Platzieren eines Verbundservers
Aus Sicherheitsgründen sollten Sie die bewährte Methode befolgen, bei der die Active Directory-Verbunddienste (AD FS)-Verbundserver hinter einer Firewall angeordnet und mit dem Unternehmensnetzwerk verbunden werden, um den direkten Zugang aus dem Internet zu verhindern. Dies ist wichtig, da Verbundserver umfassende Berechtigungen zum Gewähren von Sicherheitstoken besitzen. Daher sollten sie den gleichen Schutz wie Domänencontroller haben. Wenn ein Verbundserver gefährdet ist, hat ein böswilliger Benutzer die Möglichkeit, Zugriffstoken für Vollzugriff auf alle Webanwendungen und Verbundserver auszustellen, die durch Active Directory-Verbunddienste (AD FS) in allen Ressourcenpartnerorganisationen geschützt werden.
Hinweis
Aus Sicherheitsgründen sollten Sie vermeiden, dass auf Ihre Verbundserver direkt aus dem Internet zugegriffen werden kann. Geben Sie einem Verbundserver nur dann direkten Internetzugriff, wenn Sie eine Testumgebung einrichten oder wenn Ihre Organisation über kein Umkreisnetzwerk verfügt.
Wie bei Unternehmensnetzwerken üblich, wird eine Firewall für den Intranetzugriff zwischen dem Unternehmensnetzwerk und dem Umkreisnetzwerk eingerichtet, und eine Firewall für den Internetzugriff wird häufig zwischen dem Umkreisnetzwerk und dem Internet eingerichtet. In diesen Situationen befindet sich der Verbundserver innerhalb des Unternehmensnetzwerks, und es ist kein direkter Zugriff von Internetclients möglich.
Hinweis
Clientcomputer, die mit dem Unternehmensnetzwerk verbunden sind, können über die integrierte Windows-Authentifizierung direkt mit dem Verbundserver kommunizieren.
Ein Verbundserver sollte im Umkreisnetzwerk platziert werden, bevor Sie die Firewallserver für die Verwendung mit AD FS konfigurieren. Weitere Informationen hierzu finden Sie unter Where to Place a Federation Server Proxy (Platzieren eines Verbundserverproxys).
Konfigurieren der Firewallserver für einen Verbundserver
Damit die Verbundserver direkt mit Verbundserverproxys kommunizieren können, muss der Firewallserver für das Intranet so konfiguriert werden, dass er HTTPS (Secure Hypertext Transfer Protocol)-Datenverkehr vom Verbundserverproxy an den Verbundserver zulässt. Dies ist eine Anforderung, weil der Intranet-Firewallserver den Verbundserver über Port 443 veröffentlichen müssen, damit der Verbundserverproxy im Umkreisnetzwerk auf den Verbundserver zugreifen kann.
Darüber hinaus verwendet der Firewallserver mit Intranetzugriff, etwa ein Server, auf dem Internet Security und Acceleration (ISA) ausgeführt wird, einen als Serververöffentlichung bezeichneten Prozess, um Anforderungen von Internetclients an die entsprechenden Verbundserver im Unternehmen zu verteilen. Dies bedeutet, dass Sie manuell eine Serververöffentlichungsregel auf dem Intranetserver mit ISA Server erstellen müssen, der die gruppierte Verbundserver-URL veröffentlicht, z. B. http://fs.fabrikam.com..
Weitere Informationen zum Konfigurieren der Serververöffentlichung in einem Umkreisnetzwerk finden Sie unter Where to Place a Federation Server Proxy. Informationen zum Konfigurieren von ISA Server zum Veröffentlichen eines Servers finden Sie unter Erstellen einer sicheren Webveröffentlichungsregel.