我正在尝试按照 Microsoft 的最佳实践在 DMZ 中设置 ADFS 代理,但并不真正了解实际操作方法。基本前提是将服务器放置在 DMZ 中,并将来自互联网的所有 HTTPS 流量转发到此服务器。然后,此服务器与内部网络上的 ADFS 服务器通信。现在,这是否意味着 ADFS 代理服务器有两个网卡,每个网卡都在各自的网络中?还是我需要在两个区域之间设置路由?如果是这种情况,我必须在 DMZ 中的 ADFS 代理上设置默认路由。任何见解或提示都将不胜感激。
答案1
您需要配置路由以允许两台服务器在端口 443 上通信。在我的网络上,DMZ 是可路由的。如果这不可行,您可以在内部 ADFS 服务器上安装单独的网卡。DMZ 服务器需要能够通过名称(主机文件中的条目)解析 ADFS 服务器,以便能够启用两者之间的信任(Web 应用程序代理角色)。以及安装联合服务名称的 SSL 证书。