El paquete acumulativo de revisiones (compilación 4.4.1459.0) está disponible para Microsoft Identity Manager 2016 Service Pack 1

Servicio de sincronización

Después de instalar esta actualización, las extensiones de reglas y los agentes de administración personalizados (MAs) que se basan en Extensible MA (ECMA1 o ECMA 2.0) pueden no ejecutarse y pueden producir un estado de ejecución de "stopped-extension-dll-load". Este problema se produce al ejecutar este tipo de extensiones de reglas o MAs personalizadas después de cambiar el archivo de configuración (.config) para uno de los siguientes procesos:

• MIIServer.exe

• Mmsscrpt.exe

• Dllhost.exe

Por ejemplo, ha editado el archivo de MIIServer.exe.config para cambiar el tamaño de lote predeterminado para procesar las entradas de sincronización del servicio FIM MA.

En esta situación, el instalador del motor de sincronización para esta actualización evita reemplazar intencionadamente el archivo de configuración para evitar la eliminación de los cambios anteriores. Como el archivo de configuración no se reemplaza, las entradas necesarias por esta actualización no estarán presentes en los archivos y el motor de sincronización no cargará dll de extensión de reglas cuando el motor ejecute un perfil de ejecución de Importación completa o Delta Sync.

Para resolver este problema, siga estos pasos:

1. Realiza una copia de seguridad del archivo de MIIServer.exe.config.

2. Abra el archivo MIIServer.exe.config en un editor de texto o en Microsoft Visual Studio.

3. Busca la sección <runtime> en el archivo MIIServer.exe.config, y, a continuación, reemplace el contenido de la sección dependentAssembly> de la <por la siguiente:<dependentAssembly> <assemblyIdentity name="Microsoft.MetadirectoryServicesEx" publicKeyToken="31bf3856ad364e /> <bindingRedirect oldVersion="3.3.0.0-4.1.3.0" newVersion="4.1.4.0" /> </dependentAssembly>

4. Guarde los cambios en el archivo.

5. Busque el archivo Mmsscrpt.exe.config en el mismo directorio y Dllhost.exe.config en el directorio principal. Repita los pasos 1 a 4 para ambos archivos.

6. Reinicie el servicio Sincronización de Forefront Identity Manager (FIMSynchronizationService).

7. Compruebe que las extensiones de reglas y los agentes de administración personalizados funcionan ahora según lo esperado.

Servicio de MIM

Problema 1

Se produce un error en el flujo de trabajo de autenticación con "El período de tiempo de espera del semáforo ha expirado" después de que el cliente personalizado solicite el token de autenticación.

Después de instalar la actualización, la solicitud se completará según lo esperado y se envía un mensaje claro sobre un error de comunicaciones en el registro de eventos.

Problema 2

Bajo una carga pesada, puede haber una situación de condición de carrera cuando dos instancias del servicio MIM intentan procesar el mismo flujo de trabajo al mismo tiempo. Esto puede provocar errores en el procesamiento del flujo de trabajo.

Una vez instalada esta actualización, el problema deja de ocurrir.

Problema 3

Establecer particiones puede no funcionar si un criterio de conjunto contiene una subcondición. Después de instalar esta actualización, el conjunto de particiones funciona correctamente.

Problema 4

Con el tiempo, algunos datos de procesamiento se acumulan en la base de datos de servicios MIM, lo que puede causar problemas de rendimiento. Esto causa un problema cuando muchos id. de objeto se conservan en el FIM. Tabla Objetos . El trabajo de Agente SQL Server ejecuta el procedimiento almacenado FIM_DeleteExpiredSystemObjectsJob y quita los objetos de sistema expirados mediante la recopilación de todas las solicitudes y referencias de objeto, y coloca sus identificadores de objeto en la tabla ExpiredObjectKeys.

A continuación, se quitan todos los valores de las tablas ObjectValue* para cada número de id. de la tabla ExpiredObjectKeys . Por último, si se han eliminado todos los valores de las tablas ObjectValue* , también se elimina la fila coincidente de la tabla ExpiredObjectKeys . Sin embargo, el id. de objeto en sí nunca se elimina del fim. Tabla Objetos .

