Redefinição de senha FIM 2010 Self Service agora oferece suporte a imposição de todas as diretivas de senha de domínio

Traduções de Artigos Traduções de Artigos
Artigo: 2443871 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Importante

As alterações descritas neste documento devem ser implementados em um ambiente de teste antes de implantar a alteração para um ambiente de produção.

São necessários certificados de servidor em qualquer controlador de domínio que detém, ou pode conter, a função FSMO emulador PDC. Essa alteração deverá ser discutida com os grupos de TI para tornar claro corretas Testando e distribuição do SSL LDAP no ambiente de produção apropriados.

Se ocorrer um problema na produção onde auto-atendimento de redefinição de senha não funciona mais depois que você implementar essa alteração, desabilite a nova funcionalidade no registro para retornar o FIM da funcionalidade SSPR original.

Redefinição de senha

Senha redefinida no Active Directory historicamente foi realizada no proxy pelos administradores de usuário ou a equipe de assistência técnica. Nesse cenário, é importante para aqueles que trabalham no proxy do histórico de senha do usuário final para preservar a segurança de buffer.
Com o lançamento do Microsoft Forefront Identity Manager (FIM) 2010, a Microsoft oferece um aplicativo que permite que os usuários finais redefinam suas senhas sem chamar o suporte técnico. Nesse cenário, é importante aplicar todas as diretivas de senha para que os usuários não usam a funcionalidade de redefinição de senha pessoal no FIM para ignorar as políticas organizacionais.
Até que essa alteração, todas as APIs do Windows disponíveis para redefinir as senhas do domínio não forçou a todas as diretivas de senha de domínio. Este documento descreve como instalar e configurar o auto-atendimento para redefinição de senha em 2010 FIM para impor todas as diretivas de senha configuradas no domínio.

Operações de senha em que o agente de gerenciamento do Active Directory em 2010 de FIM

Desde o MIIS 2003, o agente de gerenciamento do Active Directory usa as APIs do Kerberos para operações de alteração de senha e redefinir senha. Com a alteração descrita neste documento, uma nova forma de redefinição de senhas é adicionada ao agente de gerenciamento do Active Directory. Você pode usar as APIs LDAP em uma conexão SSL do LDAP.

Visão geral sobre etapas para ativar a aplicação de políticas de senha no FIM SSPR

  • Instale a atualização de hotfix para Windows Server 2008 R2 ou Windows Server 2008 no controlador de domínio com a função de emulador PDC.
  • Instale as seguintes atualizações para componentes de servidor a FIM de Forefront Identity Manager (FIM) 2010:
    • A atualização do serviço de sincronização de FIM
    • A atualização do Portal de FIM e serviço
  • Configure para LDAP sobre conexões SSL entre o serviço de sincronização de FIM e o proprietário da função de emulador PDC. Habilitar redefinição de senha pessoal para aplicar todas as diretivas de senha de domínio que usam o ADMAEnforcePasswordPolicy valor do registro.

Mais Informação

Informações de arquivo e instalação

Componentes para o Windows Active Directory e Forefront Identity Manager devem ser instalados para habilitar essa nova funcionalidade.

Reduzir esta tabelaExpandir esta tabela
ComponenteTítulo do artigoURL de Download do hotfix
Windows Server 2008 R2As configurações de diretiva de grupo de "Duração mínima da senha" e "Aplicar histórico de senhas" não funcionam quando você redefine a senha de um Windows Server 2008 R2 ou um computador baseado no Windows Server 2008http://support.microsoft.com/hotfix/kbhotfix.aspx?KBNUM=2386717
Windows Server 2008As configurações de diretiva de grupo de "Duração mínima da senha" e "Aplicar histórico de senhas" não funcionam quando você redefine a senha de um Windows Server 2008 R2 ou um computador baseado no Windows Server 2008http://support.microsoft.com/hotfix/kbhotfix.aspx?KBNUM=2386717
Gerenciador de identidade do Forefront 2010Pacote de hotfix Build 4.0.3561.2 para o Microsoft Forefront Identity Manager (FIM) 2010http://support.microsoft.com/hotfix/KBHotfix.aspx?KBNUM=2417774

