Windows Server의 AD FS에서 인증서 인증을 위한 대체 호스트 이름 바인딩

  • 아티클

적용 대상: Windows Server 2016 이상

많은 네트워크에서 로컬 방화벽 정책은 49443과 같은 비표준 포트를 통한 트래픽을 허용하지 않을 수 있습니다. 비표준 포트는 이전 버전의 Windows용 Windows Server에서 AD FS를 사용하여 인증서를 인증하는 동안 문제를 일으킬 수 있습니다. 동일한 호스트에서 디바이스 인증 및 사용자 인증서 인증에 대한 다른 바인딩은 불가능합니다.

Windows Server 2016 이전 버전의 경우 기본 포트 443은 디바이스 인증서를 수신하도록 바인딩됩니다. 이 포트는 동일한 채널에서 여러 바인딩을 지원하도록 변경할 수 없습니다. 스마트 카드 인증이 작동하지 않으며 원인을 설명하는 사용자에게 알림이 없습니다.

Windows Server의 AD FS는 대체 호스트 이름 바인딩을 지원합니다.

Windows Server의 AD FS는 다음 두 가지 모드를 사용하여 대체 호스트 이름 바인딩을 지원합니다.

  • 첫 번째 모드는 서로 다른 포트(adfs.contoso.com443, 49443)와 동일한 호스트()를 사용합니다.

  • 두 번째 모드는 동일한 포트(adfs.contoso.com 443)와 함께 서로 다른 호스트(및 certauth.adfs.contoso.com)를 사용합니다. 이 모드에서는 대체 주체 이름으로 지원 certauth.\<adfs-service-name> 하려면 TLS/SSL 인증서가 필요합니다. PowerShell을 사용하여 팜을 만들 때 또는 나중에 대체 호스트 이름 바인딩을 구성할 수 있습니다.

인증서 인증에 대 한 대체 호스트 이름 바인딩을 구성 하는 방법

인증서 인증에 대한 대체 호스트 이름 바인딩을 추가할 수 있는 두 가지 방법이 있습니다.

  • 첫 번째 방법은 Windows Server 2016용 AD FS를 사용하여 새 AD FS 팜을 설정하는 경우입니다. 인증서에 SAN(주체 대체 이름)이 포함되어 있으면 앞에서 설명한 두 번째 모드를 사용하도록 인증서가 자동으로 설정됩니다. 두 개의 서로 다른 호스트(sts.contoso.comcertauth.sts.contoso.com)가 동일한 포트로 자동으로 설정됩니다.

    인증서에 SAN이 포함되어 있지 않으면 인증서 주체 대체 이름이 지원하지 certauth.*않음을 나타내는 경고 메시지가 표시됩니다.

    The SSL certificate subject alternative names do not support host name 'certauth.adfs.contoso.com'. Configuring certificate authentication binding on port '49443' and hostname 'adfs.contoso.com'.

The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.

    인증서에 SAN이 포함된 설치의 경우 메시지의 두 번째 부분만 표시됩니다.

    The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.

  • 두 번째 방법은 Windows Server에 AD FS를 배포한 후에 사용할 수 있습니다. PowerShell cmdlet Set-AdfsAlternateTlsClientBinding 을 사용하여 인증서 인증을 위한 대체 호스트 이름 바인딩을 추가할 수 있습니다. 자세한 내용은 Set-AdfsAlternateTlsClientBinding을 참조하세요.

    Set-AdfsAlternateTlsClientBinding -Member ADFS1.contoso.com -Thumbprint '<thumbprint of cert>'

인증서 구성을 확인하라는 프롬프트에서 모두 예 또는 예를 선택합니다.