Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Во многих сетях локальные политики брандмауэра могут не разрешать трафик через нестандартные порты, такие как 49443. Нестандартные порты могут создавать проблемы во время проверки подлинности сертификата с помощью AD FS в Windows Server для более ранних версий Windows. Различные привязки для проверки подлинности устройства и проверки подлинности сертификата пользователя на одном узле не возможны.
Для версий Windows, предшествующих Windows Server 2016, порт 443 по умолчанию привязан к получению сертификатов устройств. Этот порт нельзя изменить для поддержки нескольких привязок в одном канале. Аутентификация смарт-карты не работает, и пользователи не получают уведомление, объясняющее причину.
AD FS в Windows Server поддерживает альтернативную привязку имени узла
AD FS в Windows Server обеспечивает поддержку альтернативной привязки имен узла с помощью двух режимов:
Первый режим использует один узел (
adfs.contoso.com) с разными портами (443, 49443).Второй режим использует разные узлы (
adfs.contoso.comиcertauth.adfs.contoso.com) с одинаковым портом (443). В этом режиме требуется сертификат TLS/SSL для поддержкиcertauth.\<adfs-service-name>в качестве альтернативного имени субъекта. Настройка связывания альтернативного имени хоста может быть выполнена во время создания фермы или позже с помощью PowerShell.
Настройка альтернативной привязки имени узла для проверки подлинности сертификата
Существует два способа добавления альтернативной привязки имени узла для проверки подлинности сертификата:
Первый подход заключается в настройке новой фермы AD FS с AD FS для Windows Server 2016. Если сертификат содержит альтернативное имя субъекта (SAN), сертификат автоматически настраивается для использования второго режима, описанного ранее. Два разных хоста (
sts.contoso.comиcertauth.sts.contoso.com) автоматически настраиваются с одинаковым портом.Если сертификат не содержит SAN, предупреждающее сообщение указывает, что альтернативные имена субъекта сертификата не поддерживаются
certauth.*:The SSL certificate subject alternative names do not support host name 'certauth.adfs.contoso.com'. Configuring certificate authentication binding on port '49443' and hostname 'adfs.contoso.com'. The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.Для установки, в которой сертификат содержит SAN, отображается только вторая часть сообщения:
The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.Второй подход доступен после развертывания AD FS на Windows Server. Командлет PowerShell
Set-AdfsAlternateTlsClientBindingможно использовать для добавления альтернативной привязки имени хоста для проверки подлинности сертификата. Дополнительные сведения см. в разделе Set-AdfsAlternateTlsClientBinding.Set-AdfsAlternateTlsClientBinding -Member ADFS1.contoso.com -Thumbprint '<thumbprint of cert>'
В запросе на подтверждение конфигурации сертификата нажмите кнопку "Да " или "Да" для всех.