CRM 2013 面向 Internet 的部署 (IFD)

對於以前的 CRM IFD，我將 CRM 前端伺服器與 ADFS 代理一起放置在 DMZ 中，並允許從域控制器通過防火牆訪問 CRM 前端。

這顯然是一個安全漏洞。對於 Windows Server 2012 R2 上的新安裝，我想知道以下幾點：

我的問題是，如果 WAP 位於 DMZ 中且前端位於防火牆後面，那麼作為 ADFS 代理和反向 Web 代理的新 Windows Server Web 應用程序代理 (WAP) 是否允許訪問 CRM 前端?

此外，WAP 伺服器是否需要加入域？（這就是我們必須首先通過防火牆隧道的原因）。

從這個文件：http ://technet.microsoft.com/en-us/library/dn383650.aspx看來答案是這種方法可以工作，但是我以前沒有任何使用 WAP 的經驗。

是的，您可以將 WAP 部署在 DMZ 中，並將您的應用程序 (CRM) 部署在網路中，您只需要確保 WAP 伺服器可以聯繫防火牆後面的應用程序和 ADFS 伺服器。

如果您不打算將 Kerberos 約束委派用於後端 SSO，則無需加入 WAP 域。

引用自：https://serverfault.com/questions/631569