Um pacote de correcções (compilação 4.0.3573.2) está disponível para o Gestor de identidades do Forefront 2010

Informações do conjunto de correcções

Existe uma correcção suportada da Microsoft. No entanto, esta correcção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham o problema descrito neste artigo. Esta correcção poderá ser submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afectado por este problema, recomendamos que aguarde pela próxima actualização de software que contenha esta correcção.

Se a correcção está disponível para transferência, existirá uma secção de "Transferência de correcção disponível" na parte superior deste artigo da Knowledge Base. Se esta secção não for apresentado, contacte o suporte ao cliente da Microsoft para obter a correcção.

Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos normais do suporte serão aplicados a perguntas de suporte adicionais e problemas que não são elegíveis para esta correcção específica. Para uma lista completa dos números de telefone do Microsoft Customer Service e suporte ou para criar um pedido de assistência separado, visite o seguinte Web site da Microsoft: Nota O formulário "Transferência de correcção disponível" apresenta os idiomas para o qual a correcção está disponível. Se não visualizar o seu idioma, é porque uma correcção não está disponível para esse idioma.

Importante Tem de instalar o FIM de 2010 actualização 1 (compilação 4.0.3531.2) antes de aplicar esta correcção (compilação 4.0.3573.2). Se não conseguir fazê-lo fará com que FIM MA operações de exportação a falha.

Se estiver a executar FIM 2010 RTM (compilação 4.0.2592.0), instale primeiro a actualização 1 e, em seguida, instalar esta correcção.

Se instalou anteriormente esta correcção no FIM de 2010 RTM (ou seja, não instalou actualizações 1), siga estes passos:

1. CSS contacto para um script SQL terá contornar este problema.
2. Instale esta correcção.
3. Execute o script SQL que obteve de CSS.

Pré-requisitos

Para aplicar este pacote de correcções, tem de ter o Gestor de identidade Forefront (FIM) 2010 instalado.

Requisito de reinício

Tem de reiniciar o computador depois de aplicar o pacote de correcções extensões e suplementos. Poderá ter de reiniciar os componentes de servidor.

Informações sobre substituição de correcções

Este pacote de correcções substitui os seguintes pacotes de conjunto de correcções:

Informações de ficheiro

A versão global desta correcção instala ficheiros que têm os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros são listadas na Hora Universal Coordenada (UTC). As datas e horas destes ficheiros no computador local são apresentadas na hora local juntamente com a compensação da hora de Verão (DST) actual. Além disso, as datas e horas podem ser alteradas quando são executadas determinadas operações nos ficheiros.

Para todas as versões suportadas do FIM de 2010

Resolvido o problema relacionado com a gestão de credenciais de FIM

Problema 1


Considere o seguinte cenário:

• Instalar uma versão localizada Europeu de FIM num computador que esteja a executar o Windows XP Service Pack 3 (SP3).
• Tente utilizar a funcionalidade de cliente Self-Service de reposição de palavra-passe no Gestor de identidade do Forefront.

Neste cenário, a etiqueta a Repor palavra-passe botão é truncado.

Resolver problemas e funcionalidades que estão relacionados com o serviço de sincronização de FIM

Problema 1


Quando exporta um grupo que tenha mais de um membro a um SQL server, ocorre um erro de atributo DN.

Problema 2


Receber alguns erros de transição de uma importação delta na ' Reciclagem ' num computador que esteja a executar o Windows Server 2008 R2.

Problema 3

Suponha que a ' Reciclagem ' estiver activada no AD e que FIM é autoritário para grupos e utilizadores. Nesta situação, eliminar resultados de utilizadores numa mensagem de erro "exportados-alteração-não-reimportados" para os grupos nos quais o utilizador é um membro.

Problema 4

Uma alteração a uma regra de sincronização recebidos que inclua um caudal constante ou uma expressão é recalculada correctamente durante uma sincronização completa.

