Dukungan AD FS untuk pengikatan nama host alternatif untuk autentikasi sertifikat
Berlaku untuk: Windows Server 2016 dan yang lebih baru
Di banyak jaringan, kebijakan firewall lokal mungkin tidak mengizinkan lalu lintas melalui port nonstandar seperti 49443. Port nonstandar membuat masalah saat mencoba menyelesaikan autentikasi sertifikat dengan Layanan Federasi Direktori Aktif sebelum Windows Server 2016 karena pengikatan yang berbeda untuk autentikasi perangkat dan autentikasi sertifikat pengguna pada host yang sama tidak dimungkinkan. Sebelum Windows Server 2016, port default 443 terikat untuk menerima sertifikat perangkat dan tidak dapat diubah untuk mendukung beberapa pengikatan di saluran yang sama. Autentikasi kartu pintar tidak berfungsi dan tidak ada pemberitahuan kepada pengguna yang menjelaskan penyebabnya.
Layanan Federasi Direktori Aktif di Windows Server mendukung pengikatan nama host alternatif
Layanan Federasi Direktori Aktif di Windows Server menyediakan dukungan untuk pengikatan nama host alternatif. Dua mode didukung. Mode pertama menggunakan host yang sama (yaitu, adfs.contoso.com) dengan port yang berbeda (443, 49443). Mode kedua menggunakan host yang berbeda (adfs.contoso.com dan certauth.adfs.contoso.com) dengan port yang sama (443). Mode kedua memerlukan sertifikat TLS/SSL untuk mendukung "certauth.<adfs-service-name>" sebagai nama subjek alternatif. Pengikatan nama host alternatif dapat dikonfigurasi pada saat pembuatan farm atau yang lebih baru melalui PowerShell.
Cara mengonfigurasi pengikatan nama host alternatif untuk autentikasi sertifikat
Ada dua cara untuk menambahkan pengikatan nama host alternatif untuk autentikasi sertifikat.
- Saat menyiapkan farm Layanan Federasi Direktori Aktif baru dengan Layanan Federasi Direktori Aktif untuk Windows Server 2016, jika sertifikat berisi nama alternatif subjek (SAN), layanan ini secara otomatis disiapkan untuk menggunakan mode kedua yang disebutkan di bagian sebelumnya. Artinya secara otomatis menyiapkan dua host berbeda (sts.contoso.com dan certauth.sts.contoso.com) dengan port yang sama.
Jika sertifikat tidak berisi SAN, Anda akan melihat peringatan yang memberi tahu Anda bahwa nama alternatif subjek sertifikat tidak mendukung certauth.*. Lihat cuplikan layar berikut. Cuplikan layar pertama menunjukkan penginstalan di mana sertifikat berisi SAN. Cuplikan layar kedua memperlihatkan sertifikat yang tidak berisi SAN.
- Setelah Layanan Federasi Direktori Aktif di Windows Server disebarkan, Anda dapat menggunakan cmdlet
Set-AdfsAlternateTlsClientBindingPowerShell untuk menambahkan pengikatan nama host alternatif untuk autentikasi sertifikat. Untuk informasi selengkapnya, lihat Set-AdfsAlternateTlsClientBinding.
Set-AdfsAlternateTlsClientBinding -Member ADFS1.contoso.com -Thumbprint '<thumbprint of cert>'
Saat diminta, pilih Ya untuk mengonfirmasi.
