对于以前的 CRM IFD,我已将 CRM 前端服务器与 ADFS 代理一起放置在 DMZ 中,并允许域控制器通过防火墙访问 CRM 前端。
这显然是一个安全漏洞。对于 Windows Server 2012 R2 上的新安装,我担心以下问题:
我的问题是,如果 WAP 位于 DMZ 中并且前端位于防火墙后面,那么使用充当 ADFS 代理和反向 Web 代理的新 Windows Server Web 应用程序代理 (WAP) 是否允许访问 CRM 前端?
此外,WAP 服务器是否需要加入域?(这就是我们首先必须通过防火墙建立隧道的原因)。
来自该文档:http://technet.microsoft.com/en-us/library/dn383650.aspx答案似乎是这种方法可行,但是我之前没有使用 WAP 的经验。
答案1
是的,您可以在 DMZ 中部署 WAP,并在网络内部部署您的应用程序(CRM),您只需要确保 WAP 服务器可以联系防火墙后面的应用程序和 ADFS 服务器。
如果您不打算使用 Kerberos 约束委派进行后端 SSO,则无需加入 WAP 域。