So deaktivieren Sie den alternativen Antragstellernamen für die UPN-Zuordnung
Ursprüngliche KB-Nummer: 4043463
Gilt für: Unterstützte Versionen von Windows Server und Windows Client
Die Benutzerprinzipalnamenzuordnung (UPN) ist ein Sonderfall der 1:1-Zuordnung, die in Active Directory verwendet wird. In diesem Artikel wird beschrieben, wie Sie eine explizite Zuordnung anstelle der UPN-Zuordnung verwenden, indem Sie den alternativen Antragstellernamen (SUBJECT Alternative Name, SAN) über den Registrierungs-Editor deaktivieren. Durch Ausführen der folgenden Schritte wird die Verwendung einer expliziten Zuordnung ermöglicht, indem die SAN-Erweiterung eines bereitgestellten Clientzertifikats ignoriert wird.
- Öffnen Sie den Registrierungs-Editor.
- Wechseln Sie zu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc\UseSubjectAltName. - Klicken Sie mit der rechten Maustaste auf "UseSubjectAltName", wählen Sie "Binärdaten ändern" aus, und legen Sie dann die Wertdaten auf 0 fest.
Hinweis
Der Wert des UseSubjectAltName-Registrierungsschlüssels muss für alle Schlüsselverteilungszentren (KDC) für die Domäne auf 0 festgelegt werden.
Hinweis
Sie müssen auch Schritte auf clientseitiger Seite ausführen, wenn die folgenden Bedingungen erfüllt sind:
- Die Clientzertifikatzuordnung (AltSecID) wird verwendet.
- Ein UPN wird in der SAN-Erweiterung eines Clientzertifikats verwendet.
- Es wird kein Domänenhinweis verwendet.
So deaktivieren Sie das SAN für die UPN-Zuordnung auf clientseitiger Seite:
- Öffnen Sie den Registrierungs-Editor.
- Wechseln Sie zu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters. - Halten Sie die Parameter gedrückt (klicken Sie mit der rechten Maustaste darauf), wählen Sie den neuen>DWORD-Wert (32-Bit) aus, und nennen Sie ihn "UseSubjectAltName". Doppelklicken Sie darauf, legen Sie die Wertdaten auf 0 fest, und drücken Sie dann die EINGABETASTE.
Weitere Informationen zur SAN- oder UPN-Zuordnung finden Sie unter Smartcard-Anmeldefluss in der Zertifikatenumeration.