يدعم FIM 2010 الذاتي خدمة إعادة تعيين كلمة المرور الآن فرض كافة نهج كلمة مرور المجال

ملخص

هام

التغييرات الموضحة في هذا المستند قد تنفذ في بيئة اختبار قبل نشر التغيير إلى بيئة إنتاج.

شهادات ملقم مطلوبة على أي وحدة تحكم المجال التي تحمل أو قد ترى، دور محاكي PDC FSMO. وينبغي مناقشة هذا التغيير مع مجموعات تكنولوجيا المعلومات للتأكد من صحة اختبار المناسبة والتمهيدية من LDAP SSL في بيئة الإنتاج.

في حالة حدوث مشكلة في الإنتاج حيث "إعادة تعيين كلمة مرور الخدمة الذاتية" لم يعد يعمل بعد تنفيذ هذا التغيير، قم بتعطيل الوظائف الجديدة في التسجيل للعودة FIM إلى صبر وظيفته الأصلية.

إعادة تعيين كلمة المرور

كلمة مرور إعادة تعيين في "Active Directory" تاريخيا تم في الوكيل بمسؤولي مكتب المساعدة العامل أو المستخدم. في هذا السيناريو، من المهم المخزن المؤقت أولئك الذين يعملون في الوكيل من محفوظات كلمة المرور المستخدم النهائي للحفاظ على الأمان.
إصدار من Microsoft Forefront هوية إدارة (FIM) 2010، توفر Microsoft تطبيق يمكن المستخدمين النهائيين من إعادة تعيين كلمات المرور الخاصة بهم دون استدعاء مكتب المساعدة. في هذا السيناريو، من المهم فرض كافة نهج كلمة المرور حيث يستخدم المستخدمون وظيفة "إعادة تعيين كلمة مرور الخدمة الذاتية" في FIM لتجاوز السياسات التنظيمية.
حتى هذا التغيير، لا تنفذ كافة واجهات برمجة تطبيقات Windows المتوفرة لإعادة تعيين كلمات المرور في المجال كافة نهج كلمة مرور المجال. يصف هذا المستند كيفية تثبيت وتكوين "إعادة تعيين كلمة مرور الخدمة الذاتية" في 2010 FIM لفرض كافة نهج كلمات المرور التي تم تكوينها في المجال.

عمليات المرور في عامل إدارة خدمة active Directory في FIM 2010

منذ عام 2003 MIIS، يستخدم عامل إدارة "خدمة active Directory" Kerberos APIs لعمليات تغيير كلمة المرور وإعادة تعيين كلمة المرور على السواء. بتغيير المذكورة في هذه الوثيقة، طريقة جديدة لإعادة تعيين كلمات المرور يضاف إلى عامل إدارة "خدمة active Directory". يمكنك استخدام LDAP APIs عبر اتصال LDAP SSL.

نظرة عامة حول خطوات التمكين "فرض نهج كلمة المرور" في صبر FIM

قم بتثبيت التحديث الإصلاح العاجل لنظام التشغيل Windows Server 2008 R2 أو Windows Server 2008 على وحدة تحكم المجال بدور محاكي PDC.
تثبيت التحديثات التالية إدارة الهوية Forefront (FIM) 2010 لمكونات الخادم FIM:
- تحديث خدمة المزامنة FIM
- تحديث المدخل FIM والخدمة
تكوين ل LDAP عبر اتصالات SSL بين خدمة التزامن FIM ومالك دور محاكي PDC. تمكين "الخدمة الذاتية لإعادة تعيين كلمة المرور" لفرض نهج كلمة مرور المجال كافة استخدام قيمة التسجيل أدماينفورسيباسووردبوليسي .

مزيد من المعلومات

الملف ومعلومات التثبيت

يجب تثبيت مكونات كل من Active Directory ل Windows وإدارة الهويات Forefront لتمكين هذه الوظيفة الجديدة.

المكون	عنوان المقال	محدد موقع معلومات تنزيل الإصلاح العاجل
Windows Server 2008 R2	لا تعمل "فرض محفوظات كلمة المرور" وإعدادات نهج المجموعة "الحد الأدنى لعمر كلمة المرور" عند إعادة تعيين كلمة مرور للمستند إلى نظام التشغيل Windows Server 2008 R2 أو جهاز كمبيوتر يستند إلى Windows Server 2008	http://support.microsoft.com/hotfix/kbhotfix.aspx?kbnum=2386717
نظام التشغيل Windows Server 2008	لا تعمل "فرض محفوظات كلمة المرور" وإعدادات نهج المجموعة "الحد الأدنى لعمر كلمة المرور" عند إعادة تعيين كلمة مرور للمستند إلى نظام التشغيل Windows Server 2008 R2 أو جهاز كمبيوتر يستند إلى Windows Server 2008	http://support.microsoft.com/hotfix/kbhotfix.aspx?kbnum=2386717
إدارة الهويات forefront 2010	حزمة الإصلاحات الجديدة للبناء 4.0.3561.2 لإدارة الهويات Forefront Microsoft (FIM) 2010	http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2417774