Después de instalar la actualización, se agrega un nuevo procedimiento almacenado en el espacio de nombres de depuración para limpiar la base de datos de estos objetos.

• Stored Procedure Name: debug. DeleteObjectRemainders

• Sintaxis: depuración exec. DeleteObjectRemainders

Problema 5

Después de la instalación limpia de MIM SP1, es posible que el informe MIM o la partición de servicios MIM no funcionen correctamente. Después de instalar esta actualización, los informes de servicios MIM y las particiones se instalan y funcionan correctamente.

Problema 6

Si el nivel de compatibilidad de la base de datos FIMService se establece en 120, pueden producirse interbloqueos de SQL. Después de instalar esta actualización, estos interbloqueos ya no se producen.

Mejora 1

El registro de seguimiento detallado en el servicio MIM ahora puede habilitarse sin forzar el reinicio del servicio.

Se agrega una nueva sección al archivo Microsoft.ResourceManagement.Service.exe.config para admitir esta funcionalidad. Después de instalar esta actualización, esta nueva sección ya está presente.

<dynamicLogging mode="true" loggingLevel="Critical" />

El registro puede establecerse en cualquier nivel entre Crítico y Detallado.

Se escribirán dos archivos de salida en la carpeta de instalación del servicio MIM. Es importante que la cuenta del servicio MIM tenga permisos de escritura en esta carpeta.

Ubicación de la carpeta:

%programfiles%\Microsoft Forefront Identity Manager\2010\Service

Archivos escritos:

• Microsoft.ResourceManagement.Service_tracelog.svclog

• Microsoft.ResourceManagement.Service_tracelog.txt

Mejora 2

Se agrega compatibilidad con system center 2016 Service Manager y Data Warehouse para informes de servicio de MIM.

Antes de esta actualización, el informe MIM no podía instalarse ni realizarse con System Center 2016 Service Manager Console.

Después de instalar esta actualización, se puede instalar mim reporting y realizar sin necesidad de instalar previamente la consola SCSM, para cualquier versión compatible de SCSM.

Servicio de sincronización

Problema 1

Si el agente de administración del servicio FIM exporta una eliminación de objeto pero no recibe una confirmación de la eliminación, ese mismo objeto se puede volver a crear parcialmente en el FIMService.

Después de instalar esta actualización, se mostrará un error en la lista de errores de la ejecución de la exportación y no se producirá la recreación.

Problema 2

Cuando el DN de un objeto también es el delimitador, no se puede cambiar su nombre. En su lugar, recibirá la excepción siguiente:

Después de instalar esta actualización, el nombre se procesa según lo esperado.

Problema 3

Es posible que la herramienta Clave de administración de claves de cifrado (miiskmu.exe) no abandone las claves debido a un tiempo de inversión causado por un bloqueo de base de datos.

Después de instalar esta actualización, las claves se procesan sin encontrar el tiempo de expiración.

Problema 4

Al ejecutar un paso de perfil de sincronización, se encuentran problemas de rendimiento periódicos.

Se realizó una corrección en el procedimiento almacenado mms_getprojected_csrefguids_noorder para ayudar a mejorar el rendimiento.

Problema 5

En determinadas circunstancias, las reglas de sincronización basadas en filtros se aplican incluso cuando no deberían serlo.

Después de instalar esta actualización, la regla de sincronización solo se aplica si es necesario.

Problema 6

En Exportar para el conector LDAP genérico, si se ha configurado la creación de un archivo de registro de auditoría, el perfil de ejecución de exportación se detiene sin publicar un error BAIL.

Después de instalar esta actualización, un paso Exportar perfil de ejecución se ejecutará correctamente en el conector LDAP genérico cuando esté habilitada la opción Creación de archivos de registro de auditoría.