Problema 5

Suponha que está a efectuar uma importação delta de AD MA. Dois objectos que têm o mesmo nome distinto (DN) mas GUIDS diferentes são eliminados. Nesta situação, com pouca frequência poderá receber a seguinte mensagem de erro:

O dimage tem uma âncora que difere da imagem.

Problema 6

Uma importação delta no agente de gestão de um Sol (MA) faz com que a seguinte mensagem de erro se o mesmo objecto for alterado duas vezes durante a importação de delta mesmo:

changelog fora de ordem

Problema 7

Se uma regra de sincronização inválido estiver presente no motor de sincronização, aparece uma mensagem de aviso em caso de registo e o processamento continua.

Problema 8

Uma DLL de extensão não carrega as assemblagens adicionais da pasta extensões, mas carregar assemblagens adicionais a partir da pasta bin.

Problema 9

Existe uma fuga de memória no motor de sincronização quando utiliza regras de fluxo em script clássico. Quando o serviço é lento, tem de reiniciar o servidor.

Problema 10

Se desenvolver uma MA personalizada utilizando XMA, os membros poderão estar representados como GUIDs mas não o DNs durante a exportação. Quando confirmar a importação, poderá receber uma das seguintes mensagens de erro:


Problema 11

Certos NCP sincronizar palavras-passe para AD quando a floresta não fidedignos o destino AD localizado no FIM.

Este problema ocorre devido a uma regressão introduzida na compilação 4.0.3561.2.

Funcionalidade 1



Este pacote de correcções se aplica a política de histórico da palavra-passe dos serviços de domínio do Active Directory (AD DS) para operações de reposição de palavra-passe no Gestor de identidade do Forefront.

Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base: Funcionalidade 2

O eDirectory MA expõe uma nova caixa de verificação que pode ser verificada para desbloquear a conta durante o conjunto de palavra-passe.

Para se certificar de que os atributos de eDirectory podem ser desbloqueados, a lockedByIntruder atributo é definido como FALSE, o loginIntruderAttempts atributo é definido como 0 e o loginIntruderResetTime atributo é definido para hora actual.

Resolvido o problema está relacionado com o Portal de FIM

Problema 1
A funcionalidade de detecção de idioma do browser nem sempre é correcta no portal FIM.

Problema 2
As alterações só caso efectuadas para atributos existentes não são aplicadas à base de dados do serviço FIM, apesar dos pedidos são marcados como concluído.

Problema 3



O Acerca de caixa não for apresentada aos portais de portal a FIM de 2010, se a versão de compilação actualmente instalado é 4.0.3558.2.

Foi resolvido o problema está relacionado com o programa de configuração

Problema 1


Não é possível aplicar as correcções de motor de sincronização se a versão de compilação actualmente instalado é 4.0.3547.2.

Nota Esta correcção inclui uma alteração à configuração do motor de sincronização para resolver este problema. Depois de aplicar a compilação de correcção do motor de sincronização 4.0.3561.2 ou uma compilação posterior, poderá instalar quaisquer correcções mais recentes.

Resolver problemas e funcionalidades que estão relacionados com o serviço de FIM

Problema 1

O serviço FIM ignora pedidos que contêm apenas alterações nos valores de atributos.

Problema 2

Existe um congestionamento do desempenho na avaliação do pedido.

Problema 3

Tipos de objecto que não seja o utilizador e de grupo não não possível adicionar grupos locais de domínio na floresta.

Para resolver o problema, o atributo de DomainConfiguration é agora adicionado e actualizado automaticamente quando um atributo de domínio é criado ou actualizado em qualquer objecto que liga-o. Esta funcionalidade estava anteriormente limitada para utilizador e grupo de tipos de objecto apenas.

Problema 4

Para os grupos cíclicos que referenciam a próprios, a actividade de fluxo de trabalho GroupValidation pode causar a falha do serviço FIM.

Problema 5

Alguns membros do conjunto não coincidem respectivo filtro pretendido e tem de ser corrigidos pelo trabalho de manter conjuntos SQL.

