Co Powoduje Nową Usługę Hosta Proxy O Identyfikatorze Zdarzenia 2005 I Jak Dobrać Strategię . Ten Plan To

Table of Contents

Przywróć komputer do maksymalnej wydajności w ciągu kilku minut!

Krok 1: Pobierz i zainstaluj ASR Pro

Krok 2: Otwórz program i kliknij „Skanuj”

Krok 3: Kliknij „Napraw”, aby rozpocząć proces przywracania

Pobierz oprogramowanie, aby naprawić komputer, klikając tutaj.

Jeśli widzisz usługę Proxy Host z identyfikatorem zdarzenia 2005, ten artykuł ułatwi Ci to.

aria-label = “Przedmiot

W artykule

Ten dokument zawiera zalecane rozwiązania dotyczące bezpiecznego konfigurowania i wdrażania serwera proxy aplikacji sieci Web Active Directory Federation Services (AD FS) oraz. Dostarcza informacji o domyślnym zachowaniu tych struktur, a także stanowi wskazówki dotyczące opcji bezpieczeństwa dla konkretnych przypadków użycia w dobrej organizacji i wymagań dotyczących środków bezpieczeństwa.

Ubezpieczenie WAP i AD FS dotyczy systemu Windows Server w tym roku R2, 2016 i późniejszych 2019. Możesz skorzystać z tych wytycznych, niezależnie od tego, czy wdrożona infrastruktura jest często lokalna, znana również jako środowisko hostowane w tej chmurze, takie jak jako Microsoft. Lazurowy.

Domyślna topologia wdrażania

Przywróć komputer do maksymalnej wydajności w ciągu kilku minut!

Czy Twój komputer działa wolno i stale wyświetla błędy? Czy zastanawiałeś się nad zmianą formatu, ale nie masz czasu ani cierpliwości? Nie bój się, drogi przyjacielu! Odpowiedź na wszystkie Twoje problemy z komputerem jest tutaj: ASR Pro. To niesamowite oprogramowanie naprawi typowe błędy komputera, ochroni Cię przed utratą plików, złośliwym oprogramowaniem, awariami sprzętu i zoptymalizuje komputer pod kątem maksymalnej wydajności. Dopóki masz ten program zainstalowany na swoim komputerze, możesz pożegnać się z tymi frustrującymi i kosztownymi problemami technicznymi!

Krok 1: Pobierz i zainstaluj ASR Pro

Krok 2: Otwórz program i kliknij „Skanuj”

Krok 3: Kliknij „Napraw”, aby rozpocząć proces przywracania

W przypadku wdrożeń lokalnych eksperci zalecają niesamowitą topologię standardowego użycia, składającą się z jednego lub większej liczby serwerów AD FS w sieci firmowej lub jednego szeregu WAP (serwera proxy aplikacji sieci Web) w nowej sieci DMZ i ekstranecie. . Na poziomie każdego sprzętu AD FS i WAP jest hostowany lub ewentualnie wstępnie zaprogramowany równoważnik obciążenia farmy serwerów, którego typ następnie zajmuje się nawigacją ruchu. Zapory ogniowe są w rzeczywistości umieszczane na wejściu zewnętrznego adresu IP modułu równoważenia obciążenia przed każdym rolniczym (FS i proxy) w razie potrzeby.

Poniżej z pewnością jest prawie na pewno listą najskuteczniejszych praktyk, a nawet zaleceń dotyczących utrwalenia i zabezpieczenia własnego wdrożenia AD FS.

Upewnij się, że tylko administratorzy zajmujący się katalogiem i administratorzy ad mają uprawnienia administracyjne FS w systemie poczty pantoflowej FS.

Zmniejsz członkostwo administratorów w lokalnych grupach podczas wszystkich operacji na serwerze AD.

Wymagaj, aby wszystkie witryny korzystały z uwierzytelniania wieloskładnikowego (MFA).

Minimalne możliwości biznesowe dzięki Agents.Access

ograniczenie oznacza sieć planu hosta.

Upewnij się, że administratorzy AD FS obejmują administratora stacji roboczej w celu zabezpieczenia poświadczeń firmy.

Hostuj towary maszynowe serwera AD FS w wyższej jednostce organizacyjnej hostuj inne rodzaje serwerów.

Wszelkie zasady groupApp dotyczące obiektów, które wysyłają żądania do serwerów AD FS, powinny mieć zastosowanie tylko do nich, a nie do innych rzeczywistych serwerów. Te żądania eskalacji obiecują zmiany zasad GPO.

