Vraag

dinsdag 15 oktober 2019 14:30

Acties:
  • 0 Henk 'm!
  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 13-06 11:31

Dutch2007

Topicstarter
Beste allemaal,

Ik ben bezig om Zscaler te configureren

ADFS + WAP heb ik al opgezet, maar nu moet ik nog een relay trust opzetten met Zscaler.

Guide welke Zscaler aanbied gaat er van uit dat je een GUI server hebt, de servers waar eigenlijk alles op remote wordt beheerd hebben wij met CORE ingericht.

Stappen plan Zscaler: https://help.zscaler.com/...-example-adfs-2.0-and-3.0


Ik heb het volgende script reeds gevonden om het via de CLI (powershell te doen):

https://raw.githubusercon...dfs-auth0/master/adfs.ps1
#####################################################################
# Script: configureAdfs.ps1
# Descrption: Add and remove a relying party to ADFS with rules
######################################################################

function AddRelyingParty
(
[string]$realm = $(throw "Realm for the application is required. E.g.: http://whatever.com or urn:whatever"),
[string]$webAppEndpoint = $(throw "Endpoint where the token will be POSTed is required")
)
{
# In ADFS 3.0, management Cmdlets are moved into 'ADFS' module which gets auto-laoded. No more explicit snapin loading required.
# [Fix]: Only attempt snapin loading if ADFS commands are not available
if ( (Get-Command Set-ADFSRelyingPartyTrust -ErrorAction SilentlyContinue) -eq $null)
{
# check if SP snapin exists in the machine
if ( (Get-PSSnapin -Name Microsoft.Adfs.Powershell -Registered -ErrorAction SilentlyContinue) -eq $null )
{
Write-Error "This PowerShell script requires the Microsoft.Adfs.Powershell Snap-In. Try executing it from an ADFS server"
return;
}

# check if SP snapin is already loaded, if not load it
if ( (Get-PSSnapin -Name Microsoft.Adfs.Powershell -ErrorAction SilentlyContinue) -eq $null )
{
Write-Verbose "Adding Microsoft.Adfs.Powershell Snapin"
Add-PSSnapin Microsoft.Adfs.Powershell
}

# check if running as Admin
$currentPrincipal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent())
if ($currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) -eq $false)
{
Write-Error "This PowerShell script requires Administrator privilieges. Try executing by doing right click -> 'Run as Administrator'"
return;
}
}

# remove if exists
$rp = Get-ADFSRelyingPartyTrust -Name $realm
if ($rp)
{
Write-Verbose "Removing Relying Party Trust: $realm"
Remove-ADFSRelyingPartyTrust -TargetName $realm
}

Write-Verbose "Adding Relying Party Trust: $realm"
Write-Verbose "Add-ADFSRelyingPartyTrust -Name $realm -Identifier $realm -WSFedEndpoint $webAppEndpoint"
Add-ADFSRelyingPartyTrust -Name $realm -Identifier $realm -WSFedEndpoint $webAppEndpoint

# get the RP to add Transform and Authz rules.
$rp = Get-ADFSRelyingPartyTrust -Name $realm

# transform Rules
$rules = @'
@RuleName = "Store: ActiveDirectory -> Mail (ldap attribute: mail), Name (ldap attribute: userPrincipalName), GivenName (ldap attribute: givenName), Surname (ldap attribute: sn)"
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"), query = ";mail,displayName,userPrincipalName,givenName,sn;{0}", param = c.Value);
'@

Write-Verbose "Adding Claim Rules"
Set-ADFSRelyingPartyTrust –TargetName $realm -IssuanceTransformRules $rules

# Authorization Rules
$authRules = '=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");'
Write-Verbose "Adding Issuance Authorization Rules: $authRules"
$rSet = New-ADFSClaimRuleSet –ClaimRule $authRules
Set-ADFSRelyingPartyTrust –TargetName $realm –IssuanceAuthorizationRules $rSet.ClaimRulesString

Remove-PSSnapin Microsoft.Adfs.Powershell -ErrorAction SilentlyContinue

Write-Host "Relying Party Trust '$realm' added succesfully."

