Introduction
Un package de correctifs cumulatifs (build 4.3.2195.0) est disponible pour Microsoft Identity Manager (MIM) 2016. Ce package résout certains problèmes et ajoute des fonctionnalités qui sont décrites dans la section « Informations complémentaires ».
Informations de mise à jour
Une prise en charge de la mise à jour est disponible auprès du Support Microsoft. Nous recommandons à tous les clients d’appliquer cette mise à jour de leurs systèmes de production.
Support Microsoft
Si cette mise à jour est disponible au téléchargement à partir du Support de Microsoft, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n'apparaît pas, contactez le Service clientèle et Support de Microsoft pour obtenir le correctif. En outre, vous pouvez obtenir la mise à jour à partir de Microsoft Update ou du catalogue Microsoft Update.
Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour une liste complète des numéros de téléphone service clientèle de Microsoft ou pour créer une demande de service distincte, accédez au site Web de Microsoft suivant :
http://support.microsoft.com/contactus/?ws=supportRemarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'il n'y a pas de correctif disponible pour cette langue.
Problèmes connus concernant cette mise à jour
Service de synchronisation
Après avoir installé cette mise à jour, les agents de gestion personnalisés (MAs) qui sont basés sur l’agent de gestion Extensible (ECMA1 ou ECMA 2.0) et les extensions de règles peuvent ne pas fonctionner et peuvent produire un état d’exécution de « arrêté-extension-dll-chargement ». Ce problème se produit lorsque vous exécutez ces extensions de règles ou de MAs personnalisées après avoir modifié le fichier de configuration (.config) de l’un des processus suivants :
-
MIIServer.exe
-
Mmsscrpt.exe
-
Dllhost.exe
Par exemple, vous avez modifié le fichier MIIServer.exe.config pour modifier la taille de lot par défaut pour le traitement des entrées de synchronisation pour l’agent de gestion du Service FIM.
Dans ce cas, le programme d’installation du moteur de synchronisation pour cette mise à jour intentionnelle ne remplace pas le fichier de configuration pour éviter de supprimer les modifications précédentes. Étant donné que le fichier de configuration n’est pas remplacé, entrées requises par cette mise à jour ne seront pas présentes dans les fichiers, et le moteur de synchronisation ne chargera pas les DLL d’extension de règles lorsque le moteur exécute une importation complète ou le profil d’exécution de la synchronisation Delta.
Pour résoudre ce problème, procédez comme suit :
-
Effectuez une copie de sauvegarde du fichier MIIServer.exe.config.
-
Ouvrez le fichier MIIServer.exe.config dans un éditeur de texte ou dans Visual Studio de Microsoft.
-
Recherchez la section < runtime > dans le fichier MIIServer.exe.config et puis remplacez le contenu de la section < dependentAssembly > par le texte suivant :
<dependentAssembly><assemblyIdentity name="Microsoft.MetadirectoryServicesEx" publicKeyToken="31bf3856ad364e35" />
<bindingRedirect oldVersion="3.3.0.0-4.1.3.0" newVersion="4.1.4.0" />
</dependentAssembly> -
Enregistrer les modifications dans le fichier.
-
Recherchez le fichier Mmsscrpt.exe.config dans le même répertoire et le Dllhost.exe.config se dans le répertoire parent. Répétez les étapes 1 à 4 pour ces deux fichiers.
-
Redémarrez le Service de synchronisation de Forefront Identity Manager (FIMSynchronizationService).
-
Vérifiez que les extensions de règles et les agents de gestion personnalisés fonctionnent désormais comme prévu.
Conditions préalables
Pour appliquer cette mise à jour, vous devez disposer des 2016 du Gestionnaire d’identités Microsoft build 4.3.1935.0 ou une version ultérieure est installé.
Pour les déploiements de BHOLD du module d’intégration de FIM BHOLD ou de connecteur de gestion des accès, vous devez disposer ce correctif cumulatif (4.3.2195.0) installé sur vos serveurs MIM avant d’appliquer toute mise à jour pour les modules BHOLD.