Funcionalidade 1



Este pacote de correcções permite operações de aprovação ser processado por qualquer instância do serviço FIM. Esta correcção melhora o processo de instalação num ambiente que tiver várias instâncias do serviço FIM implementado.

Funcionalidade 2

Esta correcção inclui o filtro num comentário dentro a instrução de SQL que executa a consulta. Esta funcionalidade melhora a resolução de problemas de consulta.

Resolvido problemas relacionados com o FIM MA

Problema 1

Ocorre um erro de "início de sessão negado" durante as fases finais de exportação MA de FIM.

Este problema ocorre porque o FIM MA utiliza o início de sessão de serviço do FIMSynchronization em vez do início de sessão do MA de FIM para ligar à base de dados FIMService.

Problema 2

Débito do MA de FIM é lento quando a base de dados FIM é carregado em primeiro lugar.

Para resolver o problema, a correcção fornece um novo modo de exportação assíncrona para FIM MA. Isto permite a exportação paralela de objectos. Esta execução paralela fornece um aumento na taxa de exportação pelo valor do aumentar a carga na base de dados SQL do FIM serviço. Este modo foi concebido principalmente para utilização quando dados são carregados em primeiro lugar, quando sacrificar a usabilidade portal para aumentar o desempenho não é uma preocupação.

Definições de configuração são fornecidas para este novo modo de exportação. O desempenho de activar as definições de configuração e utilização de portal de FIM para ser equilibrada durante FIM MA exportar no seu ambiente. Recomendamos que experiências com estas definições num ensaio e o ambiente de teste antes de considerar efectuar quaisquer modificações a um servidor de produção.

A correcção adiciona suporte para um modo de avaliação do pedido assíncrono para pedidos que são criados pela conta do motor de sincronização. Quando o novo modo está activado, a FIM de MA fornece uma resposta preliminar para o motor de sincronização para a operação de exportação. Isto acontece, logo que o pedido é criado, mas antes de ser avaliada pelo serviço de FIM. O pedido é colocado em fila no serviço de FIM para a avaliação completa através de um conjunto de threads de trabalho de forma assíncrona. Ao mesmo tempo, o motor de sincronização feeds pedidos adicionais de exportação para o FIM MA. Quando os pedidos estão a ser processados pelo serviço de FIM, eles são deixados no estado de custódia até que o serviço FIM pode confirmar o respectivo estado de processamento. Processamento de pedidos assíncronos só está disponível para pedidos que são gerados pelo MA FIM. Todos os outros pedidos continuam a ser executado através do processo normal.

Erros relacionados com a sincronização processamento de pedidos do serviço FIM estão agora disponíveis na interface de pedido do portal de FIM. Estes podem ser acedidos a partir do item de navegação de pedidos de procura. Uma procura de pedidos que são criados pelo serviço de sincronização devolve o estado destes pedidos. Informações de erro para pedidos falhados está agora disponíveis no atributo pedido Estado detalhes para cada pedido.

Nota Recomendamos sempre que verificar correcções num ambiente não produção antes de implementar a produção. Devido do nível de funcionalidade alteração que está contido nesta correcção, vamos repita vivamente esta recomendação. Recomendamos também que os clientes instalem esta correcção apenas se estão a ter um problema que a correcção corrige.

Notas operacionais

Recomendamos que continue a utilizar o modo síncrono durante o funcionamento normal do MA de FIM. Deve utilizar o modo de operação assíncrono quando uma taxa de processamento de exportação FIM mais elevada é necessária. Aumentar a taxa de exportação para o FIM MA pode afectar a taxa de processamento e a latência de pedidos que são submetidos pelos utilizadores. Definições de configuração são fornecidas para que possa sintonizar a carga que o FIM MA irá colocar o serviço de FIM. Recomendamos que configure estas definições para se adequar às necessidades individuais da sua implementação e os recursos de sistema disponíveis.

Definições de configuração:Ficheiro de configuração do serviço FIM

O novo modo assíncrono da operação de exportação MA de FIM é controlado por um parâmetro no ficheiro de configuração do serviço de FIM. Este parâmetro tem três modos de operação:
Único

Este é o modo predefinido quando não for especificado o novo comutador. É idêntico ao modo de que está incluído no FIM de 2010.

