【发布时间】:2021-10-26 16:59:44
【问题描述】:
我一直在尝试设置新的 ADFS 服务器,但配置失败并出现以下错误:SSL 证书主题备用名称不支持主机名“certauth.sts.domain.com”。在端口“49443”和主机名“sts.domain.com”上配置证书身份验证绑定。
以“服务器无法运行”结尾。
我已重新安装、禁用炭黑并检查了防火墙,但到目前为止没有任何帮助。有什么想法吗?
【问题讨论】:
【发布时间】:2021-10-26 16:59:44
【问题描述】:
• 您遇到错误是因为安装的 SSL 证书中的使用者名称和使用者备用名称应与在服务器上配置 ADFS 角色时设置的联合服务名称相同。由于该证书仅包含“sts.domain.com”作为联合服务名称,该名称最终是证书上定义的主题名称,并且不包含“certificate.sts.domain.com”作为主题替代名称,因此,由于您遇到此错误。请找到以下 ADFS 安装后配置的屏幕截图供您参考:-
• 与在 Windows Server 2019 中一样,ADFS 设置默认情况下在端口 443 上安装 ADFS 角色,使用与不同主机上的 SAN(主题备用名称)相同的证书。因此,您需要更新您的证书以支持 SAN 并进行相应的配置。请找到以下命令来更新同一端口上的证书 SAN 绑定,即不同主机的 443:-
‘ Set-AdfsAlternateTlsClientBinding -Member ADFS1.contoso.com -Thumbprint
'<thumbprint of cert>' ‘ --> change the name of the adfs server and insert the
thumbprint of the certificate installed.
• 此外,检查用于 ADFS 服务的服务帐户以连接用于 ADFS 设置配置和同步的数据库。
请找到以下链接以获取更多信息:-
【讨论】:
-
感谢您的反馈,我正在调查。
-
我仍然遇到同样的错误。点击“配置”后,它会失败并显示“服务器无法运行”。设置命令也失败了。 Set-AdfsAlternateTlsClientBinding:无法连接到 net.tcp://localhost:1500/policy。连接尝试持续了 00:00:02.0049602 的时间跨度。 TCP错误代码10061:无法建立连接,因为目标机器主动拒绝了它127.0.0.1:1500。
-
请尝试将 IP 地址添加到 hosts 文件中的 DNS 绑定条目,以获取新 ADFS 服务器中的 adfs 服务名称及其颁发的 SSL 证书。希望这能解决它。
-
这似乎也没有帮助。我仍在努力。从第三方 CA 获取 SSL 证书是否重要?我看到它在谈论 AD CS。
-
不,无论您是否从第三方 CA 获得 SSL 证书,都可以,但它应该包括联合服务名称或主题名称以外的替代名称您将在我的回答中使用如上所示。此外,您可以在服务器的事件查看器和服务器管理器仪表板中查看可能有助于找到问题根源的任何错误和事件。