Pengikatan nama host alternatif untuk autentikasi sertifikat di Layanan Federasi Direktori Aktif di Windows Server
Berlaku untuk: Windows Server 2016 dan yang lebih baru
Di banyak jaringan, kebijakan firewall lokal mungkin tidak mengizinkan lalu lintas melalui port nonstandar seperti 49443. Port nonstandar dapat membuat masalah selama autentikasi sertifikat dengan LAYANAN Federasi Direktori Aktif di Windows Server untuk versi Windows yang lebih lama. Pengikatan yang berbeda untuk autentikasi perangkat dan autentikasi sertifikat pengguna pada host yang sama tidak dimungkinkan.
Untuk versi Windows yang lebih lama dari Windows Server 2016, port default 443 terikat untuk menerima sertifikat perangkat. Port ini tidak dapat diubah untuk mendukung beberapa pengikatan di saluran yang sama. Autentikasi kartu pintar tidak berfungsi dan tidak ada pemberitahuan kepada pengguna yang menjelaskan penyebabnya.
Layanan Federasi Direktori Aktif di Windows Server mendukung pengikatan nama host alternatif
Layanan Federasi Direktori Aktif di Windows Server menyediakan dukungan untuk pengikatan nama host alternatif dengan menggunakan dua mode:
Mode pertama menggunakan host yang sama (
adfs.contoso.com
) dengan port yang berbeda (443, 49443).Mode kedua menggunakan host yang berbeda (
adfs.contoso.com
dancertauth.adfs.contoso.com
) dengan port yang sama (443). Mode ini memerlukan sertifikat TLS/SSL untuk mendukungcertauth.\<adfs-service-name>
sebagai nama subjek alternatif. Pengikatan nama host alternatif dapat dikonfigurasi pada saat pembuatan farm atau yang lebih baru dengan menggunakan PowerShell.
Cara mengonfigurasi pengikatan nama host alternatif untuk autentikasi sertifikat
Ada dua cara untuk menambahkan pengikatan nama host alternatif untuk autentikasi sertifikat:
Pendekatan pertama adalah ketika Anda menyiapkan farm Layanan Federasi Direktori Aktif baru dengan Layanan Federasi Direktori Aktif untuk Windows Server 2016. Jika sertifikat berisi nama alternatif subjek (SAN), sertifikat secara otomatis disiapkan untuk menggunakan mode kedua yang dijelaskan sebelumnya. Dua host yang berbeda (
sts.contoso.com
dancertauth.sts.contoso.com
) secara otomatis disiapkan dengan port yang sama.Jika sertifikat tidak berisi SAN, pesan peringatan menunjukkan nama alternatif subjek sertifikat tidak mendukung
certauth.*
:The SSL certificate subject alternative names do not support host name 'certauth.adfs.contoso.com'. Configuring certificate authentication binding on port '49443' and hostname 'adfs.contoso.com'. The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.
Untuk penginstalan di mana sertifikat berisi SAN, Anda hanya melihat bagian kedua pesan:
The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.
Pendekatan kedua tersedia setelah Anda menyebarkan Layanan Federasi Direktori Aktif di Windows Server. Anda dapat menggunakan cmdlet
Set-AdfsAlternateTlsClientBinding
PowerShell untuk menambahkan pengikatan nama host alternatif untuk autentikasi sertifikat. Untuk informasi selengkapnya, lihat Set-AdfsAlternateTlsClientBinding.Set-AdfsAlternateTlsClientBinding -Member ADFS1.contoso.com -Thumbprint '<thumbprint of cert>'
Pada perintah untuk mengonfirmasi konfigurasi sertifikat, pilih Ya atau Ya untuk semua.