mcmacca
Goto Top

ADFS + FTP in DMZ?

Hallo zusammen,

ich stehe aktuell vor dem Problem einige Server neu aufzusetzen, unter anderem einen FTP Server. Gleichzeitig stellen wir unser Gesamtsystem auf SSO um (im Rahmen von Domäne + Office 365), daher steht zeitnah die Installation von ADFS an.
Beide Services (ADFS Proxy + FTP) gehören ja in eine DMZ und - ich würde gerne eure Meinungen dazu hören, was gegen den Betrieb beider Services auf einer VM sprechen könnte.
Den ADFS & Dir Sync Server sind unabhängig davon im Intranet in der Domäne aufgehangen.

Bin offen für Vorschläge und Erfahrungsberichte rund um ADFS, vielleicht gibt es ja den ein oder anderen Kniff den man in den üblichen Dokumentationen nicht direkt findet.

Danke!
Marco

Content-ID: 282846

Url: https://administrator.de/contentid/282846

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

clSchak
Lösung clSchak 14.09.2015, aktualisiert am 15.09.2015 um 09:29:33 Uhr
Goto Top
Hi

es spricht nichts dagegen die beiden Dienste als VM laufen zu lassen, haben wir auch so im Einsatz. An der Firewall leiten wir nur die notwendigen Ports weiter mehr nicht, bei der ADFS Regel kannst ggf. noch so einstellen, dass der nur Pakete von der Office365 Plattform annimmt (ich weis jetzt nicht wie die das mit der Authentifizierung machen, sollte aber so funktionieren).

Das gleiche dann für die 2. Firewall die dann die DMZ von dem Produktiven Netz trennt, dort dann auch nur die notwendigsten Ports und nicht mehr.

Gruß
@clSchak
mcmacca
mcmacca 14.09.2015 um 18:04:16 Uhr
Goto Top
Ok super vielen Dank für deine Einschätzung.
ADFS grundsätzlich scheint ja ein ganz interessantes Thema zu sein, die Dokumentation von MS selbst ist ja recht happig.

Da du dich scheinbar auskennst hätte ich noch eine grundsätzliche Frage zum Thema ADFS:
ADFS Proxy und ADFS sollten eigentlich voneinander getrennt sein => ADFS selbst Intranet / ADFS Proxy DMZ
Die Installation von beiden Rollen ist aber eigentlich ein Aufwasch. Oder verstehe ich die Aufteilung nicht richtig?
Dazu kommt eine Frage bezüglich des SSL Zertifikates das man braucht - das muss schon die eigene interne FQDN sein oder? Beispiel:
Servername: sts-server-123
Domäne: abc.zz
=> SSL Zertifikat auf sts-server-123.abc.zz

Gruß
Marco
Dani
Dani 14.09.2015 um 21:43:22 Uhr
Goto Top
Moin,
ADFS Proxy und ADFS sollten eigentlich voneinander getrennt sein => ADFS selbst Intranet / ADFS Proxy DMZ. Die Installation von beiden Rollen ist aber eigentlich ein Aufwasch. Oder verstehe ich die Aufteilung nicht richtig?
ADFS Proxy heißt nun WAP (Web Applikation Proxy). Die Aufteilung ist korrekt.

ADFS grundsätzlich scheint ja ein ganz interessantes Thema zu sein, die Dokumentation von MS selbst ist ja recht happig.
Im Technet kannst du dich die nächsten 4 Wochen mit Lesestoff eindecken. Reicht dir das nicht?

Dazu kommt eine Frage bezüglich des SSL Zertifikates das man braucht - das muss schon die eigene interne FQDN sein oder?
Würde ich schon sagen.


Gruß,
Dani
clSchak
clSchak 14.09.2015 um 21:46:19 Uhr
Goto Top
ADFS ist (meine persönliche Meinung!) das schlimmste was man im AD konfigurieren muss face-smile - wir haben nur einen ADFS Server in der DMZ stehen und sonst nichts weiter, den benutzen wir für das Dynamics CRM zum authentifizieren. Die Aufteilung ist MS Best Practice, sollte man eigentlich auch so machen - muss man aber nicht.

Wird auf jeden Fall interessant mit den Claims Zuweisungen usw. wenn man das nicht so oft macht wird das spaßig face-wink
mcmacca
mcmacca 15.09.2015 um 00:01:23 Uhr
Goto Top
@Dani
Wegen dem Lesestoff - ich meinte mit happig das unendlich viel Stoff da ist, zu viel wie ich finde. Und die ganzen Step by Step Guides sind nicht praxisnah sondern in Labs nachgezüchtet mit schlechten Beispielen der SSL Zertifikate. Ich habe bei mir drei Domains und die interne Domäne ist eben nur intern (firma.zz), dafür gibt es nur wenige laue Worte. Wie der WAP von außen erreichbar sein soll ich auch schwach bis nicht beschrieben.

@clSchak
kommt mir auch so vor als wäre das ein ganz schöner Akt wenn es das erste Mal anfasst so wie ich.

Ich denke zusammenfassend werde ich mich weiter mit der Thematik beschäftigen und ggf. vom MS Support noch etwas Hilfe bekommen, die sind ja ganz wild drauf ihr 365 Lösungen an den Mann zu bringen.

Danke euch auf jeden Fall für den Input.
Ex0r2k16
Ex0r2k16 07.08.2018 aktualisiert um 10:07:42 Uhr
Goto Top
Hi,

der WAP muss per Internet über 443 erreichbar sein. Intern ebenfalls 443 auf das ADFS Cluster. Fertig!

Bedenke: Ist der WAP tot, kann sich kein O365 User mehr extern authentifizieren.

Klick doch einfach mal die Rollenkonfiguration durch. Das sind vielleicht 4 bis 5 echt gut erklärte Schritte. ADFS selbst ist allerdings schon aufwändiger. Jop.