Platzieren eines Verbundservers

Als bewährte Sicherheit methode platzieren Sie Active Directory-Verbunddienste (AD FS) (AD FS)-Verbundserver hinter einer Firewall, und verbinden Sie sie mit Ihrem Unternehmensnetzwerk, um eine Gefährdung über das Internet zu verhindern. Dies ist wichtig, da Verbundserver über eine vollständige Autorisierung zum Erteilen von Sicherheitstoken verfügen. Daher sollten sie den gleichen Schutz wie Domänencontroller haben. Wenn ein Verbundserver kompromittiert wird, kann ein böswilliger Benutzer Vollzugriffstoken für alle Webanwendungen und Verbundserver ausstellen, die von Active Directory-Verbunddienste (AD FS) (AD FS) in allen Ressourcenpartnerorganisationen geschützt werden.

Hinweis

Als bewährte Sicherheit methode sollte vermieden werden, dass Ihre Verbundserver direkt über das Internet zugänglich sind. Erwägen Sie, Ihren Verbundservern nur dann direkten Internetzugriff zu erteilen, wenn Sie eine Testumgebung einrichten oder wenn Ihre Organisation nicht über ein Umkreisnetzwerk verfügt.

Wie bei Unternehmensnetzwerken üblich, wird eine Firewall für den Intranetzugriff zwischen dem Unternehmensnetzwerk und dem Umkreisnetzwerk eingerichtet, und eine Firewall für den Internetzugriff wird häufig zwischen dem Umkreisnetzwerk und dem Internet eingerichtet. In diesem Fall befindet sich der Verbundserver innerhalb des Unternehmensnetzwerks und ist für Internetclients nicht direkt zugänglich.

Hinweis

Clientcomputer, die mit dem Unternehmensnetzwerk verbunden sind, können über Windows integrierte Authentifizierung direkt mit dem Verbundserver kommunizieren.

Ein Verbundserverproxy sollte im Umkreisnetzwerk platziert werden, bevor Sie Ihre Firewallserver für die Verwendung mit AD FS konfigurieren. Weitere Informationen hierzu finden Sie unter Where to Place a Federation Server Proxy (Platzieren eines Verbundserverproxys).

Konfigurieren der Firewallserver für einen Verbundserver

Damit die Verbundserver direkt mit Verbundserverproxys kommunizieren können, muss der Intranetfirewallserver so konfiguriert werden, dass HTTPS-Datenverkehr (Secure Hypertext Transfer Protocol) vom Verbundserverproxy zum Verbundserver zugelassen wird. Dies ist erforderlich, da der Intranetfirewallserver den Verbundserver über Port 443 veröffentlichen muss, damit der Verbundserverproxy im Umkreisnetzwerk auf den Verbundserver zugreifen kann.

Darüber hinaus verwendet der intranetseitige Firewallserver, z. B. ein Server mit Internetsicherheits- und Beschleunigungsserver (Internet Security and Acceleration, ISA), einen Prozess, der als Serververöffentlichung bezeichnet wird, um Internetclientanforderungen an die entsprechenden Unternehmensverbundserver zu verteilen. Dies bedeutet, dass Sie manuell eine Serververöffentlichungsregel auf dem Intranetserver erstellen müssen, auf dem ISA Server ausgeführt wird, der die URL des Gruppierten Verbundservers veröffentlicht, z. B. http://fs.fabrikam.com.

Weitere Informationen zum Konfigurieren der Serververöffentlichung in einem Umkreisnetzwerk finden Sie unter Where to Place a Federation Server Proxy. Informationen zum Konfigurieren von ISA Server zum Veröffentlichen eines Servers finden Sie unter Erstellen einer sicheren Webveröffentlichungsregel.

Weitere Informationen

AD FS-Entwurfshandbuch in Windows Server 2012