Réinitialisation de mot de passe FIM 2010 Self Service prend désormais en charge l'application de toutes les stratégies de mot de passe de domaine

Traductions disponibles Traductions disponibles
Numéro d'article: 2443871 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Important

Les modifications décrites dans ce document doivent être implémentées dans un environnement de test avant de déployer la modification dans un environnement de production.

Certificats de serveur sont requises sur n'importe quel contrôleur de domaine qui conserve ou peut contenir le rôle FSMO d'émulateur PDC. Cette modification doit être examinée avec les groupes informatiques pour effectuer un test adapté et implémentation de SSL LDAP dans l'environnement de production approprié.

En cas de problème de production où réinitialisation de mot de passe en libre-service ne fonctionne plus après l'implémentation de cette modification, désactivez la nouvelle fonctionnalité dans le Registre pour revenir FIM à la fonctionnalité SSPR d'origine.

Réinitialisation de mot de passe

Mot de passe réinitialisé dans Active Directory est traditionnellement effectué dans proxy par des administrateurs du support technique personnel ou de l'utilisateur. Dans ce scénario, il est important de mettre en mémoire tampon ceux travaillant dans des proxy de l'historique de mot de passe de l'utilisateur final pour maintenir la sécurité.
Avec la version de Microsoft Forefront Identity Manager (FIM) 2010, Microsoft propose une application qui permet aux utilisateurs finaux de réinitialiser leur mot de passe sans appeler le support technique. Dans ce scénario, il est important d'appliquer toutes les stratégies de mot de passe afin qu'ils n'utilisent pas la fonctionnalité de réinitialisation de mot de passe en libre-service dans FIM à contourner les stratégies d'organisation.
Jusqu'à ce que cette modification, toutes les API Windows disponibles pour réinitialiser les mots de passe dans le domaine n'imposait pas toutes les stratégies de mot de passe de domaine. Ce document décrit comment installer et configurer la réinitialisation de mot de passe en libre-service en 2010 FIM pour appliquer toutes les stratégies de mot de passe configurés dans le domaine.

Opérations de mot de passe de l'Agent de gestion Active Directory en 2010 FIM

Depuis le MIIS 2003, l'agent de gestion Active Directory utilise les API de Kerberos pour les opérations de modification de mot de passe et réinitialiser le mot de passe. Avec la modification décrite dans ce document, une nouvelle façon de réinitialiser les mots de passe est ajoutée à l'agent de gestion Active Directory. Vous pouvez utiliser l'API LDAP via une connexion LDAP SSL.

Vue d'ensemble des étapes pour activer l'application des stratégies de mot de passe dans FIM SSPR

  • Installez la mise à jour de correctif pour Windows Server 2008 R2 ou Windows Server 2008 sur le contrôleur de domaine avec le rôle d'émulateur PDC.
  • Installation des composants serveur FIM les mises à jour de Forefront Identity Manager (FIM) 2010 suivantes :
    • La mise à jour du Service de synchronisation FIM
    • La mise à jour du portail FIM et Service
  • Configurer pour LDAP via des connexions SSL entre le Service de synchronisation FIM et le propriétaire du rôle émulateur PDC. Activer la réinitialisation de mot de passe en libre-service appliquer toutes les stratégies de mot de passe de domaine qui utilisent le ADMAEnforcePasswordPolicy valeur de Registre.

Plus d'informations

Fichiers et informations sur l'Installation

Composants de Windows Active Directory et Gestionnaire d'identités Forefront doivent être installés pour activer cette fonctionnalité.

Réduire ce tableauAgrandir ce tableau
ComposantTitre de l'articleURL de téléchargement de correctif
Windows Server 2008 R2Les « Historique du mot de passe appliquer » et les paramètres de stratégie de groupe « Âge de mot de passe minimale » ne fonctionnent pas lorsque vous réinitialisez le mot de passe pour un ordinateur fonctionnant sous Windows Server 2008 ou basée sur un Windows Server 2008 R2http://support.Microsoft.com/HotFix/kbhotfix.aspx?KBNUM=2386717
Windows Server 2008Les « Historique du mot de passe appliquer » et les paramètres de stratégie de groupe « Âge de mot de passe minimale » ne fonctionnent pas lorsque vous réinitialisez le mot de passe pour un ordinateur fonctionnant sous Windows Server 2008 ou basée sur un Windows Server 2008 R2http://support.Microsoft.com/HotFix/kbhotfix.aspx?KBNUM=2386717
Le Gestionnaire d'identités Forefront 2010Package de correctifs Build 4.0.3561.2 pour Microsoft Forefront Identity Manager (FIM) 2010http://support.Microsoft.com/HotFix/KBHotfix.aspx?KBNUM=2417774

