はじめに
Microsoft Forefront Identity Manager (FIM) 2010 では、修正プログラムロールアップ パッケージ (ビルド 4.0.3594.2) を使用できます。 この修正プログラム ロールアップ パッケージは、いくつかの問題を解決し、「詳細」セクションで説明されている一部の機能を追加します。
この修正プログラムロールアップ パッケージには、次の Microsoft サポート技術情報の記事で説明されている、以前のすべての修正プログラムが含まれています。
2502631 Forefront Identity Manager 2010
2417774 A 修正プログラムロールアップ パッケージ (ビルド 4.0.3573.2) は、Forefront Identity Manager 2010
2272389 A 修正プログラムロールアップ パッケージ (ビルド 4.00.3558.02) で使用できます (ビルド 4.00.3558.02) は Forefront Identity で使用できます。 Manager 2010
2028634 Microsoft Forefront Identity Manager (FIM) 2010
978864 Update Package 1 for Microsoft Forefront Identity Manager (FIM) 2010 この修正プログラム ロールアップ パッケージでは、修正プログラムロールアップ パッケージ (ビルド 4.0.3547.2) を使用できます。また、この修正プログラムロールアップ パッケージでもいくつかの問題が解決され、Microsoft サポート技術情報の前の記事で説明していない機能が提供されています。 これらの問題と機能の詳細については、「詳細」セクションを参照してください。
解決方法
修正プログラムロールアップ情報
サポートされている修正プログラムロールアップは、Microsoft から入手できます。 ただし、この修正プログラムロールアップは、この記事で説明されている問題のみを修正することを目的としています。 この修正プログラムは、この記事で説明されている問題が発生しているシステムにのみ適用します。 この修正プログラムは、追加のテストを受け取る場合があります。 したがって、この問題の深刻な影響を受けない場合は、この修正プログラムロールアップを含む次のソフトウェア更新プログラムをお待ちください。
修正プログラムロールアップをダウンロードできる場合は、このサポート技術情報の記事の上部に「修正プログラムのダウンロードが利用可能です」セクションがあります。 このセクションが表示されない場合は、Microsoft カスタマー サービスとサポートに連絡して修正プログラムを入手してください。
注: その他の問題が発生した場合、またはトラブルシューティングが必要な場合は、別のサービス 要求を作成する必要がある場合があります。 通常のサポート コストは、この特定の修正プログラムの対象ではない追加のサポートに関する質問や問題に適用されます。 Microsoft カスタマー サービスとサポートの電話番号の完全な一覧については、次の Microsoft Web サイトを参照してください。
http://support.microsoft.com/contactus/?ws=support"修正プログラムのダウンロードが利用可能" フォームには、修正プログラムが利用可能な言語が表示されます。 言語が表示されない場合は、その言語の修正プログラムが利用できないためです。
インストール情報
-
FIM サーバー コンポーネントをアップグレードする場合は、次のサーバー コンポーネントもアップグレードする必要があります。
-
FIM 証明書管理 (CM) 証明機関 (CA) コンポーネントを FIM CM サーバーと同じバージョンに設定します。
-
FIM 同期サービスと同じバージョンの FIM サービス。
-
-
一括クライアントの障害を回避するために、FIM 2010 CM Bulk Client をアップグレードする場合は、FIM CM サーバーと FIM CA サーバー モジュールも同じバージョンにアップグレードする必要があります。
必要条件
この修正プログラムロールアップを適用するには、Microsoft Forefront Identity Manager (FIM) 2010 がインストールされている必要があります。
再起動に関する情報
アドインおよび拡張機能の修正プログラムロールアップ パッケージを適用した後、コンピューターを再起動する必要があります。 また、サーバー コンポーネントの再起動が必要な場合があります。
レジストリ情報
この修正プログラムロールアップの修正プログラムのいずれかを使用するには、レジストリを変更する必要があります。 詳細については、「詳細」セクションを参照してください。
置き換えに関する情報
この修正プログラムロールアップ パッケージは、次の修正プログラムロールアップ パッケージに置き換えられます。
2502631 Forefront Identity Manager 2010
2417774 A 修正プログラムロールアップ パッケージ (ビルド 4.0.3573.2) は、Forefront Identity Manager 2010
2272389 A 修正プログラムロールアップ パッケージ (ビルド 4.000. 3558.02) は Forefront Identity Manager 2010
