Не удается найти сертификат федерации с отпечатком при использовании следующего сертификата

  • Статья
  • Применяется к:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Exchange Online, Exchange Server 2010 Enterprise, Exchange Server 2010 Standard

Исходный номер базы знаний: 2810692

Примечание.

Мастер гибридной конфигурации, включенный в консоль управления Exchange в Microsoft Exchange Server 2010, больше не поддерживается. Поэтому больше не следует использовать старый мастер гибридной конфигурации. Вместо этого используйте мастер гибридной конфигурации Microsoft 365. Дополнительные сведения см. в статье Мастер гибридной конфигурации Microsoft 365 для Exchange 2010.

Симптомы

Рассмотрим следующий сценарий в гибридном развертывании локальных Exchange Server и Exchange Online в Microsoft 365:

  • Текущий сертификат, созданный для доверия федерации на гибридном сервере, непреднамеренно удаляется.
  • Чтобы доверие работало правильно, необходимо заменить текущий сертификат.
  • Создается новый сертификат.
  • Вы запускаете мастер управления федерацией, а затем выбираете свернуть сертификат, чтобы сделать следующий сертификат текущим проверка для использования нового сертификата.

В этом сценарии мастер не обновляет сертификат должным образом. При попытке Set-FederationTrust -Identity использовать командлет для того, чтобы федерация доверилась использовать следующий сертификат в качестве текущего сертификата, появляется следующее сообщение об ошибке:

[PS] C:>Set-FederationTrust -Identity "Microsoft Federation Gateway" -PublishFederationCertificate
Не удается найти сертификат федерации с отпечатком "<отпечаток текущего сертификата>".
+ CategoryInfo : InvalidResult: (:) [Set-FederationTrust], FederationCertificateInvalidException
+ FullyQualifiedErrorId : 906B427C,Microsoft.Exchange.Management.SystemConfigurationTasks

Причина

Эта проблема возникает, если новый сертификат отсутствует в хранилище сертификатов. В этом случае мастеру управления федерацией не удается выполнить развертывание к новому сертификату.

Разрешение

Чтобы устранить эту проблему, обновите объект Active Directory для доверия федерации, добавив в объект отпечаток для следующего сертификата федерации. Это позволяет мастеру управления федерацией или командлету Set-FederationTrust успешно обработать запрос на смену.

Для этого выполните следующие действия:

  1. Войдите на сервер гибридного развертывания Exchange 2010 в качестве администратора домена.

  2. Откройте Редактор интерфейсов служб Active Directory (ADSI). Для этого нажмите кнопку Пуск, нажмите кнопку Выполнить, введите ADSIEdit.mscи нажмите кнопку ОК.

  3. После загрузки окна "Редактирование ADSI" щелкните правой кнопкой мыши элемент Изменить ADSI в области навигации и выберите подключиться к.

  4. В окне Параметры подключения щелкните Выбрать известный контекст именования в области Точка подключения , а затем щелкните Конфигурация.

  5. В области Компьютер выберите Значение по умолчанию (домен или сервер, на который вы вошли) и нажмите кнопку ОК.

  6. Найдите CN=Configuration, DC=<DOMAIN>, DC=<COM>, CN=Services, CN=Microsoft Exchange, CN=<ORGANIZATION NAME>, CN=Federation Trusts.

    Примечание.

    Замените значения в заполнителях (<>) значениями, характерными для вашей среды.

  7. Щелкните правой кнопкой мыши CN=Microsoft Federation Gateway и выберите пункт Свойства.

  8. Дважды щелкните msExchFedOrgNextCertificate свойство и скопируйте все значение.

    Примечание.

    Это значение может быть заполнено только в том случае, если возникла проблема, описанная в разделе Симптомы. Если значение не заполнено, вы не сможете продолжить выполнение остальных шагов.

  9. msExchFedOrgNextCertificate Закройте свойство .

  10. Дважды щелкните msExchFedOrgPrivCertificate свойство и вставьте значение, скопированное на шаге 8. Эскиз текущего сертификата будет заменен эскизом следующего сертификата.

  11. Нажмите кнопку ОК , чтобы задать значение.

  12. Принудительная репликация Active Directory вручную. Или подождите, пока изменения будут реплицированы в инфраструктуре Active Directory.

    Примечание.

    Дополнительные сведения о принудительной репликации Active Directory см. в статье Принудительная репликация через подключение.

  13. В консоли управления Exchange снова запустите мастер управления федерацией. Текущий сертификат и следующий сертификат должны быть одинаковыми.

  14. Установите флажок Roll certificate (Свернуть сертификат), чтобы сделать следующий сертификат проверка текущим сертификатом, а затем выполните действия мастера.

  15. Протестируйте конфигурацию с помощью командлета Test-Federation . Результаты должны показать, что проверка сертификата федерации прошла успешно.

    Примечание.

    Дополнительные сведения о командлете см. в Test-FederationTrust статье Test-FederationTrust.

Дополнительная информация

Требуется дополнительная помощь? Перейдите на веб-сайт Сообщества Майкрософт или форумы Windows Azure Active Directory .