Não é possível localizar o certificado de federação com o thumbprint ao utilizar o certificado seguinte

  • Artigo
  • Aplica-se a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Exchange Online, Exchange Server 2010 Enterprise, Exchange Server 2010 Standard

Número original da BDC: 2810692

Nota

O assistente de Configuração Híbrida incluído no Consola de Gestão do Exchange no Microsoft Exchange Server 2010 já não é suportado. Por conseguinte, já não deve utilizar o antigo assistente de Configuração Híbrida. Em vez disso, utilize o assistente de Configuração Híbrida do Microsoft 365. Para obter mais informações, consulte Assistente de Configuração Híbrida do Microsoft 365 para o Exchange 2010.

Sintomas

Considere o seguinte cenário numa implementação híbrida de Exchange Server e Exchange Online no Microsoft 365:

  • O certificado atual que foi criado para a confiança de federação no servidor híbrido é eliminado involuntariamente.
  • O certificado atual tem de ser substituído para que a fidedignidade funcione corretamente.
  • É criado um novo certificado.
  • Executa o Assistente de Gestão de Federação e, em seguida, seleciona a caixa de verificação Roll certificate (Roll certificate to make the next certificate as the current certificate) para utilizar o novo certificado.

Neste cenário, o assistente não atualiza o certificado conforme esperado. Quando tenta utilizar o Set-FederationTrust -Identity cmdlet para fazer com que a confiança de federação utilize o certificado seguinte como o certificado atual, recebe a seguinte mensagem de erro:

[PS] C:>Set-FederationTrust -Identity "Microsoft Federation Gateway" -PublishFederationCertificate
Não é possível localizar o certificado de federação com o thumbprint "<thumbprint do certificado> atual".
+ CategoryInfo: InvalidResult: (:) [Set-FederationTrust], FederationCertificateInvalidException
+ FullyQualifiedErrorId: 906B427C,Microsoft.Exchange.Management.SystemConfigurationTasks

Causa

Este problema ocorre se o novo certificado estiver em falta no arquivo de certificados. Neste caso, o Assistente de Gestão de Federação não consegue implementar o novo certificado.

Resolução

Para corrigir este problema, atualize o objeto do Active Directory para a confiança de federação ao adicionar o thumbprint do certificado de federação seguinte ao objeto. Isto permite que o Assistente de Gestão de Federação ou o Set-FederationTrust cmdlet processem com êxito o pedido de rollover.

Para tal, siga estes passos:

  1. Inicie sessão no servidor de implementação híbrida do Exchange 2010 como administrador de domínio.

  2. Abra a Edição de Interfaces de Serviço do Active Directory (ADSI). Para tal, clique em Iniciar, clique em Executar, escreva ADSIEdit.msce, em seguida, clique em OK.

  3. Depois de carregar a janela Editar ADSI, clique com o botão direito do rato em Editar ADSI no painel de navegação e, em seguida, clique em Ligar a.

  4. Na janela Definições de Ligação, clique em Selecionar um Contexto de Nomenclatura bem conhecido na área Ponto de Ligação e, em seguida, clique em Configuração.

  5. Na área Computador , selecione Predefinição (Domínio ou servidor no qual tem sessão iniciada) e, em seguida, clique em OK.

  6. Localize CN=Configuration, DC=<DOMAIN>, DC=<COM>, CN=Services, CN=Microsoft Exchange, CN=<ORGANIZATION NAME>, CN=Federation Trusts.

    Nota

    Substitua os valores nos marcadores de posição (<>) pelos valores específicos do seu ambiente.

  7. Clique com o botão direito do rato em CN=Microsoft Federation Gateway e, em seguida, clique em Propriedades.

  8. Faça duplo clique na msExchFedOrgNextCertificate propriedade e, em seguida, copie todo o valor.

    Nota

    Este valor só poderá ser preenchido se ocorrer o problema descrito na secção Sintomas. Se o valor não estiver preenchido, não poderá continuar com os passos restantes.

  9. Feche a msExchFedOrgNextCertificate propriedade .

  10. Faça duplo clique na msExchFedOrgPrivCertificate propriedade e, em seguida, cole o valor que copiou no passo 8. A miniatura do certificado atual será substituída pela miniatura do certificado seguinte.

  11. Clique em OK para definir o valor.

  12. Forçar manualmente a replicação do Active Directory. Em alternativa, aguarde até que a alteração seja replicada em toda a sua infraestrutura do Active Directory.

    Nota

    Para obter mais informações sobre como forçar a replicação do Active Directory, aceda a Forçar a replicação através de uma ligação.

  13. No Consola de Gestão do Exchange, execute novamente o Assistente de Gestão de Federação. O certificado atual e o certificado seguinte devem ser os mesmos.

  14. Selecione a caixa de verificação Roll certificate to make the next certificate as the current certificate (Roll certificate to make the next certificate as the current certificate ) e, em seguida, conclua os passos no assistente.

  15. Teste a configuração com o Test-Federation cmdlet . Os resultados devem mostrar que a validação do certificado de federação foi efetuada com êxito.

    Nota

    Para obter mais informações sobre o Test-FederationTrust cmdlet, aceda a Test-FederationTrust.

Mais informações

Ainda necessita de ajuda? Aceda ao site Microsoft Community ou Fóruns do Windows Azure Active Directory .