Portal de restablecimiento de contraseña de MIM

Problema 1

Al restablecer una contraseña mediante la puerta de autenticación de SMS, se muestra un mensaje incorrecto al usuario:

Después de instalar esta actualización, la cadena incorrecta "Llamar verificada:" se quita de ese cuadro de diálogo.

Portal Identity Management de MIM

Problema 1

Arrastrar y colocar usuarios en el cuadro Quitar para eliminar o quitar un miembro para la pertenencia a grupos no funciona en todas las circunstancias.

Después de instalar esta corrección, los usuarios pueden arrastrar y colocar usuarios en el cuadro Quitar al administrar la pertenencia a grupos manual.

Problema 2

La configuración de fecha y hora local se omite para inglés (Australia).

Después de instalar esta actualización, se aplica la configuración de formato de fecha y hora local.

Problema 3

Los controles personalizados no se inicializan si tenemos parámetros de evento personalizados en la Configuración de visualización de control de recursos (RCDC).

Después de instalar esta corrección, los controles personalizados se inicializan según lo esperado.

Problema 4

El control de errores en la configuración de visualización de control de recursos a veces no está claro.

En esta actualización, las notificaciones de error se personalizan para describir el error con mayor claridad.

Problema 5

Al usar un vínculo copiado a un objeto personalizado en el Portal de administración de identidades, el objeto no se muestra según lo esperado.

Después de instalar esta actualización, el objeto personalizado se muestra según lo esperado desde el vínculo copiado.

Problema 6

Al intentar instalar el Portal de administración de identidades en SharePoint 2016 después de desinstalarlo o durante una actualización, este no se instala. Además, recibirá la excepción siguiente:

Al instalar esta actualización, el programa de instalación reiniciará el servicio de temporizador de SharePoint para volver a intentar los trabajos de SharePoint con errores, de modo que la configuración ya se puede completar.

Problema 7

El RCDC de la vista de aprobación tiene símbolos incorrectos y muestra un error.

Después de instalar esta corrección, la vista de aprobación RCDC se muestra según lo esperado y no produce una excepción.

Problema 8

Los botones de pertenencia si los objetos de grupo personalizados no funcionan correctamente.

Después de instalar esta corrección, los botones de pertenencia a grupos funcionan según lo esperado.

Problema 9

Cuando ve el Portal de administración de identidades de MIM mediante el explorador Firefox, las vistas de lista de objetos, como Usuarios y Grupos de distribución, no se muestran correctamente.

Después de instalar esta actualización, las vistas de lista de objetos se muestran según lo esperado al usar el explorador Firefox.

Problema 10

Al ver el Portal de administración de identidades de MIM con el explorador Internet Explorer, es posible que los títulos de las vistas de lista de objetos no se alineen a la izquierda en la columna.

Después de instalar esta actualización, los títulos de la vista de lista de objetos se muestran alineados a la izquierda según lo esperado.

Problema 11

Al ejecutar el portal de MIM en SharePoint 2016, los botones Unirse, Abandonar, Agregar miembro y Quitar miembro no funcionan según lo esperado en los tipos de objeto de grupo personalizados.

Después de instalar esta actualización, estos botones funcionan según lo esperado en los tipos de objeto de grupo personalizados.

Mejora 1

Para evitar que no se pueda establecer el valor predeterminado de un ámbito de grupo, se agregaron dos propiedades opcionales a UoCDropDownList y UocRadioButtonList.

• Defaultvalue

• Condición

Defaultvalue: Esta es una propiedad opcional. Use esta propiedad para definir un valor predeterminado para el control si el control se usa para crear datos nuevos.

Por ejemplo:

   <my:Control my:Name="My UocDropDownList" my:TypeName="UocDropDownList"
        …
         <my:Properties>
          ...
           <my:Property my:Name="DefaultValue" my:Value="MyDefault" />

Condición: Condición es atributo opcional en la propiedad y se usa para especificar la condición cuando se aplica la propiedad. El control puede tener varias propiedades que usan el mismo nombre pero condiciones no unirse.

