ADFS + FTP in DMZ?
Hallo zusammen,
ich stehe aktuell vor dem Problem einige Server neu aufzusetzen, unter anderem einen FTP Server. Gleichzeitig stellen wir unser Gesamtsystem auf SSO um (im Rahmen von Domäne + Office 365), daher steht zeitnah die Installation von ADFS an.
Beide Services (ADFS Proxy + FTP) gehören ja in eine DMZ und - ich würde gerne eure Meinungen dazu hören, was gegen den Betrieb beider Services auf einer VM sprechen könnte.
Den ADFS & Dir Sync Server sind unabhängig davon im Intranet in der Domäne aufgehangen.
Bin offen für Vorschläge und Erfahrungsberichte rund um ADFS, vielleicht gibt es ja den ein oder anderen Kniff den man in den üblichen Dokumentationen nicht direkt findet.
Danke!
Marco
ich stehe aktuell vor dem Problem einige Server neu aufzusetzen, unter anderem einen FTP Server. Gleichzeitig stellen wir unser Gesamtsystem auf SSO um (im Rahmen von Domäne + Office 365), daher steht zeitnah die Installation von ADFS an.
Beide Services (ADFS Proxy + FTP) gehören ja in eine DMZ und - ich würde gerne eure Meinungen dazu hören, was gegen den Betrieb beider Services auf einer VM sprechen könnte.
Den ADFS & Dir Sync Server sind unabhängig davon im Intranet in der Domäne aufgehangen.
Bin offen für Vorschläge und Erfahrungsberichte rund um ADFS, vielleicht gibt es ja den ein oder anderen Kniff den man in den üblichen Dokumentationen nicht direkt findet.
Danke!
Marco
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 282846
Url: https://administrator.de/contentid/282846
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
6 Kommentare
Neuester Kommentar
Hi
es spricht nichts dagegen die beiden Dienste als VM laufen zu lassen, haben wir auch so im Einsatz. An der Firewall leiten wir nur die notwendigen Ports weiter mehr nicht, bei der ADFS Regel kannst ggf. noch so einstellen, dass der nur Pakete von der Office365 Plattform annimmt (ich weis jetzt nicht wie die das mit der Authentifizierung machen, sollte aber so funktionieren).
Das gleiche dann für die 2. Firewall die dann die DMZ von dem Produktiven Netz trennt, dort dann auch nur die notwendigsten Ports und nicht mehr.
Gruß
@clSchak
es spricht nichts dagegen die beiden Dienste als VM laufen zu lassen, haben wir auch so im Einsatz. An der Firewall leiten wir nur die notwendigen Ports weiter mehr nicht, bei der ADFS Regel kannst ggf. noch so einstellen, dass der nur Pakete von der Office365 Plattform annimmt (ich weis jetzt nicht wie die das mit der Authentifizierung machen, sollte aber so funktionieren).
Das gleiche dann für die 2. Firewall die dann die DMZ von dem Produktiven Netz trennt, dort dann auch nur die notwendigsten Ports und nicht mehr.
Gruß
@clSchak
Moin,
Gruß,
Dani
ADFS Proxy und ADFS sollten eigentlich voneinander getrennt sein => ADFS selbst Intranet / ADFS Proxy DMZ. Die Installation von beiden Rollen ist aber eigentlich ein Aufwasch. Oder verstehe ich die Aufteilung nicht richtig?
ADFS Proxy heißt nun WAP (Web Applikation Proxy). Die Aufteilung ist korrekt.ADFS grundsätzlich scheint ja ein ganz interessantes Thema zu sein, die Dokumentation von MS selbst ist ja recht happig.
Im Technet kannst du dich die nächsten 4 Wochen mit Lesestoff eindecken. Reicht dir das nicht?Dazu kommt eine Frage bezüglich des SSL Zertifikates das man braucht - das muss schon die eigene interne FQDN sein oder?
Würde ich schon sagen.Gruß,
Dani
ADFS ist (meine persönliche Meinung!) das schlimmste was man im AD konfigurieren muss - wir haben nur einen ADFS Server in der DMZ stehen und sonst nichts weiter, den benutzen wir für das Dynamics CRM zum authentifizieren. Die Aufteilung ist MS Best Practice, sollte man eigentlich auch so machen - muss man aber nicht.
Wird auf jeden Fall interessant mit den Claims Zuweisungen usw. wenn man das nicht so oft macht wird das spaßig
Wird auf jeden Fall interessant mit den Claims Zuweisungen usw. wenn man das nicht so oft macht wird das spaßig
Hi,
der WAP muss per Internet über 443 erreichbar sein. Intern ebenfalls 443 auf das ADFS Cluster. Fertig!
Bedenke: Ist der WAP tot, kann sich kein O365 User mehr extern authentifizieren.
Klick doch einfach mal die Rollenkonfiguration durch. Das sind vielleicht 4 bis 5 echt gut erklärte Schritte. ADFS selbst ist allerdings schon aufwändiger. Jop.
der WAP muss per Internet über 443 erreichbar sein. Intern ebenfalls 443 auf das ADFS Cluster. Fertig!
Bedenke: Ist der WAP tot, kann sich kein O365 User mehr extern authentifizieren.
Klick doch einfach mal die Rollenkonfiguration durch. Das sind vielleicht 4 bis 5 echt gut erklärte Schritte. ADFS selbst ist allerdings schon aufwändiger. Jop.