Windows (IIS)

Stellen Sie RAMP auf einem Windows Server mit IIS und Windows-integrierter Authentifizierung (Kerberos/NTLM) bereit. Dies ist ideal für Unternehmensumgebungen mit Active Directory, in denen sich Benutzer mit ihren Domänendaten authentifizieren.

Was die Bereitstellung umfasst

Das automatisierte Bereitstellungsskript (Deploy-RAMPToHyperV.ps1) übernimmt folgende Aufgaben:

• RAMP erstellen (Backend + Frontend)
• Verbindung zu einer Remote-VM über PowerShell Remoting herstellen
• IIS installieren und konfigurieren
• Anwendungsdateien bereitstellen
• Windows-integrierte Authentifizierung konfigurieren
• Datenbank einrichten (SQLite oder SQL Server)
• Bereitstellung mit Integritätsprüfungen validieren

Voraussetzungen

Auf Ihrem Entwicklungsrechner

• PowerShell 5.1+ oder PowerShell 7+
• RAMP-Quellcode mit allen Abhängigkeiten
• .NET 10 SDK zum Erstellen des Backends
• Node.js 18+ zum Erstellen des Frontends
• Netzwerkzugriff auf die Ziel-VM

Auf der Ziel-VM (Windows Server)

• Windows Server 2016+ (2019 oder 2022 empfohlen)
• Active Directory Domain Controller oder einer Domäne beigetretener Computer
• IIS (wird vom Skript installiert, falls nicht vorhanden)
• ASP.NET Core 10 Runtime (Hosting Bundle) — herunterladen von dotnet.microsoft.com
• PowerShell Remoting aktiviert:

Enable-PSRemoting -Force

Firewallregeln

Stellen Sie sicher, dass diese Ports auf der Ziel-VM geöffnet sind:

Port	Protokoll	Zweck
5985	HTTP	PowerShell Remoting (WinRM)
5986	HTTPS	PowerShell Remoting über SSL (optional)
80	HTTP	RAMP-Webanwendung
443	HTTPS	RAMP-Webanwendung (bei SSL)

---

Schnellstart

1. Navigieren Sie zum RAMP-Quellverzeichnis:

   cd C:\Source\RAMP

2. Führen Sie das Bereitstellungsskript mit Standardeinstellungen aus:

   .\Deploy-RAMPToHyperV.ps1

3. Öffnen Sie RAMP unter http://<vm-ip-adresse>. Sie werden zur Eingabe von Windows-Anmeldedaten aufgefordert.

Standardeinstellungen:

Einstellung	Standardwert
Websitename	RAMP
App Pool	RAMP_AppPool
Port	80
Datenbank	SQLite
Bereitstellungspfad	C:\inetpub\RAMP

---

Bereitstellungsoptionen

Einfach

# Auf Standard-VM bereitstellen
.\Deploy-RAMPToHyperV.ps1

Benutzerdefinierte VM

# Anmeldedaten abfragen
$cred = Get-Credential

# Auf benutzerdefinierte VM bereitstellen
.\Deploy-RAMPToHyperV.ps1 -VMHost 192.168.1.100 -Credential $cred

Überschreiben erzwingen

# Vorhandene RAMP-Bereitstellung überschreiben
.\Deploy-RAMPToHyperV.ps1 -Force

Build überspringen

# Build-Schritt überspringen (schneller für erneute Bereitstellung)
.\Deploy-RAMPToHyperV.ps1 -SkipBuild

Benutzerdefinierter Port

# Auf benutzerdefiniertem Port und Websitenamen bereitstellen
.\Deploy-RAMPToHyperV.ps1 -Port 8080 -SiteName "RAMP_Production" -AppPoolName "RAMP_Prod_Pool"

SQL Server

# SQL Server verwenden (Verbindungszeichenfolge nach der Bereitstellung manuell konfigurieren)
.\Deploy-RAMPToHyperV.ps1 -DatabaseType SQLServer

---

Verzeichnisstruktur

Nach der Bereitstellung stellt IIS aus der folgenden Struktur bereit:

C:\inetpub\RAMP\
├── wwwroot\                       # Frontend-Build-Ausgabe
│   ├── index.html
│   └── assets\
├── appsettings.json
├── appsettings.Production.json    # Vom Skript generiert
├── RAMP.API.dll
├── RAMP.API.exe
├── web.config                     # Vom Skript generiert
├── logs\
│   └── stdout_*.log               # IIS stdout-Protokolle
└── data\
    └── ramp.db                    # SQLite-Datenbank

Konfiguration

appsettings.Production.json

Das Bereitstellungsskript generiert diese Datei. Wichtige Abschnitte:

{
  "ConnectionStrings": {
    "DefaultConnection": "Data Source=C:\\inetpub\\RAMP\\data\\ramp.db"
  },
  "Authentication": {
    "WindowsAuthentication": {
      "Enabled": true,
      "AutomaticChallenge": true
    },
    "Jwt": {
      "Issuer": "http://your-server",
      "Audience": "http://your-server",
      "SecretKey": "CHANGE_THIS_IN_PRODUCTION_MIN_32_CHARS"
    }
  },
  "CORS": {
    "AllowedOrigins": ["http://your-server"]
  }
}

Gefahr

Ändern Sie den JWT-SecretKey immer in der Produktion. Verwenden Sie einen starken, zufällig generierten Schlüssel mit mindestens 32 Zeichen.

