No se puede encontrar el certificado de federación con la huella digital cuando se usa el siguiente certificado.

  • Artículo
  • Se aplica a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Exchange Online, Exchange Server 2010 Enterprise, Exchange Server 2010 Standard

Número de KB original: 2810692

Nota:

Ya no se admite el Asistente para configuración híbrida que se incluye en el Consola de administración de Exchange de Microsoft Exchange Server 2010. Por lo tanto, ya no debe usar el asistente de configuración híbrida anterior. En su lugar, use el Asistente para configuración híbrida de Microsoft 365. Para obtener más información, vea Asistente para configuración híbrida de Microsoft 365 para Exchange 2010.

Síntomas

Tenga en cuenta el siguiente escenario en una implementación híbrida de Exchange Server locales y Exchange Online en Microsoft 365:

  • El certificado actual que se creó para la confianza de federación en el servidor híbrido se elimina involuntariamente.
  • El certificado actual debe reemplazarse para que la confianza funcione correctamente.
  • Se crea un nuevo certificado.
  • Ejecute el Asistente para administrar federación y, a continuación, active la casilla Roll certificate (Roll certificate ) para que el siguiente certificado sea el certificado actual para usar el nuevo certificado.

En este escenario, el asistente no actualiza el certificado según lo previsto. Al intentar usar el Set-FederationTrust -Identity cmdlet para que la confianza de federación use el siguiente certificado como certificado actual, recibirá el siguiente mensaje de error:

[PS] C:>Set-FederationTrust -Identity "Microsoft Federation Gateway" -PublishFederationCertificate
No se encuentra el certificado de federación con la huella digital "<huella digital del certificado> actual".
+ CategoryInfo : InvalidResult: (:) [Set-FederationTrust], FederationCertificateInvalidException
+ FullyQualifiedErrorId: 906B427C,Microsoft.Exchange.Management.SystemConfigurationTasks

Causa

Este problema se produce si falta el nuevo certificado en el almacén de certificados. En este caso, el Asistente para administrar federación no puede revertir al nuevo certificado.

Solución

Para solucionar este problema, actualice el objeto de Active Directory para la confianza de federación agregando la huella digital del siguiente certificado de federación al objeto. Esto permite que el Asistente para administrar federación o el Set-FederationTrust cmdlet procesen correctamente la solicitud de sustitución.

Para ello, siga estos pasos:

  1. Inicie sesión en el servidor de implementación híbrida de Exchange 2010 como administrador de dominio.

  2. Abra la edición de interfaces de servicio de Active Directory (ADSI). Para ello, haga clic en Inicio, en Ejecutar, escriba ADSIEdit.mscy, a continuación, haga clic en Aceptar.

  3. Una vez cargada la ventana Edición de ADSI, haga clic con el botón derecho en ADSI Edit (Editar ADSI) en el panel de navegación y, a continuación, haga clic en Conectar a.

  4. En la ventana Configuración de conexión, haga clic en Seleccionar un contexto de nomenclatura conocido en el área Punto de conexión y, a continuación, haga clic en Configuración.

  5. En el área Equipo , seleccione Predeterminado (dominio o servidor en el que ha iniciado sesión) y, a continuación, haga clic en Aceptar.

  6. Busque CN=Configuration, DC=<DOMAIN>, DC=<COM>, CN=Services, CN=Microsoft Exchange, CN=<ORGANIZATION NAME>, CN=Federation Trusts.

    Nota:

    Reemplace los valores de los marcadores de posición (<>) por los valores específicos del entorno.

  7. Haga clic con el botón derecho en CN=Microsoft Federation Gateway y, a continuación, haga clic en Propiedades.

  8. Haga doble clic en la msExchFedOrgNextCertificate propiedad y, a continuación, copie todo el valor.

    Nota:

    Este valor solo se puede rellenar si experimenta el problema que se describe en la sección Síntomas. Si el valor no se rellena, no puede continuar con los pasos restantes.

  9. Cierre la msExchFedOrgNextCertificate propiedad .

  10. Haga doble clic en la msExchFedOrgPrivCertificate propiedad y pegue el valor que copió en el paso 8. La miniatura del certificado actual se reemplazará por la miniatura del certificado siguiente.

  11. Haga clic en Aceptar para establecer el valor.

  12. Forzar manualmente la replicación de Active Directory. O bien, espere a que el cambio se replique en toda la infraestructura de Active Directory.

    Nota:

    Para obtener más información sobre cómo forzar la replicación de Active Directory, vaya a Forzar replicación a través de una conexión.

  13. En el Consola de administración de Exchange, vuelva a ejecutar el Asistente para administrar federación. El certificado actual y el siguiente deben ser los mismos.

  14. Active la casilla Roll certificate (Revertir certificado) para que el siguiente certificado sea el certificado actual y, a continuación, complete los pasos del asistente.

  15. Pruebe la configuración mediante el Test-Federation cmdlet . Los resultados deben mostrar que la validación del certificado de federación se realizó correctamente.

    Nota:

    Para obtener más información sobre el Test-FederationTrust cmdlet, vaya a Test-FederationTrust.

Más información

¿Aún necesita ayuda? Vaya a Microsoft Community o al sitio web de foros de Windows Azure Active Directory .