Det går inte att hitta federationscertifikatet med tumavtrycket när du använder nästa certifikat
Ursprungligt KB-nummer: 2810692
Obs!
Hybridkonfigurationsguiden som ingår i Exchange Management Console i Microsoft Exchange Server 2010 stöds inte längre. Därför bör du inte längre använda den gamla hybridkonfigurationsguiden. Använd i stället guiden Microsoft 365 Hybrid Configuration. Mer information finns i microsoft 365 hybridkonfigurationsguiden för Exchange 2010.
Symptom
Tänk dig följande scenario i en hybriddistribution av lokala Exchange Server och Exchange Online i Microsoft 365:
- Det aktuella certifikatet som skapades för federationsförtroendet på hybridservern tas oavsiktligt bort.
- Det aktuella certifikatet måste ersättas för att förtroendet ska fungera korrekt.
- Ett nytt certifikat skapas.
- Du kör guiden Hantera federation och markerar sedan kryssrutan Rulla certifikat för att göra nästa certifikat som aktuellt certifikat för att använda det nya certifikatet.
I det här scenariot uppdaterar inte guiden certifikatet som förväntat. När du försöker använda cmdleten Set-FederationTrust -Identity
för att få federationsförtroendet att använda nästa certifikat som aktuellt certifikat visas följande felmeddelande:
[PS] C:>Set-FederationTrust -Identity "Microsoft Federation Gateway" -PublishFederationCertificate
Det går inte att hitta federationscertifikatet med tumavtrycket "<tumavtryck för det aktuella certifikatet>".
+ CategoryInfo: InvalidResult: (:) [Set-FederationTrust], FederationCertificateInvalidException
+ FullyQualifiedErrorId: 906B427C,Microsoft.Exchange.Management.SystemConfigurationTasks
Orsak
Det här problemet uppstår om det nya certifikatet saknas i certifikatarkivet. I det här fallet kan guiden Hantera federation inte rulla till det nya certifikatet.
Åtgärd
Åtgärda problemet genom att uppdatera Active Directory-objektet för federationsförtroendet genom att lägga till tumavtrycket för nästa federationscertifikat i objektet. På så sätt kan guiden Hantera federation eller cmdleten Set-FederationTrust
bearbeta rollover-begäran.
Gör så här:
Logga in på hybriddistributionsservern för Exchange 2010 som domänadministratör.
Öppna Active Directory-tjänstgränssnitt (ADSI) Redigera. Det gör du genom att klicka på Start, klicka på Kör, skriva
ADSIEdit.msc
och sedan klicka på OK.När ADSI-redigeringsfönstret har lästs in högerklickar du på ADSI Redigera i navigeringsfönstret och klickar sedan på Anslut till.
I fönstret Anslutningsinställningar klickar du på Välj en välkänd namngivningskontext i området Anslutningspunkt och klickar sedan på Konfiguration.
I området Dator väljer du Standard (domän eller server som du är inloggad på)och klickar sedan på OK.
Leta upp CN=Configuration, DC=<DOMAIN>, DC=<COM>, CN=Services, CN=Microsoft Exchange, CN=<ORGANIZATION NAME>, CN=Federation Trusts.
Obs!
Ersätt värdena i platshållarna (<>) med de värden som är specifika för din miljö.
Högerklicka på CN=Microsoft Federation Gateway och klicka sedan på Egenskaper.
Dubbelklicka på
msExchFedOrgNextCertificate
egenskapen och kopiera sedan hela värdet.Obs!
Det här värdet kan bara fyllas i om du upplever problemet som beskrivs i avsnittet Symptom. Om värdet inte är ifyllt kan du inte fortsätta med de återstående stegen.
Stäng egenskapen
msExchFedOrgNextCertificate
.Dubbelklicka på
msExchFedOrgPrivCertificate
egenskapen och klistra sedan in värdet som du kopierade i steg 8. Miniatyrbilden av det aktuella certifikatet ersätts med miniatyrbilden för nästa certifikat.Ange värdet genom att klicka på OK .
Framtvinga Active Directory-replikering manuellt. Eller vänta tills ändringen replikeras i hela Active Directory-infrastrukturen.
Obs!
Mer information om hur du tvingar Active Directory-replikering finns i Tvinga replikering över en anslutning.
Kör guiden Hantera federation igen i Exchange Management Console. Det aktuella certifikatet och nästa certifikat ska vara samma.
Markera kryssrutan Rulla certifikat för att göra nästa certifikat som aktuellt certifikat och slutför sedan stegen i guiden.
Testa konfigurationen med hjälp av cmdleten
Test-Federation
. Resultaten bör visa att valideringen av federationscertifikatet lyckades.Obs!
Mer information om cmdleten finns i
Test-FederationTrust
Test-FederationTrust.
Mer information
Behöver du fortfarande hjälp? Gå till Microsoft Community eller webbplatsen för Windows Azure Active Directory-forum .
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för