2028634 A 修正プログラムロールアップ パッケージ (ビルド 4.0.3547.2) を Microsoft Forefront Identity Manager (FIM) 2010
978864 Update Package 1 for Microsoft Forefront Identity Manager (FIM) 2010 で利用できます。
ファイル情報
この修正プログラム ロールアップのグローバル バージョンでは、次の表に示す属性を持つファイルがインストールされます。 これらのファイルの日付と時刻は世界協定時刻 (UTC) で記載されています。 お使いのコンピューターでは、これらのファイルの日付と時刻は夏時間 (DST) 調整済みのローカル時刻で表示されます。 さらに、ファイルに対して特定の操作を実行すると、日時が変更される場合があります。
Forefront Identity Manager 2010 のサポートされているバージョンすべてについて
|
ファイル名 |
ファイル バージョン |
ファイル サイズ |
日付 |
時刻 |
|---|---|---|---|---|
|
CM Bulk Client.zip |
Not Applicable |
10,228,107 |
2011 年 10 月 15 日 |
21:41 |
|
FIMAddinsExtensions_x64_KB2520954.msp |
Not Applicable |
3,243,520 |
2011 年 10 月 11 日 |
22:27 |
|
FIMAddinsExtensions_x86_KB2520954.msp |
Not Applicable |
3,703,296 |
2011 年 10 月 11 日 |
21:54 |
|
FIMAddinsExtensionsLP_x64_KB2520954.msp |
Not Applicable |
4,611,072 |
2011 年 10 月 18 日 |
09:35 |
|
FIMAddinsExtensionsLP_x86_KB2520954.msp |
Not Applicable |
3,698,688 |
2011 年 10 月 11 日 |
21:54 |
|
FIMCM_x64_KB2520954.msp |
Not Applicable |
13,788,160 |
2011 年 10 月 11 日 |
22:27 |
|
FIMCM_x86_KB2520954.msp |
Not Applicable |
13,386,240 |
2011 年 10 月 11 日 |
21:54 |
|
FIMCMClient_x64_KB2520954.msp |
Not Applicable |
5,796,352 |
2011 年 10 月 11 日 |
22:27 |
|
FIMCMClient_x86_KB2520954.msp |
Not Applicable |
5,139,968 |
2011 年 10 月 11 日 |
21:54 |
|
FIMService_x64_KB2520954.msp |
Not Applicable |
17,148,928 |
2011 年 10 月 11 日 |
22:27 |
|
FIMServiceLP_x64_KB2520954.msp |
Not Applicable |
4,662,272 |
2011 年 10 月 11 日 |
22:27 |
|
FIMSyncService_x64_KB2520954.msp |
Not Applicable |
118,507,008 |
2011 年 10 月 11 日 |
22:27 |
詳細情報
ワークフロー エンジンの問題を修正しました
問題 1
FIM サーバーで接続プール機能が有効になっているSQL、Microsoft SQL Serverデータベースにアクセスする操作を実行するとします。 たとえば、クエリや要求を実行します。 何らかの理由で操作がタイムアウトした場合、そのスレッドが接続プールから削除されるまで、同じスレッドに対する今後の操作SQL可能性があります。 FIM Service Application イベント ログ、要求の RequestStatusDetails プロパティ、またはワークフロー インスタンスの WorkflowStatusDetails プロパティに、次のようなエラー メッセージが表示されます。
ローカル トランザクションが接続上で進行中のため、トランザクションに参加できません。
さらに、タイム スタンプは、操作が失敗した時刻と同じです。
同期エンジンの問題を修正しました
問題 1
ExpectedRulesEntry (ERE) オブジェクトは、Metaverse オブジェクトの子同期ルールに関連付けられている。 ERE オブジェクトに Remove アクションがある場合は、オブジェクトのプロビジョニング解除もトリガーされます。 その後、この動作により Metaverse オブジェクトが削除されます。
問題 2
カスタム拡張機能が COM + オブジェクトを呼び出す場合のアクセス違反を修正します。
問題 3
以前の修正プログラムでは、確認を待つ代わりに未確認のエクスポートをエスクローに保持する特別な拡張接続管理エージェント (ECMA) モードが導入されました。 この修正プログラムの問題により、差分同期により、エクスポートが保留中のエクスポートにマージされない新しいアイテムが追加されます。 この記事に記載されている修正プログラムをインストールした後、ECMAAlwaysExportUnconfirmed レジストリ エントリが 1 に設定されている場合、エスクローと保留中の変更がマージされます。