Instalação Instructionsf

Visão geral do controlador de domínio

Requisitos
  1. Você deve ter um controlador de domínio baseado no Windows Server 2008 R2 ou baseado no Windows Server 2008.
  2. Você precisa ter a função de emulador PDC no domínio.
    • FIM acessa o emulador PDC para redefinição de senha de todas as operações.
    • Cada domínio que hospeda os usuários que irá redefinir suas senhas por meio de FIM deve ter o controlador de domínio com a função de emulador PDC atualizada com esta compilação do hotfix.
  3. Você deve ter o Lightweight Directory Access Protocol (LDAP) sobre comunicações SSL entre o serviço de sincronização de FIM e o controlador de domínio instalado.
    • Para o LDAP sobre SSL funcione corretamente, o controlador de domínio deve ter um certificado de servidor (modelo de certificado de controlador de domínio).
    • Noções básicas sobre os requisitos de certificado está documentada no seguinte artigo KB:321051 Como habilitar LDAP sobre SSL com uma autoridade de certificação de terceiros.
    • Instruções para configurar serviços de certificados do Active Directory estão no Apêndice 1 deste documento.

Instalar a atualização de hotfix para Windows

Use o executar como opção de administrador ao executar o executável apropriado documentado na tabela a seguir no controlador de domínio.
Reduzir esta tabelaExpandir esta tabela
Nome do arquivoPlataforma
Windows6.1-KB2386717-ia64.msuia64
Windows6.1-KB2386717-x64. msux64
Windows6.1-KB2386717-x86. msux86
Windows 6.0-KB2386717-x64. msux64
Windows 6.0-KB2386717-x86. msux86


Para certificar-se de que o hotfix for instalado como previsto, o Ldp. exe pode ser usado para verificar se o novo controle LDAP que é instalado com o hotfix. Informações de controle LDAP são retornadas no atributo "supportedControl" na RootDSE.
Novo controle OID: "1.2.840.113556.1.4.2066"
Consulte o Apêndice 4 para obter mais informações sobre como verificar RootDSE para este novo controle que usa o Ldp. exe.
Componentes de servidor do FIM 2010
Baixe e instale os seguintes componentes de servidor 2010 FIM:
  • Serviço de sincronização de FIM
  • Serviço FIM
  • Portal FIM

Etapas de configuração

LDAP por conexões SSL
Os requisitos básicos para estabelecer uma conexão LDAP sobre SSL com um controlador de domínio:
  1. O controlador de domínio deve ter um certificado emitido com base no modelo de certificado de controlador de domínio.
    Observação Apêndice 1 tem informações sobre como fazer isso em um cenário simple.
  2. O servidor do serviço de FIM deve confiar na CA que emitiu o certificado para o controlador de domínio.
    Observação Informações sobre como fazer isso estão no Apêndice 1 deste documento.

Permitindo a aplicação de políticas de senha em 2010 de FIM

Habilitando a imposição de histórico de senha em 2010 FIM é concluída fazendo uma configuração do registro. Isso deve ser configurado para cada agente de gerenciamento do Active Directory em que desejamos ativar a imposição de diretivas de senha.
Importante Por padrão, essa configuração é desabilitada para todos os agentes de gerenciamento do Active Directory.
Observação No exemplo seguinte chave do registro, <ma name="">deve ser substituído com o nome do Active Directory MA seja configurado.</ma>
Chave de registro:
SYSTEM\CurrentControlSet\Services\FIMSynchronizationService\Parameters\PerMAInstance\<ma name=""></ma>

Valor do registro:Conjunto ADMAEnforcePasswordPolicy = 1 para aplicar histórico de senhas. Todos os outros valores são interpretados como desativar a nova funcionalidade.

