Supporto di AD FS per l'associazione di nomi host alternativi per l'autenticazione del certificato
Si applica a Windows Server 2016 e versioni successive
In molte reti i criteri firewall locali potrebbero non consentire il traffico attraverso le porte non standard come 49443. Le porte non standard hanno creato durante il tentativo di eseguire l'autenticazione del certificato con AD FS prima di Windows Server 2016, perché non è possibile eseguire associazioni diverse per l'autenticazione del dispositivo e l'autenticazione del certificato utente nello stesso host. Prima di Windows Server 2016, la porta predefinita 443 riceveva i certificati del dispositivo e non poteva essere modificata per supportare più associazioni nello stesso canale. L'autenticazione tramite smart card non funziona e non viene inviata alcuna notifica di spiegazione agli utenti.
AD FS in Windows Server supporta l'associazione di nomi host alternativi
AD FS in Windows Server garantisce il supporto dell'associazione di nomi host alternativi. Sono supportate due modalità. La prima usa lo stesso host (ad esempio adfs.contoso.com) con porte diverse (443, 49443). La seconda usa host diversi (adfs.contoso.com e certauth.adfs.contoso.com) con la stessa porta (443). La seconda modalità richiede un certificato TLS/SSL per il supporto di "certauth.<nome del servizio adfs>" come nome di soggetto alternativo. È possibile configurare l'associazione di nomi host alternativi al momento della creazione della farm o in un secondo momento tramite PowerShell.
Procedura: configurare l'associazione del nome host alternativo per l'autenticazione del certificato
Esistono due metodi per aggiungere l'associazione di nome host alternativi per l'autenticazione del certificato.
- Quando si configura una nuova farm AD FS con AD FS per Windows Server 2016, se il certificato contiene un nome alternativo del soggetto (SAN), verrà automaticamente usata la seconda modalità menzionata nella sezione precedente. Ovvero, configurerà automaticamente due host diversi (sts.contoso.com e certauth.sts.contoso.com) con la stessa porta.
Se il certificato non contiene un nome alternativo del soggetto, verrà visualizzato un avviso che informa che i nomi alternativi del soggetto certificato non supportano certauth.*. Vedere gli screenshot seguenti. Il primo mostra un'installazione in cui il certificato contiene un nome alternativo del soggetto. Il secondo mostra un certificato che non contiene un nome alternativo del soggetto.
- Dopo aver distribuito AD FS in Windows Server, è possibile usare il cmdlet di PowerShell
Set-AdfsAlternateTlsClientBindingper aggiungere l'associazione del nome host alternativo per l'autenticazione del certificato. Per altre informazioni, vedere Set-AdfsAlternateTlsClientBinding.
Set-AdfsAlternateTlsClientBinding -Member ADFS1.contoso.com -Thumbprint '<thumbprint of cert>'
Quando richiesto, selezionare Sì per confermare.
