6
ADFS + FTP in DMZ?
Hallo zusammen,
ich stehe aktuell vor dem Problem einige Server neu aufzusetzen, unter anderem einen FTP Server. Gleichzeitig stellen wir unser Gesamtsystem auf SSO um (im Rahmen von Domäne + Office 365), daher steht zeitnah die Installation von ADFS an.
Beide Services (ADFS Proxy + FTP) gehören ja in eine DMZ und - ich würde gerne eure Meinungen dazu hören, was gegen den Betrieb beider Services auf einer VM sprechen könnte.
Den ADFS & Dir Sync Server sind unabhängig davon im Intranet in der Domäne aufgehangen.
Bin offen für Vorschläge und Erfahrungsberichte rund um ADFS, vielleicht gibt es ja den ein oder anderen Kniff den man in den üblichen Dokumentationen nicht direkt findet.
Danke!
Marco
ich stehe aktuell vor dem Problem einige Server neu aufzusetzen, unter anderem einen FTP Server. Gleichzeitig stellen wir unser Gesamtsystem auf SSO um (im Rahmen von Domäne + Office 365), daher steht zeitnah die Installation von ADFS an.
Beide Services (ADFS Proxy + FTP) gehören ja in eine DMZ und - ich würde gerne eure Meinungen dazu hören, was gegen den Betrieb beider Services auf einer VM sprechen könnte.
Den ADFS & Dir Sync Server sind unabhängig davon im Intranet in der Domäne aufgehangen.
Bin offen für Vorschläge und Erfahrungsberichte rund um ADFS, vielleicht gibt es ja den ein oder anderen Kniff den man in den üblichen Dokumentationen nicht direkt findet.
Danke!
Marco
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 282846
Url: https://administrator.de/contentid/282846
Printed on: April 16, 2024 at 06:04 o'clock
6 Comments
Latest comment
Hi
es spricht nichts dagegen die beiden Dienste als VM laufen zu lassen, haben wir auch so im Einsatz. An der Firewall leiten wir nur die notwendigen Ports weiter mehr nicht, bei der ADFS Regel kannst ggf. noch so einstellen, dass der nur Pakete von der Office365 Plattform annimmt (ich weis jetzt nicht wie die das mit der Authentifizierung machen, sollte aber so funktionieren).
Das gleiche dann für die 2. Firewall die dann die DMZ von dem Produktiven Netz trennt, dort dann auch nur die notwendigsten Ports und nicht mehr.
Gruß
@clSchak
es spricht nichts dagegen die beiden Dienste als VM laufen zu lassen, haben wir auch so im Einsatz. An der Firewall leiten wir nur die notwendigen Ports weiter mehr nicht, bei der ADFS Regel kannst ggf. noch so einstellen, dass der nur Pakete von der Office365 Plattform annimmt (ich weis jetzt nicht wie die das mit der Authentifizierung machen, sollte aber so funktionieren).
Das gleiche dann für die 2. Firewall die dann die DMZ von dem Produktiven Netz trennt, dort dann auch nur die notwendigsten Ports und nicht mehr.
Gruß
@clSchak
1
Ok super vielen Dank für deine Einschätzung.
ADFS grundsätzlich scheint ja ein ganz interessantes Thema zu sein, die Dokumentation von MS selbst ist ja recht happig.
Da du dich scheinbar auskennst hätte ich noch eine grundsätzliche Frage zum Thema ADFS:
ADFS Proxy und ADFS sollten eigentlich voneinander getrennt sein => ADFS selbst Intranet / ADFS Proxy DMZ
Die Installation von beiden Rollen ist aber eigentlich ein Aufwasch. Oder verstehe ich die Aufteilung nicht richtig?
Dazu kommt eine Frage bezüglich des SSL Zertifikates das man braucht - das muss schon die eigene interne FQDN sein oder? Beispiel:
Servername: sts-server-123
Domäne: abc.zz
=> SSL Zertifikat auf sts-server-123.abc.zz
Gruß
Marco
ADFS grundsätzlich scheint ja ein ganz interessantes Thema zu sein, die Dokumentation von MS selbst ist ja recht happig.
Da du dich scheinbar auskennst hätte ich noch eine grundsätzliche Frage zum Thema ADFS:
ADFS Proxy und ADFS sollten eigentlich voneinander getrennt sein => ADFS selbst Intranet / ADFS Proxy DMZ
Die Installation von beiden Rollen ist aber eigentlich ein Aufwasch. Oder verstehe ich die Aufteilung nicht richtig?