إينستروكتيونسف التثبيت

نظرة عامة حول وحدة تحكم المجال

متطلبات

يجب أن يكون لديك وحدة "تحكم المجال" المستندة إلى Windows Server 2008 أو المستندة إلى نظام التشغيل Windows Server 2008 R2.
يجب أن تملك دور محاكي PDC في المجال.
- يصل FIM محاكي PDC لإعادة تعيين كلمة المرور كافة العمليات.
- يجب أن يكون كل مجال المستخدمين الذين سيتم إعادة تعيين كلمات المرور الخاصة بهم من خلال FIM استضافة وحدة تحكم المجال بدور محاكي PDC تحديث ببناء هذا الإصلاح العاجل.
يجب أن يكون بروتوكول الوصول الخفيف إلى الدليل (LDAP) عبر اتصالات SSL بين خدمة التزامن FIM وتثبيت وحدة تحكم المجال.

تثبيت التحديث الإصلاحات الضرورية ل Windows

استخدام التشغيل كخيار المسؤول عند قيامك بتشغيل الملف القابل للتنفيذ المناسب توثيق في الجدول التالي على وحدة تحكم المجال.

اسم الملف	النظام الأساسي
Windows6.1-KB2386717-ia64.msu	ia64
Windows6.1-KB2386717-x64.msu	x64
Windows6.1-KB2386717-x86.msu	x86
Windows6.0-KB2386717-x64.msu	x64
Windows6.0-KB2386717-x86.msu	x86

للتأكد من تثبيت الإصلاح الجديد كما هو متوقع، يمكن استخدام LDP.exe للتحقق من عنصر التحكم LDAP الجديد المثبت بالإصلاح العاجل. يتم إرجاع معلومات التحكم LDAP في سمة "سوبورتيدكونترول" في RootDSE.

عنصر التحكم الجديد OID: "1.2.840.113556.1.4.2066"انظر التذييل 4 لمزيد من المعلومات حول التدقيق RootDSE لعنصر التحكم الجديد يستخدم ldp.exe.

مكونات الخادم FIM 2010

ثم تحميل وتثبيت مكونات الخادم FIM 2010 ما يلي:

خطوات التكوين

LDAP عبر اتصالات SSL

المتطلبات الأساسية لتأسيس اتصال LDAP عبر SSL لوحدة تحكم بمجال:

وحدة التحكم بالمجال يجب أن يكون لديك شهادة تم إصدارها لأنه يستند إلى قالب شهادة "وحدة التحكم بالمجال".
ملاحظة: التذييل الأول يحتوي على معلومات حول كيفية القيام بذلك في سيناريو بسيطة.
خادم خدمة FIM يجب الثقة بالمرجع المصدق الذي أصدر الشهادة إلى وحدة "تحكم المجال".
ملاحظة: معلومات حول كيفية القيام بذلك في "الملحق الأول" لهذه الوثيقة.

تمكين فرض نهج كلمة المرور في FIM 2010

تمكين فرض محفوظات كلمة المرور في FIM 2010 انتهى بإجراء إعداد تسجيل. يجب أن يتم تكوين لكل عامل إدارة "خدمة active Directory" التي نرغب في تمكين فرض نهج كلمة المرور.
هام: افتراضياً، يتم تعطيل هذا الإعداد لكافة عملاء إدارة "خدمة active Directory".
ملاحظة: في المثال "مفتاح التسجيل" التالي، < اسم ما > يجب استبداله باسم ما أن يتم تكوين "خدمة active Directory".
مفتاح التسجيل: < اسم ما > SYSTEM\CurrentControlSet\Services\FIMSynchronizationService\Parameters\PerMAInstance\
قيمة التسجيل: تعيين أدماينفورسيباسووردبوليسي = 1 لفرض محفوظات كلمة المرور. يتم تفسير كافة القيم الأخرى كإيقاف وظائف جديدة.

اختبار واستكشاف الأخطاء وإصلاحها

الملاحق في نهاية هذا المستند معلومات إضافية قد تكون مفيدة عندما تقوم بتكوين بيئة اختبار بسيط. وهناك أيضا ارتباطات لاستكشاف الأخطاء وإصلاحها LDAP عبر اتصالات SSL.

التذييل 1: إعداد تكوين اختبار بسيط

ملاحظة: وليس المقصود الخطوات الواردة في هذا الملحق لاستخدامها في بيئة إنتاج. تخطيط ونشر الشهادات في بيئة الإنتاج يجب مراعاتها للبنية الأساسية للأمان الكامل للشبكة.

