Сборен пакет за актуализация за гореща поправка (компилация 4.4.1459.0) е наличен за Microsoft Identity Manager 2016 Service Pack 1

Услуга за синхронизиране

След инсталирането на тази актуализация разширенията на правилата и агентите за управление по избор (MAs), които се базират на extensible MA (ECMA1 или ECMA 2.0), може да не се изпълняват и може да породят състояние на изпълнение на "stopped-extension-dll-load". Този проблем възниква, когато изпълнявате разширения на правила или потребителски MAs след промяна на конфигурационния файл (.config) за един от следните процеси:

• MIIServer.exe

• Mmsscrpt.exe

• Dllhost.exe

Например сте редактирали файла на MIIServer.exe.config, за да промените размера на партидата по подразбиране за обработка на записите за синхронизиране за FIM услугата MA.

В този случай инсталиращата програма на системата за синхронизиране за тази актуализация нарочно избягва заместването на конфигурационния файл, за да избегне изтриването на предишните ви промени. Тъй като конфигурационният файл не е заместен, записите, изисквани от тази актуализация, няма да присъстват във файловете и системата за синхронизиране няма да зареди DLL за разширения на правила, когато системата изпълнява профил за изпълнение на пълно импортиране или делта синхронизация.

За да разрешите този проблем, изпълнете следните стъпки:

1. Направете архивно копие на MIIServer.exe.config файл.

2. Отворете файла на MIIServer.exe.config в текстов редактор или в Microsoft Visual Studio.

3. Намерете секцията> <време на изпълнение във файла MIIServer.exe.config, и след това заместете съдържанието на раздела <зависимиКомплекс> със следното:<зависимиКомплекс> <assemblyIdentity name="Microsoft.MetadirectoryServicesEx" publicKeyToken="31bf3856ad364e35" /> <bindingRedirect oldVersion="3.3.0.0-4.1.3.0" newVersion="4.1.4.0" /> </dependentAssembly>

4. Запишете промените във файла.

5. Намерете файла на Mmsscrpt.exe.config в същата директория и Dllhost.exe.config в родителската директория. Повторете стъпки от 1 до 4 за тези два файла.

6. Рестартирайте услугата за синхронизиране на Forefront Identity Manager (FIMSynchronizationService).

7. Уверете се, че разширенията на правилата и агентите за управление по избор вече работят по очаквания начин.

Услуга за MIM

Брой 1

Работният поток за удостоверяване е неуспешен с "Периодът на изчакване на семафора е изтекъл" след клиентски заявки по избор с маркер AuthN.

След като инсталирате актуализацията, заявката ще завърши по очаквания начин и в регистрационния файл на събитията се изпраща ясно съобщение за комуникационна грешка.

Брой 2

При голямо натоварване може да има ситуация със състояние на надпревара, когато два екземпляра на услугата за MIM се опитват да обработят един и същ работен поток едновременно. Това може да доведе до неуспешна обработка на работния поток.

След като инсталирате тази актуализация, този проблем вече не възниква.

Брой 3

Разделянето на дялове може да не работи, ако даден критерий съдържа под условие. След като инсталирате тази актуализация, задаването на разделяне работи правилно.

Брой 4

С течение на времето някои данни за обработка се натрупват в базата данни на услугата MIM, което може да причини проблеми с производителността. Това води до проблем, когато много ИД на обекти се запазват в FIM. Таблица с обекти . Заданието за Агент на SQL Server изпълнява съхранена процедура FIM_DeleteExpiredSystemObjectsJob и премахва системни обекти с изтекъл срок, като събира всички заявки и препратки към обекти и поставя техните ИД на обекти в таблицата ExpiredObjectKeys.

След това всички стойности в таблиците ObjectValue* се премахват за всеки ИД номер в таблицата ExpiredObjectKeys . И накрая, ако стойностите в таблиците ObjectValue* наистина са изтрити, съответстващият ред в таблицата ExpiredObjectKeys също се изтрива. Обаче самият ИД на обекта никога не се изтрива от fim. Таблица с обекти .

