Associazione di nomi host alternativi per l'autenticazione dei certificati in AD FS in Windows Server
In molte reti, i criteri firewall locali potrebbero non consentire il traffico attraverso le porte non standard come 49443. Le porte non standard possono creare problemi durante l'autenticazione del certificato con AD FS in Windows Server per le versioni precedenti di Windows. Non sono possibili associazioni diverse per l'autenticazione del dispositivo e l'autenticazione del certificato utente nello stesso host.
Per le versioni di Windows precedenti rispetto a Windows Server 2016, la porta predefinita 443 è associata a ricevere i certificati del dispositivo. Questa porta non può essere modificata per supportare più associazioni nello stesso canale. L'autenticazione tramite smart card non funziona e non viene inviata alcuna notifica agli utenti che ne spieghi la causa.
AD FS in Windows Server supporta l'associazione di nomi host alternativi
AD FS in Windows Server garantisce il supporto dell'associazione di nomi host alternativi usando due modalità:
La prima modalità usa lo stesso host (
adfs.contoso.com) con porte diverse (443, 49443).La seconda modalità utilizza host diversi (
adfs.contoso.comecertauth.adfs.contoso.com) con la stessa porta (443). Questa modalità richiede un certificato TLS/SSL per supportarecertauth.\<adfs-service-name>come nome soggetto alternativo. È possibile configurare l'associazione di nomi host alternativi al momento della creazione della farm o in un secondo momento usando PowerShell.
Procedura: configurare l'associazione del nome host alternativo per l'autenticazione del certificato
Esistono due metodi per aggiungere l'associazione di nome host alternativi per l'autenticazione del certificato:
Il primo approccio consiste nel configurare una nuova farm AD FS con AD FS per Windows Server 2016. Se il certificato contiene un nome alternativo del soggetto (SAN), il certificato viene configurato automaticamente per l'uso della seconda modalità descritta in precedenza. Due host diversi (
sts.contoso.comecertauth.sts.contoso.com) vengono configurati automaticamente con la stessa porta.Se il certificato non contiene un SAN, un messaggio di avviso indica che i nomi alternativi del soggetto del certificato non supportano
certauth.*:The SSL certificate subject alternative names do not support host name 'certauth.adfs.contoso.com'. Configuring certificate authentication binding on port '49443' and hostname 'adfs.contoso.com'. The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.Per un'installazione in cui il certificato contiene un SAN, viene visualizzata solo la seconda parte del messaggio:
The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.Il secondo approccio è disponibile dopo la distribuzione di AD FS in Windows Server. È possibile usare il cmdlet di PowerShell
Set-AdfsAlternateTlsClientBindingper aggiungere l'associazione del nome host alternativo per l'autenticazione del certificato. Per altre informazioni, vedere Set-AdfsAlternateTlsClientBinding.Set-AdfsAlternateTlsClientBinding -Member ADFS1.contoso.com -Thumbprint '<thumbprint of cert>'
Quando viene richiesto di confermare la configurazione del certificato, selezionare Sì o Sì a tutti. Quando viene richiesto di confermare la configurazione del certificato, selezionare Sì o Sì a tutti.