Dazu kommt eine Frage bezüglich des SSL Zertifikates das man braucht - das muss schon die eigene interne FQDN sein oder? Beispiel:
Servername: sts-server-123
Domäne: abc.zz
=> SSL Zertifikat auf sts-server-123.abc.zz
Gruß
Marco
Moin,
Gruß,
Dani
ADFS Proxy und ADFS sollten eigentlich voneinander getrennt sein => ADFS selbst Intranet / ADFS Proxy DMZ. Die Installation von beiden Rollen ist aber eigentlich ein Aufwasch. Oder verstehe ich die Aufteilung nicht richtig?
ADFS Proxy heißt nun WAP (Web Applikation Proxy). Die Aufteilung ist korrekt.ADFS grundsätzlich scheint ja ein ganz interessantes Thema zu sein, die Dokumentation von MS selbst ist ja recht happig.
Im Technet kannst du dich die nächsten 4 Wochen mit Lesestoff eindecken. Reicht dir das nicht?Dazu kommt eine Frage bezüglich des SSL Zertifikates das man braucht - das muss schon die eigene interne FQDN sein oder?
Würde ich schon sagen.Gruß,
Dani
ADFS ist (meine persönliche Meinung!) das schlimmste was man im AD konfigurieren muss 
- wir haben nur einen ADFS Server in der DMZ stehen und sonst nichts weiter, den benutzen wir für das Dynamics CRM zum authentifizieren. Die Aufteilung ist MS Best Practice, sollte man eigentlich auch so machen - muss man aber nicht.
Wird auf jeden Fall interessant mit den Claims Zuweisungen usw. wenn man das nicht so oft macht wird das spaßig
- wir haben nur einen ADFS Server in der DMZ stehen und sonst nichts weiter, den benutzen wir für das Dynamics CRM zum authentifizieren. Die Aufteilung ist MS Best Practice, sollte man eigentlich auch so machen - muss man aber nicht.Wird auf jeden Fall interessant mit den Claims Zuweisungen usw. wenn man das nicht so oft macht wird das spaßig
@Dani
Wegen dem Lesestoff - ich meinte mit happig das unendlich viel Stoff da ist, zu viel wie ich finde. Und die ganzen Step by Step Guides sind nicht praxisnah sondern in Labs nachgezüchtet mit schlechten Beispielen der SSL Zertifikate. Ich habe bei mir drei Domains und die interne Domäne ist eben nur intern (firma.zz), dafür gibt es nur wenige laue Worte. Wie der WAP von außen erreichbar sein soll ich auch schwach bis nicht beschrieben.
@clSchak
kommt mir auch so vor als wäre das ein ganz schöner Akt wenn es das erste Mal anfasst so wie ich.
Ich denke zusammenfassend werde ich mich weiter mit der Thematik beschäftigen und ggf. vom MS Support noch etwas Hilfe bekommen, die sind ja ganz wild drauf ihr 365 Lösungen an den Mann zu bringen.
Danke euch auf jeden Fall für den Input.
Wegen dem Lesestoff - ich meinte mit happig das unendlich viel Stoff da ist, zu viel wie ich finde. Und die ganzen Step by Step Guides sind nicht praxisnah sondern in Labs nachgezüchtet mit schlechten Beispielen der SSL Zertifikate. Ich habe bei mir drei Domains und die interne Domäne ist eben nur intern (firma.zz), dafür gibt es nur wenige laue Worte. Wie der WAP von außen erreichbar sein soll ich auch schwach bis nicht beschrieben.
@clSchak
kommt mir auch so vor als wäre das ein ganz schöner Akt wenn es das erste Mal anfasst so wie ich.
Ich denke zusammenfassend werde ich mich weiter mit der Thematik beschäftigen und ggf. vom MS Support noch etwas Hilfe bekommen, die sind ja ganz wild drauf ihr 365 Lösungen an den Mann zu bringen.
Danke euch auf jeden Fall für den Input.
Hi,
der WAP muss per Internet über 443 erreichbar sein. Intern ebenfalls 443 auf das ADFS Cluster. Fertig!
Bedenke: Ist der WAP tot, kann sich kein O365 User mehr extern authentifizieren.
Klick doch einfach mal die Rollenkonfiguration durch. Das sind vielleicht 4 bis 5 echt gut erklärte Schritte. ADFS selbst ist allerdings schon aufwändiger. Jop.
der WAP muss per Internet über 443 erreichbar sein. Intern ebenfalls 443 auf das ADFS Cluster. Fertig!
Bedenke: Ist der WAP tot, kann sich kein O365 User mehr extern authentifizieren.
Klick doch einfach mal die Rollenkonfiguration durch. Das sind vielleicht 4 bis 5 echt gut erklärte Schritte. ADFS selbst ist allerdings schon aufwändiger. Jop.