Съдържание, предоставено от Microsoft
Отнася се за:
-
Microsoft Identity Manager 2016 г.
-
Microsoft Identity Manager 2016 SP2
Информация
Периодично може да се наложи фирмата да замени или надстрои издаващ сертифициращ орган (СО). Много често това се прави заедно с надстройка/мигриране от Forefront Identity Manager 2010 R2 (FIM 2010 R2) или Microsoft Identity Manager 2016 (MIM 2016 / MIM 2016 SP1) към MIM 2016 SP2. Често срещан начин да направите това е да се изправите пред нов сървър/VM, за да хоствате СО, да преместите базата данни на СО на новия сървър и да започнете да използвате новия надстроен СО. Ако името на новия сървър/VM не е същото име като първоначалния CA сървър, информацията в шаблона за сертификат в шаблона за профил е повредена, тъй като препраща към първоначалното ca име.
При надстройване на сертифициращ орган, който се използва от MIM CM решение, е важно да се поддържа същото име на сървър/компютър за сървър, хостваща новия/надстроения сертифициращ орган, както и самото име на сертифициращия орган. Ако се използва друго име на CA сървър или CA име, това ще наруши MIM CM решението.
-
Има множество връзки и публикации в документацията, където можете да научите как да възстановите СО на сървър с различно име на сървър, но това ще наруши решението MIM CM.
-
Поддържането на същото ca име е направо напред, тъй като това ще бъде направено, когато следвате инструкциите, за да възстановите CA на новия сървър.
Ако името на сървъра е променено, може да възникнат следните грешки:
-
Всички опитани работни потоци за шаблон на профил ще доведат до RPC грешка, грешка "CA не е намерен" или ca е отменена грешка.
-
Сертификатите, издадени на първоначалния CA, няма да бъдат анулирани от MIM CM. Те ще изглеждат неуспешни безшумно в портала, но ще попаднат на изключение в регистъра на събитията MIM CM, което гласи, че CA е оттеглен.
Следните (но не само тези) съобщения за грешка могат да бъдат регистрирани:
-
Указаното име или име на сървъра на СО е невалидно.
-
Няма връзка с сертифициращия орган <CA-Name>, тъй като е маркиран като прекратен.
Решение
Ако СО е мигриран към сървър с ново име на CA сървър, който показва допълнителен CA сървър, върнат в командата clmutil.exe -listCa, направете следното:
-
Актуализирайте СО, за да промените името на CA сървъра на първоначалното име.
-
Възстановете MIM CM базата данни до версията, архивирана точно преди надстройването на CA сървъра.
Препратки
Microsoft Identity Manager хронология на изданията
Разполагане на приложението MIM Certificate Manager на Windows | Microsoft Learn
Как да преместите сертифициращ орган на друг сървър – Windows Server | Microsoft Learn