}


function RemoveRelyingParty
(
[string]$realm = $(throw "Realm for the application is required. E.g.: http://whatever.com or urn:whatever")
)
{

if ( (Get-Command Set-ADFSRelyingPartyTrust -ErrorAction SilentlyContinue) -eq $null)
{
# check if ADFS snapin exists in the machine
if ( (Get-PSSnapin -Name Microsoft.Adfs.Powershell -Registered -ErrorAction SilentlyContinue) -eq $null )
{
Write-Error "This PowerShell script requires the Microsoft.Adfs.Powershell Snap-In. Try executing it from an ADFS server"
return;
}

# check if ADFSP snapin is already loaded, if not load it
if ( (Get-PSSnapin -Name Microsoft.Adfs.Powershell -ErrorAction SilentlyContinue) -eq $null )
{
Write-Verbose "Adding Microsoft.Adfs.Powershell Snapin"
Add-PSSnapin Microsoft.Adfs.Powershell
}

# check if running as Admin
$currentPrincipal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent())
if ($currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) -eq $false)
{
Write-Error "This PowerShell script requires Administrator privilieges. Try executing by doing right click -> 'Run as Administrator'"
return;
}
}

# remove if exists
$rp = Get-ADFSRelyingPartyTrust -Name $realm
if ($rp)
{
Write-Verbose "Removing Relying Party Trust: $realm"
Remove-ADFSRelyingPartyTrust -TargetName $realm
Write-Host "Relying Party Trust '$realm' removed succesfully."
}

Remove-PSSnapin Microsoft.Adfs.Powershell -ErrorAction SilentlyContinue

}
Vraag:
[string]$realm = $(throw "Realm for the application is required. E.g.: http://whatever.com or urn:whatever"),
[string]$webAppEndpoint = $(throw "Endpoint where the token will be POSTed is required")
Deze 2 variablen is dat gewoon 2x de link welke zscaler in hun stappen definieerd?

e.g.: https://samlsp.private.zscaler.com/auth/metadata

Of is het dat realm de zscaler side is, en de andere de eigen adfs?


Heb al gekeken naar: https://docs.microsoft.co...gpartytrust?view=win10-ps


Maar kom d'r niet helemaal uit.

Beste antwoord (via Dutch2007 op 18-10-2019 12:25)

donderdag 17 oktober 2019 18:52

  • Xelefim
  • Registratie: Maart 2019
  • Laatst online: 08-10-2024

Xelefim

Lijkt mij weer een limitatie van Windows Server en hun CORE-version.

In een Server-park met 1K+ Windows Servers hebben we hier ook mee geëxpirimenteerd maar al snel is dit gestopt mede door:

- Kennis van PowerShell + CMD Windows was gering bij groot aantal collega's
- Compatibiliteit met andere softwares ver te zoeken soms
- PS-Remoting werkt niet eens bij standaard Windows-componenten zoals ADFS-trusts, etc...

Ik zou :
- Support contacteren van Zscaler met je vraag + vragen achter CORE-documentatie + implementatie
- Indien het een testomgeving betreft: 'sukkelen' met PowerShell + commands om het toch te doen werken
- Toch opteren voor GUI-Windows (met weinig resources aangezien het hier Servers voor ADFS-doeleinden betreft -> 4-8GB ram en 2-4 virtuele cores is al meer dan voldoende tenzij de WAP gigantische hoeveelheden aan requests ontvangt

- BSc TI + CCNA R&S (Expired ofcourse) + CCNA SEC (Also expired ofc)-

Alle reacties

woensdag 16 oktober 2019 01:42

Acties:
  • 0 Henk 'm!
  • Xelefim
  • Registratie: Maart 2019
  • Laatst online: 08-10-2024

Xelefim

Stappenplan URL werkt niet

- BSc TI + CCNA R&S (Expired ofcourse) + CCNA SEC (Also expired ofc)-

woensdag 16 oktober 2019 09:09

Acties:
  • 0 Henk 'm!
  • Killah_Priest
  • Registratie: Augustus 2001
  • Laatst online: 18-06 23:26

Killah_Priest

Anders zet je gewoon even de GUI aan, voer je de wijzigingen door en daarna de GUI weer uit?