Die vollständige Konfigurationsreferenz finden Sie unter Anwendungseinstellungen.

web.config

Das Bereitstellungsskript generiert web.config mit dem ASP.NET Core-Modul und Windows-Authentifizierung:

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <location path="." inheritInChildApplications="false">
    <system.webServer>
      <handlers>
        <add name="aspNetCore" path="*" verb="*"
             modules="AspNetCoreModuleV2" resourceType="Unspecified" />
      </handlers>
      <aspNetCore processPath="dotnet"
                  arguments=".\RAMP.API.dll"
                  stdoutLogEnabled="true"
                  stdoutLogFile=".\logs\stdout"
                  hostingModel="inprocess" />
      <security>
        <authentication>
          <windowsAuthentication enabled="true">
            <providers>
              <add value="Negotiate" />
              <add value="NTLM" />
            </providers>
          </windowsAuthentication>
          <anonymousAuthentication enabled="false" />
        </authentication>
      </security>
    </system.webServer>
  </location>
</configuration>

IIS-Einstellungen

Einstellung	Wert
Anwendungspool	RAMP_AppPool
.NET CLR-Version	Kein verwalteter Code (verwendet .NET 10 Runtime)
Verwalteter Pipeline-Modus	Integriert
32-Bit-Anwendungen aktivieren	False
Identität	ApplicationPoolIdentity
Windows-Authentifizierung	Aktiviert (Negotiate, NTLM)
Anonyme Authentifizierung	Deaktiviert

---

Authentifizierungsablauf

Funktionsweise der Windows-integrierten Authentifizierung

1. Der Benutzer navigiert zur Anwendung unter http://your-server.

2. IIS fordert den Browser auf mit HTTP 401 und dem Header WWW-Authenticate: Negotiate.

3. Der Browser sendet Windows-Anmeldedaten über Kerberos (bevorzugt) oder NTLM als Fallback.

4. IIS validiert die Anmeldedaten gegen Active Directory und setzt HttpContext.User.Identity auf die WindowsIdentity.

5. Der Benutzer meldet sich bei RAMP an — das Frontend ruft POST /_api/auth/windows-login auf. Das Backend extrahiert die WindowsIdentity und ordnet DOMÄNE\Benutzername einem RAMP-Benutzer zu.

6. RAMP stellt JWT-Token aus — ein Zugriffstoken (8 Stunden Ablaufzeit) und ein Aktualisierungstoken.

7. Das Frontend speichert Token im localStorage und sendet Authorization: Bearer <token> bei nachfolgenden Anfragen.

Zuordnung von Windows-Benutzer zu RAMP-Benutzer

Der Benutzername wird aus dem Format DOMÄNE\Benutzername extrahiert:

Windows-Identität	Extrahierter Benutzername	RAMP-Benutzer
CORP\john.doe	john.doe	john.doe
DOMAIN\jsmith	jsmith	jsmith

Vorsicht

Der RAMP-Benutzer muss bereits in der Datenbank mit einem passenden Benutzernamen vorhanden sein. Die Windows-Anmeldung schlägt fehl, wenn kein übereinstimmender Benutzer gefunden wird.

RAMP-Benutzer für Windows-Authentifizierung erstellen

Administrator-Oberfläche

1. Als Administrator anmelden
2. Zur Seite Benutzer navigieren
3. Einen Benutzer mit einem Benutzernamen erstellen, der dem Windows-Benutzernamen entspricht (z.B. john.doe)
4. Entsprechende Rollen zuweisen

Scaffold YAML

Benutzer zur Scaffold-Datei (default.yaml) hinzufügen:

users:
  - username: john.doe
    email: john.doe@corp.local
    firstName: John
    lastName: Doe
    isActive: true
    appRoles:
      - User

---

Fehlerbehebung

PowerShell Remoting funktioniert nicht

Fehler: Failed to connect to <ip-address>

Lösung — führen Sie diese Befehle als Administrator auf der VM aus:

Enable-PSRemoting -Force
Set-Item WSMan:\localhost\Client\TrustedHosts -Value "<ip-address>" -Force
Restart-Service WinRM

.NET Runtime nicht gefunden

Fehler: .NET 10 Runtime required

1. Laden Sie das ASP.NET Core 10 Hosting Bundle von dotnet.microsoft.com herunter.
2. Installieren Sie es auf der VM.
3. Starten Sie IIS neu: iisreset

HTTP 500.19 — Ungültige Konfiguration

Ursache: web.config ist ungültig oder das ASP.NET Core-Modul ist nicht installiert.

Lösung: Installieren Sie das ASP.NET Core Hosting Bundle und starten Sie IIS mit iisreset neu.

HTTP 401 — Nicht autorisiert (Anmeldedaten-Schleife)

Ursache: Windows-Authentifizierung ist nicht korrekt konfiguriert.