Installation Instructionsf

Vue d'ensemble du contrôleur de domaine

Configuration requise
  1. Vous devez disposer d'un contrôleur de domaine basé sur Windows Server 2008 ou Windows Server 2008 R2.
  2. Vous devez posséder le rôle d'émulateur PDC dans le domaine.
    • FIM accède à l'émulateur PDC pour réinitialiser toutes les opérations.
    • Chaque domaine hébergeant des utilisateurs qui seront réinitialiser leur mot de passe via FIM doit avoir le contrôleur de domaine avec le rôle d'émulateur PDC mis à jour avec le correctif logiciel.
  3. Vous devez avoir Lightweight Directory Access Protocol (LDAP) sur les Communications SSL entre le Service de synchronisation FIM et le contrôleur de domaine installé.
    • Pour LDAP sur SSL fonctionne correctement, le contrôleur de domaine doit avoir un certificat de serveur (modèle de certificat de contrôleur de domaine).
    • Notions de base de la configuration requise des certificats est documenté dans l'article suivant :321051 Comment faire pour activer le protocole LDAP sur SSL avec une autorité de certification tierce.
    • Instructions pour la configuration d'Active Directory Certificate Services se trouvent dans l'appendice 1 de ce document.

Installation de la mise à jour de correctif pour Windows

Utilisez l'exécuter en tant qu'option de l'administrateur lorsque vous exécutez le fichier exécutable approprié, documenté dans le tableau suivant sur le contrôleur de domaine.
Réduire ce tableauAgrandir ce tableau
Nom de fichierPlate-forme
1-KB2386717-ia64.msuIA64
1-KB2386717-x 64.msux 64
1-KB2386717-x 86.msux 86
Windows6. 0-KB2386717-x 64.msux 64
Windows6. 0-KB2386717-x 86.msux 86


Pour vous assurer que le correctif est installé comme prévu, LDP.exe peut servir à vérifier pour le nouveau contrôle LDAP qui est installé avec le correctif. Les informations de contrôle LDAP sont retournées dans l'attribut « supportedControl » de l'objet RootDSE.
Nouveau contrôle OID : « 1.2.840.113556.1.4.2066 »
Pour plus d'informations sur la vérification de l'objet RootDSE de ce nouveau contrôle utilise ldp.exe, consultez l'appendice 4.
Composants de serveur FIM 2010
Téléchargez et installez les composants serveur de FIM 2010 à l'adresse suivantes :
  • Service de synchronisation FIM
  • Service FIM
  • FIM Portal

Étapes de configuration

LDAP via des connexions SSL
Les exigences de base pour établir une connexion LDAP via SSL à un contrôleur de domaine :
  1. Le contrôleur de domaine doit avoir un certificat délivré en fonction de modèle de certificat de contrôleur de domaine.
    Remarque Appendice 1 compose des informations sur comment réaliser cela dans un scénario simple.
  2. Le serveur du Service FIM doit approuver l'autorité de certification qui a délivré le certificat au contrôleur de domaine.
    Remarque Informations sur comment effectuer ceci sont à l'appendice 1 de ce document.

L'activation d'application des stratégies de mot de passe en 2010 FIM

L'activation de l'application de l'historique de mot de passe en 2010 FIM est terminé en effectuant un paramètre du Registre. Cela doit être configuré pour chaque agent de gestion d'Active Directory sur lequel vous souhaitez activer l'application des stratégies de mot de passe.
Important Par défaut, ce paramètre est désactivé pour tous les agents de gestion d'Active Directory.
Remarque Dans l'exemple suivant de la clé de Registre, <ma name="">doit être remplacé par le nom de l'annuaire Active Directory MA à configurer.</ma>
Clé de Registre :
SYSTEM\CurrentControlSet\Services\FIMSynchronizationService\Parameters\PerMAInstance\<ma name=""></ma>

Valeur du Registre :Ensemble ADMAEnforcePasswordPolicy = 1 pour appliquer l'historique du mot de passe. Toutes les autres valeurs sont interprétées comme la désactivation de la nouvelle fonctionnalité.

