이벤트
4월 29일 오후 2시 - 4월 30일 오후 7시
4월 29일부터 30일까지 Microsoft 엔지니어와 심층 기술 세션 및 실시간 Q&A를 위한 궁극적인 Windows Server 가상 이벤트에 참여하세요.
지금 가입하십시오.Windows Server의 ADFS에서 인증서 인증을 위한 대체 호스트 이름 바인딩
많은 네트워크에서 로컬 방화벽 정책은 49443과 같은 비표준 포트를 통한 트래픽을 허용하지 않을 수 있습니다. 비표준 포트는 이전 버전의 Windows에서 Windows Server의 ADFS를 사용하여 인증서를 인증하는 동안 문제를 일으킬 수 있습니다. 동일한 호스트에서 장치 인증과 사용자 인증서 인증에 대해 서로 다른 바인딩을 사용할 수 없습니다.
Windows Server 2016 이전 버전의 경우, 기본 포트 443은 장치 인증서를 수신하도록 바인딩됩니다. 이 포트는 동일한 채널에서 여러 바인딩을 지원하도록 변경할 수 없습니다. 스마트 카드 인증이 작동하지 않고 사용자에게 원인을 설명하는 알림이 표시되지 않습니다.
Windows Server의 AD FS는 두 가지 모드를 사용하여 대체 호스트 이름 바인딩을 지원합니다.
첫 번째 모드는 포트(443, 49443)가 다른 동일한 호스트(
adfs.contoso.com)를 사용합니다.두 번째 모드는 동일한 포트(443)로 서로 다른 호스트(
adfs.contoso.com과certauth.adfs.contoso.com)를 사용합니다. 이 모드에서는 대체 주제 이름으로certauth.\<adfs-service-name>을 지원하는 TLS/SSL 인증서가 필요합니다. 대체 호스트 이름 바인딩은 팜을 만들 때 또는 나중에 PowerShell을 사용하여 구성할 수 있습니다.
인증서 인증을 위한 대체 호스트 이름 바인딩을 추가하는 방법에는 두 가지가 있습니다.
첫 번째 방법은 Windows Server 2016용 ADFS를 사용하여 새 ADFS 팜을 설정하는 경우입니다. 인증서에 SAN(주체 대체 이름)이 포함된 경우, 인증서는 앞서 설명한 두 번째 모드를 사용하도록 자동으로 설정됩니다. 두 개의 서로 다른 호스트(
sts.contoso.com과certauth.sts.contoso.com)가 동일한 포트로 자동 설정됩니다.인증서에 SAN이 포함되어 있지 않은 경우, 인증서 주체 대체 이름이
certauth.*을 지원하지 않는다는 경고 메시지가 표시됩니다:출력The SSL certificate subject alternative names do not support host name 'certauth.adfs.contoso.com'. Configuring certificate authentication binding on port '49443' and hostname 'adfs.contoso.com'. The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.인증서에 SAN이 포함된 설치의 경우, 메시지의 두 번째 부분만 표시됩니다.
출력The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.두 번째 접근 방식은 Windows Server에 ADFS를 배포한 후에 사용할 수 있습니다. PowerShell cmdlet
Set-AdfsAlternateTlsClientBinding을 사용하여 인증서 인증에 대한 대체 호스트 이름 바인딩을 추가할 수 있습니다. 자세한 내용은 Set-AdfsAlternateTlsClientBinding를 참조하세요.PowerShellSet-AdfsAlternateTlsClientBinding -Member ADFS1.contoso.com -Thumbprint '<thumbprint of cert>'
인증서 구성을 확인하는 메시지에서 예 또는 모두에 예를 선택합니다.
추가 리소스
학습
인증
Microsoft Certified: Windows Server Hybrid Administrator Associate - Certifications
Windows Server 하이브리드 관리자는 Windows Server 환경을 Azure 서비스와 통합하고 온-프레미스 네트워크에서 Windows Server를 관리합니다.
설명서
-
Active Directory Federation Services에서 인트라넷 또는 엑스트라넷 인증 방법으로 사용자 인증서 인증을 사용하도록 설정하고 문제를 해결하는 방법을 알아보세요.
-
Windows Server 2016의 ADFS 및 WAP에서 TLS/SSL 인증서 관리
Windows Server 2016의 ADFS(Active Directory Federation Services) 및 WAP에서 TLS/SSL 인증서를 관리하는 방법을 알아보세요.
-
AD FS 및 웹 애플리케이션 프록시 보안의 모범 사례
AD FS(Active Directory Federation Services) 및 웹 애플리케이션 프록시 보안 계획 및 배포의 모범 사례입니다.