Testar e solucionar problemas

Os apêndices, no final deste documento fornecem informações adicionais que podem ser úteis quando você configurar um ambiente de teste simples. Também há links para LDAP de solução de problemas em conexões SSL.

Apêndice 1: Definir uma configuração de teste simples


Observação As etapas neste apêndice não se destinam a ser usado em um ambiente de produção. O planejamento e implantação de certificados no ambiente de produção devem ser considerados cuidadosamente para a infra-estrutura inteira de segurança da rede.

Habilite o SSL LDAP em um ambiente de teste que usa os serviços de certificados do Active Directory para emitir o certificado de servidor para o controlador de domínio.

Instalar serviços de certificado do Active Directory

  1. Abra o Gerenciador do servidor.
  2. Selecione Funçõese então clique em Adicionar funções no painel central.
  3. No Selecionar funções de servidor janela, selecione Serviços de certificados do Active Directorye então clique em Avançar.
  4. Selecione Autoridade de certificação e Registro de Web de autoridade de certificação na lista de serviços de função e, em seguida, clique Próxima.
  5. No Especifique o tipo de instalação janela, selecione o Enterprise opção e clique em Avançar.
  6. No Especifique o tipo de CA janela, selecione o Autoridade de certificação raiz opção e clique em Avançar.

Configurando o modelo de certificado de controlador de domínio para permitir o registro

  1. Verifique o Controlador de domínio Propriedades do modelo de segurança para certificar-se de ter controladores de domínio de certificado a Registrar permissão.
    1. No Gerenciador de servidores, expanda o Serviços de certificados do Active Directory função.
    2. Clique para selecionar Modelos de certificado.
    3. Na lista de modelos de certificado, clique para exibir as propriedades da Controlador de domínio modelo de certificado.
    4. Clique no Segurança guia.
    5. Clique no Controladores de domínio identidade de segurança.
    6. Confirmar a Registrar permissão é concedida.
  2. Certifique-se de que o modelo de certificado de controlador de domínio é publicado na autoridade de certificação.
    1. Na árvore de serviços de certificados do Active Directory, expanda a árvore de autoridade de certificação que tenha o mesmo nome dado à autoridade de certificação no programa de instalação.
    2. Na árvore de autoridade de certificação, clique no Modelos de certificado recipiente
    3. Verifique o painel do lado direito para certificar-se de que o Controlador de domínio modelo de certificado está listado.
    4. Se a Controlador de domínio modelo de certificado não estiver listado, execute estas etapas:
      1. Com o botão direito na pasta de modelos de certificado novamente.
      2. Apóie o mouse em Novo.
      3. Clique para selecionar Modelo de certificado a ser emitido.
      4. No Ativar modelos de certificado caixa de diálogo, clique para selecionar Controlador de domínio modelo de certificado.
      5. Clique em OK Para salvar as alterações
Agora você está pronto para solicitar um certificado novo controlador de domínio baseado no modelo de certificado de controlador de domínio.

Solicitar um certificado do controlador de domínio

No controlador de domínio
  1. Execute o utilitário do MMC. exe.
  2. No menu Arquivo, selecione Adicionar ou remover snap-in.
  3. Selecione Certificados.
  4. Quando solicitado, selecione Conta de computador e, em seguida, clique em Avançar.
  5. Selecione a conta de computador local e em seguida concluir adicionando o snap-in.
  6. No Certificados (computador local) snap-in, expanda a árvore.
  7. Clique para selecionar o Pessoal pasta.
  8. No menu Ação, selecione Todas as tarefas / Solicitar novo certificado.
  9. Na tela que solicita que você selecione a diretiva de registro de certificado, aceite o padrão e, em seguida, clique em Avançar.
  10. Clique na caixa de seleção ao lado de Controlador de domínio e, em seguida, clique em Registrar.

