Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst ADFS intern, externer Zugriff

Mitglied: tursadilar

tursadilar (Level 1) - Jetzt verbinden

13.09.2019 um 07:08 Uhr, 271 Aufrufe, 8 Kommentare, 1 Danke

Guten Morgen,

ich habe mir zum testen ein kleines Lab auf einem Server mit HyperV Core eingerichtet.
Mein Ziel soll es sein mit einem ADFS-Server und SAML2 SSO für Webanwendungen bereitzustellen.

DC mit einer Testdomäne und eine VM als Zertifizierungsstelle läuft soweit.

Der ADFS-Server mit einem Zertifikat für die entsprechenden DNS Einträge ist installiert.
CN: adfs.intern.test.bb
DNS adfs.intern.test.bb, adfs.test.bb, enterpriseregistration.intern.test.bb, enterpriseregistration.test.bb

Innerhalb der Domäne sollte alles über intern erreichbar sein und von "außen" sollten dann nur die Adressen ohne intern aufgerufen werden können.

Die DNS Einträge sind entsprechend auf dem DNS Server hinterlegt, für den externen Zugriff (laut Tutorial Split-DNS) habe ich eine separate Zone angelegt und die entsprechenden A-Einträge hinterlegt.
Intern lässt sich die Seite: https://adfs.intern.test.bb/adfs/ls/idpinitiatedsignon.htm Problemlos aufrufen, über die externe Adresse adfs.test.bb leider nicht.

Ich denke mal der ADFS bindet nur die primär angegebene Adresse, lässt noch eine weitere hinzufügen, auf die der ADFS Server lauscht?

Ich hoffe ich konnte die Problematik einigermaßen rüberbringen .

Gruß Tursadilar
Mitglied: Ex0r2k16
13.09.2019 um 07:33 Uhr
Mit extern meinst du wohl aus dem Internet? Mach auf gar keinen Fall den ADFS Server extern erreichbar.

Stelle einen WAP in deine DMZ, importiere das Zertifikat und erlaube Port 443 vom WAP zum ADFs. Außerdem Any (Internet) 443 auf den WAP.
Bitte warten ..
Mitglied: tursadilar
13.09.2019 um 07:56 Uhr
Hallo,
ja extern quasi später aus dem Internet, im Moment trickse ich da mit einem BIND9 rum .
In der DMZ läuft momentan ein Linux Server mit HAProxy der entsprechend weiterleitet.

Aktuell würde es halt so aussehen adfs.test.bb:443 --> FW --> HAPROXY --> FW --> ADFS
Seite lässt sich halt nicht aufrufen, da ADFS nur auf intern.test.bb reagiert.

Habe auch schon überlegt das ganze mit einem Windows WAP Server zu testen.
Bitte warten ..
Mitglied: Ex0r2k16
13.09.2019 um 08:04 Uhr
Ich hatte das mal zum Test mit WAP => DMZ => Loadbalancer => ADFS01/02 getestet. Hatte nicht geklappt.

Mittels WAP ist glaube ich auch der von MS favorisierte Weg.
Bitte warten ..
Mitglied: tursadilar
13.09.2019 um 08:11 Uhr
OK Danke,

dann klatsch ich mal virtuell nen WAP hin und beschäftige mich mit der Konfiguration .
Bitte warten ..
Mitglied: Dani
13.09.2019 um 10:05 Uhr
Moin,
Innerhalb der Domäne sollte alles über intern erreichbar sein und von "außen" sollten dann nur die Adressen ohne intern aufgerufen werden können.
ist das sinnvoll?

Ich denke mal der ADFS bindet nur die primär angegebene Adresse, lässt noch eine weitere hinzufügen, auf die der ADFS Server lauscht?
Nein.

Aktuell würde es halt so aussehen adfs.test.bb:443 --> FW --> HAPROXY --> FW --> ADFS
Nie, nie, nie... ADFS direkt im Internet veröffentlichen. Für diesen Zweck hat Microsoft die WAP-Rolle geschaffen.

Ich hatte das mal zum Test mit WAP => DMZ => Loadbalancer => ADFS01/02 getestet. Hatte nicht geklappt.
Hm, weißt du noch was der Fehler bzw. Problem war?


