对于之前的CRM IFD,我已经将CRM前端服务器与ADFS代理一起放置在DMZ中,并允许通过防火墙从域控制器访问CRM前端。
这显然是一个安全漏洞。 对于Windows Server 2012 R2上的新安装,我想知道以下内容:
我的问题是,使用新的Windows Server Web应用程序代理(WAP)作为ADFS代理和反向Web代理,如果WAP位于DMZ中,并且前端位于防火墙后面,则允许访问CRM前端?
此外,WAP服务器需要join域吗? (这是我们不得不首先通过防火墙的原因)。
从这个文档: http : //technet.microsoft.com/en-us/library/dn383650.aspx它会出现答案是,这种方法将工作,但我没有任何使用WAP的经验。
是的,您可以在networking内部的DMZ和您的应用程序(CRM)中部署WAP,您只需确保WAP服务器可以联系防火墙后面的应用程序和ADFS服务器。
如果您不打算将Kerberos约束委派用于后端SSO,则不需要使WAP域join。