Alternatieve hostnaambinding voor certificaatverificatie in AD FS op Windows Server
Op veel netwerken is het mogelijk dat het lokale firewallbeleid verkeer via niet-standaardpoorten zoals 49443 niet toestaat. Niet-standaardpoorten kunnen problemen maken tijdens certificaatverificatie met AD FS op Windows Server voor eerdere versies van Windows. Verschillende bindingen voor apparaatverificatie en verificatie van gebruikerscertificaten op dezelfde host zijn niet mogelijk.
Voor Windows-versies ouder dan Windows Server 2016 is de standaardpoort 443 gebonden aan het ontvangen van apparaatcertificaten. Deze poort kan niet worden gewijzigd om meerdere bindingen in hetzelfde kanaal te ondersteunen. Smartcardverificatie werkt niet en er is geen melding voor gebruikers die de oorzaak ervan uitlegt.
AD FS in Windows Server ondersteunt alternatieve hostnaambinding
AD FS in Windows Server biedt ondersteuning voor alternatieve hostnaambinding met behulp van twee modi:
De eerste modus maakt gebruik van dezelfde host (
adfs.contoso.com
) met verschillende poorten (443, 49443).De tweede modus maakt gebruik van verschillende hosts (
adfs.contoso.com
encertauth.adfs.contoso.com
) met dezelfde poort (443). Voor deze modus is een TLS/SSL-certificaat vereist omcertauth.\<adfs-service-name>
te ondersteunen als alternatieve onderwerpnaam. Alternatieve hostnaambinding kan worden geconfigureerd bij het maken van de farm of later met behulp van PowerShell.
Alternatieve hostnaambinding configureren voor certificaatverificatie
Er zijn twee manieren waarop u de alternatieve hostnaambinding voor certificaatverificatie kunt toevoegen:
De eerste benadering is wanneer u een nieuwe AD FS-farm instelt met AD FS voor Windows Server 2016. Als het certificaat een alternatieve naam voor het onderwerp (SAN) bevat, wordt het certificaat automatisch ingesteld voor gebruik van de tweede modus die eerder is beschreven. Twee verschillende hosts (
sts.contoso.com
encertauth.sts.contoso.com
) worden automatisch ingesteld met dezelfde poort.Als het certificaat geen SAN bevat, geeft een waarschuwingsbericht aan dat alternatieve namen van certificaatonderwerp geen ondersteuning bieden voor
certauth.*
:The SSL certificate subject alternative names do not support host name 'certauth.adfs.contoso.com'. Configuring certificate authentication binding on port '49443' and hostname 'adfs.contoso.com'. The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.
Voor een installatie waarbij het certificaat een SAN bevat, ziet u alleen het tweede gedeelte van het bericht:
The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.
De tweede methode is beschikbaar nadat u AD FS op Windows Server hebt geïmplementeerd. U kunt de PowerShell-cmdlet
Set-AdfsAlternateTlsClientBinding
gebruiken om de alternatieve hostnaambinding toe te voegen voor certificaatverificatie. Zie Set-AdfsAlternateTlsClientBindingvoor meer informatie.Set-AdfsAlternateTlsClientBinding -Member ADFS1.contoso.com -Thumbprint '<thumbprint of cert>'
Selecteer bij de prompt om de certificaatconfiguratie te bevestigen Ja of Ja voor alles.