Nécessite un redémarrage
Vous devez redémarrer l’ordinateur après avoir appliqué le package modules complémentaires et Extensions (_kb3134725.mspnnde Fimaddinsextensions_x). En outre, vous devrez peut-être redémarrer les composants du serveur.
Informations sur le remplacement
Cette mise à jour remplace la mise à jour 3092179 (build 4.3.2064.0) pour le Gestionnaire d’identité Microsoft 2016.
Informations sur les fichiers
La version internationale de cette mise à jour a les attributs de fichier (ou les attributs de fichiers ultérieurs) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, elles sont converties en heure locale. Pour trouver la différence entre l’UTC et l’heure locale, utilisez l’onglet fuseau horaire dans l’élément de Date et heure dans le panneau de configuration.
Nom de fichier |
Date |
Heure |
Taille du fichier (octets) |
---|---|---|---|
AccessManagementConnector.msi |
12-Feb-2016 |
09:43 |
671,744 |
Compléments et extensions.zip |
21-Apr-2016 |
13:25 |
25,346,203 |
BholdAnalytics 5.0.3355.0_Release.msi |
12-Feb-2016 |
09:32 |
2,707,456 |
BholdAttestation 5.0.3355.0_Release.msi |
12-Feb-2016 |
10:20 |
3,280,896 |
BholdCore 5.0.3355.0_Release.msi |
12-Feb-2016 |
09:21 |
5,021,696 |
BholdFIMIntegration 5.0.3355.0_Release.msi |
12-Feb-2016 |
09:56 |
3,534,848 |
BholdModelGenerator 5.0.3355.0_Release.msi |
12-Feb-2016 |
10:31 |
3,252,224 |
BholdReporting 5.0.3355.0_Release.msi |
12-Feb-2016 |
10:07 |
1,998,848 |
FIMAddinsExtensions_x64_KB3134725.msp |
20-Apr-2016 |
21:49 |
2,555,904 |
FIMAddinsExtensions_x86_KB3134725.msp |
20-Apr-2016 |
16:31 |
2,293,760 |
FIMCMBulkClient_x86_KB3134725.msp |
20-Apr-2016 |
16:31 |
4,722,688 |
FIMCMClient_x64_KB3134725.msp |
20-Apr-2016 |
21:49 |
5,722,112 |
FIMCMClient_x86_KB3134725.msp |
20-Apr-2016 |
16:31 |
5,492,736 |
FIMCM_x64_KB3134725.msp |
20-Apr-2016 |
21:49 |
18,313,216 |
FIMCM_x86_KB3134725.msp |
20-Apr-2016 |
16:31 |
18,157,568 |
FIMService_x64_KB3134725.msp |
20-Apr-2016 |
21:49 |
19,267,584 |
FIMSyncService_x64_KB3134725.msp |
20-Apr-2016 |
21:49 |
14,893,056 |
Packs.zip de langue |
21-Apr-2016 |
13:40 |
132,805,849 |
Plus d'informations
Problèmes qui sont résolus ou des fonctions qui sont ajoutées dans cette mise à jour
Cette mise à jour résout les problèmes suivants, ou ajoute les fonctionnalités suivantes qui n’ont pas été documentées dans la Base de connaissances Microsoft.
Gestion de l’accès privilégié (PAM)
Problème 1
Certaines appartenances de groupe ne peuvent pas être supprimés par le service de composant MIM après la période d’expiration de requête PAM. Ce correctif résout la suppression d’appartenances a expiré.
Remarque Si vous utilisez le module PAM, ceci est une mise à jour importante et doit être installé dans tous les environnements.
Problème 2
Un utilisateur de PAM est enregistré dans la base de données de Service de leur nom de domaine NetBIOS et l’utilisateur PAM peut ouvrir une session sur le portail.
