2010 FIM, Self obnovení hesla služby nyní podporuje prosazování všechny zásady hesla domény

Souhrn

Důležité

Změny, které jsou popsány v tomto dokumentu musí být prováděna v testovacím prostředí před zavedením změny do provozního prostředí.

Certifikáty serveru jsou vyžadovány na libovolný řadič domény, který obsahuje nebo může obsahovat role FSMO emulátoru primárního řadiče DOMÉNY. Tato změna by měly být projednány s příslušné skupiny IT, aby bylo opravdu správné, testování a zavádění SSL Protokolu LDAP v prostředí výroby.

V případě problémů ve výrobě, kde samoobslužného vytvoření nového hesla nefunguje po provedení této změny zakážete nové funkce v registru FIM vrátit k původní funkci SSPR.

Obnovení hesla

Ve službě Active Directory pro vytvoření nového hesla je historicky provedena proxy správci helpdesk pracovníci nebo uživatele. V tomto případě je důležité vyrovnávací paměti osob pracujících v proxy z historie hesla uživatele koncového zachovat zabezpečení.
S vydáním tohoto produktu Forefront Identity Manager (FIM) 2010 společnost Microsoft nabízí aplikaci, která umožňuje koncovým uživatelům obnovit svá hesla bez volání oddělení podpory. V tomto scénáři je třeba vynutit všechny zásady hesla tak, aby uživatelé funkce samoobslužného vytvoření nového hesla v nepoužívejte FIM obejít zásady organizace.
Dokud tato změna všechna rozhraní API systému Windows pro obnovení hesla v doméně nevynucovala všechny zásady hesla domény. Tento dokument popisuje instalaci a konfiguraci samoobslužného vytvoření nového hesla v roce 2010 FIM vynutit všechny zásady hesla v doméně.

Operace heslo ve službě Active Directory Management Agent v roce 2010 FIM

Agent správy služby Active Directory od MIIS 2003 používá rozhraní API protokolu Kerberos operací změnit heslo a vytvořit nové heslo. Změny popsané v tomto dokumentu je přidán nový způsob resetování hesla agenta správy služby Active Directory. Můžete použít rozhraní API protokolu LDAP přes připojení SSL Protokolu LDAP.

Přehled kroků povolíte vynucení zásad hesla v FIM SSPR

Instalace aktualizace hotfix pro systém Windows Server 2008 R2 nebo Windows Server 2008 v řadiči domény roli emulátoru primárního řadiče DOMÉNY.
Nainstalujte následující aktualizace pro součásti serveru FIM Forefront Identity Manager (FIM) 2010:
- Aktualizace služby synchronizace FIM
- Aktualizace portálu FIM a služby
Konfigurace protokolu LDAP přes připojení SSL mezi službu synchronizace FIM a vlastníka role emulátoru primárního řadiče DOMÉNY. Povolte obnovení hesla samoobslužné vynutit všechny zásady hesla domény, které používají hodnotu registru ADMAEnforcePasswordPolicy .

Další informace

Soubory a informace o instalaci

Chcete-li povolit tuto novou funkci, musí být nainstalován součásti Windows Active Directory a správce identit Forefront.

Součást	Název článku	Adresu URL pro stažení opravy hotfix
Windows Server 2008 R2	"Vynutit použití historie hesel" a "Minimální stáří hesla" Zásady skupiny nastavení nefungují při obnovení hesla pro systém Windows Server 2008 R2 systémem nebo počítač se systémem Windows Server 2008	http://support.microsoft.com/hotfix/kbhotfix.aspx?kbnum=2386717
Windows Server 2008	"Vynutit použití historie hesel" a "Minimální stáří hesla" Zásady skupiny nastavení nefungují při obnovení hesla pro systém Windows Server 2008 R2 systémem nebo počítač se systémem Windows Server 2008	http://support.microsoft.com/hotfix/kbhotfix.aspx?kbnum=2386717
Správce identit Forefront 2010	Balíček opravy hotfix sestavení 4.0.3561.2 pro Microsoft Forefront Identity Manager (FIM) 2010	http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2417774

