Для предыдущих IFD CRM я поместил сервер переднего плана CRM в DMZ вместе с прокси-сервером ADFS и разрешил доступ от контроллера домена к переднему концу CRM через брандмауэр.
Очевидно, что это уязвимость системы безопасности. Для новой установки на Windows Server 2012 R2 мне было интересно следующее:
Мой вопрос: будет ли использование нового прокси-сервера веб-приложения Windows Server (WAP), который действует как прокси-сервер ADFS, так и обратный веб-прокси, разрешает доступ к интерфейсу CRM, если WAP находился в DMZ, а внешний интерфейс находился за брандмауэром. ?
Кроме того, нужно ли подключать WAP-сервер к домену? (Это причина, по которой нам пришлось в первую очередь туннелировать через брандмауэр).
Из этой документации: http://technet.microsoft.com/en-us/library/dn383650.aspx Казалось бы, ответ заключается в том, что этот подход будет работать, однако у меня раньше не было опыта использования WAP.
Да, вы можете развернуть WAP в DMZ и ваше приложение (CRM) внутри сети, вам просто нужно убедиться, что WAP-сервер может связаться с приложением и сервером ADFS за брандмауэром.
Нет необходимости присоединять домен WAP, если вы не планируете использовать ограниченное делегирование Kerberos для внутреннего единого входа.