Kant en klare scripts downloaden zonder eigenlijk te begrijpen wat de code precies doet is in mijn ogen altijd een no go.

woensdag 16 oktober 2019 10:06

Acties:
  • +3 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Nu online

Jazzy

Moderator SSC/PB

Moooooh!

Modbreak:Dubbelposten is niet nodig, dacht eigenlijk dat je dit na 15 jaar actief meedoen op het form wel zou weten. Ik heb je bericht in het PowerShell topic verwijderd omdat je vraag niets met PowerShell te maken heeft. Dat betekent wel dat je de links in de startpost even zult moeten fixen omdat die het kopiëren niet overleefd hebben.

Voeg verder even aan de startpost toe welke software je precies gebruikt.
Killah_Priest schreef op woensdag 16 oktober 2019 @ 09:09:
Anders zet je gewoon even de GUI aan, voer je de wijzigingen door en daarna de GUI weer uit?
Dat kan niet meer tegenwoordig. Tenzij TS een oudere versie van Windows Server gebruikt.

Exchange en Office 365 specialist. Mijn blog.

woensdag 16 oktober 2019 13:55

Acties:
  • 0 Henk 'm!
  • Endpoint
  • Registratie: April 2016
  • Laatst online: 17-06 10:38

Endpoint

Wat is de redenen om dan server core te gebruiken, is het alleen om resources te besparen?

Is de config wel supported met Zscaler dan?

woensdag 16 oktober 2019 14:35

Acties:
  • 0 Henk 'm!
  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 07:38

HKLM_

Weet je zeker dat als je de setup gaat draaien op de server core dat de GUI setup niet naar voren komt. Het is namelijk wel mogelijk om GUI voor bepaalde applicaties zichtbaar te maken in de core versie:

Cloud ☁️

woensdag 16 oktober 2019 22:38

Acties:
  • 0 Henk 'm!
  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 13-06 11:31

Dutch2007

Topicstarter
HKLM_ schreef op woensdag 16 oktober 2019 @ 14:35:
Weet je zeker dat als je de setup gaat draaien op de server core dat de GUI setup niet naar voren komt. Het is namelijk wel mogelijk om GUI voor bepaalde applicaties zichtbaar te maken in de core versie:
Je kan de MMC.exe module om de AD FS Management te laden niet openen, niet beschikbaar op Windows Server Core ;-)

Daar gaat MS d'r van uit dat je remote management doet via PowerSell (Direct/Remoting)
Xelefim schreef op woensdag 16 oktober 2019 @ 01:42:
Stappenplan URL werkt niet
https://help.zscaler.com/...-microsoft-adfs-20-and-30
Endpoint schreef op woensdag 16 oktober 2019 @ 13:55:
Wat is de redenen om dan server core te gebruiken, is het alleen om resources te besparen?

Is de config wel supported met Zscaler dan?
Zscaler is een cloud security VPN-achtige dienst, je hoeft geen zscaler op de server (core) zelf te installeren.

Zscaler software installeer je in principe alleen devices welke je "on the road" hebt (voor zscaler Private access), en op vaste machines zodat je ook hun web-security feature kunt gebruiken.

Daarnaast maakt het voor Zscaler ansich vrij weinig uit wat voor server je hebt.

mbt ADFS ondersteunen ze ADFS 2.0, 3.0 (server 2012R2) en 4.0 (Server 2016/2019).

En je kan middels powershell het zelfde configueren als via de GUI, sterker nog, vaak kan je tegenwoordig meer instellen via PS dan via de GUI. (daarom hebben ze Server Core en Nano bij MS geïmplementeerd.)

En daarnaast is het ook vanuit een security oogpunt beter om CORE te hebben tov GUI, daar er gewoon minder security-updates uitkomen voor CORE, omdat er minder vulnerabilities in CORE zit tov (legacy) GUI.


