Aktualisieren des TLS/SSL-Zertifikats für eine AD FS-Farm (Active Directory Federation Services)

Überblick

In diesem Artikel wird beschrieben, wie Sie mit Microsoft Entra Connect das TLS/SSL-Zertifikat für eine AD FS-Farm (Active Directory Federation Services) aktualisieren können. Sie können mit dem Microsoft Entra Connect-Tool das TLS/SSL-Zertifikat für die AD FS-Farm ganz einfach aktualisieren, selbst wenn die ausgewählte Benutzeranmeldemethode nicht auf „AD FS“ festgelegt ist.

Sie können den gesamten Aktualisierungsvorgang für das TLS/SSL-Zertifikats für die AD FS-Farm übergreifend für alle Verbundserver und Webanwendungsproxy-Server (WAP) in drei einfachen Schritten ausführen:

Three steps

Hinweis

Weitere Informationen zu von AD FS verwendeten Zertifikaten finden Sie im Artikel Grundlegendes zu den von AD FS verwendeten Zertifikaten.

Voraussetzungen

  • AD FS-Farm: Stellen Sie sicher, dass die AD FS-Farm unter Windows Server 2012 R2 oder höher ausgeführt wird.
  • Microsoft Entra Connect: Stellen Sie sicher, dass die Version von Microsoft Entra Connect 1.1.553.0 oder höher ist. Sie verwenden den Vorgang AD FS-SSL-Zertifikat aktualisieren.

Update TLS task

Schritt 1: Bereitstellen von Informationen zur AD FS-Farm

Microsoft Entra Connect versucht, die Informationen zur AD FS-Farm auf folgende Weise automatisch abzurufen:

  1. Abfragen der Farminformationen von AD FS (Windows Server 2016 oder höher)
  2. Verweisen auf die Informationen aus vorherigen Ausführungen, die mit Microsoft Entra Connect lokal gespeichert werden

Sie können die angezeigte Liste mit Servern bearbeiten, indem Sie Server hinzufügen oder entfernen, um die derzeitige Konfiguration der AD FS-Farm abzubilden. Sobald die Serverinformationen bereitgestellt wurden, zeigt Microsoft Entra Connect die Konnektivität und den aktuellen Status des TLS/SSL-Zertifikats an.

AD FS server info

Wenn die Liste einen Server enthält, der nicht zur AD FS-Farm gehört, klicken Sie auf Entfernen, um den Server aus der Liste der Server in der AD FS-Farm zu löschen.

Offline server in list

Hinweis

Das Entfernen eines Servers aus der Liste der Server für eine AD FS-Farm in Microsoft Entra Connect ist ein lokaler Vorgang. Dieser aktualisiert die Informationen für die AD FS-Farm, die von Microsoft Entra Connect lokal verwaltet werden. Microsoft Entra Connect ändert nicht die AD FS-Konfiguration, um die Änderung widerzuspiegeln.

Schritt 2: Bereitstellen eines neuen TLS/SSL-Zertifikats

Nachdem Sie die Informationen zu den AD FS-Farmservern bestätigt haben, fragt Microsoft Entra Connect nach dem neuen TLS/SSL-Zertifikat. Stellen Sie ein kennwortgeschütztes PFX-Zertifikat bereit, um die Installation fortzuführen.

TLS/SSL certificate

Nachdem Sie das Zertifikat bereitgestellt haben, prüft Microsoft Entra eine Reihe von Voraussetzungen. Überprüfen Sie das Zertifikat, um sicherzustellen, dass es für die AD FS-Farm passend ist:

  • Der Antragstellername/Alternative Antragstellername für das Zertifikat ist entweder der Name des Verbunddiensts oder ein Platzhalterzertifikat.
  • Das Zertifikat ist mehr als 30 Tage gültig.
  • Die Vertrauenskette des Zertifikats ist gültig.
  • Das Zertifikat ist kennwortgeschützt.

Schritt 3: Auswählen von Servern für das Update

Wählen Sie im nächsten Schritt die Server aus, deren TLS/SSL-Zertifikat aktualisiert werden muss. Server, die offline sind, können nicht für das Update ausgewählt werden.

Select servers to update

Nach Abschluss der Konfiguration zeigt Microsoft Entra Connect eine Meldung mit dem Status des Updates an und stellt eine Option zum Überprüfen der AD FS-Anmeldung bereit.

Configuration complete

Häufig gestellte Fragen

  • Wie sollte der Antragstellername des Zertifikats für das neue AD FS-TLS/SSL-Zertifikat lauten?

    Microsoft Entra Connect überprüft, ob der Antragstellername bzw. der alternative Antragstellername des Zertifikats den Namen des Verbunddiensts enthält. Wenn der Name Ihres Verbunddiensts beispielsweise „fs.contoso.com“ lautet, muss der Antragstellername bzw. alternative Antragstellername „fs.contoso.com“ lauten. Platzhalterzertifikate werden ebenfalls akzeptiert.

  • Warum werde ich auf der Seite „WAP-Server“ erneut nach Anmeldeinformationen gefragt?

    Wenn die Anmeldeinformationen, die Sie für die Verbindung mit AD FS-Servern angeben, nicht auch über die Berechtigung zum Verwalten der WAP-Server verfügen, fordert Microsoft Entra Connect zur Eingabe von Anmeldeinformationen auf, die über die Administratorberechtigung für WAP-Server verfügen.

  • Der Server wird als offline angezeigt. Wie sollte ich vorgehen?

    Microsoft Entra Connect kann keinen Vorgang durchführen, wenn der Server offline ist. Wenn der Server Teil einer AD FS-Farm ist, überprüfen Sie die Verbindung mit dem Server. Nachdem Sie das Problem behoben haben, klicken Sie im Assistenten zum Aktualisieren des Status auf das Aktualisierungssymbol. Wenn der Server zuvor Teil der Farm war, jedoch nicht mehr vorhanden ist, klicken Sie auf Entfernen, um ihn aus der Liste mit Servern zu löschen, die Microsoft Entra Connect verwaltet. Durch das Entfernen des Servers aus der Liste in Microsoft Entra Connect wird die AD FS-Konfiguration selbst nicht geändert. Wenn Sie AD FS unter Windows Server 2016 oder höher nutzen, verbleibt der Server in den Konfigurationseinstellungen und wird bei der nächsten Ausführung des Vorgangs erneut angezeigt.

  • Kann ich einen Teil meiner Farmserver mit dem neuen TLS/SSL-Zertifikat aktualisieren?

    Ja. Sie können den Vorgang SSL-Zertifikat aktualisieren jederzeit erneut ausführen, um die verbleibenden Server zu aktualisieren. Auf der Seite Server für SSL-Zertifikataktualisierung auswählen können Sie die Liste der Server nach SSL-Ablaufdatum sortieren, um einfach auf die Server zuzugreifen, die noch nicht aktualisiert wurden.

  • Ich habe den Server beim vorherigen Ausführen entfernt. Er wird jedoch immer noch als offline angezeigt und auf der AD FS-Server-Seite aufgelistet. Warum wird der Offlineserver selbst nach seinem Entfernen noch angezeigt?

    Durch das Entfernen des Servers aus der Liste in Microsoft Entra Connect wird er aus der AD FS-Konfiguration selbst nicht entfernt. Microsoft Entra Connect bezieht Informationen zur Farm aus AD FS (Windows Server 2016 oder höher). Wenn der Server noch in der AD FS-Konfiguration vorhanden ist, wird er wieder in der Liste angezeigt werden.

Nächste Schritte