更新 Active Directory 同盟服務 (AD FS) 伺服器陣列的 TLS/SSL 憑證
概述
本文說明如何使用 Microsoft Entra Connect 來更新 Active Directory 同盟服務 (AD FS) 伺服器陣列的 TLS/SSL 憑證。 您可以使用 Microsoft Entra Connect 工具,輕鬆地更新 AD FS 伺服器陣列的 TLS/SSL 憑證,即使選取的使用者登入方法不是 AD FS。
您可以透過三個簡單的步驟,針對所有同盟和 Web 應用程式 Proxy (WAP) 伺服器,針對 AD FS 伺服器陣列執行更新 TLS/SSL 憑證的完整作業:
注意
若要深入瞭解 AD FS 所使用的憑證,請參閱 瞭解 AD FS 所使用的憑證。
先決條件
- AD FS 伺服器陣列:請確定您的 AD FS 伺服器陣列是以 Windows Server 2012 R2 為基礎或更新版本。
- Microsoft Entra Connect:確定 Microsoft Entra Connect 的版本是 1.1.553.0 或更高版本。 您將使用任務 更新 AD FS SSL 憑證。
步驟 1:提供 AD FS 伺服器陣列資訊
Microsoft Entra Connect 嘗試透過下列方式自動取得 AD FS 伺服器陣列的相關信息:
- 從 AD FS 查詢伺服器陣列資訊(Windows Server 2016 或更新版本)。
- 參考先前執行中的資訊,這些資訊會以 Microsoft Entra Connect 儲存在本機。
您可以藉由新增或移除伺服器來修改顯示的伺服器清單,以反映AD FS 伺服器陣列的目前組態。 一旦提供伺服器資訊,Microsoft Entra Connect 會顯示連線能力和目前的 TLS/SSL 憑證狀態。
如果清單包含不再屬於 AD FS 伺服器陣列的伺服器,請按 移除 以從 AD FS 伺服器陣列中的伺服器清單中刪除該伺服器。
清單中
注意
從 Microsoft Entra Connect 中的 AD FS 伺服器陣列的伺服器列表中移除一部伺服器是一項本地操作,這將更新 Microsoft Entra Connect 本地維護的 AD FS 伺服器陣列的資訊。 Microsoft Entra Connect 不會修改 AD FS 上的設定,以反映變更。
步驟 2:提供新的 TLS/SSL 憑證
確認 AD FS 伺服器陣列的相關資訊之後,Microsoft Entra Connect 會要求新的 TLS/SSL 憑證。 提供受密碼保護的 PFX 憑證以繼續安裝。
提供憑證之後,Microsoft Entra Connect 會經歷一系列必要條件。 確認憑證以確保 AD FS 伺服器陣列的憑證正確:
- 憑證的主體名稱/替代主體名稱與同盟服務名稱相同,或為通配符憑證。
- 憑證的有效期限超過 30 天。
- 憑證信任鏈結有效。
- 憑證受到密碼保護。
步驟 3:選取要更新的伺服器
在下一個步驟中,選取需要更新 TLS/SSL 憑證的伺服器。 無法為更新選取離線的伺服器。
完成設定之後,Microsoft Entra Connect 會顯示指出更新狀態的訊息,並提供驗證 AD FS 登入的選項。
常見問題
新 AD FS TLS/SSL 憑證的憑證主體名稱為何?
Microsoft Entra Connect 會檢查憑證的主體名稱/替代主體名稱是否包含同盟服務名稱。 例如,如果您的同盟服務名稱是 fs.contoso.com,則主體名稱/替代主體名稱必須是 fs.contoso.com。 系統也接受通配符憑證。
為什麼我在 WAP 伺服器頁面上再次要求認證?
如果您提供用來連線到 AD FS 伺服器的憑證沒有管理 WAP 伺服器的權限,則 Microsoft Entra Connect 會要求具有管理權限的 WAP 伺服器憑證。
伺服器會顯示為離線。 我該怎麼做?
Microsoft如果伺服器離線,Entra Connect 就無法執行任何作業。 如果伺服器是AD FS 伺服器陣列的一部分,請檢查伺服器的連線。 解決問題之後,請按重新整理圖示以更新精靈中的狀態。 如果伺服器先前是伺服器陣列的一部分,但現在已不存在,請按兩下 [移除],從Microsoft Entra Connect 所維護的伺服器清單中加以刪除。 從 Microsoft Entra Connect 清單中移除伺服器並不會改變 AD FS 組態本身。 如果您在 Windows Server 2016 或更新版本中使用 AD FS,伺服器會保留在組態設定中,下次執行工作時將會再次顯示。
是否可以使用新的 TLS/SSL 憑證來更新伺服器陣列伺服器的子集?
是的。 您一律可以再次執行工作 更新 SSL 憑證,以更新其餘的伺服器。 在 [選取 SSL 憑證更新的伺服器 頁面上,您可以排序 SSL 到期日 上的伺服器清單,以輕鬆存取尚未更新的伺服器。
我在上一次執行中移除了伺服器,但它仍然顯示為離線,並列在 [AD FS 伺服器] 頁面上。 為什麼即使移除離線伺服器,仍然在那裡?
在 Microsoft Entra Connect 清單中移除伺服器,不會在 AD FS 組態中同步移除該伺服器。 Microsoft Entra Connect 參考 AD FS (Windows Server 2016 或更高版本)以取得有關伺服器叢集的任何資訊。 如果伺服器仍在 AD FS 組態中,它會重新列入清單。
後續步驟
- Microsoft Entra Connect 和聯盟
- 使用 Microsoft Entra Connect Active Directory 同盟服務管理和自定義