Bij het inrichten van nieuwe werkplek omgevingen is het bij ons iig qua richtlijk --> Can it run core --> yes --> run it.

Alleen als 't niet werkt/ondersteund wordt door de leverancier GUI gebruiken.

En helaas zijn dat ook software pakketten zoals veeam en symantec endpoint protection manager (SEPM14.x)

Waar bij Symantec gewoon hardcoded in de installer een check zit of je IE11 beschikbaar hebt 8)7 |:( |:( |:(
HKLM_ schreef op woensdag 16 oktober 2019 @ 14:35:
Weet je zeker dat als je de setup gaat draaien op de server core dat de GUI setup niet naar voren komt. Het is namelijk wel mogelijk om GUI voor bepaalde applicaties zichtbaar te maken in de core versie:
Je kan de AD FS rol zelf installeren via een GUI server (Server manager en dan Add/remove services).

Instellen middels een certificaat kan dan ook en is ook incombinatie met een WAP (proxy server tbv security - DMZ)

Instellen van de trust gaat via de AD FS Management MMC snap-in en die is alleen beschikbaar op de GUI.

[ Voor 82% gewijzigd door Dutch2007 op 16-10-2019 23:19 ]

woensdag 16 oktober 2019 23:18

Acties:
  • +1 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 18-06 21:36

Hero of Time

Moderator LNX

There is only one Legend

Dutch2007 schreef op woensdag 16 oktober 2019 @ 22:38:
[...]

Je kan de MMC.exe module om de AD FS Management te laden niet openen, niet beschikbaar op Windows Server Core ;-)

Daar gaat MS d'r van uit dat je remote management doet via PowerSell (Direct/Remoting)
Nee, er wordt vanuit gegaan dat je de remote management tools (RSAT) op je client hebt of een aparte management server. Je maakt dan verbinding met je Core server en beheert 'm op die manier.
En je kan middels powershell het zelfde configueren als via de GUI, sterker nog, vaak kan je tegenwoordig meer instellen via PS dan via de GUI. (daarom hebben ze Server Core en Nano bij MS geïmplementeerd.)

En daarnaast is het ook vanuit een security oogpunt beter om CORE te hebben tov GUI, daar er gewoon minder security-updates uitkomen voor CORE, omdat er minder vulnerabilities in CORE zit tov (legacy) GUI.
Nee, Core en Nano zijn voor hele andere redenen uitgebracht. Het grootste argument ervoor was resources. Windows wordt steeds logger en neemt steeds meer ruimte in, zowel qua schijf als geheugen. Core en Nano zijn er om dat wat terug te dringen. Security is daarbij een welkome extra, maar niet de primaire reden.

Ook je argument dat Core en Nano bestaan omdat je met PS meer kan dan wanneer je een volledige desktop omgeving hebt is kul. Want een server mét GUI heeft ook gewoon powershell beschikbaar met dezelfde cmdlets en kan precies hetzelfde.

Als je gaat zoeken wat MS aanraadt om te gebruiken bij verschillende scenario's, zal je zien dat niet overal Server Core of zelfs Nano (vziw bestaat dit niet meer als server installatie) wordt genoemd. Als je een domain controller wilt installeren bijvoorbeeld is het advies en de best practise van MS dat je de volledige installatie, dus met GUI, gebruikt en niet Core.

Commandline FTW | Tweakt met mate

woensdag 16 oktober 2019 23:20

Acties:
  • 0 Henk 'm!
  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 13-06 11:31

Dutch2007

Topicstarter
Hero of Time schreef op woensdag 16 oktober 2019 @ 23:18:
[...]

Nee, er wordt vanuit gegaan dat je de remote management tools (RSAT) op je client hebt of een aparte management server. Je maakt dan verbinding met je Core server en beheert 'm op die manier.


[...]