След като инсталирате актуализацията, се добавя нова съхранена процедура в пространството на имената за отстраняване на грешки, за да изчистите базата данни на тези обекти.

• Име на съхранена процедура: отстраняване на грешки. DeleteObjectRemainders

• Синтаксис: отстраняване на грешки в exec. DeleteObjectRemainders

Проблем 5

След инсталация начисто MIM SP1 услугата MIM Reporting или MIM Service Partitioning може да не работи правилно. След като инсталирате тази актуализация, отчитането на услугата MIM и разделянето са инсталирани и функционират правилно.

Брой 6

Ако нивото на съвместимост на базата данни FIMService е зададено на 120, може да възникнат блокирания на SQL. След като инсталирате тази актуализация, тези блокирания вече не възникват.

Подобрение 1

Регистрирането на проследяването на многословни данни в услугата за MIM вече може да бъде разрешено, без да се налага рестартиране на услугата.

В Microsoft.ResourceManagement.Service.exe.config файл се добавя една нова секция, за да се поддържа тази функционалност. След като инсталирате тази актуализация, сега е налична тази нова секция.

<dynamicLogging mode="true" loggingLevel="Critical" />

Регистрирането може да бъде зададено на всяко ниво между Critical и Verbose.

Два изходни файла ще бъдат записани в инсталационната папка за услугата MIM. Важно е акаунтът на услугата за MIM да има разрешения за запис в тази папка.

Местоположение на папката:

%programfiles%\Microsoft Forefront Identity Manager\2010\Service

Написани файлове:

• Microsoft.ResourceManagement.Service_tracelog.svclog

• Microsoft.ResourceManagement.Service_tracelog.txt

Подобрение 2

Поддръжка за System Center 2016 Service Manager и data warehouse се добавя за MIM услуга отчитане.

Преди тази актуализация, MIM съобщаването не можа да се инсталира и изпълни с конзолата на system Center 2016 Service Manager.

След като инсталирате тази актуализация, MIM reporting може да се инсталира и изпълнява, без да е необходимо предварително инсталиране на SCSM конзола за всяка поддържана версия на SCSM.

Услуга за синхронизиране

Брой 1

Ако агентът за управление на FIM услуга експортира изтриване на обект, но не получите потвърждение на изтриването, този обект може да бъде частично възстановен в FIMService.

След като инсталирате тази актуализация, ще се покаже грешка в списъка с грешки на експортирането изпълнение и отдих не възниква.

Брой 2

Когато DN на обект е също котва, тя не може да бъде преименувана. Вместо това получавате следното изключение:

След като инсталирате тази актуализация, преименуване се обработва по очаквания начин.

Брой 3

Инструментът за управление на шифроващ ключ (miiskmu.exe) може да не изостави ключовете поради изтичане на времето на изчакване, причинено от заключване на базата данни.

След като инсталирате тази актуализация, ключовете се обработват, без да се натъквате на изтичане на времето на изчакване.

Брой 4

Когато изпълните стъпка на профила за синхронизиране, възникват периодични проблеми с производителността.

Беше направена корекция в съхранената процедура за mms_getprojected_csrefguids_noorder , за да се подобри производителността.

Проблем 5

При определени обстоятелства се прилагат правила за синхронизиране, базирани на филтър, дори когато не трябва.

След като инсталирате тази актуализация, правилото за синхронизиране се прилага само ако трябва.

Брой 6

Експортиране за generic LDAP конектор, ако създаването на проверка регистрационен файл е конфигуриран, експортиране изпълнение профил спира без публикуване на ГРЕШКА ЗА ПРОВЕРКА.

След като инсталирате тази актуализация, експортиране изпълнение профил стъпка ще се изпълнява правилно на общ LDAP конектор, когато опцията за създаване на регистрационен файл за проверка е разрешена.