Clique na caixa de seleção próximo a "Controlador de domínio" e, em seguida, clique no botão "Registrar"

Confiar na CA raiz no computador a FIM de sincronização

O computador da autoridade de certificação
  1. Execute o utilitário do MMC. exe.
  2. No menu Arquivo, selecione Adicionar ou remover snap-in.
  3. Selecione Certificados.
  4. Quando solicitado, selecione Conta de computador e, em seguida, clique em Avançar.
  5. Selecione a conta de computador local e em seguida concluir adicionando o snap-in.
  6. No Certificados (computador local) snap-in, expanda a árvore.
  7. Clique para selecionar o Pessoal pasta.
  8. Clique no Certificados pasta sob a Pessoal pasta.
  9. Localize o certificado emitido para o nome da autoridade de certificação pelo nome da autoridade de certificação.
  10. O certificado com o botão direito e selecione Todas as tarefas / Exportar
  11. Aceite as configurações padrão até que você é solicitado um nome de arquivo.
  12. Forneça um nome de arquivo e caminho para salvar o certificado.
  13. Conclua o processo de exportação.
  14. Copie o arquivo de certificado resultante para o servidor que hospeda o serviço de sincronização de FIM.
No computador do serviço de sincronização de FIM
  1. Execute o utilitário do MMC. exe.
  2. No menu Arquivo, selecione Adicionar ou remover snap-in.
  3. Selecione Certificados.
  4. Quando solicitado, selecione Conta de computador e, em seguida, clique em Avançar.
  5. Selecione a conta de computador local e em seguida concluir adicionando o snap-in.
  6. No Certificados (computador local) snap-in, expanda a árvore.
  7. Clique para selecionar o Autoridades de certificação de raiz confiável pasta.
  8. Com o botão direito e no menu de atalho, selecione Todas as tarefas / Exportar
  9. Localize onde você pode salvar o certificado de autoridade de certificação raiz nas etapas anteriores.
  10. Conclua o processo de importação.
Agora você está pronto para testar o LDAP sobre conexão SSL entre o servidor do serviço de sincronização de FIM e o controlador de domínio do emulador PDC.

Verificar o LDAP via conexão SSL com o PDC

Instalar as ferramentas de administração do domínio remoto

  1. Abra um prompt do cmd. exe usando o Executar como administrador opção
  2. Digite o seguinte comando e pressione a tecla ENTER.
    Observação Uma reinicialização pode ser necessária.
    O rsat ServerManagerCmd ? install-adiciona
    Ldp. exe está disponível agora

Usando o Ldp. exe para testar o LDAP sobre conexão SSL

  1. Inicie o Ldp. exe.
  2. Sobre o Arquivo menu, clique em Conectar.
  3. Digite o dnsHostName (FQDN) do controlador de domínio que detém a função de emulador PDC.
  4. Altere o número da porta para 636.
  5. Clique para habilitar o SSL.
  6. Clique em OK.
No painel à direita do Ldp. exe, ele deve fornecer informações de rootDSE para a conexão bem-sucedida.
Se você notar que a conexão não ocorra, use o seguinte artigo do KB para solucionar problemas:
938703 Como solucionar problemas de LDAP sobre problemas de conexão SSL
Testar a conexão SSL do LDAP usando o Ldp. exe
Texto resultante na janela de resultados do LDP:
Reduzir esta imagemExpandir esta imagem
Ldp. exe conectar propriedades para o LDAP sobre SSL


Observe como o servidor de nomes na ldap_sslinit() método corresponde a dnsHostName retornado em informações rootDSE. O certificado screen shot a seguir mostra o nome que o certificado é emitido para correspondências, bem, esse nome. É muito importante para todos esses para coincidir. Caso contrário, a conexão LDAP falhar e "schannel" registra um erro no log de eventos.
Saída do painel à direita do Ldp. exe depois de fazer a conexão
Certificado de DC para comparação
Reduzir esta imagemExpandir esta imagem
Certificado de exemplo de servidor do controlador de domínio


Observe que o certificado do servidor emitido para o mesmo dnsHostName também. Ter todas essas correspondência é muito importante fazer uma conexão SSL do LDAP.