Gruß,
Dani
Bitte warten ..
Mitglied: Ex0r2k16
13.09.2019, aktualisiert um 10:17 Uhr
Zitat von Dani:
Ich hatte das mal zum Test mit WAP => DMZ => Loadbalancer => ADFS01/02 getestet. Hatte nicht geklappt.
Hm, weißt du noch was der Fehler bzw. Problem war?


Gruß,
Dani

Huhu,

leider nein. Ich hatte mit den Sophos UTM internen Möglichkeiten alles versucht, was so ging. Ich denke SSL mochte das wohl nicht. Ich wollte das auch "nur" zur Ausfallsicherung benutzen, falls mal ein ADFS stirbt. Habs dann im Endeffekt gelassen. Läuft eh Rock Solid die Kiste und so viel Traffic habe ich jetzt auch wieder nicht dass ich nen LB brauch.

Wäre aber trotzdem mal ganz nett zu wissen woran es lag. Ohne LB lief halt alles direkt wie gewünscht.
Bitte warten ..
Mitglied: Dani
13.09.2019 um 12:55 Uhr
Moin,
Ohne LB lief halt alles direkt wie gewünscht.
Eine Sophos UTM als LB zu bezeichnen... naja. Ich kann dir sagen mit F5 und LoadBalancer (.org) keinerlei Probleme mit WAP als auch ADFS.


Gruß,
Dani
Bitte warten ..
Mitglied: Ex0r2k16
13.09.2019 um 13:05 Uhr
naja das is auchn Apfel und Birnen Vergleich Aber ist immerhin ne SG330. Also jetzt auch nich unbedingt ne schlechte.
Bitte warten ..
Ähnliche Inhalte
Windows Server
RDWeb Zugriff von Extern
Frage von GrueneSosseMitSpeckWindows Server6 Kommentare

Hi, ich hab gerade ein RD Web Deployment ausprobiert. Ziel des ganzen ist daß ein Webinterface zum Anmelden an ...

C und C++
Int to byte
gelöst Frage von Power-PolerC und C++11 Kommentare

Guten Tag, Habe gerade ein kleines Problem, welches mir Kopfzerbrechen bereitet. Und zwar will ich über den Pi an ...

Router & Routing

Dual WAN konfiguration mit Extern-Zugriff

Frage von ScratcherRouter & Routing1 Kommentar

Hallo zusammen! Folgende Herausforderung habe ich: - Firmennetzwerk mit 2 Internetanschlüssen (1x Unitymedia mit fester IP/ 1x DSL mit ...

Cloud-Dienste

NAS als eignen Server verwenden - Zugriff von extern

Frage von phatairCloud-Dienste13 Kommentare

Hallo zusammen, vielleicht könnt Ihr mir helfen. Ich bin am überlegen, ein NAS als eigenen Server einzusetzen und auch ...

Neue Wissensbeiträge
Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 14 StundenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 14 StundenExchange Server1 Kommentar

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 15 StundenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 3 TagenVoice over IP7 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Heiß diskutierte Inhalte
Notebook & Zubehör
Hardwareberatung: Business Notebook
Frage von waellerNotebook & Zubehör14 Kommentare

Hallo zusammen, da wir bislang nur MacBooks im Einsatz haben - nun aber auf Windows umsteigen werden - bräuchte ...

Hardware
Ncomputing N600 oder auch 600W Privat nutzen Kostenlos oder kostengünstig
gelöst Frage von PlerTanixHardware14 Kommentare

Hallo liebe Forum User, Ich habe da eine Frage. Ich bin Azubi im dritten Lehrjahr und bei uns in ...

Windows 10
Upgrade Windows 10 1903 und Office 2010 Problem mit Userzertifikaten
gelöst Frage von Looser27Windows 1012 Kommentare

Guten Morgen, ich habe bei uns ein Phänomen in o.g. Kombination festgestellt, welches nach dem Inplace-Upgrade auf 1903 auftritt. ...

Router & Routing
Wireshark richtig anwenden bei Netzwerkkamera
gelöst Frage von blindesHuhnRouter & Routing11 Kommentare

Guten Sonntag, ich habe ein Problem und ich weis nicht wie man das Werkzeug verwendet um es zu lösen. ...