Портал за нулиране на парола за MIM

Брой 1

Когато нулирате парола с помощта на изхода за удостоверяване на SMS, неправилно съобщение се показва на потребителя:

След като инсталирате тази актуализация, неправилен низ "Повикването е проверен:" се премахва от този диалогов прозорец.

Портал за управление на самоличности на MIM

Брой 1

Плъзгане и пускане на потребители в полето Премахни, за да изтриете или премахнете член за членство в група, не работи при всички обстоятелства.

След като инсталирате тази корекция, потребителите могат да плъзгат и пускат потребители в полето Премахване, когато управлявате ръчно членствата в група.

Брой 2

Локални настройки за дата/час, които се игнорират за английски (Австралия).

След като инсталирате тази актуализация, се прилагат локалните настройки за формат на дата/час.

Брой 3

Потребителски контроли не се инициализират, ако имаме параметри на събитие по избор в конфигурацията на дисплея за управление на ресурси (RCDC).

След като инсталирате тази корекция, контролите по избор се инициализират по очаквания начин.

Брой 4

Обработването на грешки в конфигурацията на дисплея за управление на ресурси понякога е неясно.

В тази актуализация известията за грешки са персонализирани, за да се опише грешката по-ясно.

Проблем 5

Когато използвате копирана връзка към обект по избор в портала за управление на самоличност, обектът не се показва по очаквания начин.

След като инсталирате тази актуализация, обектът по избор се показва по очаквания начин от копираната връзка.

Брой 6

Когато се опитате да инсталирате портала за управление на самоличност в SharePoint 2016, след като деинсталирате или по време на актуализация, порталът не е инсталиран. Освен това получавате следното изключение:

Инсталирането на тази актуализация, инсталиращата програма ще рестартира услугата таймер на SharePoint, за да опита отново неуспешните задания на SharePoint, така че сега инсталирането може да завърши.

Проблем 7

RCDC на изгледа за одобрение има неправилни символи и показва грешка.

След като инсталирате тази корекция, изглед за одобрение RCDC се показва по очаквания начин и не прави изключение.

Проблем 8

Бутоните за членство, ако обектите на група по избор не работят правилно.

След като инсталирате тази корекция, бутоните за членство на групата работят по очаквания начин.

Проблем 9

Когато видите портала за управление на самоличности на MIM с помощта на браузъра Firefox, изгледите на списък с обекти, като например потребители и групи за разпространение, не се показват правилно.

След като инсталирате тази актуализация, изгледите на списък с обекти се показват по очаквания начин, когато използвате браузъра Firefox.

Брой 10

Когато преглеждате портала за управление на самоличности на MIM с помощта на браузъра Internet Explorer, заглавията на изгледите на списък с обекти може да не са подравнени отляво в колоната.

След като инсталирате тази актуализация, заглавията на изгледа на списък с обекти се показват подравнени отляво по очаквания начин.

Брой 11

Когато стартирате портала за MIM в SharePoint 2016, бутоните Присъединяване, напускане, добавяне на член и премахване на член не работят по очаквания начин за типове обекти на група по избор.

След като инсталирате тази актуализация, тези бутони работят по очаквания начин спрямо типове обекти на група по избор.

Подобрение 1

За да се отговори на факта, че стойността по подразбиране на групов обхват не може да бъде зададена, към UoCDropDownList и UocRadioButtonList са добавени две незадължителни свойства.

• Стойност по подразбиране

• Състояние

Стойност по подразбиране: Това е незадължително свойство. Използвайте това свойство, за да дефинирате стойност по подразбиране за контролата, ако контролата се използва за създаване на нови данни.

Например:

   <my:Control my:Name="My UocDropDownList" my:TypeName="UocDropDownList"
        …
         <my:Properties>
          ...
           <my:Property my:Name="DefaultValue" my:Value="MyDefault" />

Състояние: Условието е незадължителен атрибут в свойството и се използва за задаване на условието, когато се прилага свойството. Контролата може да има няколко свойства, които използват едно и също име, но несвързани условия.

