AD FS, Office 365 und TLS 1.2

Problem

In einer Windows Server 2012 R2 AD FS Farm wurde der Relying Party Trust zur Microsoft Office 365 Identity Plattform als fehlerhaft angezeigt.

Ein genauer Blick in Details der Relying Party Trust Eigenschaften zeigte folgendes Bild.

Ein Test der Metadaten-URL führte zu einer Fehlermeldung, dass die Verbindung geschlossen wurde.

Der einfachste und schnellste Kontrolltest ist der Aufruf der Ziel-URL im Browser des Servers. Der Test war erfolgreich, das Metadaten-XML wurde sofort abgerufen und im Browser angezeigt.

Was war nun die Ursache für den Fehler?

Lösung

Wie so oft lag das Problem im .NET Framework.

Microsoft hat die TLS-Protokollanforderungen für den Zugriff auf Microsoft 365 Dienste verschäft. TLS wird nur noch für die Protokollversionen 1.2 und höher unterstützt.

Trotz der Verfügbarkeit von TLS 1.2 im Windows Server 2012 R2 Betriebssystem, verwendet das .NET Framework standardmäßig maximal TLS 1.1. Somit konnte der AD FS-Programmcode keine TLS-Verbindung mehr zum Metadaten-Endpunkt aufnehmen. Dieses Problem kann auch auf anderen Windows Betriebssystemen auftreten, nicht nur auf dem veralteten Windows Server 2012 R2.

Die Lösung ist eine Konfiguration per Windows Systemregistrierung, um .NET Framework 2.0 und 4.0 zu motivieren, doch bitte mindestens TLS 1.2 zu verwenden. Hier hilft ein kleines PowerShell-Skript, das schon für Entra ID Connect gute Dienste geleistet hat.

Nach der Anpassung der Windows Systemregistrierung und einem Neustart der AD FS Server konnte der Metadaten-Endpukt wieder problemlos erreicht werden. So kann sich AD FS eigenständig über Änderungen der Verbundkonfiguration informieren, um z.B. aktualisierte Zertifikatinformationen zu verarbeiten.

Tipp

Migriere zeitnah zu Windows Server 2019 oder neuer. Windows Server 2012 R2 ist seit dem 10. Oktober 2023 End-Of-Life. Und damit erhält das Betriebssystem auch keine Sicherheitsaktualisierungen mehr.

Links

• Preparing for TLS 1.2 in Office 365
• AD FS Help

Viel Spaß mit AD FS.