تمكين SSL LDAP في "بيئة اختبار" يستخدم "خدمات الشهادات Active Directory" لإصدار شهادة الملقم إلى وحدة تحكم المجال.

تثبيت خدمات الشهادات Active Directory

افتح "إدارة الخادم".
تحديد أدوارومن ثم انقر فوق إضافة أدوار في الجزء الأوسط.
في إطار تحديد أدوار الخادم ، حدد خدمات الشهادات Active Directoryومن ثم انقر فوق التالي.
تحديد المرجع المصدق و تسجيل ويب المرجع المصدق في قائمة خدمات الدور ومن ثم انقر فوق التالي.
في إطار تحديد نوع الإعداد ، حدد خيار المؤسسة ، ومن ثم انقر فوق التالي.
في الإطار " تحديد نوع المرجع المصدق "، حدد الخيار المرجع المصدق الجذر وثم انقر فوق التالي.

تكوين "قالب شهادة وحدة التحكم بالمجال" لتمكين التسجيل

تحقق من خصائص أمان قالب شهادة وحدة التحكم بالمجال للتأكد من أن "وحدات التحكم" بالمجال إذن تسجيل .
1. في "إدارة الخادم"، قم بتوسيع دور خدمات الشهادات Active Directory .
2. انقر لتحديد قوالب الشهادات.
3. في قائمة قوالب الشهادات، انقر فوق لعرض الخصائص لقالب شهادة وحدة التحكم بالمجال .
4. انقر فوق علامة التبويب أمان .
5. انقر فوق هوية أمان وحدات التحكم بالمجال .
6. تأكد من أن يتم منح إذن تسجيل .
تأكد من أن يتم نشر قالب شهادة "وحدة التحكم بالمجال" في "المرجع المصدق".
1. في شجرة "خدمات الشهادات Active Directory"، قم بتوسيع شجرة "المرجع المصدق" له نفس الاسم المعطى "المرجع المصدق" على الإعداد.
2. تحت شجرة "المرجع المصدق"، انقر فوق الحاوية قوالب الشهادات
3. تحقق من الجزء الأيمن للتأكد من أنه تم سرد قالب شهادة وحدة التحكم بالمجال .
4. إذا لم يكن قالب شهادة وحدة التحكم بالمجال مسردًا، اتبع الخطوات التالية:

أنت الآن جاهز لطلب شهادة جديدة لوحدة تحكم المجال الخاصة بك استناداً إلى قالب شهادة "وحدة التحكم بالمجال".

طلب شهادة لوحدة تحكم المجال

على وحدة تحكم المجال

انقر فوق مربع الاختيار المجاور "وحدة تحكم المجال" ومن ثم انقر فوق الزر "تسجيل"

الثقة "المرجع المصدق الجذر" على الكمبيوتر FIM المزامنة

على الكمبيوتر "المرجع المصدق"

على الكمبيوتر FIM خدمة المزامنة

أنت الآن جاهز لاختبار LDAP عبر اتصال SSL بين خادم خدمة المزامنة FIM ووحدة التحكم بالمجال الخاص بمحاكي PDC.

تدقيق LDAP عبر اتصال SSL إلى PDC

تثبيت أدوات الإدارة عن بعد في مجال

افتح موجه cmd.exe باستخدام الخيار تشغيل كمسؤول
اكتب الأمر التالي، ثم اضغط مفتاح الإدخال ENTER.
ملاحظة: قد يلزم إعادة تشغيل.
سيرفيرماناجيركمد – تثبيت rsat-إضافة
Ldp.exe متوفر الآن

استخدام Ldp.exe لاختبار LDAP عبر اتصال SSL

قم بتشغيل Ldp.exe.
في القائمة ملف ، انقر فوق " اتصال".
اكتب دنشوستنامي (FQDN) لوحدة تحكم المجال التي تملك دور محاكي PDC.
تغيير رقم المنفذ إلى 636.
انقر فوق لتمكين SSL.
انقر فوق موافق.

في جزء الجانب الأيمن من ldp.exe، ينبغي أن توفر معلومات rootDSE الاتصال الناجح.
إذا لاحظت عدم حدوث الاتصال، الرجاء استخدام مقالة قاعدة المعارف التالية لاستكشاف الأخطاء وإصلاحها:
كيفية استكشاف أخطاء وإصلاحها LDAP عبر SSL مشاكل الاتصال 938703

اختبار اتصال SSL LDAP باستخدام Ldp.exe

النص الناتج في نافذة نتائج برامج التنمية المحلية:
LDP.exe Connect Properties for LDAP over SSL

لاحظ كيفية مطابقة اسم الملقم في أسلوب ldap_sslinit() دنشوستنامي التي تم إرجاعها في معلومات rootDSE. لقطة الشاشة الشهادة التالية يظهر الاسم أن يتم إصدار الشهادة إلى مطابقة هذا الاسم. من المهم جداً لكافة هذه لمطابقة. وإلا يفشل اتصال LDAP و "القناة" يسجل خطأ في سجل الأحداث.

