Table of contents
TOC
Minimera innehållsförteckningen
Maximera innehållsförteckningen

AD FS stöd för alternativa hostname bindningen för certifikatverifiering

Bill Mathers|Senast uppdaterad: 2017-03-10
|
1 Medverkande

Gäller för: Windows Server 2016

I många nätverk kanske lokal brandvägg principer inte tillåter trafik via icke-standardiserade portar som 49443. Det blev ett problem med att utföra autentisering med AD FS före AD FS i Windows Server 2016. Det beror på att olika bindningar för enheten autentisering och certifikat för användarautentisering kunde inte på samma värddator. Standardporten 443 är bunden till ta emot enhetscertifikat och kan inte ändras för att stödja flera bindningen i samma kanal. Resultatet var att fungerar inte autentisering med smartkort och användarna var medvetna om av vad som hände eftersom det inte finns någon information om vad som egentligen hände.

Med AD FS i Windows Server 2016 åstadkommer det

I AD FS i Windows Server 2016 har ändrats. Nu vi stöder två lägen, används först samma värddator (dvs. adfs.contoso.com) med olika portar (443, 49443). Andra används olika värdar (adfs.contoso.com och certauth.adfs.contoso.com) med samma port (443). Detta kräver ett SSL-certifikat för att stödja "certauth. < adfs-tjänstnamn >" som ett Alternativt ämnesnamn. Detta kan ske vid tidpunkten för servergruppen skapandet av senare via PowerShell.

Så här konfigurerar du alternativ värd namn bindningen för certifikatverifiering

Det finns två sätt att du kan lägga till alternativ värd namn bindningen för autentisering. Först är när du konfigurerar en ny AD FS-servergrupp med AD FS för Windows Server 2016, om certifikatet innehåller ett alternativt namn för certifikatmottagare (SAN) och sedan på den automatiskt konfigureras så att du använder den andra metoden som nämns ovan. Det vill säga det kommer automatiskt i installationsprogrammet för två olika värdar (sts.contoso.com och certauth.sts.contoso.com med samma port. Om certifikatet inte innehåller ett SAN, sedan visas en varning om att certifikatet Alternativt ämnesnamn inte stöder certauth.*. Se skärmbilder nedan. De första som visar en installation där certifikatet hade ett SAN och det andra exemplet visas ett certifikat som inte.

Alternativa hostname bindning

Alternativa hostname bindning

På samma sätt när AD FS i Windows Server 2016 har depoloyed du kan använda PowerShell cmdlt: Set-AdfsAlternateTlsClientBinding.

Set-AdfsAlternateTlsClientBinding -Member DC1.contoso.com -Thumbprint c67e1ffba186d70c7e00c89596e0cb5645f9874a  

När en fråga visas klickar du på Ja för att bekräfta. Och som ska vara den.

Alternativa hostname bindning

© 2017 Microsoft