Platzieren eines Verbundserverproxys
Sie können AD FS-Verbundserverproxys (Active Directory Federation Services) in einem Umkreisnetzwerk platzieren, um sich vor Angreifern aus dem Internet zu schützen. Verbundserverproxys sind ideal für die Umkreisnetzwerkumgebung, da sie nicht über Zugriff auf die privaten Schlüssel verfügen, die zum Erstellen von Token verwendet werden. Verbundserverproxys können jedoch eingehende Anforderungen effizient an Verbundserver weiterleiten, die zum Generieren dieser Token autorisiert sind.
Sie müssen weder für den Konto- noch für den Ressourcenpartner einen Verbundserverproxy im Unternehmensnetzwerk platzieren, da Clientcomputer, die mit dem Unternehmensnetzwerk verbunden sind, direkt mit dem Verbundserver kommunizieren können. In diesem Szenario stellt der Verbundserver auch Verbundserverproxyfunktionen für Clientcomputer aus dem Unternehmensnetzwerk bereit.
Wie bei Umkreisnetzwerken üblich, wird eine Firewall mit Intranetzugriff zwischen dem Umkreisnetzwerk und dem Unternehmensnetzwerk eingerichtet, und eine Firewall mit Internetzugriff wird häufig zwischen dem Umkreisnetzwerk und dem Internet eingerichtet. In diesem Szenario befindet sich der Verbundserverproxy zwischen beiden Firewalls im Umkreisnetzwerk.
Konfigurieren Ihrer Firewallserver für einen Verbundserverproxy
Damit der Weiterleitungsvorgang des Verbundserverproxys erfolgreich ist, müssen alle Firewallserver so konfiguriert sein, dass HTTPS-Datenverkehr (Secure Hypertext Transfer Protocol) zulässig ist. Die Verwendung von HTTPS ist erforderlich, weil die Firewallserver den Verbundserverproxy über Port 443 veröffentlichen müssen, damit der Verbundserverproxy im Umkreisnetzwerk auf den Verbundserver im Unternehmensnetzwerk zugreifen kann.
Hinweis
Die gesamte Kommunikation zu und von Clientcomputern wird ebenfalls über HTTPS abgewickelt.
Darüber hinaus verwendet der Firewallserver mit Internetzugriff – z. B. ein Computer, auf dem Microsoft Internet Security und Acceleration Server (ISA Server) ausgeführt wird – einen als Serververöffentlichung bezeichneten Prozess, um Anforderungen von Internetclients an die entsprechenden Server des Umkreis- und Unternehmensnetzwerks zu verteilen, wie z. B. Verbundserverproxys oder Verbundserver.
Regeln zur Server-Veröffentlichung bestimmen, wie die Server-Veröffentlichung funktioniert – im Wesentlichen Filtern aller über den ISA Server-Computer eingehenden und ausgehenden Anforderungen. Die Regeln zur Server-Veröffentlichung ordnen eingehende Clientanforderungen den entsprechenden Servern hinter dem ISA Server-Computer zu. Informationen zum Konfigurieren von ISA Server zum Veröffentlichen eines Servers finden Sie unter Erstellen einer sicheren Webveröffentlichungsregel.
In einem AD FS-Verbund werden diese Clientanforderungen normalerweise eine bestimmte URL gesendet, z. B. eine Verbundserverbezeichner-URL wie http://fs.fabrikam.com. Da diese Clientanforderungen aus dem Internet eingehen, muss der Firewallserver mit Internetzugriff so konfiguriert sein, dass die Verbundserverbezeichner-URL für jeden im Umkreisnetzwerk bereitgestellten Verbundserverproxy veröffentlicht wird.
Konfigurieren von ISA Server zum Zulassen von SSL
Um eine sichere AD FS-Kommunikation zu ermöglichen, müssen Sie ISA Server so konfigurieren, dass zwischen den folgenden Elementen die Kommunikation über SSL (Secure Sockets Layer) zugelassen wird:
Verbundserver und Verbundserverproxys. Für die gesamte Kommunikation zwischen Verbundservern und Verbundserverproxys ist ein SSL-Kanal erforderlich. Daher müssen Sie ISA Server zum Zulassen einer SSL-Verbindung zwischen dem Firmennetzwerk und dem Umkreisnetzwerk konfigurieren.
Clientcomputer, Verbundserver und Verbundserverproxys. Damit zwischen Clientcomputern und Verbundservern bzw. Clientcomputern und Verbundserverproxys eine Kommunikation stattfinden kann, können Sie einen Computer, auf dem ISA Server ausgeführt wird, vor dem Verbundserver bzw. Verbundserverproxy platzieren.
Wenn Ihre Organisation auf dem Verbundserver oder Verbundserverproxy eine SSL-Clientauthentifizierung verwendet und Sie einen Computer, auf dem ISA Server ausgeführt wird, vor dem Verbundserver oder dem Verbundserverproxy platzieren, muss der Server für die Passthrough-Weiterleitung der SSL-Verbindung konfiguriert werden, da die SSL-Verbindung auf dem Verbundserver bzw. Verbundserverproxy beendet werden muss.
Wenn Ihre Organisation keine SSL-Clientauthentifizierung auf dem Verbundserver oder Verbundserverproxy verwendet, besteht eine weitere Option darin, die SSL-Verbindung auf dem Computer zu beenden, auf dem ISA Server ausgeführt wird, und dann eine neue SSL-Verbindung mit dem Verbundserver bzw. Verbundserverproxy herzustellen.
Hinweis
Für den Verbundserver bzw. Verbundserverproxy muss die Verbindung über SSL gesichert werden, um den Inhalt des Sicherheitstokens zu schützen.