Apêndice 2: Perguntas freqüentes sobre

Pergunta Isso irá funcionar se instalar um controlador de domínio do Windows Server 2008 R2 como emulador PDC em um domínio do Windows Server 2003 ou Windows Server 2008? Resposta Sim. Essa funcionalidade é ativada por um controle LDAP que está hospedado no emulador PDC. Contanto que o controle for encontrado no emulador PDC, isso funcionará como esperado.
Pergunta Se eu instalar essa atualização em uma implantação existente de FIM, ele interromperá a configuração atual de redefinição de senha pessoal?
Resposta Não. Por padrão, essa nova funcionalidade está desabilitada no agente de gerenciamento do Active Directory. As informações de registro a seguir são usadas para ativar a nova funcionalidade.

Chave do registro
SYSTEM\CurrentControlSet\Services\FIMSynchronizationService\Parameters\PerMAInstance\<ma name=""></ma>
Reduzir esta tabelaExpandir esta tabela
Nome do valor do registroValoresClasseCriado porExplique
ADMAEnforcePasswordPolicyDWORDHKLMAdmin1-verdadeiro, todo o resto é false

A definição deste valor como "1" fará com que o AD MA verificar o histórico de senha antes que ele irá redefinir uma senha durante a redefinição de senha.

Observação:

Essa configuração só é suportada na versão de compilação FIM 4.0.3561.2 e versões posteriores.

Observação:

Isso só é suportado em que o controlador de domínio é o seguinte:
· Windows Server 2008 R2 com KB2386717
· Windows Server 2008 R2 SP1
· Windows Server 2008 com KB2386717

Pergunta Qual é a alteração para o método MIIS_CSObject.SetPassword do WMI para habilitar essa funcionalidade?
Resposta
string SetPassword( [in] string NewPassword,
 [in] bool ForceChangeAtLogon,
 [in] bool UnlockAccount
 [in] bool ValidatePasswordPolicy
);
Parâmetros



Reduzir esta imagemExpandir esta imagem
Parâmetros de SetPassword




Apêndice 3: Recursos adicionais

Documentação atual para o LDAP sobre solução de problemas & de configuração SSL

Para obter mais informações sobre como habilitar LDAP sobre SSL com uma autoridade de certificação de terceiros, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
321051 Como habilitar LDAP sobre SSL com uma autoridade de certificação de terceiros
Para obter mais informações sobre como solucionar problemas de LDAP sobre problemas de conexão SSL, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
938703 Como solucionar problemas de LDAP sobre problemas de conexão SSL
Para obter mais informações sobre o protocolo LDAP sobre SSL requisitos do Windows, visite o seguinte site da Microsoft:
Exemplo de código para estabelecer uma sessão sobre SSL

Apêndice 4: Usar o Ldp. exe para verificar se o novo controle LDAP

  1. Inicie o Ldp. exe.
  2. Sobre o Arquivo menu, clique em Conectar.
  3. Digite o dnsHostName (FQDN) do controlador de domínio que detém a função de emulador PDC.
  4. Clique em OK.
  5. Verifique o painel do lado direito para o atributo "supportedControls".
  6. Verificar os valores de supportedControls o identificador de objeto: "1.2.840.113556.1.4.2066".
No painel à direita do Ldp. exe, ele deve fornecer informações de rootDSE para a conexão bem-sucedida.

Referências

Para obter mais informações sobre a terminologia de atualização de software, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
824684 Descrição da terminologia padrão usada para descrever as atualizações de software Microsoft

Propriedades

Artigo: 2443871 - Última revisão: 21 de outubro de 2011 - Revisão: 5.0
A informação contida neste artigo aplica-se a:
  • Microsoft Forefront Identity Manager 2010
Palavras-chave: 
kbinfo kbsurveynew kbmt KB2443871 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 2443871

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com