Instalace Instructionsf

Řadič domény-přehled

Požadavky

Musíte mít řadič domény založené na systému Windows Server 2008 R2 nebo systémem Windows Server 2008.
Roli emulátoru primárního řadiče DOMÉNY v doméně, musíte vlastnit.
- FIM přistupuje k emulátoru primárního řadiče DOMÉNY pro operace obnovení všechna hesla.
- Každá doména hostující uživatelé, kteří budou resetovat svoje hesla prostřednictvím FIM musí mít řadič domény roli emulátoru primárního řadiče DOMÉNY, aktualizováno sestavení této opravy hotfix.
Přes SSL komunikace mezi službu synchronizace FIM a řadiči domény nainstalována musí mít Lightweight Directory Access Protocol (LDAP).

Instalace aktualizace hotfix pro systém Windows

Použití spustit jako správce možnost při spuštění se odpovídající spustitelný soubor popsány v následující tabulce v řadiči domény.

Název souboru	Platforma
Windows6.1-KB2386717-ia64.msu	ia64
Windows6.1-KB2386717-x64.msu	x64
Windows6.1-KB2386717-x86.msu	x86
Windows6.0-KB2386717-x64.msu	x64
Windows6.0-KB2386717-x86.msu	x86

A ujistěte se, zda je oprava hotfix je nainstalována podle očekávání, lze použít LDP.exe k vyhledání nového ovládacího prvku LDAP, která je součástí opravy hotfix. Informace o řízení LDAP je vrácena v atributu "supportedControl" v RootDSE.

Nový ovládací prvek ID Objektu: "1.2.840.113556.1.4.2066"Další informace o kontrole RootDSE tohoto nového ovládacího prvku používajícího ldp.exe naleznete v dodatku 4.

Součásti serveru 2010 FIM

Stáhnout a nainstalovat následující součásti serveru FIM 2010:

Kroky konfigurace

LDAP přes připojení SSL

Základní požadavky pro vytvoření připojení pomocí protokolu LDAP přes SSL na řadič domény:

Řadič domény musí mít certifikát vystavený je založen na šabloně certifikátu řadiče domény.
Poznámka: Dodatek 1 obsahuje informace o jak to provést jednoduchý scénář.
Server služby FIM musí důvěřovat certifikační úřad, který vydal certifikát řadiče domény.
Poznámka: Informace o jak to provést je v dodatku 1 tohoto dokumentu.

Vynucení zásad hesla v roce 2010 FIM povolení

Vynucení historie hesel v roce 2010 FIM povolení je dokončeno vytvořením nastavení registru. To musí být nakonfigurován pro každý agent správy služby Active Directory na kterém chceme povolit vynucení zásad hesla.
Důležité: Ve výchozím nastavení je toto nastavení zakázáno pro všechny agenty správy služby Active Directory.
Poznámka: V následujícím příkladu klíče registru < název ma > měl by být nahrazen název služby Active Directory MA konfiguraci.
Klíč registru: SYSTEM\CurrentControlSet\Services\FIMSynchronizationService\Parameters\PerMAInstance\ < název ma >
Hodnota registru: Nastavit ADMAEnforcePasswordPolicy = 1 Vynutit použití historie hesel. Všechny ostatní hodnoty jsou interpretovány jako vypnutí nové funkce.

Testování a odstraňování problémů

Dodatky na konci tohoto dokumentu je poskytnout další informace, které mohou být užitečné při konfiguraci jednoduchý testovací prostředí. Jsou také odkazy pro řešení potíží s LDAP přes připojení SSL.

Dodatek 1: Nastavte konfiguraci jednoduchý Test

Poznámka: Kroky uvedené v tomto dodatku nejsou určeny k použití v provozním prostředí. Plánování a nasazení certifikátů v provozním prostředí měli důkladně zvážit pro infrastrukturu zabezpečení celé sítě.

Povolte protokol SSL protokolu LDAP v testovacím prostředí, který používá k vydávání certifikátu serveru na řadič domény služby Active Directory Certificate Services.

