Impossible de trouver le certificat de fédération avec l’empreinte numérique lors de l’utilisation du certificat suivant

  • Article
  • S’applique à:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Exchange Online, Exchange Server 2010 Enterprise, Exchange Server 2010 Standard

Numéro de la base de connaissances d’origine : 2810692

Remarque

L’Assistant Configuration hybride inclus dans le console de gestion Exchange dans Microsoft Exchange Server 2010 n’est plus pris en charge. Par conséquent, vous ne devez plus utiliser l’ancien Assistant Configuration hybride. Utilisez plutôt l’Assistant Configuration hybride De Microsoft 365. Pour plus d’informations, consultez Assistant Configuration hybride Microsoft 365 pour Exchange 2010.

Symptômes

Envisagez le scénario suivant dans un déploiement hybride de Exchange Server et de Exchange Online locaux dans Microsoft 365 :

  • Le certificat actuel qui a été créé pour l’approbation de fédération sur le serveur hybride est supprimé par inadvertance.
  • Le certificat actuel doit être remplacé pour que l’approbation fonctionne correctement.
  • Un nouveau certificat est créé.
  • Vous exécutez l’Assistant Gestion de la fédération, puis sélectionnez la case Roll certificate (Roll certificate) pour définir le certificat suivant comme certificat actuel case activée pour utiliser le nouveau certificat.

Dans ce scénario, l’Assistant ne met pas à jour le certificat comme prévu. Lorsque vous essayez d’utiliser l’applet Set-FederationTrust -Identity de commande pour que l’approbation de fédération utilise le certificat suivant comme certificat actuel, le message d’erreur suivant s’affiche :

[PS] C :>Set-FederationTrust -Identity « Microsoft Federation Gateway » -PublishFederationCertificate
Le certificat de fédération avec l’empreinte numérique «< empreinte du certificat> actuel » est introuvable.
+ CategoryInfo : InvalidResult : (:) [Set-FederationTrust], FederationCertificateInvalidException
+ FullyQualifiedErrorId : 906B427C,Microsoft.Exchange.Management.SystemConfigurationTasks

Cause

Ce problème se produit si le nouveau certificat est manquant dans le magasin de certificats. Dans ce cas, l’Assistant Gestion de la fédération ne peut pas être roulé vers le nouveau certificat.

Résolution

Pour résoudre ce problème, mettez à jour l’objet Active Directory pour l’approbation de fédération en ajoutant l’empreinte numérique du certificat de fédération suivant à l’objet . Cela permet à l’Assistant Gestion de la fédération ou à l’applet Set-FederationTrust de commande de traiter correctement la demande de substitution.

Pour cela, procédez comme suit :

  1. Connectez-vous au serveur de déploiement hybride Exchange 2010 en tant qu’administrateur de domaine.

  2. Ouvrir les interfaces de service Active Directory (ADSI) Modifier. Pour ce faire, cliquez sur Démarrer, sur Exécuter, tapez ADSIEdit.msc, puis cliquez sur OK.

  3. Une fois la fenêtre De modification ADSI chargée, cliquez avec le bouton droit sur Modifier ADSI dans le volet de navigation, puis cliquez sur Se connecter à.

  4. Dans la fenêtre Paramètres de connexion, cliquez sur Sélectionner un contexte d’affectation de noms connu dans la zone Point de connexion , puis cliquez sur Configuration.

  5. Dans la zone Ordinateur , sélectionnez Par défaut (domaine ou serveur auquel vous êtes connecté), puis cliquez sur OK.

  6. Recherchez CN=Configuration, DC=<DOMAIN>, DC=<COM>, CN=Services, CN=Microsoft Exchange, CN=<ORGANIZATION NAME>, CN=Federation Trusts.

    Remarque

    Remplacez les valeurs dans les espaces réservés (<>) par les valeurs propres à votre environnement.

  7. Cliquez avec le bouton droit sur CN=Microsoft Federation Gateway, puis cliquez sur Propriétés.

  8. Double-cliquez sur la msExchFedOrgNextCertificate propriété, puis copiez la valeur entière.

    Remarque

    Cette valeur peut être renseignée uniquement si vous rencontrez le problème décrit dans la section Symptômes. Si la valeur n’est pas renseignée, vous ne pouvez pas poursuivre les étapes restantes.

  9. Fermez la msExchFedOrgNextCertificate propriété .

  10. Double-cliquez sur la msExchFedOrgPrivCertificate propriété, puis collez la valeur que vous avez copiée à l’étape 8. La miniature du certificat actuel sera remplacée par la miniature du certificat suivant.

  11. Cliquez sur OK pour définir la valeur.

  12. Forcer manuellement la réplication Active Directory. Ou attendez que la modification soit répliquée dans votre infrastructure Active Directory.

    Remarque

    Pour plus d’informations sur la façon de forcer la réplication Active Directory, consultez Forcer la réplication via une connexion.

  13. Dans le console de gestion Exchange, réexécutez l’Assistant Gestion de la fédération. Le certificat actuel et le certificat suivant doivent être identiques.

  14. Sélectionnez la zone Roll certificate pour définir le certificat suivant comme certificat actuel case activée, puis effectuez les étapes de l’Assistant.

  15. Testez la configuration à l’aide de l’applet de Test-Federation commande . Les résultats doivent indiquer que la validation du certificat de fédération a réussi.

    Remarque

    Pour plus d’informations sur l’applet de Test-FederationTrust commande, accédez à Test-FederationTrust.

Informations supplémentaires

Encore besoin d’aide ? Accédez à la Communauté Microsoft ou au site web forums Windows Azure Active Directory .