Deaktivieren des alternativen Antragstellernamens für die UPN-Zuordnung
Ursprüngliche KB-Nummer: 4043463
Gilt für: Unterstützte Versionen von Windows Server und Windows Client
Die Zuordnung des Benutzerprinzipalnamens (User Principal Name, UPN) ist ein Sonderfall der 1:1-Zuordnung, die in Active Directory verwendet wird. In diesem Artikel wird beschrieben, wie Sie eine explizite Zuordnung anstelle der UPN-Zuordnung verwenden, indem Sie den alternativen Antragstellernamen (Subject Alternative Name, SAN) über die Registrierung Editor deaktivieren. Die folgenden Schritte ermöglichen die Verwendung einer expliziten Zuordnung, indem die SAN-Erweiterung eines bereitgestellten Clientzertifikats ignoriert wird.
Serverseitig
- Öffnen Sie den Registrierungs-Editor.
- Gehen Sie zu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc\UseSubjectAltName
. - Klicken Sie mit der rechten Maustaste auf UseSubjectAltName, wählen Sie Binärdaten ändern aus, und legen Sie dann Wertdaten auf 0 fest.
Hinweis
Der Wert des UseSubjectAltName-Registrierungsschlüssels muss in allen Schlüsselverteilungszentren (Key Distribution Center, KDC) für die Domäne auf 0 festgelegt werden.
Clientseitig
Hinweis
Sie müssen auch schritte auf clientseitiger Seite ausführen, wenn die folgenden Bedingungen erfüllt sind:
- Die Clientzertifikatzuordnung (AltSecID) wird verwendet.
- Ein UPN wird in der SAN-Erweiterung eines Clientzertifikats verwendet.
- Es wird kein Domänenhinweis verwendet.
So deaktivieren Sie das SAN für die UPN-Zuordnung auf clientseitiger Seite:
- Öffnen Sie den Registrierungs-Editor.
- Gehen Sie zu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
. - Halten Sie Parameter gedrückt (klicken Sie mit der rechten Maustaste darauf), wählen Sie Neuer>DWORD-Wert (32-Bit) aus, und nennen Sie ihn UseSubjectAltName. Doppelklicken Sie darauf, legen Sie wertdaten auf 0 fest, und drücken Sie dann die EINGABETASTE.
Referenz
Weitere Informationen zur SAN- oder UPN-Zuordnung finden Sie unter Smart Karte Anmeldeflow in der Zertifikatenumeration.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für