Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst ADFS + FTP in DMZ?

Mitglied: mcmacca

mcmacca (Level 1) - Jetzt verbinden

14.09.2015 um 16:30 Uhr, 821 Aufrufe, 6 Kommentare, 1 Danke

Hallo zusammen,

ich stehe aktuell vor dem Problem einige Server neu aufzusetzen, unter anderem einen FTP Server. Gleichzeitig stellen wir unser Gesamtsystem auf SSO um (im Rahmen von Domäne + Office 365), daher steht zeitnah die Installation von ADFS an.
Beide Services (ADFS Proxy + FTP) gehören ja in eine DMZ und - ich würde gerne eure Meinungen dazu hören, was gegen den Betrieb beider Services auf einer VM sprechen könnte.
Den ADFS & Dir Sync Server sind unabhängig davon im Intranet in der Domäne aufgehangen.

Bin offen für Vorschläge und Erfahrungsberichte rund um ADFS, vielleicht gibt es ja den ein oder anderen Kniff den man in den üblichen Dokumentationen nicht direkt findet.

Danke!
Marco
Mitglied: clSchak
LÖSUNG 14.09.2015, aktualisiert 15.09.2015
Hi

es spricht nichts dagegen die beiden Dienste als VM laufen zu lassen, haben wir auch so im Einsatz. An der Firewall leiten wir nur die notwendigen Ports weiter mehr nicht, bei der ADFS Regel kannst ggf. noch so einstellen, dass der nur Pakete von der Office365 Plattform annimmt (ich weis jetzt nicht wie die das mit der Authentifizierung machen, sollte aber so funktionieren).

Das gleiche dann für die 2. Firewall die dann die DMZ von dem Produktiven Netz trennt, dort dann auch nur die notwendigsten Ports und nicht mehr.

Gruß
@clSchak
Bitte warten ..
Mitglied: mcmacca
14.09.2015 um 18:04 Uhr
Ok super vielen Dank für deine Einschätzung.
ADFS grundsätzlich scheint ja ein ganz interessantes Thema zu sein, die Dokumentation von MS selbst ist ja recht happig.

Da du dich scheinbar auskennst hätte ich noch eine grundsätzliche Frage zum Thema ADFS:
ADFS Proxy und ADFS sollten eigentlich voneinander getrennt sein => ADFS selbst Intranet / ADFS Proxy DMZ
Die Installation von beiden Rollen ist aber eigentlich ein Aufwasch. Oder verstehe ich die Aufteilung nicht richtig?
Dazu kommt eine Frage bezüglich des SSL Zertifikates das man braucht - das muss schon die eigene interne FQDN sein oder? Beispiel:
Servername: sts-server-123
Domäne: abc.zz
=> SSL Zertifikat auf sts-server-123.abc.zz

Gruß
Marco
Bitte warten ..
Mitglied: Dani
14.09.2015 um 21:43 Uhr
Moin,
ADFS Proxy und ADFS sollten eigentlich voneinander getrennt sein => ADFS selbst Intranet / ADFS Proxy DMZ. Die Installation von beiden Rollen ist aber eigentlich ein Aufwasch. Oder verstehe ich die Aufteilung nicht richtig?
ADFS Proxy heißt nun WAP (Web Applikation Proxy). Die Aufteilung ist korrekt.

ADFS grundsätzlich scheint ja ein ganz interessantes Thema zu sein, die Dokumentation von MS selbst ist ja recht happig.
Im Technet kannst du dich die nächsten 4 Wochen mit Lesestoff eindecken. Reicht dir das nicht?

Dazu kommt eine Frage bezüglich des SSL Zertifikates das man braucht - das muss schon die eigene interne FQDN sein oder?
Würde ich schon sagen.


Gruß,
Dani
Bitte warten ..
Mitglied: clSchak
14.09.2015 um 21:46 Uhr
ADFS ist (meine persönliche Meinung!) das schlimmste was man im AD konfigurieren muss - wir haben nur einen ADFS Server in der DMZ stehen und sonst nichts weiter, den benutzen wir für das Dynamics CRM zum authentifizieren. Die Aufteilung ist MS Best Practice, sollte man eigentlich auch so machen - muss man aber nicht.