Nee, Core en Nano zijn voor hele andere redenen uitgebracht. Het grootste argument ervoor was resources. Windows wordt steeds logger en neemt steeds meer ruimte in, zowel qua schijf als geheugen. Core en Nano zijn er om dat wat terug te dringen. Security is daarbij een welkome extra, maar niet de primaire reden.

Ook je argument dat Core en Nano bestaan omdat je met PS meer kan dan wanneer je een volledige desktop omgeving hebt is kul. Want een server mét GUI heeft ook gewoon powershell beschikbaar met dezelfde cmdlets en kan precies hetzelfde.

Als je gaat zoeken wat MS aanraadt om te gebruiken bij verschillende scenario's, zal je zien dat niet overal Server Core of zelfs Nano (vziw bestaat dit niet meer als server installatie) wordt genoemd. Als je een domain controller wilt installeren bijvoorbeeld is het advies en de best practise van MS dat je de volledige installatie, dus met GUI, gebruikt en niet Core.
Zie: https://windowsserver.use...console-missing-from-rsat

D'r is geen RSAT voor ADFS sinds server 2016... belachelijk... maar zo is het

woensdag 16 oktober 2019 23:22

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 18-06 21:36

Hero of Time

Moderator LNX

There is only one Legend

Dutch2007 schreef op woensdag 16 oktober 2019 @ 23:20:
[...]

Zie: https://windowsserver.use...console-missing-from-rsat

D'r is geen RSAT voor ADFS sinds server 2016... belachelijk... maar zo is het
Remote management tools is meer dan wat snapp-ins voor MMC. ;)

Commandline FTW | Tweakt met mate

woensdag 16 oktober 2019 23:33

Acties:
  • 0 Henk 'm!
  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 13-06 11:31

Dutch2007

Topicstarter
Hero of Time schreef op woensdag 16 oktober 2019 @ 23:22:
[...]

Remote management tools is meer dan wat snapp-ins voor MMC. ;)
Snap ik, maar om AD FS management te beheren heb je de MMC snap-in nodig.

Je krijgt in server manager wel links de rollen te zien van de toegevoegde servers, zoals DNS, DHCP, AD CS (certificaten), en AD FS te zien, maar je krijgt daarna als je onder "AD FS" de ADFS server(s) selecteert niet de optie te zien om de feature specific funtie uit te voeren. 8)7
Hero of Time schreef op woensdag 16 oktober 2019 @ 23:18:
[...]

Nee, er wordt vanuit gegaan dat je de remote management tools (RSAT) op je client hebt of een aparte management server. Je maakt dan verbinding met je Core server en beheert 'm op die manier.


[...]
D'r zijn op moment van schrijven geen RSAT tools van/voor AD FS (al sinds release van Server 2016)

zie ook:

https://social.technet.mi...tion-rsat-adfs?forum=ADFS
https://serverfault.com/q...pro-to-remotely-manage-my

Voor AD FS heb je momenteel in feite 2 opties.

Of een GUI installeren en daarop dan puur en alleen het AD FS management beheer doen via een MMC --> add "ad FS management" snap-in.

Of je wordt "pro" in powershell en configureerd en beheerd het zo veel als mogelijk via powershell.

[ Voor 70% gewijzigd door Dutch2007 op 16-10-2019 23:42 ]

woensdag 16 oktober 2019 23:48

Acties:
  • 0 Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 28-05 19:39

johnkeates

Kan je dan niet beter een andere SAML server gebruiken in plaats van ADFS en die SAML server met AD laten praten? Kan je meestal ook meteen MFA ondersteuning aanzetten wat nog steeds niet standaard in ADFS zit. Keycloak bijvoorbeeld, gratis, webgui, support voor alles wat je maar kan bedenken.

woensdag 16 oktober 2019 23:52

Acties:
  • 0 Henk 'm!
  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 13-06 11:31

