您可以將 Active Directory 同盟服務 (AD FS) 同盟伺服器 Proxy 放在周邊網路中,為可能來自因特網的惡意使用者提供保護層。 同盟伺服器 Proxy 非常適合周邊網路環境,因為它們無法存取用來建立令牌的私鑰。 不過,同盟伺服器 Proxy 可以有效率地將連入要求路由傳送至授權產生這些令牌的同盟伺服器。
不需要將同盟伺服器 Proxy 放在帳戶夥伴或資源夥伴的公司網路內,因為連線到公司網路的用戶端計算機可以直接與同盟伺服器通訊。 在此案例中,同盟伺服器也會為來自公司網路的用戶端電腦提供同盟伺服器 Proxy 功能。
與周邊網路一樣,周邊網路與公司網路之間會建立內部網路對向防火牆,而周邊網路與因特網之間通常會建立因特網對向防火牆。 在此案例中,同盟伺服器 Proxy 位於周邊網路上的這兩個防火牆之間。
設定用於聯邦伺服器代理的防火牆伺服器
若要讓同盟伺服器 Proxy 重新導向程式成功,所有防火牆伺服器都必須設定為允許安全超文本傳輸通訊協定 (HTTPS) 流量。 必須使用 HTTPS,因為防火牆伺服器必須使用埠 443 發佈同盟伺服器 Proxy,讓周邊網路中同盟伺服器 Proxy 可以存取公司網路中同盟伺服器。
Note
來自用戶端電腦的所有通訊也會透過 HTTPS 發生。
此外,面向網際網路的防火牆伺服器,例如執行 Microsoft Internet Security and Acceleration(ISA)伺服器的計算機,會使用稱為伺服器發佈策略的程序,將網際網路用戶端要求分配到適當的周邊和公司網路伺服器,例如同盟伺服器代理或同盟伺服器。
伺服器發佈規則會決定伺服器發佈的運作方式,基本上是透過 ISA Server 計算機篩選所有傳入和傳出要求。 伺服器發佈規則會將傳入的用戶端請求對應至 ISA Server 電腦背後的適當伺服器。 如需如何設定 ISA Server 發佈伺服器的資訊,請參閱 建立安全 Web 發佈規則。
在AD FS的同盟世界中,這些用戶端要求通常會對特定URL提出,例如同盟伺服器標識碼 URL,例如 http://fs.fabrikam.com. 由於這些用戶端要求來自因特網,因此必須設定因特網對向防火牆伺服器,針對部署在周邊網路中的每個同盟伺服器 Proxy 發佈同盟伺服器標識碼 URL。
設定 ISA 伺服器以允許 SSL
若要促進安全的 AD FS 通訊,您必須設定 ISA 伺服器,以允許下列專案之間的安全套接字層 (SSL) 通訊:
同盟伺服器和同盟伺服器代理。 同盟伺服器與同盟伺服器 Proxy 之間的所有通訊都需要 SSL 通道。 因此,您必須設定 ISA Server,以允許公司網路與周邊網路之間的 SSL 連線。
用戶端電腦、聯邦伺服器和聯邦伺服器代理。 為了讓用戶端電腦與同盟伺服器或同盟伺服器代理之間能夠進行通訊,您可以將執行 ISA Server 的電腦安放在同盟伺服器或同盟伺服器代理前方。
如果您的組織在同盟伺服器或同盟伺服器 Proxy 上執行 SSL 用戶端驗證,當您將執行 ISA Server 的電腦放在同盟伺服器或同盟伺服器 Proxy 前面時,伺服器必須設定為 SSL 連線的傳遞,因為 SSL 連線必須在同盟伺服器或同盟伺服器 Proxy 終止。
如果您的組織未在同盟伺服器或同盟伺服器 Proxy 上執行 SSL 用戶端驗證,另一個選項是在執行 ISA Server 的電腦終止 SSL 連線,然後重新建立與同盟伺服器或同盟伺服器 Proxy 的 SSL 連線。
Note
聯盟伺服器或聯盟伺服器代理要求連線須由 SSL 加密,以保護安全性令牌的內容。
另請參閱
Windows Server 2012 中的 AD FS 設計指南