Синтаксисът за условието е както следва:

my:Condition="[left part] [condition] [right part]"

Забележки

• [лявата част] има следните опции:

  • Източник и път на обвързване

  • Проста стойност

• [условие] има следните опции:

  • ==

  • !=

• [дясната част] има следните опции:

  • Източник и път на обвързване

  • Проста стойност

Пример за създаване на различни стойности по подразбиране за различните типове групи:

<my:Control my:Name="My UocDropDownList" my:TypeName="UocDropDownList"
        …
         <my:Properties>
          ...
           <my:Property my:Name="DefaultValue" my:Value=" MyDefautltForDistributionGroups" my:Condition="{Binding Source=object, Path=Type} == Distribution" />
          <my:Property my:Name="DefaultValue" my:Value=" MyDefautltForSecurityGroups " my:Condition="{Binding Source=object, Path=Type} == Security" />

Подобрение 2

Името за всички типове дейности, които сте създали чрез портала, е authenticationGateActivity. След като инсталирате тази актуализация, всички нови ActivityType обекти, които са създадени, ще имат следните стойности за име на дейност, според типа:

• Удостоверяване: authenticationActivity1... authenticationActivityN

• Удостоверяване: удостоверяванеАктивност1... authorizationActivityN

• Действие: actionActivity1... actionActivityN

Подобрение 3

Искащият или одобряващият няма средства да предостави обосновка при създаването на искането или одобряване/отхвърляне на чакащо искане.

С тази актуализация към изгледа "Създаване на искане " се добавя поле за двустранно подравняване и могат да се използват нови данни за искане за обосновка/работен поток. Добавят се параметрите [//Request/Justification] и [//WorkflowData/Reason].

Управление на сертификати

Брой 1

При записване за виртуална смарт карта въвеждането на ПИН код с по-малко от 8 знака връща подвеждаща грешка.

След като инсталирате тази актуализация, на потребителя се връща съответната грешка.

Брой 2

При подновяване на смарт карта потребителят може да бъде попаднал в безкраен цикъл на подновяване.

Следните стъпки ще доведат до този проблем:

1. Текущите профили на смарт картата влизат в прозореца за подновяване:

   • Потребителят получава имейл от FIM CM услугата, в който иска от него да изпълни заявка за подновяване

2. Потребителят успешно изпълнява заявката за подновяване и извлича всички подновени сертификати.

3. Няколко часа по-късно потребителят получава втори имейл от услугата FIM CM.

   • Това не се очаква, тъй като профилът вече е подновен.

4. Потребителят ще завършва с безкраен цикъл на подновяване, ако изпълни всички заявки, създавани от FIM CM услугата.

След като инсталирате тази актуализация, се създават само правилните искания и няма безкраен цикъл.

Брой 3

Ако delta CRLs са дезактивирани на сертифициращ орган, използван от управлението на MIM сертификат, изключението ERROR_FILE_NOT_FOUND ще бъде хвърлено от MIM CM.

След като инсталирате тази актуализация, не се прави изключение.

Брой 4

MIM CM не поддържа режим NonAdmin, когато работите с виртуални карти. Виртуална смарт карта може да бъде създадена само от MIM CM клиент по време на записването. Също така е необходимо да имате локални администраторски права, за да създадете виртуална смарт карта. Така че само локалните администратори могат да се запишат за нова виртуална смарт карта чрез портала MIM CM.

След като инсталирате тази актуална корекция, нов ключ от системния регистър ще конфигурирате MIM CM клиент да се изпълнява в режим, който не е администратор. Обърнете внимание, че виртуалната смарт карта трябва да бъде предварително създадена, преди потребителят да може да запише своята виртуална смарт карта под настройките на режима, който не е Администрация.

