Udostępnij za pośrednictwem


Alternatywne powiązanie nazwy hosta na potrzeby uwierzytelniania certyfikatów w usługach AD FS w systemie Windows Server

W wielu sieciach lokalne zasady zapory mogą nie zezwalać na ruch przez niestandardowe porty, takie jak 49443. Niestandardowe porty mogą powodować problemy podczas uwierzytelniania certyfikatu za pomocą usług AD FS w systemie Windows Server dla wcześniejszych wersji systemu Windows. Różne powiązania uwierzytelniania urządzenia i uwierzytelniania certyfikatu użytkownika na tym samym hoście nie są możliwe.

W przypadku systemu Windows w wersjach starszych niż Windows Server 2016 domyślny port 443 jest powiązany z odbieraniem certyfikatów urządzeń. Nie można zmienić tego portu w celu obsługi wielu powiązań w tym samym kanale. Uwierzytelnianie za pomocą karty inteligentnej nie działa i nie ma powiadomienia dla użytkowników, którzy wyjaśniają przyczynę.

Usługi AD FS w systemie Windows Server obsługują alternatywne powiązanie nazwy hosta

Usługi AD FS w systemie Windows Server zapewniają obsługę alternatywnego powiązania nazwy hosta przy użyciu dwóch trybów:

  • Pierwszy tryb używa tego samego hosta (adfs.contoso.com) z różnymi portami (443, 49443).

  • Drugi tryb używa różnych hostów (adfs.contoso.com i certauth.adfs.contoso.com) z tym samym portem (443). Ten tryb wymaga certyfikatu TLS/SSL do obsługi certauth.\<adfs-service-name> jako alternatywnej nazwy podmiotu. Powiązanie alternatywnej nazwy hosta można skonfigurować w momencie tworzenia farmy lub później za pomocą PowerShella.

Jak skonfigurować powiązanie alternatywnej nazwy hosta na potrzeby uwierzytelniania certyfikatu

Istnieją dwa sposoby, aby dodać alternatywne powiązanie nazwy hosta dla uwierzytelniania certyfikatem:

  • Pierwszym podejściem jest skonfigurowanie nowej farmy AD FS dzięki AD FS dla Windows Server 2016. Jeśli certyfikat zawiera alternatywną nazwę podmiotu (SAN), certyfikat zostanie automatycznie skonfigurowany do korzystania z drugiego trybu opisanego wcześniej. Dwa różne hosty (sts.contoso.com i certauth.sts.contoso.com) są automatycznie konfigurowane przy użyciu tego samego portu.

    Jeśli certyfikat nie zawiera sieci SAN, komunikat ostrzegawczy wskazuje, że alternatywne nazwy podmiotu certyfikatu nie obsługują certauth.*:

    The SSL certificate subject alternative names do not support host name 'certauth.adfs.contoso.com'. Configuring certificate authentication binding on port '49443' and hostname 'adfs.contoso.com'.
    
    The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.
    

    W przypadku instalacji, w której certyfikat zawiera sieć SAN, zostanie wyświetlona tylko druga część komunikatu:

    The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.
    
  • Drugie podejście jest dostępne po wdrożeniu usług AD FS w systemie Windows Server. Możesz użyć polecenia cmdlet programu PowerShell Set-AdfsAlternateTlsClientBinding, aby dodać alternatywne powiązanie nazwy hosta na potrzeby uwierzytelniania certyfikatu. Aby uzyskać więcej informacji, zobacz Set-AdfsAlternateTlsClientBinding.

    Set-AdfsAlternateTlsClientBinding -Member ADFS1.contoso.com -Thumbprint '<thumbprint of cert>'
    

Po wyświetleniu monitu o potwierdzenie konfiguracji certyfikatu wybierz Tak lub Tak dla wszystkich.