ADFS 2012 R2-Änderungen bieten Office 365-Benutzern einen enormen Vorteil

Die Active Directory-Verbunddienste wurden in der Windows Server 2012 R2-Version aktualisiert. Die neue Version – ADFS 2012 R2 – bietet eine Reihe von Vorteilen für die einmalige Anmeldung mit Office 365 und anderen Funktionen, die Exchange-Administratoren ansprechen.

ADFS 2012 R2, auch als ADFS 3.0 bezeichnet, hängt nicht mehr vom Internet Information Server ab, sodass für einen dedizierten ADFS-Server nicht alle Webkomponenten als Voraussetzung installiert werden müssen (Abbildung 1).

Änderungen der ADFS-Voraussetzungen

Diese Änderung verbessert die Leistung und verringert den Platzbedarf der Dienste auf dem Server. Dies macht sich am deutlichsten bemerkbar, wenn Sie ADFS auf einem Domänencontroller haben.

SQL Server. Wenn Sie einer mittelgroßen oder großen Organisation angehören, möchten Sie wahrscheinlich eine vollständige SQL Server als Backend für ADFS. Obwohl dies in früheren Versionen von ADFS möglich war, bestand Ihre einzige Option darin, die Vollversion von SQL Server über die Befehlszeile zu konfigurieren. Mit ADFS 2012 R2 können Administratoren eine vollständige SQL-Datenbank als Backend über das grafische Benutzeroberfläche (Figur 2).

SQL-Datenbank mit GUI

Verbundserverfarmen. Da ADFS eine wichtige Serverrolle in Ihrer Office 365-Bereitstellung ist, sollte immer mehr als ein Server ADFS ausführen Redundanz Zwecke. Keiner Ihrer Endbenutzer kann die Onlinedienste verwenden, wenn der ADFS-Server offline geschaltet wird, da alle Authentifizierungsanforderungen an Office 365 an die ADFS-Infrastruktur umgeleitet werden. Mit der neuesten Version von ADFS wurde die Option zum Installieren eines eigenständigen ADFS-Servers entfernt. Die einzige Möglichkeit besteht darin, den ersten Verbundserver in einer Verbundserverfarm zu erstellen und den Verbundserver einer Verbundserverfarm hinzuzufügen (Abbildung 3).

Optionen der Federation Server-Farm

Sie können weiterhin eine Verbundserverfarm mit nur einem Server haben, aber Microsoft versucht, seine Empfehlung zu vermitteln, indem es die Option anbietet, nur eine Verbundserverfarm zu haben. Frühere Versionen hatten eine ADFS-Proxyserverrolle, die in der konfiguriert wurde demilitarisierte Zone für den sicheren Zugang aus dem Internet. Die Empfehlung war, mehr als einen Proxyserver zu haben. In ADFS 2012 R2 wurde die ADFS-Proxy-Rolle jedoch vollständig entfernt. Stattdessen wird empfohlen, Web Application Proxy (WAP) zum Veröffentlichen von ADFS im Internet zu verwenden (Abbildung 4). Der WAP ist auch die empfohlene Methode zum externen Veröffentlichen von Exchange Server 2013-Diensten.

WAP External Publishing Exchange 2013

Zusätzliche ADFS 2012 R2-Änderungen

Gruppenverwaltete Dienstkonten. ADFS 2012 R2 unterstützt die Verwendung eines gruppenverwalteten Dienstkontos anstelle eines normalen Dienstkontos. Auf diese Weise kann ADFS mit Dienstkonten ausgeführt werden, ohne dass abgelaufene Dienstkontokennwörter verwaltet werden müssen. Die Option zur Verwendung eines regulären Dienstkontos besteht weiterhin.
Replikation zusammenführen. In ADFS 2012 R2 unterstützt ADFS die SQL Server-Zusammenführungsreplikation, wenn ADFS in global verteilten Rechenzentren bereitgestellt wird.
Server-Manager-Rollen. Bei Verwendung von ADFS 2.0 mussten Administratoren von der Microsoft-Website herunterladen und anschließend die Rollen installieren und konfigurieren. In Windows Server 2012 wurde die ADFS-Bereitstellung vereinfacht, indem sie als Rolle hinzugefügt wurde, die mit dem Server-Manager installiert werden kann. Der Server-Manager installiert auch die erforderlichen Funktionen wie IIS. In Windows Server 2012 R2 ist die Remote-Installation und -Konfiguration von ADFS 3.0 mithilfe des Server-Managers möglich.
Anmeldeerfahrung. ADFS 2012 R2 verbessert die Anmeldeerfahrung, einschließlich der Hinzufügung von Steuerelementen zum Anpassen des Firmenlogos, von Illustrationsbildern und Standardlinks für den IT-Support, die Homepage oder den Datenschutz auf der ADFS-Anmeldeseite. Weitere Steuerelemente sind anpassbare Fehlermeldungen und Webthemen sowie aktualisierte Anmeldeseiten, die automatisch skaliert werden.
Schutz vor Brute-Force-Angriffen. ADFS 2012 R2 bietet außerdem eine lang erwartete Funktion – eine native Option für Brute-Force-Angriffe. In früheren ADFS-Versionen konnte eine externe Quelle, die die ADFS-Anmeldeseite hämmerte, das AD-Konto sperren, wenn AD über eine interne Kontosperrungsrichtlinie verfügte. Die Problemumgehung bestand darin, nur zuzulassen HTTP sicher Datenverkehr von Office 365-IP-Adressen durch die Firewall vor der ADFS-Infrastruktur. In der neuesten Version von ADFS ermöglicht die Extranet-Sperrfunktion, dass das AD-Konto “weich” gesperrt wird. Das AD-Konto ist nicht gesperrt, aber ADFS blockiert die Authentifizierung für einen festgelegten Zeitraum, wodurch die Ausführung von Brute-Force-Angriffen schwieriger wird.

Similar Posts

Leave a Reply