IIS-Authentifizierungseinstellungen überprüfen:

# Sollte True zurückgeben
Get-WebConfigurationProperty `
  -Filter "/system.webServer/security/authentication/windowsAuthentication" `
  -Name "enabled" -PSPath "IIS:\Sites\RAMP"

# Sollte Negotiate und NTLM enthalten
Get-WebConfiguration `
  -Filter "/system.webServer/security/authentication/windowsAuthentication/providers" `
  -PSPath "IIS:\Sites\RAMP"

Benutzer nicht in RAMP gefunden

Symptom: Windows-Anmeldung erfolgreich, aber RAMP gibt 401 mit “User not found” zurück.

Lösung: Erstellen Sie den Benutzer in RAMP mit einem Benutzernamen, der dem Windows-Benutzernamen entspricht (siehe Benutzer erstellen oben).

Datenbankberechtigungsfehler

Ursache: Die IIS-Anwendungspoolidentität kann nicht in das Datenbankverzeichnis schreiben.

icacls "C:\inetpub\RAMP\data" /grant IIS_IUSRS:(OI)(CI)F

Protokolle anzeigen

IIS-Protokolle

Get-Content "C:\inetpub\RAMP\logs\stdout_*.log" -Tail 50

Anwendungsprotokolle

Get-Content "C:\inetpub\RAMP\logs\ramp-*.log" -Tail 50

Ereignisanzeige

Get-EventLog -LogName Application -Source "IIS AspNetCore Module V2" -Newest 10

---

Produktionsüberlegungen

Sicherheitshärtung

1. HTTPS verwenden — installieren Sie ein SSL-Zertifikat in IIS, binden Sie es an Port 443 und erzwingen Sie eine HTTPS-Weiterleitung.

2. JWT-Secret ändern — aktualisieren Sie Jwt:SecretKey in appsettings.Production.json mit einem starken, zufällig generierten Schlüssel (mindestens 32 Zeichen).

3. CORS-Ursprünge einschränken — aktualisieren Sie CORS:AllowedOrigins, sodass nur Ihre Produktionsdomänen enthalten sind. Entfernen Sie http://localhost:5173.

4. SQL Server für die Produktion verwenden — SQLite ist nur für Demos geeignet. Konfigurieren Sie eine SQL Server-Verbindungszeichenfolge und führen Sie Datenbankmigrationen durch.

5. Kerberos-SPNs konfigurieren — registrieren Sie für die Kerberos-Authentifizierung Service Principal Names:

   setspn -S HTTP/ramp.example.com DOMAIN\ServiceAccount
   setspn -S HTTP/ramp DOMAIN\ServiceAccount

6. Dediziertes Dienstkonto verwenden — erstellen Sie ein dediziertes AD-Dienstkonto für den IIS App Pool mit minimal erforderlichen Berechtigungen.

Leistungsoptimierung

# Leerlaufzeitlimit auf 0 setzen (immer aktiv)
Set-ItemProperty "IIS:\AppPools\RAMP_AppPool" `
  -Name processModel.idleTimeout -Value ([TimeSpan]::FromMinutes(0))

# Periodisches Recycling deaktivieren
Set-ItemProperty "IIS:\AppPools\RAMP_AppPool" `
  -Name recycling.periodicRestart.time -Value ([TimeSpan]::FromMinutes(0))

Aktivieren Sie außerdem die IIS-Antwortkomprimierung (sowohl statisch als auch dynamisch) für bessere Leistung.

Integritätsprüfungen

Endpunkt	Zweck
/_health	Umfassende Integritätsprüfung (Datenbank, Hangfire)
/_health/ready	Bereitschaftsprüfung für Load Balancer
/_health/live	Liveness-Prüfung

Sicherung und Wiederherstellung

SQLite

# Datenbankdatei kopieren
Copy-Item "C:\inetpub\RAMP\data\ramp.db" `
  "C:\Backups\ramp_$(Get-Date -Format 'yyyyMMdd_HHmmss').db"

Gesamte Anwendung

# Gesamten Anwendungsordner sichern
Compress-Archive -Path "C:\inetpub\RAMP" `
  -DestinationPath "C:\Backups\RAMP_Backup_$(Get-Date -Format 'yyyyMMdd').zip"

Hochverfügbarkeit

Für Hochverfügbarkeit mit IIS:

• Auf mehreren IIS-Servern hinter einem Load Balancer bereitstellen (IIS ARR, Azure Load Balancer, F5 usw.)
• SQL Server mit AlwaysOn Availability Groups für gemeinsame Datenbank verwenden
• Verteilten Cache (Redis) für gemeinsamen Sitzungsstatus und Refresh-Token-Speicherung konfigurieren

---

Verwandte Themen

Linux-Bereitstellung RAMP unter Linux mit systemd und Nginx-Reverse-Proxy bereitstellen

Docker Lite Minimale Docker-Bereitstellung mit SQLite für Evaluierung und kleine Teams

Referenz der Anwendungseinstellungen Vollständige Referenz für die appsettings.json-Konfiguration von RAMP