Wird auf jeden Fall interessant mit den Claims Zuweisungen usw. wenn man das nicht so oft macht wird das spaßig
Bitte warten ..
Mitglied: mcmacca
15.09.2015 um 00:01 Uhr
@Dani
Wegen dem Lesestoff - ich meinte mit happig das unendlich viel Stoff da ist, zu viel wie ich finde. Und die ganzen Step by Step Guides sind nicht praxisnah sondern in Labs nachgezüchtet mit schlechten Beispielen der SSL Zertifikate. Ich habe bei mir drei Domains und die interne Domäne ist eben nur intern (firma.zz), dafür gibt es nur wenige laue Worte. Wie der WAP von außen erreichbar sein soll ich auch schwach bis nicht beschrieben.

@clSchak
kommt mir auch so vor als wäre das ein ganz schöner Akt wenn es das erste Mal anfasst so wie ich.

Ich denke zusammenfassend werde ich mich weiter mit der Thematik beschäftigen und ggf. vom MS Support noch etwas Hilfe bekommen, die sind ja ganz wild drauf ihr 365 Lösungen an den Mann zu bringen.

Danke euch auf jeden Fall für den Input.
Bitte warten ..
Mitglied: Ex0r2k16
07.08.2018, aktualisiert um 10:07 Uhr
Hi,

der WAP muss per Internet über 443 erreichbar sein. Intern ebenfalls 443 auf das ADFS Cluster. Fertig!

Bedenke: Ist der WAP tot, kann sich kein O365 User mehr extern authentifizieren.

Klick doch einfach mal die Rollenkonfiguration durch. Das sind vielleicht 4 bis 5 echt gut erklärte Schritte. ADFS selbst ist allerdings schon aufwändiger. Jop.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
DMZ Verständnisfrage
Frage von PharITRouter & Routing2 Kommentare

Hallo allerseits, ich will mit meinem Cisco 891 Router meine erste DMZ aufsetzen. Hab ich das richtig verstanden, dass ...

LAN, WAN, Wireless
Verständnisfrage DMZ
Frage von maddigLAN, WAN, Wireless11 Kommentare

Guten Morgen, ich habe schon immer eine Verständnisfrage in Bezug mit einer DMZ. Im Anhangsbild ist zum Beispiel unsere ...

Windows Server
Webserver DMZ
Frage von adrian138Windows Server7 Kommentare

Hallo, Wir stellen einen neuen Webserver in die DMZ welcher von aussen erreichbar ist. Frage: Es braucht eine AD ...

Firewall
Pfsense - DMZ
gelöst Frage von 118080Firewall14 Kommentare

Moin :-) Ich habe eine pfsense mit LAN und DMZ Im LAN klappt fast alles so wie ich es ...

Neue Wissensbeiträge
Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 1 TagNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 1 TagMicrosoft2 Kommentare

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 3 TagenHumor (lol)17 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Windows Update
MS SQL Server Updates
Information von sabines vor 3 TagenWindows Update

Für 2012, 2014 und 2016 sind seit Dienstag wichtige Sicherheitsupdates verfügar, die eine remote, leicht auszunutzende Lücke im Reporting ...

Heiß diskutierte Inhalte
Router & Routing
Suche Router der von einem Ethernet ein WLAN erzeugt
gelöst Frage von cdkurtRouter & Routing25 Kommentare

Hallo, ich bin auf der Suche nach einem Wlan Router/ Access Point der sich in einem Heim / Hotel ...

Sicherheitsgrundlagen
Frage zur allgemeinen Netzwerksicherheit
Frage von AbstrackterSystemimperatorSicherheitsgrundlagen15 Kommentare

Guten Tag zusammen, in letzter Zeit beschäftige ich mich, auch wenn ich "nur" Azubi bin, mit diversen Themen der ...

Windows Server
Windows Server 2019 RDP auf anderen Port umlegen scheint zumindest in der Firewall nicht zu funktionieren
gelöst Frage von kfj-deWindows Server14 Kommentare

Hallo zusammen, habe gedacht, ich mache den Remote Desktop Zugang etwas sicherer und lege den Port auf einen der ...

Netzwerkgrundlagen
Anfänger-Plan für ein Heimnetzwerk mit Opnsense
gelöst Frage von scriptoriusNetzwerkgrundlagen13 Kommentare

Hallo, ich plane, mein Netzwerk zu Hause umzugestalten. Ich habe einen Glasfaser-Anschluss (Deutsche Glasfaser). In meinem Netzwerk befinden sich ...