Test et dépannage

Les annexes à la fin de ce document fournissent des informations supplémentaires qui peuvent être utiles lorsque vous configurez un environnement de test simple. Il existe également des liens pour le dépannage LDAP via des connexions SSL.

Appendice 1: Configurer un Test Simple


Remarque Les étapes décrites dans cette annexe ne sont pas destinés à être utilisés dans un environnement de Production. La planification et le déploiement de certificats dans l'environnement de production devraient être mûrement réfléchies pour l'infrastructure de sécurité globale du réseau.

Activer SSL LDAP dans un environnement de Test qui utilise Active Directory Certificate Services pour émettre le certificat de serveur pour le contrôleur de domaine.

Installer Active Directory Certificate Services

  1. Ouvrez le Gestionnaire de serveur.
  2. Sélectionnez Rôles, puis cliquez sur Ajouter des rôles dans le volet central.
  3. Dans la Sélectionnez les rôles de serveur fenêtre, sélectionnez Active Directory Certificate Services, puis cliquez sur Suivant.
  4. Sélectionnez Autorité de certification et Inscription de Web autorité de certification dans la liste des services de rôle, puis cliquez sur Suivant.
  5. Dans la Spécifiez le Type d'installation fenêtre, sélectionnez la Enterprise option, puis cliquez sur Suivant.
  6. Dans la Spécifier le Type d'autorité de certification fenêtre, sélectionnez la Autorité de certification racine option, puis cliquez sur Suivant.

Configurez le modèle de certificat de contrôleur de domaine pour activer l'inscription

  1. Vérifiez le Contrôleur de domaine Propriétés du modèle de sécurité pour vous assurer que les contrôleurs de domaine disposent de certificats le S'inscrire autorisation.
    1. Dans le Gestionnaire de serveur, développez le Active Directory Certificate Services rôle.
    2. Cliquez pour sélectionner Modèles de certificats.
    3. Dans la liste des modèles de certificat, cliquez sur pour afficher les propriétés de la Contrôleur de domaine modèle de certificat.
    4. Cliquez sur le Sécurité onglet.
    5. Cliquez sur le Contrôleurs de domaine identité de sécurité.
    6. Confirmer la S'inscrire autorisation est accordée.
  2. Assurez-vous que le modèle de certificat de contrôleur de domaine est publié dans l'autorité de Certification.
    1. Dans l'arborescence Active Directory Certificate Services, développez l'arborescence de l'autorité de Certification qui a le même nom que l'autorité de Certification a été attribué sur le programme d'installation.
    2. Sous l'arborescence de l'autorité de Certification, cliquez sur le Modèles de certificats conteneur
    3. Vérifiez dans le volet de droite pour vous assurer que le Contrôleur de domaine modèle de certificat est répertorié.
    4. Si le Contrôleur de domaine modèle de certificat n'est pas répertorié, procédez comme suit :
      1. Cliquez droit sur le dossier de modèles de certificats à nouveau.
      2. Placez votre souris sur Nouveau.
      3. Cliquez pour sélectionner Modèle de certificat.
      4. Dans la Activer les modèles de certificat boîte de dialogue, sélectionnez Contrôleur de domaine modèle de certificat.
      5. Cliquez sur OK Pour enregistrer les modifications
Vous êtes maintenant prêt à demander un nouveau certificat pour votre contrôleur de domaine basé sur le modèle de certificat de contrôleur de domaine.

Demande de certificat du contrôleur de domaine

Sur le contrôleur de domaine
  1. Exécutez l'utilitaire mmc.exe.
  2. Dans le menu fichier, sélectionnez Ajout/Suppression de composant logiciel enfichable.
  3. Sélectionnez Certificats.
  4. Lorsque vous êtes invité, sélectionnez Compte d'ordinateur puis cliquez sur Suivant.
  5. Sélectionnez le compte d'ordinateur local, puis terminer l'ajout du composant logiciel enfichable.
  6. Dans la Certificats (ordinateur local) composant logiciel enfichable, développez l'arborescence.
  7. Cliquez pour sélectionner le Personnel dossier.
  8. Dans le menu Action, sélectionnez Toutes les tâches ou de demande un nouveau certificat.
  9. Dans l'écran qui vous invite à sélectionner la stratégie d'inscription de certificat, acceptez la valeur par défaut, puis sur Suivant.
  10. Cliquez sur la case à cocher en regard Contrôleur de domaine puis cliquez sur S'inscrire.

