Security

CRM 2013 面向 Internet 的部署 (IFD)

  • August 17, 2018

對於以前的 CRM IFD,我將 CRM 前端伺服器與 ADFS 代理一起放置在 DMZ 中,並允許從域控制器通過防火牆訪問 CRM 前端。

這顯然是一個安全漏洞。對於 Windows Server 2012 R2 上的新安裝,我想知道以下幾點:

我的問題是,如果 WAP 位於 DMZ 中且前端位於防火牆後面,那麼作為 ADFS 代理和反向 Web 代理的新 Windows Server Web 應用程序代理 (WAP) 是否允許訪問 CRM 前端?

此外,WAP 伺服器是否需要加入域?(這就是我們必須首先通過防火牆隧道的原因)。

從這個文件:http ://technet.microsoft.com/en-us/library/dn383650.aspx看來答案是這種方法可以工作,但是我以前沒有任何使用 WAP 的經驗。

是的,您可以將 WAP 部署在 DMZ 中,並將您的應用程序 (CRM) 部署在網路中,您只需要確保 WAP 伺服器可以聯繫防火牆後面的應用程序和 ADFS 伺服器。

如果您不打算將 Kerberos 約束委派用於後端 SSO,則無需加入 WAP 域。

引用自:https://serverfault.com/questions/631569