none
AD FSの構築 RRS feed

  • 質問

  • AD FSを最小限で構築したいと考えております。

    推奨構成では、AD(FSMO)・AD(GC)・AD FS・AD FS Proxyの4台構成になると思います。

    LAN側にAD(FSMO)

    DMZ側にAD(GC)兼AD FS兼AD FS Proxy

    のような構成で構築することは技術的にサポートされているのでしょうか?

    セキュリティ的にリスクがあるためサポートされないのでしょうか?

    • 移動 星 睦美 2012年12月4日 5:26 適切なフォーラムと判断しました (移動元:Windows Server 2008 全般)
    2012年12月3日 10:11

回答

  • kou11さん、こんにちは。
    質問からだいぶ時間が経過していますが、たまたま質問をお見かけしたので回答します。

    ご指摘の構成はセキュリティ上のリスクがあり、推奨されるものではないと思います。
    理由は以下のとおりです。

    1.ADはDMZに配置するべきではない
    DMZは外部からのアクセスを受け付けるネットワークであり、
    内部ネットワークに配置する場合に比べて不正アクセスのリスクが高いといえます。
    そこにADという重要な情報を持つサーバーを配置するべきではないでしょう。

    2.ADFS ProxyはADFSの役割をDMZに置かないために存在するから
    ADFSはトークンと呼ばれる認証に成功した証となる情報を発行する大事なサーバーです。
    もしDMZに配置し、ADFSサーバーが不正アクセスに遭うと、
    不正にトークンが発行され、他のサーバーにも不正アクセスされる可能性があります。
    そうした問題を回避し、外部からADFSサーバーに直接アクセスさせないようにするために、
    外部からのトークン発行を要求する役割を代理で行うADFS Proxyというサーバーがあるのです。
    ADFS Proxyはプロキシとして、あくまでもトークン発行の要求を代理で行うことだけに
    専念させ、トークン発行そのものの処理は内部ネットワークに配置されたADFSサーバーで
    おこなうという構成がよりセキュアな構成だと考えます。

    2013年10月10日 3:12

すべての返信

  • kou11 さん、こんにちは
    フォーラム オペレーターの星 睦美です。

    Active Directory に関するフォーラム にスレッドを移動させていただきました。
    もしフォーラムで参考になる回答がありましたら、[回答としてマーク] をお願いします。


    日本マイクロソフト株式会社 フォーラム オペレーター 星 睦美


    • 編集済み 星 睦美 2012年12月4日 5:28 移動のお知らせ
    2012年12月4日 4:23
  • kou11さん、こんにちは。
    質問からだいぶ時間が経過していますが、たまたま質問をお見かけしたので回答します。

    ご指摘の構成はセキュリティ上のリスクがあり、推奨されるものではないと思います。
    理由は以下のとおりです。

    1.ADはDMZに配置するべきではない
    DMZは外部からのアクセスを受け付けるネットワークであり、
    内部ネットワークに配置する場合に比べて不正アクセスのリスクが高いといえます。
    そこにADという重要な情報を持つサーバーを配置するべきではないでしょう。

    2.ADFS ProxyはADFSの役割をDMZに置かないために存在するから
    ADFSはトークンと呼ばれる認証に成功した証となる情報を発行する大事なサーバーです。
    もしDMZに配置し、ADFSサーバーが不正アクセスに遭うと、
    不正にトークンが発行され、他のサーバーにも不正アクセスされる可能性があります。
    そうした問題を回避し、外部からADFSサーバーに直接アクセスさせないようにするために、
    外部からのトークン発行を要求する役割を代理で行うADFS Proxyというサーバーがあるのです。
    ADFS Proxyはプロキシとして、あくまでもトークン発行の要求を代理で行うことだけに
    専念させ、トークン発行そのものの処理は内部ネットワークに配置されたADFSサーバーで
    おこなうという構成がよりセキュアな構成だと考えます。

    2013年10月10日 3:12