S’applique à
Identity Manager 2016 Microsoft Identity Manager 2016 SP2

Contenu fourni par Microsoft  

Applicabilité :

  • Microsoft Identity Manager 2016

  • Microsoft Identity Manager 2016 SP2

Informations

Régulièrement, une entreprise peut avoir besoin de remplacer ou de mettre à niveau une autorité de certification émettrice. Très souvent, cela s’accompagne d’une mise à niveau/migration de Forefront Identity Manager 2010 R2 (FIM 2010 R2) ou Microsoft Identity Manager 2016 (MIM 2016 / MIM 2016 SP1) vers MIM 2016 SP2. Pour ce faire, il est courant de mettre en place un nouveau serveur/machine virtuelle pour héberger l’autorité de certification, de déplacer la base de données de l’autorité de certification vers le nouveau serveur et de commencer à utiliser cette nouvelle autorité de certification mise à niveau. Si le nom du nouveau serveur/machine virtuelle n’était pas le même nom que le serveur d’autorité de certification d’origine, les informations du modèle de certificat dans le modèle de profil sont rompues, car elles font référence au nom de l’autorité de certification d’origine.

Lors de la mise à niveau d’une autorité de certification utilisée par une solution MIM CM, il est essentiel de conserver le même nom de serveur/ordinateur pour le serveur hébergeant la nouvelle autorité de certification/mise à niveau, ainsi que le nom de l’autorité de certification elle-même.   Si un autre nom de serveur d’autorité de certification ou nom d’autorité de certification est utilisé, la solution MIM CM est rompue.

  • Il existe plusieurs liens et publications de documentation où vous pouvez apprendre à restaurer l’autorité de certification sur un serveur avec un autre nom de serveur, mais cela interrompt la solution MIM CM.

  • Le même nom d’autorité de certification est simple, car vous suivez les instructions pour restaurer l’autorité de certification sur le nouveau serveur.

Si le nom du serveur a été modifié, les erreurs suivantes peuvent se produire :

  • Tous les workflows de modèle de profil tentés entraînent une erreur RPC, une erreur d’autorité de certification introuvable ou une erreur d’autorité de certification désactivée.

  • Les certificats émis à l’autorité de certification d’origine ne seront pas révoqués par MIM CM. Ils semblent échouer en mode silencieux dans le portail, mais lèvent une exception dans le journal des événements CM MIM indiquant que l’autorité de certification est désactivée.

Les messages d’erreur suivants (mais pas seulement ceux-ci) peuvent être enregistrés :

  • Le nom spécifié ou le nom de serveur de l’autorité de certification n’est pas valide.

  • Impossible de contacter l’autorité de certification <CA-Name>, car elle est marquée comme désaffectée.

Solution

Si l’autorité de certification est migrée vers un serveur avec un nouveau nom de serveur d’autorité de certification qui affiche un serveur d’autorité de certification supplémentaire retourné dans la commande clmutil.exe -listCa, procédez comme suit :

  1. Mettez à jour l’autorité de certification pour remplacer le nom du serveur d’autorité de certification par le nom d’origine.

  2. Restaurez la base de données MIM CM sur la version sauvegardée juste avant la mise à niveau du serveur d’autorité de certification.  

Références  

Microsoft Identity Manager l’historique des versions  

Déployer l’application Windows Gestionnaire de certificats MIM | Microsoft Learn

Comment déplacer une autorité de certification vers un autre serveur - Windows Server | Microsoft Learn

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité