Archives

Zertifikatswechsel ADFS (3.0 / Service-Communication)

….weil die Konsole offenbar nicht immer das macht was sie soll: neues Zertifikat importieren (nanonaned) NT SERVICE\adfssrv auf private Key berechtigen (read), alternativ Service Account Set-AdfsSslCertificate -Thumbprint xxxx Kontrolle mit netsh http show sslcert ADFS Service restarten Setzen via Console hat die Config aber nicht die Bindings geändert, auch nach Reboot nicht, Set-AdfsCertificate -CertificateType Service-Communications …

Zertifikatswechsel Web Application Proxy (ADFS)

….wenn Set-WebApplicationProxySslCertificate nicht will (warum auch immer): neues Zertifikat importieren (Überraschung!) HKLM\Software\Microsoft\ADFS\ProxyConfigurationStatus von 2 (=konfiguriert) auf 1 (=nicht konfiguriert) setzen mit Wizard neue Verbindung zu herstellen (Name=öffentlicher Name vom ADFS, Zertifikat ist klar, User wird nur für Herstellung der Verbindung benötigt) oder Install-WebApplicationProxy -FederationServiceTrustCredential (get-credential) -FederationServiceName meinadfs.meinedomain.whatever -CertificateThumbprint xxx

MultiOTP Authentication Provider für ADFS 3.0

Hab gemäß der Anleitung des Cloud-PFEs Tino Donderwinkel (Teil 1, Teil 2) einen sehr rudimentären aber tatsächlich funktionierenden Authentication Provider für ADFS 3.0 (=2012 R2) erzeugt: MultiOTPAuthenticationProvider.dll (Source: MultiOTPAuthenticationProvider-Source) Wie man das Ding am ADFS Server registriert ist in Teil 2 der Anleitung beschrieben, der Provider hat 4 Parameter die man in die Datei C:\Windows\ADFS\Microsoft.IdentityServer.Servicehost.exe.config einfügen …

AzureAD Connect: Lessons learned

Im folgenden ein paar Lektionen die ich bei meiner Reise zu einer funktionierenden Azure AD Connect Umgebung samt ADFS schmerzhaft gelernt habe: Multi-Tree Forest: Bad idea. Das was MS mit Windows 2000 groß propagiert hat (eine Forest Root Domäne die quasi nix macht und daneben/darunter die “echten” Domänen) ist mittlerweile nicht nur keine gute Idee …