За да разрешите режим NonAdmin , променете или създайте DWORD стойност NonAdmin=1 под следния ключ от системния регистър на клиентски компютър:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\CLM\v1.0\SmartCardClient

Проблем 5

Когато използвате REST API на MIM CM за промяна на състоянието на смарт картата на "Забранена", се връща грешка 501 (NotImplemented).

След като инсталирате тази актуализация, същият код успешно ще забрани смарт картата.

PUT …/api/v1.0/requests/{reqID}/smartcards/{smartcardID}
{
   “status” : “Disabled”
}

За повече информация вж. темата Актуализиране на състоянието на смарт карта на уеб сайта на Microsoft.

Брой 6

MIM CM сървър версия 4.3.1999.0 или по-нова версия (до текущата актуална корекция) не може да работи с по-стара версия на CM клиенти (FIM 2010R2 и MIM).

След като инсталирате тази актуализация, MIM CM сървър ще работи с по-стари MIM и FIM 2010R2 CM клиенти (FIM 2010R2 клиенти версия 4.1.3508.0 и по-нови версии са тествани).

Проблем 7

Искането "OfflineUnblock" не можа да бъде създадено с помощта на следното повикване от REST API на MIM CM:

https://learn.microsoft.com/en-us/microsoft-identity-manager/reference/create-request

След като инсталирате тази актуализация, същият този код успешно ще подаде заявката OfflineUnblock.

Проблем 8

Няма възможност да използвате ИД на смарт карта като параметър, когато създавате заявка "Disable" (или друг тип) с помощта на следното повикване от MIM CM REST API:

https://learn.microsoft.com/en-us/microsoft-identity-manager/reference/create-request

 Само параметърът "profile" е наличен.

Например:

POST api/v1.0/requests
    {
        "target":"e5008CDD9E614F9BBEDC45EEEE6776F0",
        "comment":"any comment",
        "type":"Disable",
        "profiletemplateuuid":"7860DEBB-771D-464E-AAC5-2F093282CE66",
        "datacollection":[],
        "priority":"1",
        "smartcard":"49BFE09C-5590-4CC4-8A21-FB4289F4F6C8"  
     }

След като инсталирате тази актуализация, можете да използвате ИД на смарт картата като параметър.

Обърнете внимание, че ИД на смарт картата не е същият като този на серийния номер на смарт картата. ИД на смарт картата се създава от MIM CM за всяка активна смарт карта.

Проблем 9

Проследяването на MIM CM клиент не регистрира datetime. След като инсталирате тази актуализация, данните за дата и час ще бъдат включени в регистрационния файл за проследяване на клиента.

Брой 10

Отмяната на потребител в съществуващия модален диалогов прозорец за виртуални смарт карти може да доведе до непотребно и объркващо съобщение за грешка, вместо просто да отмени операцията.

След като инсталирате тази актуализация, операцията отменя потребителя.

Брой 11

Оттеглянето на поток спира да отговаря за виртуални смарт карти на TPM, когато опцията NonAdmin е зададена в системния регистър.

Брой 12

Дублираните настройки на анулирането под правилата за заместване не се прилагат за дублиран профил. След като инсталирате тази актуализация, потокът работи по очаквания начин. Закъснението на анулирането е копирано успешно в дублирания профил.

Брой 13

Управлението на MIM сертификати не регистрира данни за изключение на уеб услуга. След като инсталирате тази актуализация, CM сега регистрира всички данни за изключения за уеб услуга.

Подобрение 1

Преди тази актуализация единствените опции за правилата за ПИН в модерното приложение MIM CM са MinimumPinLength.

След като инсталирате тази актуализация, сега са налични следните настройки за проверка:

• Цифри

• Малки буквиLetters

• Максимална стойност

• Минималнаlength

• SpecialCharacte3rs

• Главни буквиНачало

MIM добавка за Outlook

Брой 1

32-битовите DLL добавки за MIM (например OfficeintegrationShim2010.dll) не са подписани, след като приложите актуализацията MSP на MIM SP1 (компилация 4.4.1302.0).

В тази актуализация всички файлове са подписани по очаквания начин.