Problème 3
Erreurs de MIM moniteur se produisent lorsque vous utilisez le nom NetBIOS pour les groupes de la source.
Problème 4
Les applets de commande New-PAMGroup et PAMUser nouveau n’acceptent pas le nom de domaine pleinement qualifié (FQDN) du domaine.
Les compléments MIM et extensions
Problème 1
Les boutons d’approbation dans le complément Outlook disparaissent dans des interactions de l’interface utilisateur.
Problème 2
Vous recevez un message d’erreur « Conditions préalables Installation ne pas respectées » si vous essayez d’installer le complément MIM pour Outlook sur un ordinateur qui dispose de 2016 Outlook installé.
Gestion des certificats MIM
Problème 1
Le rapport de paramètres de modèle de profil affiche des informations incorrectes. Il montre que la Substitution de code PIN est activée et que la valeur initiale du Personnel d’administrateur est définie même si cela n’est pas vrai. Également si le paramètre de Clé de Admin diversifier est activé, il n’est pas affiché dans le rapport de paramètres de modèle de profil.
Problème 2
La « prise en charge pour les demandes de certificats non - FIM CM » plug-in ne crée pas de profils pour des certificats externes qui ont été créés en dehors MIM certificat Management (CM).
Problème 3
Ce correctif met à jour le suivi de module MIM CM autorité de certification et l’enregistrement, ce qui diffère de traçage d’application serveur CM modules de l’autorité de certification sont installés sur le serveur des services AD CS.
Comment utiliser les modules de l’autorité de certification de suivi
Suivi de module d’autorité de certification diffère d’application de serveur CM, étant donné que les modules de l’autorité de certification peuvent être installées sur un ordinateur distinct.
Emplacement du journal
Événements peuvent être affichés dans le journal Microsoft\IdentityManagement\CertificateManagement\Admin. Par défaut, les modules de l’autorité de certification écrivent également les messages pour le système dossier %Temp% (généralement C:\Windows\TEMP). Pour modifier l’emplacement du fichier journal, spécifiez le nouveau chemin d’accès du fichier dans le Registre. Assurez-vous que le répertoire existe et est accessible en écriture par l’autorité de certification.
Emplacement des journaux de la modification
-
Accédez à HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration dans le Registre.
-
Définir un nouvel emplacement de fichier dans la valeur de Registre ClmCATrace .
-
Redémarrer l’autorité de certification.
Commutateur de trace pour ExitModule
Emplacement du Registre : HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\CertSvc\Configuration\ < nom de l’autorité de certification > \ExitModules\Clm.Exit
Nom de la chaîne : Microsoft.Clm.ExitModule
Données de la valeur : Les données de la valeur peuvent être une des opérations suivantes : Verbose| Info| Avertissement| Erreur
Commutateur de trace pour PolicyModule
Emplacement du Registre : HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\CertSvc\Configuration\ < nom de l’autorité de certification > \PolicyModules\Clm.Policy
Nom de la chaîne : Microsoft.Clm.PolicyModule
Données de la valeur : Les données de la valeur peuvent être une des valeurs suivantes : Verbose| Info| Avertissement| Erreur
Commutateur de trace pour les plug-ins PolicyModule
Emplacement du Registre : HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\CertSvc\Configuration\ < nom de l’autorité de certification > \PolicyModules\Clm.Policy\ < nom du plugin >
Nom de la chaîne : Microsoft.Clm.PolicyModulePlugins
Données de la valeur : Les données de la valeur peuvent être une des valeurs suivantes : Verbose| Info| Avertissement| Erreur
Remarque À moins que la clé est définie, la valeur par défaut est Info. Une fois le commutateur de traçage est modifié, redémarrer l’autorité de certification.
Problème 4
La « prise en charge pour les demandes de certificats non - FIM CM » plug-in ne crée pas de profils pour des certificats externes qui ont été créés en dehors de la MIM CM.
