Поделиться через


Альтернативная привязка имени узла для проверки подлинности сертификата в AD FS на Windows Server

Во многих сетях локальные политики брандмауэра могут не разрешать трафик через нестандартные порты, такие как 49443. Нестандартные порты могут создавать проблемы во время проверки подлинности сертификата с помощью AD FS в Windows Server для более ранних версий Windows. Различные привязки для проверки подлинности устройства и проверки подлинности сертификата пользователя на одном узле не возможны.

Для версий Windows, предшествующих Windows Server 2016, порт 443 по умолчанию привязан к получению сертификатов устройств. Этот порт нельзя изменить для поддержки нескольких привязок в одном канале. Проверка подлинности смарт-карты не работает, и пользователи не уведомляют пользователей, объясняющих причину.

AD FS в Windows Server поддерживает альтернативную привязку имени узла

AD FS в Windows Server обеспечивает поддержку альтернативной привязки имен узла с помощью двух режимов:

  • Первый режим использует один узел (adfs.contoso.com) с разными портами (443, 49443).

  • Второй режим использует разные узлы (adfs.contoso.com и certauth.adfs.contoso.com) с одинаковым портом (443). В этом режиме требуется сертификат TLS/SSL для поддержки certauth.\<adfs-service-name> в качестве альтернативного имени субъекта. Привязка альтернативного имени узла может быть настроена во время создания фермы или более поздней версии с помощью PowerShell.

Настройка альтернативной привязки имени узла для проверки подлинности сертификата

Существует два способа добавления альтернативной привязки имени узла для проверки подлинности сертификата:

  • Первый подход заключается в настройке новой фермы AD FS с AD FS для Windows Server 2016. Если сертификат содержит альтернативное имя субъекта (SAN), сертификат автоматически настраивается для использования второго режима, описанного ранее. Два разных узла (sts.contoso.com и certauth.sts.contoso.com) автоматически настраиваются с одинаковым портом.

    Если сертификат не содержит SAN, предупреждающее сообщение указывает, что альтернативные имена субъекта сертификата не поддерживаются certauth.*:

    The SSL certificate subject alternative names do not support host name 'certauth.adfs.contoso.com'. Configuring certificate authentication binding on port '49443' and hostname 'adfs.contoso.com'.
    
    The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.
    

    Для установки, в которой сертификат содержит SAN, отображается только вторая часть сообщения:

    The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.
    
  • Второй подход доступен после развертывания AD FS на Windows Server. Командлет Set-AdfsAlternateTlsClientBinding PowerShell можно использовать для добавления альтернативной привязки имени узла для проверки подлинности сертификата. Дополнительные сведения см. в разделе Set-AdfsAlternateTlsClientBinding.

    Set-AdfsAlternateTlsClientBinding -Member ADFS1.contoso.com -Thumbprint '<thumbprint of cert>'
    

В запросе на подтверждение конфигурации сертификата нажмите кнопку "Да" или "Да" для всех.