Cliquez sur la case à cocher à côté de « Contrôleur de domaine », puis cliquez sur le bouton « Inscription »

Faire confiance à l'autorité de certification racine sur l'ordinateur FIM Sync

Sur l'ordinateur de l'autorité de Certification
  1. Exécutez l'utilitaire mmc.exe.
  2. Dans le menu fichier, sélectionnez Ajout/Suppression de composant logiciel enfichable.
  3. Sélectionnez Certificats.
  4. Lorsque vous êtes invité, sélectionnez Compte d'ordinateur puis cliquez sur Suivant.
  5. Sélectionnez le compte d'ordinateur local, puis terminer l'ajout du composant logiciel enfichable.
  6. Dans la Certificats (ordinateur local) composant logiciel enfichable, développez l'arborescence.
  7. Cliquez pour sélectionner le Personnel dossier.
  8. Cliquez sur le Certificats dossier sous le Personnel dossier.
  9. Recherchez le certificat est délivré à l'autorité de certification par le nom de l'autorité de certification.
  10. Le certificat de droit et sélectionnez Toutes les tâches / Export
  11. Acceptez les paramètres par défaut jusqu'à ce que vous êtes invité à un nom de fichier.
  12. Fournissez un nom de fichier et le chemin pour l'enregistrement du certificat.
  13. Terminer le processus d'exportation.
  14. Copiez le fichier de certificat obtenu sur le serveur qui héberge le Service de synchronisation FIM.
Sur l'ordinateur du Service de synchronisation FIM
  1. Exécutez l'utilitaire mmc.exe.
  2. Dans le menu fichier, sélectionnez Ajout/Suppression de composant logiciel enfichable.
  3. Sélectionnez Certificats.
  4. Lorsque vous êtes invité, sélectionnez Compte d'ordinateur puis cliquez sur Suivant.
  5. Sélectionnez le compte d'ordinateur local, puis terminer l'ajout du composant logiciel enfichable.
  6. Dans la Certificats (ordinateur local) composant logiciel enfichable, développez l'arborescence.
  7. Cliquez pour sélectionner le Autorités racines de confiance certificat dossier.
  8. Avec le bouton droit, puis dans le menu contextuel, sélectionnez Toutes les tâches / Export
  9. Recherchez où vous enregistrez le certificat d'autorité de certification racine dans les étapes précédentes.
  10. Terminer le processus d'importation.
Vous êtes maintenant prêt à tester le protocole LDAP via une connexion SSL entre le serveur du Service de synchronisation FIM et le contrôleur de domaine émulateur PDC.

Vérification du protocole LDAP via une connexion SSL avec le PDC

Installer les outils d'administration de domaine distant

  1. Ouvrez une invite de commandes cmd.exe à l'aide de la Exécuter en tant qu'administrateur option
  2. Tapez la commande suivante, puis appuyez sur ENTRÉE.
    Remarque Un redémarrage peut être nécessaire.
    ServerManagerCmd ? install rsat-ajoute
    LDP.exe est désormais disponible

À l'aide de Ldp.exe pour tester le protocole LDAP via une connexion SSL

  1. Démarrez Ldp.exe.
  2. Sur le Fichier menu, cliquez sur Se connecter.
  3. Tapez la propriété dnsHostName (FQDN) du contrôleur de domaine qui détient le rôle émulateur PDC.
  4. Modifier le numéro de Port 636.
  5. Cliquez ici pour activer SSL.
  6. Cliquez sur OK.
Dans le volet de droite de ldp.exe, il doit fournir les informations rootDSE pour établir la connexion.
Si vous remarquez que la connexion ne se produit pas, veuillez utiliser l'article suivant de la base de connaissances pour résoudre les problèmes :
938703 Comment faire pour résoudre les problèmes de LDAP sur des problèmes de connexion SSL
Tester la connexion SSL LDAP à l'aide de Ldp.exe
Texte résultant dans la fenêtre de résultats LDP :
Réduire cette imageAgrandir cette image
LDP.exe connectent des propriétés pour LDAP via SSL


Notez la façon dont le nom du serveur dans le ldap_sslinit() méthode correspond à la propriété dnsHostName qui est retournée dans les informations rootDSE. Capture d'écran de certificat suivante affiche le nom que le certificat est délivré pour des correspondances également ce nom. Il est très important pour tous ces éléments pour faire correspondre. Sinon, la connexion LDAP échoue et « schannel » enregistre une erreur dans le journal des événements.
Sortie à partir du volet de droite de LDP.exe après avoir établi la connexion
Certificat de contrôleur de domaine pour la comparaison
Réduire cette imageAgrandir cette image
Certificat de serveur exemple pour le contrôleur de domaine


Notez que le certificat du serveur est également émis à la propriété dnsHostName même. Présentant toutes ces match est très important établir une connexion LDAP SSL.