問題 4
インポート中SQL発生するクエリ構造の問題を修正します。 この問題は、Unicode 以外の文字セットを使用する DB2 データベースに影響します。
問題 5
アプリケーションのエラーが原因で発生する可能性がある多くの "エクスポートが再インポートされない" エラーを修正SQL。
問題 6
すべての同期エンジン操作のパフォーマンスが向上します。
注: この変更には、同期データベースへの大規模なアップグレードが含まれる場合があります。 このアップグレードには、ハードウェアによっては多くの時間がかかる場合があります。 データベースのアップグレード中に進行状況バーが表示されます。
問題 7
ユーザーが管理者グループに入っているが管理者ではない場合、ADMAEnforcePasswordPolicy レジストリ設定を使用するパスワード リセットは失敗します。
機能 1
パスワード 設定操作中にサーバー上の現在の時刻を HTTPPasswordChangeDate フィールドにエクスポートするオプションを追加します。 タイム スタンプは TimeDate データ型として 保存されます。
この動作を有効にするには、次のレジストリ サブキーをゼロ以外の DWORD 値に設定します。
SYSTEM\CurrentControlSet\Services\FIMSynchronizationService\Parameters\NotesMAExportPwdTimestamp
機能 2
FIM 2010 Active Directory 管理エージェント (AD MA) は、パスワードのエクスポート時に、優先ドメイン コントローラー リストを使用できません。 これは、特定のドメイン コントローラー セットに向かうパスワードの変更を必要とするお客様の場合の問題です。 この修正プログラムロールアップ パッケージは、優先AD MAのドメイン コントローラー リストを最初に使用する更新プログラムを変更します。 優先ドメイン コントローラー リストが存在しない場合、ドメイン コントローラー ロケーター サービスは、パスワード エクスポート操作用のドメイン コントローラーを識別します。 さらに、次のレジストリ サブキーを設定することで、プライマリ ドメイン コントローラーを使用するためにパスワード操作を強制することができます。
サブキー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\FIMSynchronizationService\Parameters\PerMAInstance\<MA_name>
値:
ADMAUsePDCForPasswordOperations (REG_DWORD, 1 = True, 0 = False) この修正プログラムロールアップ パッケージは、そのフォレストにパスワードをエクスポートするために、構成済みの
Active Directory フォレストとの信頼関係が必要とならな情報が得られるので、AD MA も更新します。
機能 3
オブジェクトをコネクタ領域にインポートする前にフィルター処理AD MA追加します。
セットとクエリの問題を修正しました
問題 1
正しくない Set 計算の原因となる場合がある問題を修正しました。 その結果、多くのセット修正が行されました。 また、別のシステム メンテナンス ジョブによって管理される特別なセットが変更されないよう、セット修正ジョブも変更しました。
問題 2
パーセント記号、アンダースコア、および開き角かっこをワイルドカード文字としてではなくリテラルとして正しく処理するように、FIM の "クエリとセット" 機能をSQLしました。
FIM 属性値で使用される文字列の承認済み文字セットは、FIM サービスの属性とバインド スキーマで定義されます。 XPath フィルターを表す構文は、MSDN の「FIM XPath Filter Dialect」の記事に記載されています。
http://msdn.microsoft.com/en-us/library/ee652287.aspx一部のお客様は、FIM 検索SQLフィルターでパーセント文字などのクエリ ワイルドカード文字として定義する文字を含め、使用している場合があります。 この場合、お客様は FIM が文字をワイルドカード文字としてSQLしました。 これは、製品の文書化またはサポートされている機能ではありません。 場合によっては、ワイルドカードを削除し、代わりに "contains" クエリ/フィルターを使用して、意図した機能を実現できる場合があります。
ワイルドカード文字を含むフィルターを含む既存SQLセット リソースは、この修正プログラムが適用される前に機能したフィルターとして機能し続けることはできません。 また、後で管理者がフィルター定義を更新した場合、修正プログラムの適用後もワイルドカード文字を含み、期待通り機能し続けたフィルターが異なる場合があります。
クエリ ワイルドカード文字として定義SQL文字を使用したお客様は、この修正プログラムにアップグレードする前または後に、Set フィルターを確認して修正する必要があります。 お客様は、Set メンバーシップの変更が移行 MPRs の設定に及ぼす影響を考慮する必要があります。 また、ユーザーはセットフィルターを変更しながら、MPRs を一時的に無効にしたり、ワークフロー定義を更新したりして、定義の設定メンテナンス中にプロビジョニングまたはプロビジョニング解除操作が意図せずにトリガーされるのを防ぎ、必要な場合があります。
