Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ursprüngliche KB-Nummer: 4043463
Gilt für: Unterstützte Versionen von Windows Server und Windows Client
Die Benutzerprinzipalnamenzuordnung (UPN) ist ein Sonderfall der 1:1-Zuordnung, die in Active Directory verwendet wird. In diesem Artikel wird beschrieben, wie Sie eine explizite Zuordnung anstelle der UPN-Zuordnung verwenden, indem Sie den alternativen Antragstellernamen (SUBJECT Alternative Name, SAN) über den Registrierungs-Editor deaktivieren. Durch Ausführen der folgenden Schritte wird die Verwendung einer expliziten Zuordnung ermöglicht, indem die SAN-Erweiterung eines bereitgestellten Clientzertifikats ignoriert wird.
Serverseitig
- Öffnen Sie den Registrierungs-Editor.
- Wechseln Sie zu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc\UseSubjectAltName. - Klicken Sie mit der rechten Maustaste auf "UseSubjectAltName", wählen Sie "Binärdaten ändern" aus, und legen Sie dann die Wertdaten auf 0 fest.
Notiz
Der Wert des UseSubjectAltName-Registrierungsschlüssels muss für alle Schlüsselverteilungszentren (KDC) für die Domäne auf 0 festgelegt werden.
Clientseitig
Notiz
Sie müssen auch Schritte auf clientseitiger Seite ausführen, wenn die folgenden Bedingungen erfüllt sind:
- Die Clientzertifikatzuordnung (AltSecID) wird verwendet.
- Ein UPN wird in der SAN-Erweiterung eines Clientzertifikats verwendet.
- Es wird kein Domänenhinweis verwendet.
So deaktivieren Sie das SAN für die UPN-Zuordnung auf clientseitiger Seite:
- Öffnen Sie den Registrierungs-Editor.
- Wechseln Sie zu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters. - Halten Sie die Parameter gedrückt (klicken Sie mit der rechten Maustaste darauf), wählen Sie den neuen>DWORD-Wert (32-Bit) aus, und nennen Sie ihn "UseSubjectAltName". Doppelklicken Sie darauf, legen Sie die Wertdaten auf 0 fest, und drücken Sie dann die EINGABETASTE.
Verweis
Weitere Informationen zur SAN- oder UPN-Zuordnung finden Sie unter Smartcard-Anmeldefluss in der Zertifikatenumeration.