La sintaxis de la condición es la siguiente:

my:Condition="[left part] [condition] [right part]"

Notas

• [parte izquierda] tiene las siguientes opciones:

  • Origen del enlace y ruta de acceso

  • Valor simple

• [condición] tiene las siguientes opciones:

  • ==

  • !=

• [parte derecha] tiene las siguientes opciones:

  • Origen del enlace y ruta de acceso

  • Valor simple

Ejemplo de creación de valores predeterminados diferentes para diferentes tipos de grupo:

<my:Control my:Name="My UocDropDownList" my:TypeName="UocDropDownList"
        …
         <my:Properties>
          ...
           <my:Property my:Name="DefaultValue" my:Value=" MyDefautltForDistributionGroups" my:Condition="{Binding Source=object, Path=Type} == Distribution" />
          <my:Property my:Name="DefaultValue" my:Value=" MyDefautltForSecurityGroups " my:Condition="{Binding Source=object, Path=Type} == Security" />

Mejora 2

El nombre de todos los tipos de actividad que ha creado a través del Portal es authenticationGateActivity. Después de instalar esta actualización, todos los objetos ActivityType nuevos que se creen tendrán los siguientes valores de nombre de actividad, según el tipo:

• Autenticación: authenticationActivity1... authenticationActivityN

• Autorización: authorizationActivity1... authorizationActivityN

• Acción: actionActivity1... actionActivityN

Mejora 3

El solicitante o aprobador no tiene medios para proporcionar justificación al crear la solicitud o aprobar o rechazar la solicitud pendiente.

Con esta actualización, se agrega un campo de justificación a la vista Crear solicitud y se pueden usar nuevos datos de solicitud o flujo de trabajo de justificación. Los siguientes atributos se agregan parámetros [//Request/Justification] y [//WorkflowData/Reason].

Certificate Management

Problema 1

Al inscribirse en una tarjeta inteligente virtual, introducir un pin con menos de 8 caracteres devuelve un error engañoso.

Después de instalar esta actualización, se devuelve al usuario un error relevante.

Problema 2

Al renovar una tarjeta inteligente, un usuario puede quedar atrapado en un bucle de renovación infinita.

Los pasos siguientes provocarán este problema:

1. Los perfiles de tarjeta inteligente actuales entran en la ventana de renovación:

   • El usuario recibe un correo electrónico del servicio FIM CM en el que se le pide que complete una solicitud de renovación

2. El usuario ejecuta correctamente la solicitud de renovación y recupera todos los certificados renovados.

3. Varias horas más tarde, el usuario recibe un segundo correo electrónico del servicio FIM CM.

   • Esto no es lo esperado, ya que el perfil ya se ha renovado.

4. El usuario terminará en un bucle de renovación infinita si ejecuta todas las solicitudes que crea el servicio FIM CM.

Después de instalar esta actualización, solo se crean las solicitudes correctas y no hay bucle infinito.

Problema 3

Si las CRL diferenciales están deshabilitadas en una entidad de certificación usada por la Administración de certificados MIM, MIM CM lanzará la excepción ERROR_FILE_NOT_FOUND.

Después de instalar esta actualización, no se produce ninguna excepción.

Problema 4

MIM CM no admite el modo NonAdmin cuando usted trabaja con las tarjetas virtuales. El cliente de MIM CM solo pudo crear la tarjeta inteligente virtual durante la inscripción. También es necesario tener derechos de administrador local para crear una tarjeta inteligente virtual. Por lo tanto, solo los administradores locales pueden inscribirse para una nueva tarjeta inteligente virtual a través del portal de MIM CM.

Después de instalar esta revisión, una nueva clave del Registro configurará el cliente DE MIM CM para que se ejecute en modo no administrador. Observe que la tarjeta inteligente virtual debe crearse previamente antes de que el usuario pueda inscribir su tarjeta inteligente virtual en la configuración del modo no Administración.

Para habilitar el modo NonAdmin , cambie o cree el valor DWORD NonAdmin=1 en la clave del Registro siguiente en un equipo cliente:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\CLM\v1.0\SmartCardClient

Problema 5

Cuando utiliza la API de REST DE MIM CM para cambiar el estado de la tarjeta inteligente a "Deshabilitada", se devuelve un error 501 (NotImplemented).

Después de instalar esta actualización, este mismo código deshabilitará correctamente la tarjeta inteligente.

PUT …/api/v1.0/requests/{reqID}/smartcards/{smartcardID}
{
   “status” : “Disabled”
}

Para obtener más información, consulte el tema Actualizar estado de tarjeta inteligente en el sitio web de Microsoft.

Problema 6

La versión del servidor MIM CM 4.3.1999.0 o una versión posterior (hasta la revisión actual) no puede trabajar con la versión anterior de los clientes CM (FIM 2010R2 y MIM).

Después de instalar esta actualización, MIM CM Server funcionará con clientes MIM y FIM 2010R2 CM más antiguos (clientes FIM 2010R2 versión 4.1.3508.0 y versiones posteriores se probaron).

Problema 7

No se pudo crear la solicitud "OfflineUnblock" mediante la siguiente llamada desde la API REST de MIM CM:

https://learn.microsoft.com/en-us/microsoft-identity-manager/reference/create-request

Después de instalar esta actualización, este mismo código enviará correctamente la solicitud offlineUnblock.

Problema 8

No existe la posibilidad de utilizar el id. de tarjeta inteligente como parámetro al crear una solicitud "Disable" (o cualquier otro tipo) mediante la siguiente llamada desde la API REST de MIM CM:

https://learn.microsoft.com/en-us/microsoft-identity-manager/reference/create-request

 Solo el parámetro "perfil" está disponible.

Por ejemplo:

POST api/v1.0/requests
    {
        "target":"e5008CDD9E614F9BBEDC45EEEE6776F0",
        "comment":"any comment",
        "type":"Disable",
        "profiletemplateuuid":"7860DEBB-771D-464E-AAC5-2F093282CE66",
        "datacollection":[],
        "priority":"1",
        "smartcard":"49BFE09C-5590-4CC4-8A21-FB4289F4F6C8"  
     }

Después de instalar esta actualización, puede usar el id. de tarjeta inteligente como parámetro.

Observe que el id. de tarjeta inteligente no es el mismo que el número de serie de la tarjeta inteligente. El MIM CM crea el id. de tarjeta inteligente para cada tarjeta inteligente activa.

Problema 9

El seguimiento del cliente MIM CM no registra el datetime. Después de instalar esta actualización, los datos de fecha y hora se incluirán en el registro de seguimiento de clientes.

Problema 10

La cancelación de un usuario en el cuadro de diálogo modal de tarjetas inteligentes virtuales existentes puede provocar un mensaje de error confuso y poco práctico en lugar de cancelar simplemente la operación.

Después de instalar esta actualización, la operación cancela al usuario.

Problema 11

El flujo de retirada deja de responder para las tarjetas inteligentes virtuales TPM cuando se establece la opción NonAdmin en el Registro.

Problema 12

La configuración de revocación duplicada en La directiva Reemplazar no se aplica a un perfil duplicado. Después de instalar esta actualización, el flujo funciona según lo esperado. El retraso de revocación se copia correctamente en el perfil duplicado.

Problema 13

La administración de certificados MIM no registra los datos de excepción del servicio web. Después de instalar esta actualización, CM registra ahora todos los datos de excepción del servicio web.

Mejora 1

Antes de esta actualización, las únicas opciones para las reglas de PIN en la aplicación moderna MIM CM son MinimumPinLength.

Después de instalar esta actualización, ya están disponibles las siguientes opciones de validación:

• Dígitos

• Letras minúsculas

• Maxlength

• MinLength

• SpecialCharacte3rs

• MayúsculasCaracteres

Complemento MIM para Outlook

Problema 1

Los dlls de complementos MIM de 32 bits (por ejemplo, OfficeintegrationShim2010.dll) no se firman después de aplicar la actualización MSP de MIM SP1 (compilación 4.4.1302.0).

En esta actualización, todos los archivos se firman según lo esperado.