الإخراج من الجزء الأيمن من LDP.exe بعد إجراء الاتصال

شهادة DC للمقارنة

Example Server Certificate for the Domain Controller

لاحظ أن يتم أيضا إصدار شهادة الملقم إلى دنشوستنامي نفسه. بعد كل هذه المباراة مهم جداً لإجراء اتصال LDAP SSL.

التذييل 2: الأسئلة المتداولة

سؤال سيقوم هذا العمل إذا قمت بتثبيت وحدة تحكم مجال Windows Server 2008 R2 محاكي PDC في مجال Windows Server 2008 أو Windows Server 2003؟ جواب "نعم". يتم تمكين هذه الوظيفة بواسطة عنصر تحكم LDAP التي يتم استضافتها على pdc. كما تم العثور على عنصر التحكم على pdc، هذا العمل كما هو متوقع.
سؤال إذا قمت بتثبيت هذا التحديث على عملية نشر FIM، سيؤدي "إعادة تعيين كلمة مرور الخدمة الذاتية" التكوين الحالي؟
جواب لا. افتراضياً، يتم تعطيل هذه الوظيفة الجديدة في عامل إدارة "خدمة active Directory". يتم استخدام معلومات السجل التالية لتمكين وظيفة جديدة.

مفتاح التسجيل
< اسم ما > SYSTEM\CurrentControlSet\Services\FIMSynchronizationService\Parameters\PerMAInstance\

اسم قيمة التسجيل	القيم	الفئة	تم إنشاؤه بواسطة	شرح
أدماينفورسيباسووردبوليسي	dword	HKLM	الإدارة	1-صحيح، كل شيء آخر خطأ سيؤدي تعيين هذه القيمة إلى "1" ما الإعلان للتحقق من محفوظات كلمة المرور قبل سيتم إعادة تعيين كلمة مرور أثناء إعادة تعيين كلمة المرور. ملاحظة: هذا الإعداد فقط معتمد على البناء FIM الإصدار 4.0.3561.2 والإصدارات الأحدث. ملاحظة: وهذا معتمد فقط حيث وحدة التحكم بالمجال كما يلي: · نظام التشغيل Windows Server 2008 R2 مع KB2386717 · Windows Server 2008 R2 SP1 · Windows Server 2008 مع KB2386717

سؤال ما هو التغيير إلى الأسلوب WMI MIIS_CSObject.SetPassword لتمكين هذه الوظيفة؟
جوابstring SetPassword( [in] string NewPassword, [in] bool ForceChangeAtLogon,
[in] bool UnlockAccount
[in] bool ValidatePasswordPolicy
);

معلمات

SetPassword Paramters

التذييل 3: موارد إضافية

الوثائق الحالية ل LDAP أكثر من تكوين SSL واستكشاف الأخطاء وإصلاحها

لمزيد من المعلومات حول كيفية تمكين LDAP عبر SSL مع مرجع مصدق من جهة خارجية، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
321051 كيفية تمكين LDAP عبر SSL مع مرجع مصدق من جهة خارجية
لمزيد من المعلومات حول كيفية استكشاف أخطاء LDAP عبر SSL مشاكل الاتصال، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
كيفية استكشاف أخطاء وإصلاحها LDAP عبر SSL مشاكل الاتصال 938703
لمزيد من المعلومات حول Windows LDAP عبر SSL المتطلبات، قم بزيارة موقع Microsoft التالي على الويب:

مثال التعليمات البرمجية لتأسيس جلسة عمل عبر SSL

التذييل 4: استخدام LDP.exe للتحقق من "عنصر التحكم" الجديد LDAP

قم بتشغيل Ldp.exe.
في القائمة ملف ، انقر فوق " اتصال".
اكتب دنشوستنامي (FQDN) لوحدة تحكم المجال التي تملك دور محاكي PDC.
انقر فوق موافق.
تحقق من الجزء الأيمن للسمة "سوبورتيدكونترولس".
تحقق من قيم سوبورتيدكونترولس لمعرف الكائن: "1.2.840.113556.1.4.2066".

في جزء الجانب الأيمن من ldp.exe، ينبغي أن توفر معلومات rootDSE الاتصال الناجح.

المراجع

لمزيد من المعلومات حول مصطلحات تحديث البرامج، انقر فوق رقم المقال التالي لعرضه في "قاعدة معارف Microsoft":

824684 وصف للمصطلحات القياسية المستخدمة في وصف تحديثات برامج Microsoft