3 Umschläge nicht vergessen