次の証明書を使用する場合、拇印を含むフェデレーション証明書が見つかりません
元の KB 番号: 2810692
注:
Microsoft Exchange Server 2010 のExchange 管理コンソールに含まれるハイブリッド構成ウィザードはサポートされなくなりました。 そのため、古いハイブリッド構成ウィザードは使用しなくなります。 代わりに、 Microsoft 365 ハイブリッド構成ウィザードを使用します。 詳細については、「 Microsoft 365 ハイブリッド構成ウィザード for Exchange 2010」を参照してください。
現象
Microsoft 365 でのオンプレミスのExchange ServerとExchange Onlineのハイブリッド展開では、次のシナリオを検討してください。
- ハイブリッド サーバー上のフェデレーション信頼用に作成された現在の証明書が意図せずに削除されます。
- 信頼が正しく機能するためには、現在の証明書を置き換える必要があります。
- 新しい証明書が作成されます。
- フェデレーションの管理ウィザードを実行し、[証明書のロール] を選択して、次の証明書を現在の証明書チェックボックスとして作成し、新しい証明書を使用します。
このシナリオでは、ウィザードは証明書を期待どおりに更新しません。 コマンドレットを Set-FederationTrust -Identity
使用して、フェデレーション信頼で次の証明書を現在の証明書として使用しようとすると、次のエラー メッセージが表示されます。
[PS]C:>Set-FederationTrust -Identity "Microsoft Federation Gateway" -PublishFederationCertificate
拇印 "<現在の証明書の拇印" を含むフェデレーション証明書>が見つかりません。
+ CategoryInfo : InvalidResult: (:) [Set-FederationTrust], FederationCertificateInvalidException
+ 完全修飾ErrorId: 906B427C,Microsoft.Exchange.Management.SystemConfigurationTasks
原因
この問題は、新しい証明書が証明書ストアに存在しない場合に発生します。 この場合、フェデレーションの管理ウィザードは新しい証明書にロールできません。
解決方法
この問題を解決するには、次のフェデレーション証明書の拇印をオブジェクトに追加して、フェデレーション信頼の Active Directory オブジェクトを更新します。 これにより、フェデレーションの管理ウィザードまたはコマンドレットが Set-FederationTrust
ロールオーバー要求を正常に処理できます。
これを行うには、次の手順を実行します。
ドメイン管理者として Exchange 2010 ハイブリッド展開サーバーにログオンします。
Active Directory サービス インターフェイス (ADSI) 編集を開きます。 これを行うには、[ スタート] をクリックし、[ 実行] をクリックし、「」と入力
ADSIEdit.msc
し、[OK] をクリック します。[ADSI 編集] ウィンドウが読み込まれたら、ナビゲーション ウィンドウで [ADSI Edit] を右クリックし、[ 接続] をクリックします。
[接続設定] ウィンドウで、[接続ポイント] 領域で [既知の名前付けコンテキストの選択] をクリックし、[構成] をクリックします。
[ コンピューター ] 領域で、 既定 (ログインしているドメインまたはサーバー) を選択し、[OK] をクリック します。
CN=Configuration、DC=<DOMAIN>、DC=<COM>、CN=Services、CN=Microsoft Exchange、CN=<ORGANIZATION NAME>、CN=Federation Trusts を見つけます。
注:
プレースホルダー (<>) の値を、環境に固有の値に置き換えます。
[CN=Microsoft Federation Gateway] を右クリックし、[プロパティ] をクリックします。
プロパティを
msExchFedOrgNextCertificate
ダブルクリックし、値全体をコピーします。注:
この値は、「現象」セクションで説明されている問題が発生した場合にのみ設定される場合があります。 値が設定されていない場合は、残りの手順を続行できません。
プロパティを
msExchFedOrgNextCertificate
閉じます。プロパティを
msExchFedOrgPrivCertificate
ダブルクリックし、手順 8 でコピーした値を貼り付けます。 現在の証明書のサムネイルは、次の証明書のサムネイルに置き換えられます。[ OK] を クリックして値を設定します。
Active Directory レプリケーションを手動で強制します。 または、変更が Active Directory インフラストラクチャ全体でレプリケートされるのを待ちます。
注:
Active Directory レプリケーションを強制する方法の詳細については、「 接続経由でレプリケーションを強制する」を参照してください。
Exchange 管理コンソールで、フェデレーションの管理ウィザードをもう一度実行します。 現在の証明書と次の証明書は同じである必要があります。
[証明書のロール] を選択して、現在の証明書チェックとして次の証明書を作成し、ウィザードの手順を完了します。
コマンドレットを使用して構成をテストします
Test-Federation
。 結果は、フェデレーション証明書の検証が成功したことを示すはずです。注:
コマンドレットの
Test-FederationTrust
詳細については、「 Test-FederationTrust」を参照してください。
詳細
さらにヘルプが必要ですか? Microsoft コミュニティまたは Windows Azure Active Directory フォーラム Web サイトに移動します。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示