Dutch2007

Topicstarter
johnkeates schreef op woensdag 16 oktober 2019 @ 23:48:
Kan je dan niet beter een andere SAML server gebruiken in plaats van ADFS en die SAML server met AD laten praten? Kan je meestal ook meteen MFA ondersteuning aanzetten wat nog steeds niet standaard in ADFS zit. Keycloak bijvoorbeeld, gratis, webgui, support voor alles wat je maar kan bedenken.
Zscaler ondersteund inderdaad een aantal 3rd party

zie:

https://help.zscaler.com/.../idp-configuration-guides
IdP Configuration Guides
Configuration Guide for Gemalto SafeNet Authentication Manager
Configuration Guide for Microsoft ADFS 2.0 and 3.0
Configuration Guide for Microsoft Azure AD
Configuration Guide for Okta
Configuration Guide for Onelogin
Configuration Guide for Ping Identity PingOne
D'r is echter voor gekozen om ADFS te gebruiken voor authenticatie (en mogelijk in de toekomst om voor of azure AD - "AD FS" en daar dan de functies mee te gebruiken zoals MFA, etc, etc...

donderdag 17 oktober 2019 00:24

Acties:
  • 0 Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 28-05 19:39

johnkeates

Dutch2007 schreef op woensdag 16 oktober 2019 @ 23:52:
[...]


Zscaler ondersteund inderdaad een aantal 3rd party

zie:

https://help.zscaler.com/.../idp-configuration-guides


[...]


D'r is echter voor gekozen om ADFS te gebruiken voor authenticatie (en mogelijk in de toekomst om voor of azure AD - "AD FS" en daar dan de functies mee te gebruiken zoals MFA, etc, etc...
Mwah, dat zijn gewoon standaard IdP integraties, die guides zijn er om te helpen maar het is gewoon standaard SAML.

donderdag 17 oktober 2019 10:35

Acties:
  • 0 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Nu online

Jazzy

Moderator SSC/PB

Moooooh!

Dutch2007 schreef op woensdag 16 oktober 2019 @ 23:20:
D'r is geen RSAT voor ADFS sinds server 2016... belachelijk... maar zo is het
Ah, het is dus Windows Server 2016 wat je gebruikt. In dat geval heb je een makkelijke work-around beschikbaar omdat je tijdelijk de GUI kunt aanzetten. Dan je configuratie doen met de ADFS management console en daarna weer de GUI uitzetten.

Exchange en Office 365 specialist. Mijn blog.

donderdag 17 oktober 2019 11:16

Acties:
  • 0 Henk 'm!
  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 13-06 11:31

Dutch2007

Topicstarter
Jazzy schreef op donderdag 17 oktober 2019 @ 10:35:
[...]
Ah, het is dus Windows Server 2016 wat je gebruikt. In dat geval heb je een makkelijke work-around beschikbaar omdat je tijdelijk de GUI kunt aanzetten. Dan je configuratie doen met de ADFS management console en daarna weer de GUI uitzetten.
Server 2012 R2 was de laatste server edition waar je "live" kon wisselen tussen Core en GUI.

Omdat er "flink" wat issue's waren met updates die voor de een wel van toepassing waren/zijn en voor de andere niet (GUI vs CORE) zijn ze daar vanaf gestapt in server 2016.

Afaik zat de feature tot en met Tech preview 2 d'r in en is deze d'r uit gehaald in Tech preview 3.

Bovenstaande is dus geen optie.

zie ook: https://cloudblogs.micros...e-and-desktop-experience/

en

https://4sysops.com/archi...i-on-windows-server-2016/ in TP2 kon het, daarna niet meer..)

[ Voor 14% gewijzigd door Dutch2007 op 17-10-2019 11:17 ]

donderdag 17 oktober 2019 12:36

Acties:
  • 0 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Nu online

Jazzy

Moderator SSC/PB

Moooooh!

Dutch2007 schreef op donderdag 17 oktober 2019 @ 11:16:
[...]
Server 2012 R2 was de laatste server edition waar je "live" kon wisselen tussen Core en GUI.
O ja, je hebt gelijk.

Dan zit er niets anders op om beter te begrijpen hoe ADFS werkt en het truukje met de cmdlets uit te voeren.