Upewnij się, że wystawiane certyfikaty są zabezpieczone przed włamaniami (nie przechowuj ich w kombajnie w sieci) i ustaw ostrzeżenie, aby upewnić się, że są świeże przed końcem ich wygasłych (luki w certyfikatach, uwierzytelnianie złożone) . Ponadto eksperci zabezpieczają jeden klucz/certyfikat podpisywania w odpowiednim module bezpieczeństwa sprzętu (HSM) podobnym do AD z FS.

Ustaw logowanie na najwyższą rangę i wysyłaj dzienniki AD FS (i bezpieczeństwa), aby dopasować uwierzytelnianie AD, aby powiedzieć szczerą prawdę, taką jak podobne (lub AzureAD).

Usuń niepotrzebne struktury i funkcje Windows.

Użyj hasła (>25 złożonych znaków rozszerzonych) dla konta konta AD FS. Zalecamy używanie konta usługi zarządzanego przez grupę (gMSA) jako konta usługi, produkt eliminuje potrzebę pomocy w zarządzaniu hasłem jednostki usługi przez dłuższy czas, ostrożnie zarządzając nim automatycznie.

Uaktualnij AD FS do najnowszej wersji również ze względu na stabilność (jak zawsze, najpierw sprawdź ulepszenia rejestrowania). Wymagane

Porty Poniższy diagram przedstawia porty oprogramowania zapory na komputerze PC, które należy udostępnić między składnikami tego ogłoszenia FS a wdrożeniem WAP. Jeśli Twoje wdrożenie inne niż AD/Office zawiera czerwony 365, możesz zignorować same wymagania dotyczące desynchronizacji.

Pamiętaj, że większość miast 49443 jest wymagana tylko w przypadku korzystania z uwierzytelniania opartego na certyfikacie konta, co jest całkowicie opcjonalne w przypadku usługi Azure AD i Office 365.

Komunikacja między serwerami sfederowanymi

Złożone pliki JAR w farmie AD FS komunikują się przy użyciu innych serwerów w Hacienda i serwerów WAP (Web Applications Through Proxy) wspomnianych wcześniej na porcie HTTP 80 poprzez konfigurację synchronizacji . Zapewnienie, że niektóre z tych samych unikalnych serwerów mogą komunikować się z innymi, a żaden z pozostałych nadal nie jest inteligentną obroną.

Organizacje z pewnością mogą to zrobić, ustanawiając reguły oprogramowania na jednocześnie serwerze, które ponownie umożliwiają przychodzącemu dostępowi przez adresy IP przejście przez kolejne serwery w farmie, a tym samym przez serwery WAP. Należy zauważyć, że większość jednego lub dwóch systemów równoważenia obciążenia sieci (NLB) używa portu HTTP 80 w drodze do sprawdzania stanu serwerów sfederowanych kobiet. Pamiętaj, aby uwzględnić adresy IP In nlb skonfigurowane specjalnie dla tych reguł zapory.

Federacja i serwer/WAP usługi Azure AD Connect

W tej tabeli omówiono zakres protokołów wymaganych do komunikacji między federacją hostingu Azure AD Connect a serwerami WAP.

Dziennik	Porty	Opis
HTTP	80 do faktycznie (tcp/udp)	Korzystanie z pobranych list CRL (list certyfikatów), anulowanie w celu weryfikacji certyfikatów SSL.
https	443(tcp/udp)	Połączenie działa z usługą Azure AD.
WinRM	5985	Odbiornik WinRM

Serwery WAP i federacyjne

Ta tabela opisuje wysyłkę i/lub protokoły wymagane do przesyłania plików między serwerami Federacji a serwerami WAP.

Dziennik	Porty	Opis
HTTPS	443(TCP/UDP)	Używane jako uwierzytelnianie.

Użytkownicy WAP

Ta tabela oraz rzeczywiste porty i metody wymagane, aby potencjalni klienci mogli komunikować się za pośrednictwem serwerów WAP.

Dziennik	Porty	Opis
HTTPS	443(TCP/UDP)	Używane do uwierzytelniania urządzeń.(TCP)	Używane
TCP	49443 do uwierzytelniania dokumentu małżeństwa.

Aby uzyskać więcej informacji na temat protokołów wentylacji wymuszonej i ich kombinacji, spotkaj się tutaj.

Szczegóły dotyczące protokołów portów, a w konsekwencji informacji wymaganych do wdrożenia platformy Azure i usługi Office 365, można znaleźć tutaj.

Reklamowanie wdrażania FS Endpoints włączone

WAP i WAP umożliwiają instalację domyślnych punktów końcowych reklamy FS w celu uzyskania federacji i usługi proxy. Te braki płatności zostały wybrane na podstawie tego najbardziej powszechnego i praktycznego scenariusza, dodatkowo nie ma Przewidywania, że cała Twoja rodzina będzie musiała je zmienić.

Pobierz oprogramowanie, aby naprawić komputer, klikając tutaj.