Instalace služby Active Directory Certificate Services

Spusťte správce serveru.
Vyberte rolia potom v prostředním podokně klepněte na tlačítko Přidat role .
V okně Vybrat role serveru vyberte Active Directory Certificate Servicesa potom klepněte na tlačítko Další.
V seznamu služeb rolí vyberte Certifikační úřad a Webový zápis certifikační autority a potom klepněte na tlačítko následující.
V okně Zadat typ instalace vyberte možnost organizace a potom klepněte na tlačítko Další.
V okně Určit typ CA vyberte možnost Kořenová certifikační Autorita a klikněte na tlačítko Další.

Konfigurace šablony certifikátu řadiče domény povolit zápis

Zkontrolujte vlastnosti zabezpečení šablony certifikátu Řadiče domény a ujistěte se, že řadiče domény mít oprávnění k zápisu .
1. Ve Správci serveru rozbalte role Active Directory Certificate Services .
2. Klepnutím vyberte Šablony certifikátů.
3. V seznamu šablony certifikátů klepněte na tlačítko Zobrazit vlastnosti šablony certifikátu Řadiče domény .
4. Klepněte na kartu zabezpečení .
5. Klepněte na identitu zabezpečení Řadiče domény .
6. Potvrďte, že je uděleno oprávnění k zápisu .
Ujistěte se, že šablonu certifikátu řadiče domény je publikován v certifikačním úřadu.
1. Ve stromové struktuře Active Directory Certificate Services rozbalte strom certifikačního úřadu, který má stejný název jako daný certifikační úřad na nastavení.
2. Ve stromové struktuře certifikačního úřadu klepněte na položku šablony Certifikátů
3. Zkontrolujte, zda v podokně vpravo a ujistěte se, zda je zde uveden šablonu certifikátu Řadiče domény .
4. Pokud nenajdete šablonu certifikátu Řadiče domény , postupujte takto:

Nyní jste připraveni požádat o nový certifikát založený na šabloně certifikátu řadiče domény řadiče domény.

Žádosti o certifikát pro řadiče domény

V řadiči domény

Zaškrtněte políčko vedle položky "Řadiče domény" a klepněte na tlačítko "Zapsat"

Důvěryhodnou kořenovou certifikační Autoritou FIM synchronizace počítače

V počítači certifikačního úřadu

Na počítači službu synchronizace FIM

Nyní jste připraveni k testování protokolu LDAP přes připojení SSL mezi serverem služby synchronizace FIM a řadiči domény emulátoru primárního řadiče DOMÉNY.

Kontrola protokolu LDAP přes připojení SSL k primárnímu řadiči DOMÉNY

Nainstalujte nástroje pro správu vzdálené domény

Pomocí možnosti Spustit jako správce otevřete příkazový řádek cmd.exe
Zadejte následující příkaz a potom stiskněte klávesu ENTER.
Poznámka: Může být vyžadováno restartování počítače.
ServerManagerCmd-instalaci sady rsat-přidá
Ldp.exe je nyní k dispozici

Testování protokolu LDAP přes připojení SSL pomocí Ldp.exe

Spusťte Ldp.exe.
V nabídce soubor klepněte na tlačítko Připojit.
Zadejte dnsHostName (FQDN) řadiče domény, který je vlastníkem role emulátoru primárního řadiče DOMÉNY.
Změňte číslo portu 636.
Klepněte na tlačítko, chcete-li povolit protokol SSL.
Klepněte na tlačítko OK

V podokně vpravo ldp.exe poskytovala informace rootDSE pro úspěšné připojení.
Pokud zjistíte, že připojení nedojde, použijte řešení v následujícím článku KB:
938703 řešení potíží s LDAP přes potíže s připojením SSL

Testování připojení SSL protokolu LDAP pomocí Ldp.exe

Výsledný Text v okně Výsledky nástroje LDP:
LDP.exe Connect Properties for LDAP over SSL

Všimněte si, jak název serveru v ldap_sslinit() metoda odpovídá dnsHostName, která je vrácena v rootDSE informace. Následující snímek obrazovky certifikát se zobrazí název byl certifikát vystaven odpovídá i tento název. Je velmi důležité pro všechny tak, aby odpovídala. V opačném případě dojde k selhání připojení LDAP a "schannel" protokoluje chyby v protokolu událostí.