Problème 5
L’inscription de certificat échoue lorsque le système utilise le paramètres régionaux allemands.
Service de synchronisation MIM
Problème 1
Un exportation uniquement basé sur le fichier ECMA2 connecteur n’a pas pu exporter les objets supprimés.
Problème 2
L’attribut msDS-UserPasswordExpiryTimeComputed s’affiche sous la forme d’un attribut disponible dans l’onglet Sélectionner les attributs de l’agent de gestion des Services de domaine Active Directory (AD DS). L' Attribut msDS-UserPasswordExpiryTimeComputed est un attribut calculé dans AD DS et n’est pas détecté par l’opération d’importation. À partir de cette mise à jour, l’attribut est supprimé de la liste des attributs disponibles dans l’agent de gestion.
Problème 3
Parfois, pendant la phase « Importation Server Configuration » dans le service de synchronisation MIM (MIISClient), la boîte de dialogue Importer la Configuration serveur se bloque.
Problème 4
Exécution de plus d’un profil d’exécution avec une tâche de synchronisation en même temps peut endommager les données.
Remarque Une boîte de message s’affiche avec un code d’erreur de 0x8023063D.
Problème 5
Après une restauration faisant autorité des objets Active Directory, importation de delta d’Agent de gestion Active Directory (AD MA) par erreur les détecte comme étant supprimé.
Problème 6
Cette mise à jour ajoute la possibilité de substituer le comportement du moteur de synchronisation par défaut de la modification de profil GUID d’exécution après l’exportation et l’importation de la configuration du serveur.
Remarque Cette mise à jour ajoute une sous-clé de registre spécial pour activer les GUID « conserver » mode. Pour activer le mode de « maintenant », vous devez créer les éléments suivants :
Emplacement du Registre : Service de Manager\2010\Synchronization d’identité HKEY_LOCAL_MACHINE\Software\Microsoft\Forefront
Chaîne nom : KeepEqualRunPrGuids
Données de la valeur : True
Problème 7
Cette mise à jour étend les fonctionnalités de l’agent de gestion AD applets de commande de configuration pour être en mesure de gérer plusieurs partitions.
Remarque Ensemble-MIISADMAConfiguration a été étendu avec ' – Partitions avec un point-virgule ( ;) séparateur.
Utilisation de
Set-MIISADMAConfiguration - MAName MA_NAME -forêt NOM_FORÊT -informations d’identification (Get-Credential)-Partitions « DC = contoso, DC = com ; DC = ForestDnsZones, DC = contoso, DC = com »
Problème 8
Cette mise à jour ajoute une nouvelle applet de commande Add-MIISADMARunProfileStep.
Remarque Il ajoute le profil d’exécution étape « importation complète » affectée à la partition « DC = CONTOSO, DC = COM' au profil d’exécution avec le nom 'ADMA_FULLIMPORT' de l’agent de gestion AD_MA. Si un profil d’exécution de ce nom n’existe pas, il sera créé. L’agent de gestion doit déjà exister.
Valeurs possibles du paramètre StepType (formulaire court ou long un peuvent être utilisées) :
-
« FI », « IMPORTATION DE COMPLET »
-
« FS », « SYNCHRONISATION COMPLÈTE »
-
« FIFS », « COMPLET D’IMPORTATION ET SYNCHRONISATION COMPLÈTE »
-
« FID », « COMPLET D’IMPORTATION ET SYNCHRONISATION DELTA »
-
« DI », « DELTA IMPORT »
-
« DS », « SYNCHRONISATION DELTA »
-
« DIDS », « DELTA IMPORTATION ET SYNCHRONISATION DELTA »
-
« EXP », « EXPORTER »
Utilisation de
Ajouter-MIISADMARunProfileStep - MAName 'AD_MA'-Partition « DC = CONTOSO, DC = COM' - StepType 'FI' - ProfileName 'ADMA_FULLIMPORT'
Problème 9
MmsScrpt.exe se bloque en raison du fichier binaire ayant un point d’entrée non valide. L’erreur la plus courante affichée est « Violation d’accès ».
