Não é possível localizar o certificado de federação com o thumbprint ao utilizar o certificado seguinte
Número original da BDC: 2810692
Nota
O assistente de Configuração Híbrida incluído no Consola de Gestão do Exchange no Microsoft Exchange Server 2010 já não é suportado. Por conseguinte, já não deve utilizar o antigo assistente de Configuração Híbrida. Em vez disso, utilize o assistente de Configuração Híbrida do Microsoft 365. Para obter mais informações, consulte Assistente de Configuração Híbrida do Microsoft 365 para o Exchange 2010.
Sintomas
Considere o seguinte cenário numa implementação híbrida de Exchange Server e Exchange Online no Microsoft 365:
- O certificado atual que foi criado para a confiança de federação no servidor híbrido é eliminado involuntariamente.
- O certificado atual tem de ser substituído para que a fidedignidade funcione corretamente.
- É criado um novo certificado.
- Executa o Assistente de Gestão de Federação e, em seguida, seleciona a caixa de verificação Roll certificate (Roll certificate to make the next certificate as the current certificate) para utilizar o novo certificado.
Neste cenário, o assistente não atualiza o certificado conforme esperado. Quando tenta utilizar o Set-FederationTrust -Identity
cmdlet para fazer com que a confiança de federação utilize o certificado seguinte como o certificado atual, recebe a seguinte mensagem de erro:
[PS] C:>Set-FederationTrust -Identity "Microsoft Federation Gateway" -PublishFederationCertificate
Não é possível localizar o certificado de federação com o thumbprint "<thumbprint do certificado> atual".
+ CategoryInfo: InvalidResult: (:) [Set-FederationTrust], FederationCertificateInvalidException
+ FullyQualifiedErrorId: 906B427C,Microsoft.Exchange.Management.SystemConfigurationTasks
Causa
Este problema ocorre se o novo certificado estiver em falta no arquivo de certificados. Neste caso, o Assistente de Gestão de Federação não consegue implementar o novo certificado.
Resolução
Para corrigir este problema, atualize o objeto do Active Directory para a confiança de federação ao adicionar o thumbprint do certificado de federação seguinte ao objeto. Isto permite que o Assistente de Gestão de Federação ou o Set-FederationTrust
cmdlet processem com êxito o pedido de rollover.
Para tal, siga estes passos:
Inicie sessão no servidor de implementação híbrida do Exchange 2010 como administrador de domínio.
Abra a Edição de Interfaces de Serviço do Active Directory (ADSI). Para tal, clique em Iniciar, clique em Executar, escreva
ADSIEdit.msc
e, em seguida, clique em OK.Depois de carregar a janela Editar ADSI, clique com o botão direito do rato em Editar ADSI no painel de navegação e, em seguida, clique em Ligar a.
Na janela Definições de Ligação, clique em Selecionar um Contexto de Nomenclatura bem conhecido na área Ponto de Ligação e, em seguida, clique em Configuração.
Na área Computador , selecione Predefinição (Domínio ou servidor no qual tem sessão iniciada) e, em seguida, clique em OK.
Localize CN=Configuration, DC=<DOMAIN>, DC=<COM>, CN=Services, CN=Microsoft Exchange, CN=<ORGANIZATION NAME>, CN=Federation Trusts.
Nota
Substitua os valores nos marcadores de posição (<>) pelos valores específicos do seu ambiente.
Clique com o botão direito do rato em CN=Microsoft Federation Gateway e, em seguida, clique em Propriedades.
Faça duplo clique na
msExchFedOrgNextCertificate
propriedade e, em seguida, copie todo o valor.Nota
Este valor só poderá ser preenchido se ocorrer o problema descrito na secção Sintomas. Se o valor não estiver preenchido, não poderá continuar com os passos restantes.
Feche a
msExchFedOrgNextCertificate
propriedade .Faça duplo clique na
msExchFedOrgPrivCertificate
propriedade e, em seguida, cole o valor que copiou no passo 8. A miniatura do certificado atual será substituída pela miniatura do certificado seguinte.Clique em OK para definir o valor.
Forçar manualmente a replicação do Active Directory. Em alternativa, aguarde até que a alteração seja replicada em toda a sua infraestrutura do Active Directory.
Nota
Para obter mais informações sobre como forçar a replicação do Active Directory, aceda a Forçar a replicação através de uma ligação.
No Consola de Gestão do Exchange, execute novamente o Assistente de Gestão de Federação. O certificado atual e o certificado seguinte devem ser os mesmos.
Selecione a caixa de verificação Roll certificate to make the next certificate as the current certificate (Roll certificate to make the next certificate as the current certificate ) e, em seguida, conclua os passos no assistente.
Teste a configuração com o
Test-Federation
cmdlet . Os resultados devem mostrar que a validação do certificado de federação foi efetuada com êxito.Nota
Para obter mais informações sobre o
Test-FederationTrust
cmdlet, aceda a Test-FederationTrust.
Mais informações
Ainda necessita de ajuda? Aceda ao site Microsoft Community ou Fóruns do Windows Azure Active Directory .
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários