Einführung
Für Microsoft Forefront Identity Manager (FIM) 2010 ist ein Hotfixrolluppaket (Build 4.0.3594.2) verfügbar. Dieses Hotfixrolluppaket behebt einige Probleme und fügt einige Features hinzu, die im Abschnitt "Weitere Informationen" beschrieben werden.
Dieses Hotfixrolluppaket enthält alle vorherigen Hotfixes, die in den folgenden Microsoft Knowledge Base-Artikeln beschrieben sind:2502631 Ein Hotfixrolluppaket (Build 4.0.3576.2) ist für Forefront Identity Manager 2010 2417774 A hotfix rollup package (Build 4.0.3) verfügbar. 573.2) steht für Forefront Identity Manager 2010 2272389 Zur Verfügung steht ein Hotfixrolluppaket (Build 4.00.3558.02) für Forefront. Identity Manager 2010 2028634 Ein Hotfixrolluppaket (Build 4.0.3547.2) ist für Microsoft Forefront Identity Manager (FIM) 2010 978864 Update Package 1 für Microsoft Forefront Identity Manager (FIM) 2010 verfügbar. Dieses Hotfixrolluppaket behebt außerdem einige Probleme und stellt einige Features bereit, die in einem vorherigen Artikel in der Microsoft Knowledge Base nicht dokumentiert wurden. Weitere Informationen zu diesen Problemen und Features finden Sie im Abschnitt "Weitere Informationen".
Lösung
Informationen zum Hotfixrollup
Ein unterstütztes Hotfixrollup ist von Microsoft verfügbar. Mit diesem Hotfixrollup soll jedoch nur das in diesem Artikel beschriebene Problem behoben werden. Wenden Sie diesen Hotfix nur auf Systeme an, auf die das in diesem Artikel beschriebene Problem auftritt. Dieser Hotfix kann zusätzliche Tests erhalten. Wenn Sie von diesem Problem nicht schwer betroffen sind, sollten Sie daher auf das nächste Softwareupdate warten, das dieses Hotfixrollup enthält.
Wenn das Hotfixrollup zum Download verfügbar ist, befindet sich oben in diesem Knowledge Base-Artikel der Abschnitt "Hotfixdownload verfügbar". Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an den Microsoft-Kundendienst und den Support, um den Hotfix zu erhalten. Hinweis Wenn weitere Probleme auftreten oder eine Problembehandlung erforderlich ist, müssen Sie möglicherweise eine separate Dienstanforderung erstellen. Die üblichen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht für diesen speziellen Hotfix qualifiziert sind. Eine vollständige Liste der Telefonnummern von Microsoft Customer Service und Support oder zum Erstellen einer separaten Serviceanfrage finden Sie auf der folgenden Microsoft-Website:http://support.microsoft.com/contactus/?ws=supportHinweis Das Formular "Hotfix download available" zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht zu sehen ist, liegt dies daran, dass für diese Sprache kein Hotfix verfügbar ist.
Informationen zur Installation
-
Wenn Sie eine der FIM-Serverkomponenten aktualisieren, müssen Sie auch die folgenden Serverkomponenten aktualisieren:
-
Die KOMPONENTEN der ZERTIFIZIERUNGSSTELLE (FIM Certificate Management, CM) in derselben Version wie der FIM CM-Server.
-
Der FIM-Dienst in derselben Version wie der FIM-Synchronisierungsdienst.
-
-
Um einen Massenclientfehler zu vermeiden, müssen Sie auch den FIM -CM-Server und die FIM CA-Servermodule auf dieselbe Version aktualisieren, wenn Sie den FIM 2010 CM-Massenclient aktualisieren.
Voraussetzungen
Zum Anwenden dieses Hotfixrollups muss Microsoft Forefront Identity Manager (FIM) 2010 installiert sein.
Informationen zum Neustart
Sie müssen den Computer neu starten, nachdem Sie das Updaterolluppaket für Add-Ins und Erweiterungen angewendet haben. Darüber hinaus müssen Sie die Serverkomponenten möglicherweise neu starten.
Registrierungsinformationen
Wenn Sie eine der Fixes in diesem Hotfixrollup verwenden möchten, müssen Sie die Registrierung ändern. Weitere Informationen finden Sie im Abschnitt "Weitere Informationen".
Ersetzte Updates
Dieses Hotfixrolluppaket ersetzt die folgenden Hotfixrolluppakete:
2502631 Ein Hotfixrolluppaket (Build 4.0.3576.2) steht für Forefront Identity Manager 2010 2417774 Zur Verfügung steht ein Hotfixrolluppaket (Build 4.0.3573.2) für Forefront Identity Manager 2010 2272389 Ein Hotfixrolluppaket (Build 4.00).3558.02) steht für Forefront Identity Manager 2010 2028634 Zur Verfügung steht ein Hotfixrolluppaket (Build 4.0.3547.2) für Microsoft Forefront Identity Manager (FIM) 2010 978864 Update Package 1 für Microsoft Forefront Identity Manager (FIM) 2010.
Dateiinformationen
Die globale Version dieses Hotfixrollups installiert Dateien mit den Attributen, die in den folgenden Tabellen aufgeführt sind. Datums- und Uhrzeitangaben für diese Dateien sind in der koordinierten Weltzeit (UTC) angegeben. Die Datums- und Uhrzeitangaben für diese Dateien werden auf Ihrem lokalen Computer in Ihrer Ortszeit und unter Berücksichtigung der Sommerzeit angegeben. Außerdem können sich die Datums- und Uhrzeitangaben ändern, wenn Sie bestimmte Operationen mit den Dateien ausführen.
Für alle unterstützten Versionen von Forefront Identity Manager 2010
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Uhrzeit |
---|---|---|---|---|
MASSEN-MASSEN-Client.zip |
Nicht zutreffend |
10,228,107 |
15.10.2011 |
21:41 |
FIMAddinsExtensions_x64_KB2520954.msp |
Nicht zutreffend |
3,243,520 |
11.10.2011 |
22:27 |
FIMAddinsExtensions_x86_KB2520954.msp |
Nicht zutreffend |
3,703,296 |
11.10.2011 |
21:54 |
FIMAddinsExtensionsLP_x64_KB2520954.msp |
Nicht zutreffend |
4,611,072 |
18.10.2011 |
09:35 |
FIMAddinsExtensionsLP_x86_KB2520954.msp |
Nicht zutreffend |
3,698,688 |
11.10.2011 |
21:54 |
FIMCM_x64_KB2520954.msp |
Nicht zutreffend |
13,788,160 |
11.10.2011 |
22:27 |
FIMCM_x86_KB2520954.msp |
Nicht zutreffend |
13,386,240 |
11.10.2011 |
21:54 |
FIMCMClient_x64_KB2520954.msp |
Nicht zutreffend |
5,796,352 |
11.10.2011 |
22:27 |
FIMCMClient_x86_KB2520954.msp |
Nicht zutreffend |
5,139,968 |
11.10.2011 |
21:54 |
FIMService_x64_KB2520954.msp |
Nicht zutreffend |
17,148,928 |
11.10.2011 |
22:27 |
FIMServiceLP_x64_KB2520954.msp |
Nicht zutreffend |
4,662,272 |
11.10.2011 |
22:27 |
FIMSyncService_x64_KB2520954.msp |
Nicht zutreffend |
118,507,008 |
11.10.2011 |
22:27 |
Weitere Informationen
Behobene Probleme im Workflowmodul
Problem 1
Angenommen, Sie führen einen Vorgang aus, der auf die SQL zugreifen kann, wenn das feature Microsoft SQL Server Verbindungpooling auf dem FIM-Server aktiviert ist. Sie führen z. B. eine Abfrage oder eine Anforderung aus. Wenn der Vorgang aus irgendeinem Grund abfällt, kann ein zukünftiger Vorgang im gleichen Thread fehlschlagen, bis dieser Thread aus dem SQL entfernt wird. Eine Fehlermeldung, die der folgenden ähnelt, wird im Ereignisprotokoll der FIM-Dienstanwendung, in der Eigenschaft RequestStatusDetails für eine Anforderung oder in der WorkflowStatusDetails-Eigenschaft einer Workflowinstanz angezeigt:
Die Transaktion kann nicht hinzugefügt werden, da für die Verbindung eine lokale Transaktion ausgeführt wird.
Darüber hinaus ist der Zeitstempel mit dem Zeitpunkt identisch, zu dem der Vorgang fehlschlägt.
Behobene Probleme in der Synchronisierungsmodul
Problem 1
Ein ExpectedRulesEntry (ERE)-Objekt ist einer untergeordneten Synchronisierungsregel eines Metaverse-Objekts zugeordnet. Wenn das ERE-Objekt über eine Remove-Aktion verfügt, wird auch die Deprovisionierung des -Objekts ausgelöst. Anschließend bewirkt das Verhalten das Löschen des Metaverse-Objekts.
Problem 2
Behebt eine Zugriffsverletzung, wenn eine benutzerdefinierte Erweiterung ein COM+-Objekt aufruft.
Problem 3
Ein früherer Hotfix führte einen speziellen ECMA-Modus (Extensible Connectivity Management Agent) ein, um unbestätigte Exporte im Escrow zu behalten, anstatt auf eine Bestätigung zu warten. Ein Problem mit diesem Hotfix führt dazu, dass durch die Deltasynchronisierung neue Elemente hinzugefügt werden, die nicht mit einem nicht verbundenen Export in einen ausstehenden Export zusammengeführt werden. Nachdem Sie den in diesem Artikel erwähnten Hotfix installiert haben, werden die hinzugefügten und ausstehenden Änderungen zusammengeführt, wenn der EcMAAlwaysExportUnconfirmed-Registrierungseintrag auf 1 festgelegt ist.
Problem 4
Behebt ein SQL Abfragekonstruktionsproblem, das während eines Imports auftritt. Dieses Problem betrifft eine DB2-Datenbank, die einen Nicht-Unicode-Zeichensatz verwendet.
Problem 5
Behebt viele "Nicht erneut importierte Exportfehler", die aufgrund von Fehlern in der SQL.
Problem 6
Verbessert die Leistung aller Synchronisierungsmodulvorgänge.
Hinweis Diese Änderung umfasst ein umfangreiches Upgrade auf die Synchronisierungsdatenbank. Dieses Upgrade kann je nach Hardware sehr viel Zeit in Sich nehmen. Während des Datenbankupgrades wird eine Statusleiste angezeigt.Problem 7
Eine Kennwortzurücksetzung, die die ADMAEnforcePasswordPolicy-Registrierungseinstellung verwendet, schlägt fehl, wenn der Benutzer in der Gruppe Administrator, aber kein Administrator ist.
Feature 1
Fügt eine Option hinzu, mit der FIM 2010 die aktuelle Uhrzeit auf dem Server während des Kennwortsatzvorgangs in das Feld HTTPPasswordChangeDate exportieren soll. Der Zeitstempel wird als TimeDate-Datentyp gespeichert.
Um dieses Verhalten zu aktivieren, legen Sie den folgenden Registrierungsunterschlüssel auf einen wert ungleich null DWORD fest:SYSTEM\CurrentControlSet\Services\FIMSynchronizationService\Parameters\NotesMAExportPwdTimestamp
Feature 2
Der FIM 2010 Active Directory Management Agent (AD MA) berücksichtigt beim Exportieren von Kennwörtern nicht die liste des bevorzugten Domänencontrollers. Dies ist ein Problem für Kunden, für die Kennwortänderungen erforderlich sind, um zu einer bestimmten Gruppe von Domänencontrollern zu fließen. Mit diesem Hotfixrolluppaket wird der AD MA so geändert, dass zuerst die liste des bevorzugten Domänencontrollers verwendet wird. Wenn die Liste des bevorzugten Domänencontrollers nicht vorhanden ist, identifiziert der Domänencontroller-Locator-Dienst einen Domänencontroller für Kennwortexportvorgänge. Darüber hinaus können Sie Kennwortvorgänge zur Verwendung des primären Domänencontrollers erzwingen, indem Sie den folgenden Registrierungsunterschlüssel festlegen:
Unterschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\FIMSynchronizationService\Parameters\PerMAInstance\<MA_name> Wert: ADMAUsePDCForPasswordOperations (REG_DWORD, 1 = True, 0 = False) Dieses Hotfixrolluppaket aktualisiert auch den AD MA, sodass keine Vertrauensstellung mit der konfigurierten Active Directory-Gesamtstruktur erforderlich ist, um Kennwörter in diese Gesamtstruktur zu exportieren.Feature 3
Fügt die Möglichkeit hinzu, Objekte zu filtern, bevor sie in den AD MA-Connectorbereich importiert werden.
Behobene Probleme in "Sets" und "Query"
Problem 1
Behebt ein Problem, das manchmal zu falschen Berechnungen beim Festlegen führen würde. Dies führte zu einer Reihe von festgelegten Korrekturen. Außerdem wurde der Auftrag Korrekturen so geändert, dass keine speziellen Sätze geändert werden, die von einem anderen Systemwartungsauftrag verwaltet werden.
Problem 2
Die FIM-Features "Abfrage und Sätze" wurden überarbeitet, um Prozentzeichen, Unterstriche und öffnende Klammern ordnungsgemäß als Literale und nicht als Platzhalterzeichen SQL zu behandeln.
Die genehmigten Zeichensätze für Zeichenfolgen, die in FIM-Attributwerten verwendet werden, werden im Attribut- und Bindungsschema im FIM-Dienst definiert. Die Syntax zum Darstellen eines #A0 wird in MSDN im folgenden Artikel "FIM XPath-Filterdialekt" dokumentiert:http://msdn.microsoft.com/en-us/library/ee652287.aspxEinige Kunden haben möglicherweise Zeichen SQL, die als Platzhalterzeichen für Abfragen definiert werden, z. B. das Prozentzeichen, in FIM-Such- und Set-Filter. In diesem Fall beabsichtigten die Kunden, dass FIM die Zeichen als Platzhalterzeichen SQL behandelt. Dies ist kein dokumentiertes oder unterstütztes Feature des Produkts. In einigen Fällen können Kunden die beabsichtigte Funktionalität erreichen, indem sie das Platzhalterzeichen entfernen und stattdessen eine "enthält"-Abfrage/einen Filter verwenden. Vorhandene Ressourcen mit Filtern festlegen, die SQL Platzhalterzeichen enthalten, funktionieren möglicherweise nicht mehr so, wie die Filter funktionierten, bevor dieser Hotfix angewendet wurde. Außerdem funktioniert ein Filter, der Platzhalterzeichen enthält und nach dem Anwenden des Hotfixes weiterhin wie erwartet funktioniert, möglicherweise anders, wenn der Administrator die Filterdefinition später aktualisiert. Kunden, die Zeichen verwendet haben, SQL als Platzhalterzeichen für Abfragen definiert sind, müssen ihre Set-Filter vor oder nach dem Upgrade auf diesen Hotfix überprüfen und überarbeiten. Kunden sollten die Auswirkungen von Festlegen von Mitgliedschaftsänderungen auf Übergangs-MPRs berücksichtigen. Und Kunden möchten möglicherweise MPRs vorübergehend deaktivieren oder Workflowdefinitionen aktualisieren, während sie ihre Set-Filter ändern, um unbeabsichtigtes Auslösen von Bereitstellungs- oder Deprovisionsvorgängen während der Set Definition Maintenance zu vermeiden.
Behobene Probleme bei der Zertifikatverwaltung
Problem 1
Aktiviert den Zufallszahlengenerator in der Serverschlüsselgenerierungsfunktion.
Problem 2
Verbessert die Leistung beim Registrieren einer Smartcard, die noch nicht mit der FIM Certificate Management (CM) verwendet wurde.
Behobene Probleme in FIM Management Agent (MA)
Problem 1
Behebt ein Problem, bei dem die KONFIGURATION des FIM-Synchronisierungsdiensts für Synchronisierungsregeln und codelose Bereitstellung nicht ordnungsgemäß in die FIM-Dienstdatenbank geschrieben wurde.
Behobene Probleme im FIM-Dienst
Problem 1
Behebt ein Problem mit SQL Server, das in Zeiten hoher Parallelität von Anforderungen oder Genehmigungen auftreten kann.
Problem 2
Behebt ein Problem, bei dem unerwartete Daten in der FIM-Dienstdatenbank dazu führen konnten, dass der Synchronisierungsdienst beim Import fehlschlagen konnte und ein Fehler beim Angehaltenserver aufgetreten ist.
Problem 3
Behebt ein Problem, wenn Sie einen Wert für ein mehrwertiges Zeichenfolgenattribut hinzufügen oder entfernen. Wenn die Anforderung einer Autorisierung wie der Neubewertung der Anforderung unterliegt, würde die Anforderung nach der Genehmigung fehlschlagen.
Problem 4
Einige ExpectedRuleEntry-Objekte und DetectedRuleEntry-Objekte in FIM 2010 können im Laufe der Zeit "verwaist" werden. Wenn auf ein DetectedRuleEntry-Objekt in der DetectedRulesList eines Beliebigen Objekts im System nicht verwiesen wird, wird festgestellt, dass dieses Objekt verwaist ist. Wenn auf ein ExpectedRuleEntry-Objekt in der ExpectedRulesList eines Objekts im System nicht verwiesen wird, wird auch festgestellt, dass dieses Objekt verwaist ist.
Diese verwaisten Objekte haben keine funktionalen Auswirkungen auf FIM. Im Laufe der Zeit können diese verwaisten Objekte jedoch zu einer Leistungssteigerung sowohl für FIM-Vorgänge als auch für Synchronisierungsvorgänge führen, die mit FIM in Zusammenhang stehen, z. B. importieren oder exportieren mithilfe des FIM MA. Eine gespeicherte Beschneidungsprozedur [ debuggen]. [DeleteOrphanedRulesByType], wurde dem [debug]-Namespace der FimService-Datenbank hinzugefügt. Diese gespeicherte Prozedur muss separat für das DetectedRuleEntry-Objekt und das ExpectedRuleEntry-Objekt ausgeführt werden. Die gespeicherte Prozedur verfügt auch über einen "reportOnly"-Modus, und dieser Modus kann verwendet werden, um das Vorhandensein und die Anzahl der verwaisten DetectedRuleEntry- und ExpectedRuleEntry-Objekte im System zu bestimmen. Der @ruleType parameter erwartet einen der folgenden bekannten Werte:-
N'Detected' für DetectedRuleEntry-Objekte
-
N'Expected' für ExpectedRuleEntry-Objekte
Führen Sie die gespeicherte Prozedur im Modus "reportOnly" wie folgt aus, um die Anzahl verwaister Objekte im System zu ermitteln.
DECLARE
@deletedRulesFound BIT; EXEC [debug].[DeleteOrphanedRulesByType] @ruleType=N'CHANGE_ME', @reportOnly=1, @deletedRulesFound=@deletedRulesFound OUTPUT;
Führen Sie die gespeicherte Prozedur wie folgt aus, um verwaiste Objekte im System zu durchschleifen und tatsächlich zu löschen. @deletionLimit=1000 anweisen, das Verfahren zu beenden, wenn 1.000 Objekte gelöscht wurden. Wenn das System mehr als 1.000 verwaiste Objekte enthält, führen Sie das Verfahren entweder mehrmals aus (empfohlen), oder erhöhen Sie den Löschlimitwert.
DECLARE
@deletedRulesFound BIT, @startDateTime DATETIME, @endDateTime DATETIME; SELECT @deletedRulesFound = -1; WHILE @deletedRulesFound <> 0 BEGIN SELECT @startDateTime = CURRENT_TIMESTAMP; EXEC [debug].[DeleteOrphanedRulesByType] @ruleType=N'CHANGE_ME', @deletionLimit=1000, @reportOnly=0, @deletedRulesFound=@deletedRulesFound OUTPUT; SELECT @endDateTime = CURRENT_TIMESTAMP; SELECT @startDateTime AS [StartTime], @endDateTime AS [EndTime], @deletedRulesFound AS [WereDeletedRulesFound]; END
Informationsquellen
Weitere Informationen zur Terminologie für Softwareupdates von Microsoft finden Sie im folgenden Artikel der Microsoft Knowledge Base:
824684 Erläuterung von Standardbegriffen bei Microsoft-Softwareupdates