8
ADFS intern, externer Zugriff
Guten Morgen,
ich habe mir zum testen ein kleines Lab auf einem Server mit HyperV Core eingerichtet.
Mein Ziel soll es sein mit einem ADFS-Server und SAML2 SSO für Webanwendungen bereitzustellen.
DC mit einer Testdomäne und eine VM als Zertifizierungsstelle läuft soweit.
Der ADFS-Server mit einem Zertifikat für die entsprechenden DNS Einträge ist installiert.
CN: adfs.intern.test.bb
DNS adfs.intern.test.bb, adfs.test.bb, enterpriseregistration.intern.test.bb, enterpriseregistration.test.bb
Innerhalb der Domäne sollte alles über intern erreichbar sein und von "außen" sollten dann nur die Adressen ohne intern aufgerufen werden können.
Die DNS Einträge sind entsprechend auf dem DNS Server hinterlegt, für den externen Zugriff (laut Tutorial Split-DNS) habe ich eine separate Zone angelegt und die entsprechenden A-Einträge hinterlegt.
Intern lässt sich die Seite: https://adfs.intern.test.bb/adfs/ls/idpinitiatedsignon.htm Problemlos aufrufen, über die externe Adresse adfs.test.bb leider nicht.
Ich denke mal der ADFS bindet nur die primär angegebene Adresse, lässt noch eine weitere hinzufügen, auf die der ADFS Server lauscht?
Ich hoffe ich konnte die Problematik einigermaßen rüberbringen
.
Gruß Tursadilar
ich habe mir zum testen ein kleines Lab auf einem Server mit HyperV Core eingerichtet.
Mein Ziel soll es sein mit einem ADFS-Server und SAML2 SSO für Webanwendungen bereitzustellen.
DC mit einer Testdomäne und eine VM als Zertifizierungsstelle läuft soweit.
Der ADFS-Server mit einem Zertifikat für die entsprechenden DNS Einträge ist installiert.
CN: adfs.intern.test.bb
DNS adfs.intern.test.bb, adfs.test.bb, enterpriseregistration.intern.test.bb, enterpriseregistration.test.bb
Innerhalb der Domäne sollte alles über intern erreichbar sein und von "außen" sollten dann nur die Adressen ohne intern aufgerufen werden können.
Die DNS Einträge sind entsprechend auf dem DNS Server hinterlegt, für den externen Zugriff (laut Tutorial Split-DNS) habe ich eine separate Zone angelegt und die entsprechenden A-Einträge hinterlegt.
Intern lässt sich die Seite: https://adfs.intern.test.bb/adfs/ls/idpinitiatedsignon.htm Problemlos aufrufen, über die externe Adresse adfs.test.bb leider nicht.
Ich denke mal der ADFS bindet nur die primär angegebene Adresse, lässt noch eine weitere hinzufügen, auf die der ADFS Server lauscht?
Ich hoffe ich konnte die Problematik einigermaßen rüberbringen
.Gruß Tursadilar
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 494554
Url: https://administrator.de/forum/adfs-intern-externer-zugriff-494554.html
Ausgedruckt am: 20.04.2025 um 20:04 Uhr
8 Kommentare
Neuester Kommentar
Mit extern meinst du wohl aus dem Internet? Mach auf gar keinen Fall den ADFS Server extern erreichbar.
Stelle einen WAP in deine DMZ, importiere das Zertifikat und erlaube Port 443 vom WAP zum ADFs. Außerdem Any (Internet) 443 auf den WAP.
Stelle einen WAP in deine DMZ, importiere das Zertifikat und erlaube Port 443 vom WAP zum ADFs. Außerdem Any (Internet) 443 auf den WAP.
Hallo,
ja extern quasi später aus dem Internet, im Moment trickse ich da mit einem BIND9 rum.
In der DMZ läuft momentan ein Linux Server mit HAProxy der entsprechend weiterleitet.
Aktuell würde es halt so aussehen adfs.test.bb:443 --> FW --> HAPROXY --> FW --> ADFS
Seite lässt sich halt nicht aufrufen, da ADFS nur auf intern.test.bb reagiert.
Habe auch schon überlegt das ganze mit einem Windows WAP Server zu testen.
ja extern quasi später aus dem Internet, im Moment trickse ich da mit einem BIND9 rum
.In der DMZ läuft momentan ein Linux Server mit HAProxy der entsprechend weiterleitet.
Aktuell würde es halt so aussehen adfs.test.bb:443 --> FW --> HAPROXY --> FW --> ADFS
Seite lässt sich halt nicht aufrufen, da ADFS nur auf intern.test.bb reagiert.
Habe auch schon überlegt das ganze mit einem Windows WAP Server zu testen.
Ich hatte das mal zum Test mit WAP => DMZ => Loadbalancer => ADFS01/02 getestet. Hatte nicht geklappt.
Mittels WAP ist glaube ich auch der von MS favorisierte Weg.
Mittels WAP ist glaube ich auch der von MS favorisierte Weg.
OK Danke,
dann klatsch ich mal virtuell nen WAP hin und beschäftige mich mit der Konfiguration.
dann klatsch ich mal virtuell nen WAP hin und beschäftige mich mit der Konfiguration
.
1
Moin,
Gruß,
Dani
Innerhalb der Domäne sollte alles über intern erreichbar sein und von "außen" sollten dann nur die Adressen ohne intern aufgerufen werden können.
ist das sinnvoll? Ich denke mal der ADFS bindet nur die primär angegebene Adresse, lässt noch eine weitere hinzufügen, auf die der ADFS Server lauscht?
Nein.Aktuell würde es halt so aussehen adfs.test.bb:443 --> FW --> HAPROXY --> FW --> ADFS
Nie, nie, nie... ADFS direkt im Internet veröffentlichen. Für diesen Zweck hat Microsoft die WAP-Rolle geschaffen.Ich hatte das mal zum Test mit WAP => DMZ => Loadbalancer => ADFS01/02 getestet. Hatte nicht geklappt.
Hm, weißt du noch was der Fehler bzw. Problem war?Gruß,
Dani
Zitat von @Dani:
Gruß,
Dani
Ich hatte das mal zum Test mit WAP => DMZ => Loadbalancer => ADFS01/02 getestet. Hatte nicht geklappt.
Hm, weißt du noch was der Fehler bzw. Problem war?Gruß,
Dani
Huhu,
leider nein. Ich hatte mit den Sophos UTM internen Möglichkeiten alles versucht, was so ging. Ich denke SSL mochte das wohl nicht. Ich wollte das auch "nur" zur Ausfallsicherung benutzen, falls mal ein ADFS stirbt. Habs dann im Endeffekt gelassen. Läuft eh Rock Solid die Kiste und so viel Traffic habe ich jetzt auch wieder nicht dass ich nen LB brauch.
Wäre aber trotzdem mal ganz nett zu wissen woran es lag. Ohne LB lief halt alles direkt wie gewünscht.
Moin,
Ich kann dir sagen mit F5 und LoadBalancer (.org) keinerlei Probleme mit WAP als auch AD FS.
Gruß,
Dani
Ohne LB lief halt alles direkt wie gewünscht.
Eine Sophos UTM als LB zu bezeichnen... naja. Ich kann dir sagen mit F5 und LoadBalancer (.org) keinerlei Probleme mit WAP als auch AD FS.Gruß,
Dani
naja das is auchn Apfel und Birnen Vergleich 
Aber ist immerhin ne SG330. Also jetzt auch nich unbedingt ne schlechte.
Aber ist immerhin ne SG330. Also jetzt auch nich unbedingt ne schlechte.
