Не удается найти сертификат федерации с отпечатком при использовании следующего сертификата
Исходный номер базы знаний: 2810692
Примечание.
Мастер гибридной конфигурации, включенный в консоль управления Exchange в Microsoft Exchange Server 2010, больше не поддерживается. Поэтому больше не следует использовать старый мастер гибридной конфигурации. Вместо этого используйте мастер гибридной конфигурации Microsoft 365. Дополнительные сведения см. в статье Мастер гибридной конфигурации Microsoft 365 для Exchange 2010.
Симптомы
Рассмотрим следующий сценарий в гибридном развертывании локальных Exchange Server и Exchange Online в Microsoft 365:
- Текущий сертификат, созданный для доверия федерации на гибридном сервере, непреднамеренно удаляется.
- Чтобы доверие работало правильно, необходимо заменить текущий сертификат.
- Создается новый сертификат.
- Вы запускаете мастер управления федерацией, а затем выбираете свернуть сертификат, чтобы сделать следующий сертификат текущим проверка для использования нового сертификата.
В этом сценарии мастер не обновляет сертификат должным образом. При попытке Set-FederationTrust -Identity
использовать командлет для того, чтобы федерация доверилась использовать следующий сертификат в качестве текущего сертификата, появляется следующее сообщение об ошибке:
[PS] C:>Set-FederationTrust -Identity "Microsoft Federation Gateway" -PublishFederationCertificate
Не удается найти сертификат федерации с отпечатком "<отпечаток текущего сертификата>".
+ CategoryInfo : InvalidResult: (:) [Set-FederationTrust], FederationCertificateInvalidException
+ FullyQualifiedErrorId : 906B427C,Microsoft.Exchange.Management.SystemConfigurationTasks
Причина
Эта проблема возникает, если новый сертификат отсутствует в хранилище сертификатов. В этом случае мастеру управления федерацией не удается выполнить развертывание к новому сертификату.
Разрешение
Чтобы устранить эту проблему, обновите объект Active Directory для доверия федерации, добавив в объект отпечаток для следующего сертификата федерации. Это позволяет мастеру управления федерацией или командлету Set-FederationTrust
успешно обработать запрос на смену.
Для этого выполните следующие действия:
Войдите на сервер гибридного развертывания Exchange 2010 в качестве администратора домена.
Откройте Редактор интерфейсов служб Active Directory (ADSI). Для этого нажмите кнопку Пуск, нажмите кнопку Выполнить, введите
ADSIEdit.msc
и нажмите кнопку ОК.После загрузки окна "Редактирование ADSI" щелкните правой кнопкой мыши элемент Изменить ADSI в области навигации и выберите подключиться к.
В окне Параметры подключения щелкните Выбрать известный контекст именования в области Точка подключения , а затем щелкните Конфигурация.
В области Компьютер выберите Значение по умолчанию (домен или сервер, на который вы вошли) и нажмите кнопку ОК.
Найдите CN=Configuration, DC=<DOMAIN>, DC=<COM>, CN=Services, CN=Microsoft Exchange, CN=<ORGANIZATION NAME>, CN=Federation Trusts.
Примечание.
Замените значения в заполнителях (<>) значениями, характерными для вашей среды.
Щелкните правой кнопкой мыши CN=Microsoft Federation Gateway и выберите пункт Свойства.
Дважды щелкните
msExchFedOrgNextCertificate
свойство и скопируйте все значение.Примечание.
Это значение может быть заполнено только в том случае, если возникла проблема, описанная в разделе Симптомы. Если значение не заполнено, вы не сможете продолжить выполнение остальных шагов.
msExchFedOrgNextCertificate
Закройте свойство .Дважды щелкните
msExchFedOrgPrivCertificate
свойство и вставьте значение, скопированное на шаге 8. Эскиз текущего сертификата будет заменен эскизом следующего сертификата.Нажмите кнопку ОК , чтобы задать значение.
Принудительная репликация Active Directory вручную. Или подождите, пока изменения будут реплицированы в инфраструктуре Active Directory.
Примечание.
Дополнительные сведения о принудительной репликации Active Directory см. в статье Принудительная репликация через подключение.
В консоли управления Exchange снова запустите мастер управления федерацией. Текущий сертификат и следующий сертификат должны быть одинаковыми.
Установите флажок Roll certificate (Свернуть сертификат), чтобы сделать следующий сертификат проверка текущим сертификатом, а затем выполните действия мастера.
Протестируйте конфигурацию с помощью командлета
Test-Federation
. Результаты должны показать, что проверка сертификата федерации прошла успешно.Примечание.
Дополнительные сведения о командлете см. в
Test-FederationTrust
статье Test-FederationTrust.
Дополнительная информация
Требуется дополнительная помощь? Перейдите на веб-сайт Сообщества Майкрософт или форумы Windows Azure Active Directory .
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по