Impossibile trovare il certificato federativo con l'identificazione personale quando si usa il certificato successivo

  • Articolo
  • Si applica a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Exchange Online, Exchange Server 2010 Enterprise, Exchange Server 2010 Standard

Numero KB originale: 2810692

Nota

La configurazione guidata ibrida inclusa nel Exchange Management Console in Microsoft Exchange Server 2010 non è più supportata. Pertanto, non è più consigliabile usare la configurazione guidata ibrida precedente. Usare invece la configurazione guidata ibrida di Microsoft 365. Per altre informazioni, vedere Configurazione guidata ibrida di Microsoft 365 per Exchange 2010.

Sintomi

Si consideri lo scenario seguente in una distribuzione ibrida di Exchange Server e Exchange Online locali in Microsoft 365:

  • Il certificato corrente creato per l'attendibilità federativa nel server ibrido viene eliminato involontariamente.
  • Il certificato corrente deve essere sostituito perché l'attendibilità funzioni correttamente.
  • Viene creato un nuovo certificato.
  • Si esegue la Gestione guidata federazione e quindi si seleziona la casella di controllo Roll certificate (Roll certificate) per impostare il certificato successivo come certificato corrente per usare il nuovo certificato.

In questo scenario, la procedura guidata non aggiorna il certificato come previsto. Quando si tenta di usare il Set-FederationTrust -Identity cmdlet per fare in modo che l'attendibilità federativa usi il certificato successivo come certificato corrente, viene visualizzato il messaggio di errore seguente:

[PS] C:>Set-FederationTrust -Identity "Microsoft Federation Gateway" -PublishFederationCertificate
Impossibile trovare il certificato federativo con l'identificazione personale "<identificazione personale del certificato> corrente".
+ CategoryInfo : InvalidResult: (:) [Set-FederationTrust], FederationCertificateInvalidException
+ FullyQualifiedErrorId : 906B427C,Microsoft.Exchange.Management.SystemConfigurationTasks

Causa

Questo problema si verifica se il nuovo certificato non è presente nell'archivio certificati. In questo caso, la Gestione guidata federazione non può eseguire il rollback al nuovo certificato.

Risoluzione

Per risolvere questo problema, aggiornare l'oggetto Active Directory per l'attendibilità federativa aggiungendo all'oggetto l'identificazione personale per il certificato federativo successivo. In questo modo, la Gestione guidata federazione o il Set-FederationTrust cmdlet elaborano correttamente la richiesta di rollover.

A tal fine, attenersi alla seguente procedura:

  1. Accedere al server di distribuzione ibrido di Exchange 2010 come amministratore di dominio.

  2. Aprire Active Directory Service Interfaces (ADSI) Edit. A tale scopo, fare clic su Start, fare clic su Esegui, digitare ADSIEdit.msce quindi fare clic su OK.

  3. Dopo aver caricato la finestra Modifica ADSI, fare clic con il pulsante destro del mouse su Modifica ADSI nel riquadro di spostamento e quindi scegliere Connetti a.

  4. Nella finestra Impostazioni di connessione fare clic su Selezionare un contesto di denominazione noto nell'area Punto di connessione e quindi fare clic su Configurazione.

  5. Nell'area Computer selezionare Predefinito (dominio o server a cui si è connessi) e quindi fare clic su OK.

  6. Individuare CN=Configuration, DC=<DOMAIN>, DC=<COM>, CN=Services, CN=Microsoft Exchange, CN=<ORGANIZATION NAME>, CN=Federation Trusts.

    Nota

    Sostituire i valori nei segnaposto (<>) con i valori specifici dell'ambiente.

  7. Fare clic con il pulsante destro del mouse su CN=Microsoft Federation Gateway e quindi scegliere Proprietà.

  8. Fare doppio clic sulla msExchFedOrgNextCertificate proprietà e quindi copiare l'intero valore.

    Nota

    Questo valore può essere popolato solo se si verifica il problema descritto nella sezione Sintomi. Se il valore non viene popolato, non è possibile continuare con i passaggi rimanenti.

  9. Chiudere la msExchFedOrgNextCertificate proprietà .

  10. Fare doppio clic sulla msExchFedOrgPrivCertificate proprietà e quindi incollare il valore copiato nel passaggio 8. L'anteprima del certificato corrente verrà sostituita con l'anteprima del certificato successivo.

  11. Fare clic su OK per impostare il valore.

  12. Forzare manualmente la replica di Active Directory. In alternativa, attendere la replica della modifica nell'infrastruttura di Active Directory.

    Nota

    Per altre informazioni su come forzare la replica di Active Directory, vedere Forzare la replica tramite una connessione.

  13. Nel Exchange Management Console eseguire di nuovo la Gestione guidata federazione. Il certificato corrente e il certificato successivo devono essere gli stessi.

  14. Selezionare la casella di controllo Roll certificate (Roll certificate) per impostare il certificato successivo come certificato corrente e quindi completare i passaggi della procedura guidata.

  15. Testare la configurazione usando il Test-Federation cmdlet . I risultati dovrebbero indicare che la convalida del certificato federativo ha avuto esito positivo.

    Nota

    Per altre informazioni sul Test-FederationTrust cmdlet, vedere Test-FederationTrust.

Ulteriori informazioni

Ulteriore assistenza Passare a Microsoft Community o al sito Web forum di Windows Azure Active Directory .