Jak wyłączyć alternatywną nazwę podmiotu dla mapowania nazwy UPN

Oryginalny numer KB: 4043463
Dotyczy: Obsługiwane wersje systemu Windows Server i klienta systemu Windows

Mapowanie głównej nazwy użytkownika (UPN) jest specjalnym przypadkiem mapowania jeden do jednego używanego w usłudze Active Directory. W tym artykule opisano sposób używania jawnego mapowania zamiast mapowania nazwy UPN przez wyłączenie alternatywnej nazwy podmiotu (SAN) za pomocą Edytora rejestru. Wykonanie poniższych kroków umożliwi użycie jawnego mapowania przez zignorowanie rozszerzenia SIECI SAN wdrożonego certyfikatu klienta.

Po stronie serwera

1. Uruchom Edytor rejestru.
2. Przejdź do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc\UseSubjectAltName.
3. Kliknij prawym przyciskiem myszy pozycję UżyjSubjectAltName, wybierz polecenie Modyfikuj dane binarne, a następnie ustaw wartość Dane wartości na 0.

Uwaga

Wartość klucza rejestru UseSubjectAltName musi być ustawiona na wartość 0 we wszystkich centrach dystrybucji kluczy (KDC) dla domeny.

Po stronie klienta

Uwaga

Należy również wykonać kroki po stronie klienta, jeśli spełnione są następujące warunki:

• Używane jest mapowanie certyfikatów klienta (AltSecID).
• Nazwa UPN jest używana w rozszerzeniu SAN certyfikatu klienta.
• Nie jest używana żadna wskazówka dotycząca domeny.

Poniżej przedstawiono sposób wyłączania sieci SAN dla mapowania nazwy UPN po stronie klienta:

1. Uruchom Edytor rejestru.
2. Przejdź do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
3. Naciśnij i przytrzymaj (kliknij prawym przyciskiem myszy) Parametry, wybierz pozycję Nowa>wartość DWORD (32-bitowa), a następnie nadaj jej nazwę UseSubjectAltName. Kliknij je dwukrotnie, ustaw wartość Dane wartości 0, a następnie naciśnij Enter.

Odwołanie

Aby uzyskać więcej informacji na temat mapowania sieci SAN lub nazwy UPN, zobacz Przepływ logowania karty inteligentnej w wyliczenie certyfikatu.