Exchange en Office 365 specialist. Mijn blog.

donderdag 17 oktober 2019 18:52

Acties:
  • Beste antwoord
  • +2 Henk 'm!
  • Xelefim
  • Registratie: Maart 2019
  • Laatst online: 08-10-2024

Xelefim

Lijkt mij weer een limitatie van Windows Server en hun CORE-version.

In een Server-park met 1K+ Windows Servers hebben we hier ook mee geëxpirimenteerd maar al snel is dit gestopt mede door:

- Kennis van PowerShell + CMD Windows was gering bij groot aantal collega's
- Compatibiliteit met andere softwares ver te zoeken soms
- PS-Remoting werkt niet eens bij standaard Windows-componenten zoals ADFS-trusts, etc...

Ik zou :
- Support contacteren van Zscaler met je vraag + vragen achter CORE-documentatie + implementatie
- Indien het een testomgeving betreft: 'sukkelen' met PowerShell + commands om het toch te doen werken
- Toch opteren voor GUI-Windows (met weinig resources aangezien het hier Servers voor ADFS-doeleinden betreft -> 4-8GB ram en 2-4 virtuele cores is al meer dan voldoende tenzij de WAP gigantische hoeveelheden aan requests ontvangt

- BSc TI + CCNA R&S (Expired ofcourse) + CCNA SEC (Also expired ofc)-

vrijdag 18 oktober 2019 12:00

Acties:
  • 0 Henk 'm!
  • iFap
  • Registratie: Maart 2014
  • Laatst online: 14-06 12:09

iFap

D'r is echter voor gekozen om ADFS te gebruiken voor authenticatie (en mogelijk in de toekomst om voor of azure AD - "AD FS" en daar dan de functies mee te gebruiken zoals MFA, etc, etc...
Ik ben heel erg benieuwd waarom er voor ADFS is gekozen als je ook gewoon gebruikt kunt maken van Azure AD SAML. Immers, je hebt hier geen infrastructuur voor nodig. Nu moet je 4 servers bouwen voor high availability en daar komt ook nog eens onderhoud bij kijken (patchmanagement, SSL certificaat vernieuwen etc).

vrijdag 18 oktober 2019 12:24

Acties:
  • 0 Henk 'm!
  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 13-06 11:31

Dutch2007

Topicstarter
iFap schreef op vrijdag 18 oktober 2019 @ 12:00:
[...]


Ik ben heel erg benieuwd waarom er voor ADFS is gekozen als je ook gewoon gebruikt kunt maken van Azure AD SAML. Immers, je hebt hier geen infrastructuur voor nodig. Nu moet je 4 servers bouwen voor high availability en daar komt ook nog eens onderhoud bij kijken (patchmanagement, SSL certificaat vernieuwen etc).
Bedrijfspolitiek is het korte antwoord.

vrijdag 18 oktober 2019 12:24

Acties:
  • +2 Henk 'm!
  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 13-06 11:31

Dutch2007

Topicstarter
Xelefim schreef op donderdag 17 oktober 2019 @ 18:52:
Lijkt mij weer een limitatie van Windows Server en hun CORE-version.

In een Server-park met 1K+ Windows Servers hebben we hier ook mee geëxpirimenteerd maar al snel is dit gestopt mede door:

- Kennis van PowerShell + CMD Windows was gering bij groot aantal collega's
- Compatibiliteit met andere softwares ver te zoeken soms
- PS-Remoting werkt niet eens bij standaard Windows-componenten zoals ADFS-trusts, etc...

Ik zou :
- Support contacteren van Zscaler met je vraag + vragen achter CORE-documentatie + implementatie
- Indien het een testomgeving betreft: 'sukkelen' met PowerShell + commands om het toch te doen werken
- Toch opteren voor GUI-Windows (met weinig resources aangezien het hier Servers voor ADFS-doeleinden betreft -> 4-8GB ram en 2-4 virtuele cores is al meer dan voldoende tenzij de WAP gigantische hoeveelheden aan requests ontvangt
Heb een GUI geïnstalleerd en daar alles mee afgeconfigureerd.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq