MichiS: Apache auf verschiedenen Abteilungsservern... Unterdomäne

Hallo Zusammen...

stehe da vor einem kleinem Problem... Wir haben eine statische IP über die unsere Außendienstleute auf unsere Web-basierende Firmensoftware zurückgreiffen können (Projektverwaltung).

So nun habe ich aber das Problem, daß wir nun einzelne Abteilungs-Server einrichten wollen/sollen/müssen, wo jede Abteilung mit einem eigenen Admin sich um Inhalte kümmert.

Versuche seit letzten Mittwoch den Hauptserver (W2K und Apache 1.3.23) so von der httpd einzurichten, daß mann über diesen "Hauptserver" weitergeleitet wird.

Beispiel:   Firm.dom. =  abc.de
            über diese kommen alle Außendienstleute rein.
Abteilung1  Dom.         eins.abc.de
Abteilung2  Dom.         zwei.abc.de

Wie kann ich nun von dem Hauptrechner mit her Übergeordneten Dom. auf die anderen zurückgreiffen bzw. weiterleiten lassen...

Hat von euch einer das schon mal gemacht ?

Viele Grüße

Michi

  1. Moin!

    Hat von euch einer das schon mal gemacht ?

    Ja, zumindest teilweise.

    Das Anlegen virtueller Domains ist eigentlich eher trivial (vergleiche die entsprechenden Absätze im /manual).

    Das andere Problem ist die Namensauflösung. Also: es muss dafür Sorge getragen werden, daß die DNS- Server bei Anforderungen der virtuellen "Domains" (es sind ja eigentlich Rechnernamen)  auf die richtige IP verweisen. Das muss also ggf. mit dem Provider abgeklärt werden. Im lokalen Netz dürfte das kein Problem sein, ich las aber: "Außendienstmitarbeiter".

    MFFG (Mit freundlich- friedfertigem Grinsen)

    fastix®

    --
    Meinereinerselbst ist auf der Suche nach Aufträgen
    1. Hallo :-)

      Das habe ich noch nicht ganz verstanden...  Wir haben unsere eigenen Rechner im Haus, wo überall W2K und Apach installiert sind.
      Die Standleitung geht auf unseren "Hauptrechner"... aber halt nur über eine Hauptdomäne ... abc.de
      Von hier aus soll es dann in den einzelnen Abteilungen gehen... wie z.B. projekt.abc.de

      Das Anlegen virtueller Domains ist eigentlich eher trivial (vergleiche die entsprechenden Absätze im /manual).

      Wo kann ich das nachlesen ? ...im Manual? Wo finde ihc das ?

      Das andere Problem ist die Namensauflösung. Also: es muss dafür Sorge getragen werden, daß die DNS- Server bei Anforderungen der virtuellen "Domains" (es sind ja eigentlich Rechnernamen)  auf die richtige IP verweisen. Das muss also ggf. mit dem Provider abgeklärt werden.

      Das verstehe ich nun gar nicht... das würde ja bedeuten, daß dies so aussehen würde z.B.
      Rechner1.projekt.abc.de   oder?

      MFFG (Mit freundlich- friedfertigem Grinsen)

      fastix®

      1. Moin!

        Das habe ich noch nicht ganz verstanden...  Wir haben unsere eigenen Rechner im Haus, wo überall W2K und Apach installiert sind.
        Die Standleitung geht auf unseren "Hauptrechner"... aber halt nur über eine Hauptdomäne ... abc.de
        Von hier aus soll es dann in den einzelnen Abteilungen gehen... wie z.B. projekt.abc.de

        Um in einem derartigen professionellen Umfeld zu helfen bedarf es eines tieferen Einblickes. Ich schlage einen Beratervertrag vor.

        Das Anlegen virtueller Domains ist eigentlich eher trivial (vergleiche die entsprechenden Absätze im /manual).
        Wo kann ich das nachlesen ? ...im Manual? Wo finde ihc das ?

        http://httpd.apache.org/
        Links ist das Menü. Documentation. Du musst den richtigen Indianer wählen. Ansonsten ist die httpd.conf auch kommentiert...
        Es gibt zum Apache auch dicke Bücher.

        Das andere Problem ist die Namensauflösung. Also: es muss dafür ... Das muss also ggf. mit dem Provider abgeklärt werden.
        Das verstehe ich nun gar nicht... das würde ja bedeuten, daß dies so aussehen würde z.B.
        Rechner1.projekt.abc.de   oder?

        Es geht um die Zuordnung von projekt.abc.de, projekt2.abc.de zu einer IP-Adresse, nämlich der des realen Servers. Das muss der machen, der die DNS-Server für die Domain abc.de verwaltet. Eigentlich ist aber auch das trivial.

        Wie geschrieben: Ohne Einblicke in die installierte Landschaft lässt sich da nicht mehr sagen. Es gibt jetzt zwei Möglichkeiten. Du veröffentlichst alle relevanten Informationen und hoffst, daß Du Hilfe bekommst ohne daß jemand diese Information in schädlicher Art mißbraucht, oder Du schaust selbst nach oder eben der oben genannte Beratervertrag. Es gibt sicher jemand, der das alles kennt, weil er es eingerichtet hat... oder etwa nicht (mehr)?

        MFFG (Mit freundlich- friedfertigem Grinsen)

        fastix®

        --
        Meinereinerselbst ist auf der Suche nach Aufträgen
        1. Hi nochmal... :-)

          ok... habe soweit mal verstanden...
          Habe mir nun nochmals einiges über mein Problem durchgelesen... und so wie es aussieht... gibt es eigentlich keine Lösung für mein Problem... Da Apache immer nur von einem PC ausgeht.

          Mal das Problem von einer anderen Seite aus betrachtet...
          Wie könnte ich die Anfragen abfangen... bevor diese zum Apache durchdringen... Stelle mit das so vor...

          Sagen wir mal ein Router(Software) fängt Anfragen ab... prüft diese, was für ein DNS (z.B.projekt1.abc.de)  Name das ist und leitet diese Anfrage an den entsprechenden PC weiter...
          Somit könnte ich mein Problem auch beseitigen...

          Was für ein Programm könnte ich da verwenden?
          Wäre Windows 2000 Server (also die richtige Server-Version) dafür zu verwenden... mit allem was dazu gehört... Activ-Dir, DNS usw. ??

          Gruß
          Michi

          1. Moin!

            Sagen wir mal ein Router(Software) fängt Anfragen ab... prüft diese, was für ein DNS (z.B.projekt1.abc.de)  Name das ist und leitet diese Anfrage an den entsprechenden PC weiter...

            Das kann der Apache auch: Er kann als Proxy arbeiten und die Abfragen auch zu einem Server weiterleiten, selbst, wenn der eine "private" IP hat. (192.168.x.y)

            Lies dazu, wie der Indianer als Proxy zu konfigurieren ist.

            Voraussetzung: Die Requests müssen auf dem Proxy aufschlagen. Es geht also mal wieder nicht ohne DNS. Das heisst auch hier: projekt1.abc.de, projekt2.abc.de müssen zur gleichen IP aufgelöst werden.

            Wenn das ganze "nur" innerhalb des lokalen Netzes funktionieren soll kannst Du den DNS des Netzes "manipulieren" (durch Eintragen der Hosts) im vom Internet aus wird dies so einfach nicht gehen. Frag also den Provider, der Euch die Standleitung zur Veffügung stellt, was (wieviel) er für die Einrichtung der Subdomains haben will.

            MFFG (Mit freundlich- friedfertigem Grinsen)

            fastix®

            --
            Meinereinerselbst ist auf der Suche nach Aufträgen
  2. Moin!

    stehe da vor einem kleinem Problem... Wir haben eine statische IP über die unsere Außendienstleute auf unsere Web-basierende Firmensoftware zurückgreiffen können (Projektverwaltung).

    Mit anderen Worten: Aus dem Internet ist eure Firma über genau eine öffentliche IP erreichbar, und ansonsten existiert ein Intranet mit einem privaten IP-Adressbereich, der aus dem Internet nicht erreichbar ist (der Adreßbereich natürlich).

    So nun habe ich aber das Problem, daß wir nun einzelne Abteilungs-Server einrichten wollen/sollen/müssen, wo jede Abteilung mit einem eigenen Admin sich um Inhalte kümmert.

    Das ist dann vielleicht keine gute Idee.

    Das Problem ist, wie du schon richtig erkannt hast, der Zugriff von außen.

    Im Intranet selbst ist diese Aufgabe kein großer Akt. Du richtest einen Nameserver ein, der zur Intranet-Domain passende Subdomains konfiguriert kriegt, und richtest die einzelnen Sub-Server passend dazu ein.

    Mit anderen Worten: Die Intranet-Domain sein ".intra"
    Du richtest Abteilungsserver-Namen (mit den IP-Adressen der vorgesehenen Server) ein: abteilung1.intra, abteilung2.intra usw.

    Intern ist dann der Zugriff auf die einzelnen Server mit "http://abteilung1.intra" möglich. Der Zugriff auf den Hauptserver ist genauso geregelt.

    Der Zugriff von außen aber wird auf diese Weise nicht funktionieren. Irgendwie müßten ja die Servernamen auch nach außen hin bekannt werden. Das geht aber nur, indem du öffentliche Subdomains einrichtest. Weiterhin müssen die zugeordneten IP-Adressen der Abteilungsserver natürlich auch öffentlich sein - da du aber nur eine statische IP hast, wird das unmöglich sein.

    Mit anderen Worten: Du kannst von extern nur auf eine einzige Domain zugreifen, die auf eine einzige IP verweist, hinter der sich nur ein einziger Server verbergen kann.

    Lösungsmöglichkeiten:
    1. Warum Abteilungsserver? Wenn es ohnehin nur um Inhalte geht, kann der zuständige Mitarbeiter die auch auf dem zentralen Server pflegen. Der Unterschied zwischen "http://abteilung1.intra" und "http://www.intra/abteilung1" ist nur marginal. Außerdem glaube ich, dass eine dezentrale Serverlandschaft in den meisten Fällen überdimensioniert sein dürfte - das hängt aber natürlich von der Firmengröße und Mitarbeiterzahl ab.

    2. Die zweite Möglichkeit, von extern auf das dezentrale Intranet zuzugreifen, wäre ein Proxyserver auf dem zentralen Server, der dafür sorgt, dass die Zugriffe ins Intranet weitergeleitet werden. Der Apache kann sowas machen (es gibt ein Proxymodul), allerdings muß irgendwie über die URL mitgeteilt werden, welcher Server denn gewünscht ist. Hierzu ist entweder ein virtueller URL-Baum unterhalb _einer_ Domain notwendig, oder es sind entsprechend viele öffentliche Subdomains im DNS konfiguriert. Ob und wie der Proxy das dann auseinanderhalten kann, und wie er dazu bewegt wird, die Daten durchzuleiten, kann ich nicht beantworten.

    3. Natürlich kannst du auf dem Internet-Router auch Port-Forwarding konfigurieren. Dann wäre es allerdings notwendig, je Abteilungsserver einen anderen Port von außen durchzuschalten, und die Außendienstmitarbeiter müßten sich die Liste von Ports merken, damit ihre Browser auf dem richtigen Server landen.

    4. Insgesamt schätze ich die Sicherheitslage bei allen diesen Methoden als sehr schlecht ein. Deshalb wäre die beste Variante, dass du ein Virtuelles Privates Netz errichtest. Damit können sich die Außendienstmitarbeiter verschlüsselt ins Intranet einloggen und alle Dienste des Intranets so nutzen, als würden sie direkt in der Firma sitzen. Insbesondere interner DNS und interne Webserver. Und die Verschlüsselung sichert die Verbindung obendrein.

    - Sven Rautenberg

    --
    ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|
    1. wie wärs mit portmapping?

  3. moin michi,
    weiß ja nicht ob dir das zu deinem speziellen problem weiterhilft, aber das aktuelle linux-magazing titelt grade zu diversen problemlösungen von vpn's. Hab nicht alles verstanden. könnt es auch wohl nicht umsetzen aber du vielleicht.
    gruß josef