Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V mnoha sítích nemusí místní zásady brány firewall povolovat provoz přes nestandardní porty, jako je 49443. Nestandardní porty můžou během ověřování certifikátů ve službě AD FS ve Windows Serveru pro starší verze Windows vytvářet problémy. Různé vazby pro ověřování zařízení a ověřování uživatelských certifikátů na stejném hostiteli nejsou možné.
Pro verze Windows starší než Windows Server 2016 je výchozí port 443 vázán na příjem certifikátů zařízení. Tento port nejde změnit tak, aby podporoval více vazeb ve stejném kanálu. Ověřování čipovou kartou nefunguje a neexistuje žádné oznámení, které by uživatelům vysvětlilo příčinu.
Služba AD FS ve Windows Serveru podporuje alternativní vazbu názvu hostitele.
Služba AD FS ve Windows Serveru poskytuje podporu pro vazbu alternativních názvů hostitelů pomocí dvou režimů:
První režim používá stejného hostitele (
adfs.contoso.com) s různými porty (443, 49443).Druhý režim používá různé hostitele (
adfs.contoso.comacertauth.adfs.contoso.com) se stejným portem (443). Tento režim vyžaduje, aby certifikát TLS/SSL podporovalcertauth.\<adfs-service-name>jako alternativní název subjektu. Alternativní vazbu názvu hostitele je možné nakonfigurovat v době vytvoření farmy nebo později pomocí PowerShellu.
Postup konfigurace vazby alternativního názvu hostitele pro ověřování certifikátů
Existují dva způsoby, jak přidat alternativní vazbu názvu hostitele pro ověřování certifikátů:
Prvním přístupem je nastavení nové farmy služby AD FS se službou AD FS pro Windows Server 2016. Pokud certifikát obsahuje alternativní název subjektu (SAN), certifikát se automaticky nastaví tak, aby používal druhý režim popsaný výše. Dva různé servery (
sts.contoso.comacertauth.sts.contoso.com) jsou automaticky nastaveny na stejný port.Pokud certifikát neobsahuje síť SAN, zobrazí se zpráva s upozorněním, že alternativní názvy subjektu certifikátu nepodporují
certauth.*:The SSL certificate subject alternative names do not support host name 'certauth.adfs.contoso.com'. Configuring certificate authentication binding on port '49443' and hostname 'adfs.contoso.com'. The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.Při instalaci, kde certifikát obsahuje síť SAN, se zobrazí pouze druhá část zprávy:
The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.Druhý přístup je k dispozici po nasazení služby AD FS na Windows Server. Pomocí rutiny PowerShellu
Set-AdfsAlternateTlsClientBindingmůžete přidat alternativní vazbu názvu hostitele pro ověřování certifikátů. Další informace naleznete v tématu Set-AdfsAlternateTlsClientBinding.Set-AdfsAlternateTlsClientBinding -Member ADFS1.contoso.com -Thumbprint '<thumbprint of cert>'
Na příkazovém řádku potvrďte konfiguraci certifikátu, vyberte Ano nebo Ano pro všechny.