Appendice 2: Forum aux Questions

Question Cela fonctionnera-t-il si j'installe un contrôleur de domaine Windows Server 2008 R2 comme émulateur PDC dans un domaine Windows Server 2003 ou Windows Server 2008 ? Réponse Oui. Cette fonctionnalité est activée par un contrôle LDAP qui est hébergé sur l'émulateur PDC. Dans la mesure où ce contrôle est trouvé sur l'émulateur PDC, cela fonctionnera comme prévu.
Question Si j'installe cette mise à jour sur un déploiement FIM existant, arrêtera il la configuration actuelle de réinitialisation de mot de passe en libre-service ?
Réponse Non. Par défaut, cette fonctionnalité est désactivée dans l'agent de gestion Active Directory. Les informations de Registre suivante sont utilisées pour activer la nouvelle fonctionnalité.

Clé de Registre
SYSTEM\CurrentControlSet\Services\FIMSynchronizationService\Parameters\PerMAInstance\<ma name=""></ma>
Réduire ce tableauAgrandir ce tableau
Nom de la valeur du RegistreValeursClasseCréé parExpliquez
ADMAEnforcePasswordPolicyDWORDHKLMAdmin1-la valeur true, tout le reste est false

La valeur « 1 » entraînera l'AD MA vérifier l'historique du mot de passe avant de l'il réinitialise un mot de passe lors de la réinitialisation de mot de passe.

Remarque :

Ce paramètre est uniquement pris en charge sur la version FIM 4.0.3561.2 et versions ultérieures.

Remarque :

Ceci est pris en charge uniquement lorsque le contrôleur de domaine est comme suit :
· Windows Server 2008 R2 avec KB2386717
· Windows Server 2008 R2 SP1
· Windows Server 2008 avec KB2386717

Question Quelle est la modification de la méthode MIIS_CSObject.SetPassword de WMI pour activer cette fonctionnalité ?
Réponse
string SetPassword( [in] string NewPassword,
 [in] bool ForceChangeAtLogon,
 [in] bool UnlockAccount
 [in] bool ValidatePasswordPolicy
);
Paramètres



Réduire cette imageAgrandir cette image
Paramètres de la méthode SetPassword




L'appendice 3: Ressources supplémentaires

Documentation actuelle pour LDAP via la configuration SSL & résolution des problèmes

Pour plus d'informations sur la façon d'activer le protocole LDAP sur SSL avec une autorité de certification tierce, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
321051 Comment faire pour activer le protocole LDAP sur SSL avec une autorité de certification tierce
Pour plus d'informations sur la façon de résoudre les problèmes de LDAP sur des problèmes de connexion SSL, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
938703 Comment faire pour résoudre les problèmes de LDAP sur des problèmes de connexion SSL
Pour plus d'informations sur LDAP de Windows sur les exigences de SSL, reportez-vous au site Web Microsoft suivant :
Exemple de Code pour établir une Session sur SSL

Appendice 4: Utilisation de LDP.exe pour rechercher le nouveau contrôle LDAP

  1. Démarrez Ldp.exe.
  2. Sur le Fichier menu, cliquez sur Se connecter.
  3. Tapez la propriété dnsHostName (FQDN) du contrôleur de domaine qui détient le rôle émulateur PDC.
  4. Cliquez sur OK.
  5. Vérifiez dans le volet de droite pour l'attribut « supportedControls ».
  6. Vérifiez les valeurs de supportedControls pour l'identificateur d'objet: « 1.2.840.113556.1.4.2066 ».
Dans le volet de droite de ldp.exe, il doit fournir les informations rootDSE pour établir la connexion.

Références

Pour plus d'informations sur la terminologie de mise à jour de logiciel, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
824684 de la Description de la terminologie standard utilisée pour décrire les mises à jour du logiciel Microsoft

Propriétés

Numéro d'article: 2443871 - Dernière mise à jour: vendredi 21 octobre 2011 - Version: 6.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Forefront Identity Manager 2010
Mots-clés : 
kbinfo kbsurveynew kbmt KB2443871 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 2443871
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com