Výstup v podokně vpravo LDP.exe po vytvoření připojení

Certifikát řadiče domény pro porovnání

Example Server Certificate for the Domain Controller

Všimněte si, že stejné dnsHostName také vydat certifikát serveru. Všechna tato shoda je velmi důležité, aby připojení SSL protokolu LDAP.

Dodatek 2: Nejčastější dotazy

Otázka Bude to fungovat jako emulátor primárního řadiče DOMÉNY v doméně systému Windows Server 2003 nebo Windows Server 2008 instalací řadiče domény systému Windows Server 2008 R2? Odpovědí Ano. Tato funkce je povolena pomocí ovládacího prvku LDAP, který je umístěn na emulátoru primárního řadiče DOMÉNY. Tak dlouho, dokud tento ovládací prvek se nachází na emulátoru primárního řadiče DOMÉNY, bude fungovat podle očekávání.
Otázka Pokud po instalaci této aktualizace stávajícího nasazení FIM, zruší jeho aktuální konfiguraci samoobslužného vytvoření nového hesla?
Odpovědí Ne. Tato nová funkce je ve výchozím nastavení zakázána agenta správy služby Active Directory. Chcete-li povolit nové funkce se používá následující informace v registru.

Klíč registru
SYSTEM\CurrentControlSet\Services\FIMSynchronizationService\Parameters\PerMAInstance\ < název ma >

Název hodnoty registru	Hodnoty	Třída	Vytvořil	Vysvětlení
ADMAEnforcePasswordPolicy	Hodnota DWORD	HKLM	Admin	1pravda, všechno ostatní je false Nastavení této hodnoty na "1" způsobí AD MA ověření historie hesla předtím, než ji bude během obnovení hesla obnovení hesla. Poznámka: Toto nastavení je podporováno pouze ve verzi sestavení FIM 4.0.3561.2 a novější verze. Poznámka: Toto nastavení je podporováno pouze pokud je řadič domény takto: · Windows Server 2008 R2 s KB2386717 · Windows Server 2008 R2 SP1 · Windows Server 2008 s KB2386717

Otázka Co se změní na metodu MIIS_CSObject.SetPassword rozhraní WMI pro povolení této funkce?
Odpovědístring SetPassword( [in] string NewPassword, [in] bool ForceChangeAtLogon,
[in] bool UnlockAccount
[in] bool ValidatePasswordPolicy
);

Parametry

SetPassword Paramters

Dodatek 3: Další zdroje informací

Aktuální dokumentaci k protokolu LDAP přes SSL konfigurace a Poradce při potížích

Další informace o povolení protokolu LDAP přes připojení SSL pomocí jiného certifikačního úřadu klepněte na následující číslo článku databáze Microsoft Knowledge Base:
Jak 321051 povolení protokolu LDAP přes připojení SSL pomocí jiného certifikačního úřadu
Další informace o řešení potíží s LDAP přes potíže s připojením SSL získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
938703 řešení potíží s LDAP přes potíže s připojením SSL
Další informace o systému Windows protokolu LDAP nad SSL požadavky naleznete na následujícím webu společnosti Microsoft:

Příklad kódu pro vytvoření relace SSL

Dodatek 4: Použití LDP.exe k vyhledání nového ovládacího prvku LDAP

Spusťte Ldp.exe.
V nabídce soubor klepněte na tlačítko Připojit.
Zadejte dnsHostName (FQDN) řadiče domény, který je vlastníkem role emulátoru primárního řadiče DOMÉNY.
Klepněte na tlačítko OK
Zkontrolujte okno pravé pro atribut "supportedControls".
Zkontrolujte hodnoty supportedControls identifikátoru objektu: "1.2.840.113556.1.4.2066".

V podokně vpravo ldp.exe poskytovala informace rootDSE pro úspěšné připojení.

Odkazy

Pro další informace o terminologii používané v aktualizacích softwaru, klepněte na následující číslo článku k zobrazení článku v databázi Microsoft Knowledge Base:

824684 Popis standardní terminologie používané při popisu aktualizací softwaru společnosti Microsoft