AD FS-Unterstützung für alternative Hostnamenbindung für zertifikatbasierte Authentifizierung

  • Artikel

Gilt für: Windows Server 2016 und höher

In vielen Netzwerken lassen die lokalen Firewallrichtlinien möglicherweise keinen Datenverkehr über nicht standardmäßige Ports wie 49443 zu. Nicht standardmäßige Ports haben beim Versuch, die Zertifikatauthentifizierung mit AD FS durchzuführen, vor Windows Server 2016 Probleme verursacht, da unterschiedliche Bindungen für die Geräteauthentifizierung und die Benutzerzertifikatauthentifizierung auf demselben Host nicht möglich sind. Der Standardport 443 ist vor Windows Server 2016 an den Empfang von Gerätezertifikaten gebunden und kann nicht geändert werden, um mehrere Bindungen auf demselben Kanal zu unterstützen. Die Smartcardauthentifizierung funktioniert nicht, und Benutzer*innen erhalten keine Benachrichtigung, in der die Ursache erläutert wird.

Unterstützung der alternativen Hostnamenbindung durch AD FS in Windows Server

AD FS in Windows Server bietet Unterstützung für die alternative Hostnamenbindung. Zwei Modi werden unterstützt. Der erste Modus verwendet denselben Host (d. h. adfs.contoso.com) mit verschiedenen Ports (443, 49443). Der zweite Modus verwendet unterschiedliche Hosts (adfs.contoso.com und certauth.adfs.contoso.com) mit demselben Port (443). Für den zweiten Modus ist ein TLS-/SSL-Zertifikat erforderlich, damit „certauth.<Name des ADFS-Diensts>“ als alternativer Antragstellername unterstützt wird. Die alternative Hostnamenbindung kann beim Erstellen der Farm oder später mithilfe von PowerShell konfiguriert werden.

Konfigurieren der alternativen Hostnamenbindung für die Zertifikatauthentifizierung in AD FS

Es gibt zwei Möglichkeiten, die alternative Hostnamenbindung für die Zertifikatauthentifizierung hinzuzufügen.

  • Beim Einrichten einer neuen AD FS-Farm mit AD FS für Windows Server 2016, wird das Zertifikat, sofern es einen alternativen Antragstellernamen (Subject Alternative Name, SAN) enthält, automatisch für die Verwendung des zweiten der im obigen Abschnitt genannten Modi eingerichtet. Es werden also automatisch zwei verschiedene Hosts (sts.contoso.com und certauth.sts.contoso.com) mit demselben Port eingerichtet.

Wenn das Zertifikat keinen SAN enthält, wird eine Warnung angezeigt, dass alternative Zertifikatantragstellernamen „certauth.*“ nicht unterstützen. Dies wird in den unten stehenden Screenshots gezeigt. Der erste Screenshot zeigt eine Installation, bei der das Zertifikat einen SAN enthält. Der zweite Screenshot zeigt ein Zertifikat ohne SAN.

Screenshot that shows an installation where the certificate contains a SAN.

Screenshot that shows a certificate that doesn't contain a SAN.

  • Nachdem AD FS in Windows Server bereitgestellt wurde, können Sie das PowerShell-Cmdlet Set-AdfsAlternateTlsClientBinding verwenden, um die alternative Hostnamenbindung für die Zertifikatauthentifizierung hinzuzufügen. Weitere Informationen finden Sie unter Set-AdfsAlternateTlsClientBinding.
Set-AdfsAlternateTlsClientBinding -Member ADFS1.contoso.com -Thumbprint '<thumbprint of cert>'

Wählen Sie „Ja“ aus, wenn Sie dazu aufgefordert werden, die Aktion zu bestätigen.

alternate hostname binding