Überprüfen der Rolle des Verbundserverproxys beim Kontopartner

• Gilt für::

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Die primäre Rolle des Verbundserverproxys im Umkreisnetzwerk der Kontopartnerorganisation in Active Directory-Verbunddienste (AD FS) besteht darin, Anmeldeinformationen für die Authentifizierung von einem Clientcomputer zu erfassen, der sich über das Internet anmeldet, und diese Anmeldeinformationen an den Verbundserver zu übergeben, der sich im Unternehmensnetzwerk der Kontopartnerorganisation befindet. Das Konto für den Clientcomputer wird im Attributspeicher des Kontopartners gespeichert.

Ein Verbundserverproxy kann abhängig von seiner Konfiguration zum Erfüllen der Anforderungen der Kontopartnerorganisation auch eine oder mehrere der folgenden Rollen übernehmen:

• Weiterleiten von Sicherheitstoken: Der Verbundserver stellt ein Sicherheitstoken für den Verbundserverproxy aus, der das Token dann an den Clientcomputer weiterleitet. Mit dem Sicherheitstoken wird einer bestimmten Partei der Zugriff auf diesen Clientcomputer ermöglicht.

• Erfassen von Anmeldeinformationen: Der Verbundserverproxy verwendet ein Standardwebformular für die Clientanmeldung („clientlogon.aspx“), um über formularbasierte Authentifizierung auf Kennwörtern basierende Anmeldeinformationen zu erfassen. Sie können dieses Formular jedoch anpassen, um andere unterstützte Arten von Authentifizierung zu akzeptieren, z. B. Secure Sockets Layer (SSL)-Clientauthentifizierung. Weitere Informationen zum Anpassen dieser Seite finden Sie unter „Anpassen von Seiten für die Clientanmeldung und Startbereichsermittlung (http://go.microsoft.com/fwlink/?LinkId=104275). Ein Verbundserverproxy akzeptiert keine Anmeldeinformationen über die integrierte Windows-Authentifizierung.

Zusammenfassung: Ein Verbundserverproxy in der Kontopartnerorganisation fungiert als Proxy für Clientanmeldungen bei einem Verbundserver, der sich im Unternehmensnetzwerk befindet. Der Verbundserverproxy unterstützt auch die Verteilung von Sicherheitstoken an Internetclients, die für vertrauende Seiten bestimmt sind.

Achtung

Durch die Bereitstellung eines Verbundserverproxys im Extranet des Kontopartners erhalten alle Benutzer mit Internetzugang Zugriff auf das Webformular für die Clientanmeldung. Dadurch kann Ihre Organisation potenziell anfällig für einige kennwortbasierte Angriffe sein, z. B. Wörterbuchangriffe oder Brute-Force-Angriffe, die Kontensperrungen für in den Active Directory-Domänendiensten (AD DS) des Unternehmens gespeicherte Benutzerkonten auslösen können.

Weitere Informationen

AD FS-Entwurfshandbuch in Windows Server 2012