Erneuerung des Azure AD – AD FS-Zertifikats


Erneuern des AD FS-ZertifikatsDie AADC + AD FS-Bindung erfordert möglicherweise eine Erneuerung des Verbundzertifikats. Dieselbe, die Sie während der Einrichtungsphase der AD FS-Farm eingegeben haben während der Erstkonfiguration von Azure AD Connect.

Dieser Prozess ist auf Technet gut dokumentiert. … Trotzdem geht wie immer etwas schief – es treten unverständliche Fehler auf, und die Dokumentation enthält Tipps für eine veraltete Version des AADC-Assistenten.

In diesem Artikel analysieren wir die Nuancen der Erneuerung eines abgelaufenen Zertifikats.


Wenn Sie sich für das Thema Cloud-Technologien interessieren, empfehle ich, in meinem Blog auf das Cloud-Tag zu verweisen.


Erneuern des AD FS-Zertifikats

Ich möchte darauf hinweisen, dass Sie, wenn Sie das Zertifikat rechtzeitig erneuern, höchstwahrscheinlich nicht mit den Problemen konfrontiert werden, auf die ich gestoßen bin. In diesem Artikel geht es um die Erneuerung eines abgelaufenen AD FS-Zertifikats. Die Infrastruktur selbst wurde zuvor gemäß den folgenden Artikeln konfiguriert:

Also lasst uns anfangen.

Föderationsmanagement

Es ist erforderlich, das AD FS-Zertifikat auf der AADC-Seite zu aktualisieren. Daher starten wir den Assistenten und wählen das Element aus Föderationsmanagement::

Erneuerung des AD FS-Zertifikats - Federation Management

Wir müssen das AD FS SSL-Zertifikat erneuern:

AD FS-Zertifikatserneuerung - Zertifikatserneuerung

Bei der Verbindung mit Azure AD geben wir die Superadmin-Anmeldeinformationen an:

Erneuerung des AD FS-Zertifikats - Stellen Sie eine Verbindung zu Azure her

Anschließend stellen wir eine Verbindung zur AD FS-Serverfarm in unserer Infrastruktur her:

Erneuern des AD FS-Zertifikats - Herstellen einer Verbindung zu AD FS

Wir geben die erforderlichen Server an:

Erneuerung des AD FS-Zertifikats - AD FS-Server

Und dann gibt es WAP-Proxyserver:

Erneuerung des AD FS-Zertifikats - WAP-Server

Der nächste Schritt besteht darin, das Zertifikat im PFX-Format zu verschieben, indem Sie das Kennwort für den privaten Schlüssel eingeben.

Hinweis: Wenn Sie ein Zertifikat von öffentlichen Zertifizierungsstellen erhalten, ohne zuvor eine CSR-Anforderung bereitzustellen, kann sich herausstellen, dass das Zertifikat in zwei Dateien an Sie ausgestellt wird – .key und .crt. (in der Tat getrennte private und öffentliche Schlüssel). Um .pfx aus ihnen herauszuholen, müssen Sie sie zusammenkleben. Sie können dies beispielsweise mit dem Unix-Dienstprogramm openssl tun.

Wenn mit dem Zertifikat alles in Ordnung ist, fahren Sie erfolgreich mit der nächsten Seite fort (und wenn es Probleme mit dem Zertifikat gibt, lesen Sie den Abschnitt Fehler unten):

Erneuerung des AD FS-Zertifikats - Konfigurationsbereit

Sie können das Setup ausführen. Wenn alles erfolgreich ist, sehen Sie eine Seite:

Erneuerung des AD FS-Zertifikats - Konfiguration abgeschlossen

Ich werde gleich sagen, dass es mir bei weitem nicht sofort möglich war, diese lang erwartete Nachricht über einen erfolgreichen Abschluss zu erhalten. Besonders für die Glücklichen wie mich, den Abschnitt über Parsing-Fehler weiter unten.

Probleme

Schauen wir uns die Probleme an, die bei diesem einfachen Routinevorgang auftreten.

Gegenstand des Zertifikats

Nicht jedes Zertifikat ist für AD FS geeignet. Es ist unbedingt erforderlich, dass das Thema einen Namen hat, der mit dem Namen des Verbunddienstes übereinstimmt (und es spielt keine Rolle, welche anderen Namen dort als zusätzliche Namen vorhanden sein werden):

Erneuerung des AD FS-Zertifikats - Betreff des Zertifikats

Andernfalls wird beim Löschen der PFX-Datei die folgende Fehlermeldung angezeigt:

Erneuerung des AD FS-Zertifikats - Fehler beim Betreff

Die einzig richtige Lösung für dieses Problem besteht natürlich darin, das Zertifikat erneut auszustellen oder ein neues anzufordern, was ich auch getan habe.

Proxy-Konfiguration kann nicht gespeichert werden

Das nächste Problem ist in Bezug auf die Diagnose etwas komplizierter. Es besteht darin, dass beim Versuch, die geänderten Einstellungen zu speichern, durchgehend eine Fehlermeldung angezeigt wird:

Optisch sieht es so aus (es ist nicht schwer zu erraten, dass bei der Installation eines neuen Zertifikats auf dem WAP-Server alles hängen bleibt):

Erneuerung des AD FS-Zertifikats - Erneuerung des WAP-Zertifikats fehlgeschlagen

Dies ist der Fall, wenn wir über die Konfiguration der Farm über den AADC-Assistenten sprechen, WAP jedoch direkt auf dem Server selbst konfiguriert werden kann … In unserem Fall müssen wir nur das Zertifikat ersetzen. Wir gehen zum WAP-Server und installieren das Zertifikat. In diesem Fall müssen Sie auf jeden Fall wählen Speicherort – Lokaler Computer::

Erneuerung des AD FS-Zertifikats - Lokaler Speicher

Danach können Sie mit dem Befehl alle Daten zu den Zertifikaten abrufen, einschließlich des benötigten Fingerabdrucks ::

Kopieren Sie aus der resultierenden Ausgabe den Fingerabdruck des benötigten Zertifikats und fügen Sie ihn in den Befehl ein ::

Nach dem Ausführen des Befehls sollte das Zertifikat ersetzt werden, aber ich habe noch habe einen Fehler rausgebracht wie am Anfang des Kapitels. Vollständige Beschreibung zusammen mit dem PS-Pin unten.

Es blieb ein Fallback – um die WAP-Rolle von Grund auf neu zu konfigurieren. Das Problem ist, dass in RAS-Verwaltungskonsolen Sie können die Einstellungen nicht einfach übernehmen und zurücksetzen oder die Konfiguration neu starten. Schlaue Registrierungsmanipulation erforderlich , nämlich die Registrierungseinstellung auf Wert zu ändern 1 (nicht konfiguriert):

Nur dieser Life Hack hat nicht geholfen. Problem gelöst vollständige Neuinstallation der Rolle Fernzugriff… Es stimmt, es gibt eine Einschränkung: Sie müssen die Ersteinrichtung manuell durchführen. Es ist jedoch nicht schwierig. Geben Sie einfach genau die Optionen an, die Sie bei der Bereitstellung von Azure AD Connect in Exchange Hybrid ausgewählt haben. Installieren Sie AADC mit AD FS.

Kommentare bereitgestellt von HyperComments

Leave a Reply

Your email address will not be published. Required fields are marked *