Platzieren eines VerbundserversWhere to Place a Federation Server

Aus Sicherheitsgründen wird empfohlen, Active Directory-Verbunddienste (AD FS) ( AD FS ) Verbund Server hinter einer Firewall zu platzieren und Sie mit Ihrem Unternehmensnetzwerk zu verbinden, um eine Gefährdung im Internet zu verhindern.As a security best practice, place Active Directory Federation Services (AD FS)federation servers behind a firewall and connect them to your corporate network to prevent exposure from the Internet. Dies ist wichtig, da Verbund Server über eine vollständige Autorisierung zum Erteilen von Sicherheits Token verfügen.This is important because federation servers have full authorization to grant security tokens. Daher sollten sie den gleichen Schutz wie Domänencontroller haben.Therefore, they should have the same protection as a domain controller. Wenn ein Verbund Server kompromittiert ist, kann ein böswilliger Benutzer voll Zugriffs Token für alle Webanwendungen und Verbund Server ausstellen, die durch Active Directory-Verbunddienste (AD FS) ( AD FS ) in allen Ressourcen Partnerorganisationen geschützt werden.If a federation server is compromised, a malicious user has the ability to issue full access tokens to all Web applications and to federation servers that are protected by Active Directory Federation Services (AD FS) in all resource partner organizations.

Hinweis

Aus Sicherheitsgründen sollten Sie vermeiden, dass auf Ihre Verbund Server direkt über das Internet zugegriffen werden kann.As a security best practice, avoid having your federation servers directly accessible on the Internet. Es empfiehlt sich, den Verbund Servern nur dann direkten Internet Zugriff zu gewähren, wenn Sie eine Testumgebung einrichten oder wenn Ihre Organisation über kein Umkreis Netzwerk verfügt.Consider giving your federation servers direct Internet access only when you are setting up a test lab environment or when your organization does not have a perimeter network.

Bei typischen Unternehmensnetzwerken wird eine Firewall mit Intranetzugriff - zwischen dem Unternehmensnetzwerk und dem Umkreis Netzwerk eingerichtet, und eine - Firewall mit Internet Zugriff wird häufig zwischen dem Umkreis Netzwerk und dem Internet eingerichtet.For typical corporate networks, an intranet-facing firewall is established between the corporate network and the perimeter network, and an Internet-facing firewall is often established between the perimeter network and the Internet. In diesem Fall befindet sich der Verbund Server innerhalb des Unternehmensnetzwerks und ist nicht direkt für Internet Clients zugänglich.In this situation, the federation server sits inside the corporate network, and it is not directly accessible by Internet clients.

Hinweis

Client Computer, die mit dem Unternehmensnetzwerk verbunden sind, können über die integrierte Windows-Authentifizierung direkt mit dem Verbund Server kommunizieren.Client computers that are connected to the corporate network can communicate directly with the federation server through Windows Integrated Authentication.

Ein Verbund Server Proxy sollte im Umkreis Netzwerk platziert werden, bevor Sie die Firewallserver für die Verwendung mit AD FS konfigurieren.A federation server proxy should be placed in the perimeter network before you configure your firewall servers for use with AD FS. Weitere Informationen hierzu finden Sie unter Where to Place a Federation Server Proxy (Platzieren eines Verbundserverproxys).For more information, see Where to Place a Federation Server Proxy.

Konfigurieren der Firewallserver für einen VerbundserverConfiguring your firewall servers for a federation server

Damit die Verbund Server direkt mit Verbund Server Proxys kommunizieren können, muss der Intranetfirewallserver so konfiguriert werden, dass HTTPS-Datenverkehr des Secure Hypertext Transfer-Protokolls ( ) vom Verbund Server Proxy an den Verbund Server zugelassen wird.So that the federation servers can communicate directly with federation server proxies, the intranet firewall server must be configured to allow Secure Hypertext Transfer Protocol (HTTPS) traffic from the federation server proxy to the federation server. Dies ist eine Anforderung, da der Intranetfirewallserver den Verbund Server mithilfe von Port 443 veröffentlichen muss, damit der Verbund Server Proxy im Umkreis Netzwerk auf den Verbund Server zugreifen kann.This is a requirement because the intranet firewall server must publish the federation server using port 443 so that the federation server proxy in the perimeter network can access the federation server.

Darüber hinaus verwendet der Firewallserver mit Intranetzugriff, z. b. - ein Server, auf dem Internet Security und Acceleration ( ISA ) Server ausgeführt wird, einen als Server Veröffentlichung bezeichneten Prozess, um Internet-Client Anforderungen an die entsprechenden Unternehmensverbund Server zu verteilen.In addition, the intranet-facing firewall server, such as a server running Internet Security and Acceleration (ISA) Server, uses a process known as server publishing to distribute Internet client requests to the appropriate corporate federation servers. Dies bedeutet, dass Sie manuell eine Server Veröffentlichungs Regel auf dem Intranetserver mit ISA Server erstellen müssen, der die gruppierte Verbund Server-URL veröffentlicht, z. b. http: / / FS.fabrikam.com.This means that you must manually create a server publishing rule on the intranet server running ISA Server that publishes the clustered federation server URL, for example, http://fs.fabrikam.com.

Weitere Informationen zum Konfigurieren der Serververöffentlichung in einem Umkreisnetzwerk finden Sie unter Where to Place a Federation Server Proxy.For more information about how to configure server publishing in a perimeter network, see Where to Place a Federation Server Proxy. Informationen zum Konfigurieren von ISA Server zum Veröffentlichen eines Servers finden Sie unter Erstellen einer sicheren Webpublishing Regel.For information about how to configure ISA Server to publish a server, see Create a secure Web publishing rule.

Weitere InformationenSee Also

AD FS-Entwurfshandbuch in Windows Server 2012AD FS Design Guide in Windows Server 2012