Ilimitado

Neste modo, avaliação do pedido imediatamente acontece no thread de trabalho e o serviço FIM utilizará o débito máximo do sistema. Esta definição só é recomendada quando efectua o carregamento inicial dos dados no sistema e sem outra carga no sistema é esperada.

Limitada

Neste modo, pedidos são colocados numa fila de SQL, reexpedidos para o serviço FIM e controlados pela definição de optimização requestRecoveryMaxPerMinute. Deve utilizar esta definição para increas o desempenho se outras cargas no sistema são esperadas (por exemplo, operações portal). Esperamos que os clientes terão para optimizar esta definição para o seu ambiente e para acomodar as suas capacidades de hardware e a carga de portal. Para sintonizar esta definição, monitorize a utilização de CPU de SQL da base de dados FIM e o Windows Workflow Foundation Fluxos de trabalho na memória contadores de desempenho. Ajuste o acelerador para cima ou para baixo até obter o estado de um débito máximo. Métricas de destino de exemplo incluem a utilização de CPU de SQL de cerca de 70% e o Windows Workflow Foundation não construção de uma fila grande no Fluxos de trabalho na memória contador de desempenho.

Esta definição pode ser alterada dinamicamente não é necessário reiniciar o serviço FIM.

Definições de configuração: ficheiro de configuração do motor de sincronização

Definições de configuração adicionais para FIM MA são controladas a partir do ficheiro de configuração do motor de sincronização (Miiserver.exe.config). Pode configurar as novas definições, adicionando uma nova secção de "resourceSynchronizationClient", que especifica uma propriedade e um valor a ser configurado. O exemplo seguinte demonstra o formato geral da secção "resourceSynchronizationClient":
O seguinte exemplo específico configura o exportFetchResultsPollingTimerInSeconds propriedade:
O exemplo seguinte mostra a nova secção no contexto do ficheiro de configuração do motor de sincronização:
As novas propriedades de configuração são descritas na seguinte tabela:Como parte do seu optimizar o sistema, pode ajustar a exportFetchResultsPollingTimerInSeconds propriedade e o exportRequestsInProcessMaximum propriedade para alcançar os melhores resultados do ambiente e a configuração. Tem de reiniciar o serviço de sincronização FIM depois de alterar estas definições.

Problemas conhecidos

1. Quando operar em modo assíncrono, algumas operações poderão falhar com um erro "Acesso negado". Este problema é mais comum no pequenos conjuntos de dados que têm referências interdependentes. Nestes casos, uma exportação MA de FIM seguinte resolverá o problema.
2. Durante a exportação de MA de FIM no modo assíncrono, o serviço FIM é necessário muito tempo para processar todos os pedidos que são submetidos pelo motor de sincronização. Durante este tempo, quaisquer operações adicionais para o nova exportação nem importação (delta ou completo) irão ser terminadas com um erro "Servidor parado". Em condições normais, o motor de sincronização irá aguardar que todos os pedidos ser completamente processado pelo serviço de FIM e não permitir que o operador executar operações adicionais.
3. O serviço de motor de sincronização pode demorar 10 minutos para encerrar. Este é o período de tempo predefinido que o motor de sincronização irá aguardar MA de FIM devolver resultados de estado para um FIM de operação de exportação. Se o motor de sincronização é encerramento durante este tempo, poderá ter de aguardar que o tempo limite expirar.
4. O motor de sincronização poderá não receber uma resposta para um objecto que é processado pelo serviço de FIM em algumas condições de erro. Neste caso, o motor de sincronização irá reenviar o objecto para exportação. O serviço FIM detectará esta reprodução e do sinal-lo com um erro "Recurso identificador já existe". Para limpar objectos que são reportados com este erro, tem de efectuar uma importação Delta e sincronização Delta, seguido de uma sequência de exportação MA de FIM.