証明書管理の問題を修正しました
問題 1
サーバー キー生成関数で乱数ジェネレーターを有効にします。
問題 2
以前に FIM 証明書管理 (CM) で使用されていないスマートカードを登録する場合のパフォーマンスが向上します。
FIM 管理エージェント (MA) の問題を修正しました
問題 1
同期ルールとコードレス プロビジョニングの FIM 同期サービス構成が FIM Service データベースに正しく書き込まれたという問題が修正されました。
FIM サービスの問題を修正しました
問題 1
要求または承認がSQL Serverの期間中に発生する可能性がある、パフォーマンスの高いデッドロックに関する問題を修正します。
問題 2
FIM Service データベース内の予期しないデータが原因で FIM MA が原因でインポート中に同期サービスが失敗し、サーバーが停止するエラーが発生する問題が修正されました。
問題 3
複数値を持つ文字列属性の値を追加または削除すると発生する問題が修正されました。 要求の再評価などの承認の対象である要求は、承認後に失敗します。
問題 4
一部の ExpectedRuleEntry オブジェクトと、FIM 2010 で検出されたRuleEntry オブジェクトは、時間の間に "孤立" される可能性があります。 DetectedRuleEntry オブジェクトがシステム内の任意のオブジェクトの DetectedRulesList で参照されていない場合、そのオブジェクトは孤立したと判断されます。 同様に、ExpectedRuleEntry オブジェクトがシステム内の任意のオブジェクトの ExpectedRulesList で参照されていない場合、そのオブジェクトも孤立と判断されます。
これらの孤立したオブジェクトは、FIM に機能への影響はありません。 ただし、これらの孤立したオブジェクトは、時間のと共に FIM 操作と FIM に関連する同期操作 (FIM ファイルを使用したインポートやエクスポートなど) のパフォーマンスが低下するMA。
実行ストアド プロシージャ [debug]。[DeleteOrphanedRulesByType]、 FimService データベースの [debug] 名前空間に追加されました。 このストアド プロシージャは、DetectedRuleEntry オブジェクトと ExpectedRuleEntry オブジェクトに対して個別に実行する必要があります。 ストアド プロシージャには "reportOnly" モードも含まれるので、このモードを使用して、システム内の孤立した DetectedRuleEntry オブジェクトと ExpectedRuleEntry オブジェクトの存在と数を特定できます。
この@ruleTypeパラメーターは、次のいずれかの既知の値を期待します。
-
検出されたRuleEntry オブジェクトの N'Detected'
-
ExpectedRuleEntry オブジェクトの N'Expected'
システム内の孤立したオブジェクトの数を確認するには、ストアド プロシージャを "reportOnly" モードで次のように実行します。
DECLARE
@deletedRulesFound BIT;
EXEC [debug].[DeleteOrphanedRulesByType] @ruleType=N'CHANGE_ME', @reportOnly=1, @deletedRulesFound=@deletedRulesFound OUTPUT;
システム内で孤立したオブジェクトをループスルーして実際に削除するには、次のようにストアド プロシージャを実行します。 @deletionLimit=1000 は、1,000 のオブジェクトを削除した場合に停止するように指示します。 システム内に孤立したオブジェクトが 1,000 を超える場合は、プロシージャを複数回実行するか (推奨)、deletionLimit 値を増やします。
DECLARE
@deletedRulesFound BIT,
@startDateTime DATETIME,
@endDateTime DATETIME;
SELECT @deletedRulesFound = -1;
WHILE @deletedRulesFound <> 0
BEGIN
SELECT @startDateTime = CURRENT_TIMESTAMP;
EXEC [debug].[DeleteOrphanedRulesByType] @ruleType=N'CHANGE_ME', @deletionLimit=1000, @reportOnly=0, @deletedRulesFound=@deletedRulesFound OUTPUT;
SELECT @endDateTime = CURRENT_TIMESTAMP;
SELECT @startDateTime AS [StartTime], @endDateTime AS [EndTime], @deletedRulesFound AS [WereDeletedRulesFound];
END
関連情報
ソフトウェア更新プログラムに関する用語の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
824684 マイクロソフトのソフトウェアの更新で使用される一般的な用語の説明