Problème 10
L’applet de commande PowerShell Import-MIISServerConfig ne permet pas d’ignorer l’Agent de gestion lors de l’importation de la configuration.
Portail MIM
Problème 1
Cette mise à jour autorisant les personnalisations qui ont des contrôles affichés et masqués en fonction de l’état de la case à cocher courrier électronique.
Un attribut supplémentaire aux données de configuration de RCDC est inclus dans cette mise à jour. L’élément d’Événement maintenant peut avoir un attribut de paramètres . Pour RCDC de groupe pour l’événement OnChangeEmailEnabling , il doit contenir la liste (respecter la casse) séparées par des virgules des contrôles pour afficher ou masquer.
Voici un petit échantillon (partie de RCDC) pour montrer comment cela fonctionne :
<my:Control my:Name="EmailEnabling" my:TypeName="UocCheckBox" my:Caption="%SYMBOL_EmailEnablingCaption_END%"
my:Description="%SYMBOL_EmailEnablingDescription_END%"
my:AutoPostback="true" my:RightsLevel="{Binding Source=rights,
Path=Email}">
<my:Properties>
<my:Property my:Name="Text" my:Value="%SYMBOL_EmailEnablingValue_END%"/>
</my:Properties>
<my:Events>
Remarque Si l’attribut de paramètres n’est pas inclus, rien ne changera et le comportement précédent.
Problème 2
Cette mise à jour ajoute la possibilité de personnaliser entièrement l’en-tête du portail.
Remarque Remplacer la section d’en-tête de portail avec un contenu HTML personnalisé (en ajoutant le fichier CustomPortalHeader.html dans le dossier de personnalisation ).
Problème 3
Toutes les langues prises en charge et de cultures sont localisées correctement comme certains ont été signalés à localiser correctement pour certains paramètres spécifiques à la culture localisation.
Problème 4
Le portail ne vérifie pas le contenu des fichiers de l’image chargée. Toutefois, le portail peut vérifier le contenu d’une image. Pour activer cette vérification, création de l’utilisateur et RCDC de modification d’utilisateur doivent être modifiées en ajoutant l’option de propriété pour le type UocFileUpload , comme dans l’exemple suivant :
<my:Property my:Name="ValidateImage" my:Value="true"/
Service MIM
Problème 1
Au cours de la 4.3.2064.0 installation du correctif logiciel, la mise à niveau de base de données échoue si le nom de base de données du Service FIM n’est pas le nom par défaut FIMService.
Problème 2
Si un schéma de jeu complexe est implémenté, blocages peuvent se produire pendant une évaluation de la demande.
Problème 3
L’outil de sauvegarde de configuration ne fonctionne pas dans MIM.
Problème 4
Exportation de l’Agent de gestion FIM (MA) vous permet d’ajouter des attributs de chaîne à valeurs multiples d’objets MIM.
BHOLD
Problème 1
La fonction applicationdeletealias est ajoutée pour le service web BHOLD.
Le nom de fonction avec arguments peut être considéré comme un argument pour la méthode ExecuteXml .
Remarques
-
nom d’utilisateur et applicationid sont des arguments obligatoires
-
l’alias est un argument facultatif. Sans l’argument alias est défini de manière explicite, cette fonction supprime tous les alias pour une paire d’utilisateur de l’application.
Problème 2
BHOLD Core affiche une erreur dans la table LogItems lors de la suppression d’un rôle d’un parent.
Prise en charge linguistique
Problème 1
La culture serbe nouveau sr-Latn-r sont disponible pour les composants suivants :
-
Service MIM
-
Clients MIM
-
Gestion des certificats
Références
Découvrez la terminologie que Microsoft utilise pour décrire les mises à jour logicielles.