Bir sonraki sertifika kullanılırken parmak izine sahip federasyon sertifikası bulunamıyor

  • Makale
  • Şunlara uygulanır:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Exchange Online, Exchange Server 2010 Enterprise, Exchange Server 2010 Standard

Özgün KB numarası: 2810692

Not

Microsoft Exchange Server 2010'daki Exchange Yönetim Konsolu eklenen Karma Yapılandırma sihirbazı artık desteklenmiyor. Bu nedenle, artık eski Karma Yapılandırma sihirbazını kullanmamalısınız. Bunun yerine Microsoft 365 Karma Yapılandırma sihirbazını kullanın. Daha fazla bilgi için bkz. Exchange 2010 için Microsoft 365 Karma Yapılandırma sihirbazı.

Belirtiler

Microsoft 365'te şirket içi Exchange Server ve Exchange Online karma dağıtımında aşağıdaki senaryoyu göz önünde bulundurun:

  • Karma sunucudaki federasyon güveni için oluşturulan geçerli sertifika istemeden silinir.
  • Güvenin doğru çalışması için geçerli sertifikanın değiştirilmesi gerekir.
  • Yeni bir sertifika oluşturulur.
  • Federasyon Yönetme Sihirbazı'nı çalıştırırsınız ve sonra yeni sertifikayı kullanmak üzere geçerli sertifika olarak sonraki sertifikayı yapmak için Sertifikayı yuvarla onay kutusunu seçersiniz.

Bu senaryoda sihirbaz sertifikayı beklendiği gibi güncelleştirmez. Federasyon güveninin Set-FederationTrust -Identity geçerli sertifika olarak sonraki sertifikayı kullanmasını sağlamak için cmdlet'ini kullanmayı denediğinizde, aşağıdaki hata iletisini alırsınız:

[PS] C:>Set-FederationTrust -Identity "Microsoft Federation Gateway" -PublishFederationCertificate
Parmak izi "<geçerli sertifikanın parmak izi" olan federasyon sertifikası> bulunamıyor.
+ CategoryInfo : InvalidResult: (:) [Set-FederationTrust], FederationCertificateInvalidException
+ FullyQualifiedErrorId : 906B427C,Microsoft.Exchange.Management.SystemConfigurationTasks

Neden

Bu sorun, sertifika deposunda yeni sertifika eksikse oluşur. Bu durumda, Federasyon Yönetme Sihirbazı yeni sertifikaya geçiş yapamaz.

Çözüm

Bu sorunu düzeltmek için, nesneye sonraki federasyon sertifikasının parmak izini ekleyerek federasyon güveni için Active Directory nesnesini güncelleştirin. Bu, Federasyon Yönetme Sihirbazı'nın veya cmdlet'in Set-FederationTrust geçiş isteğini başarıyla işlemesine olanak tanır.

Bunu yapmak için şu adımları uygulayın:

  1. Exchange 2010 karma dağıtım sunucusunda etki alanı yöneticisi olarak oturum açın.

  2. Active Directory Hizmet Arabirimleri (ADSI) Düzenleme'yi açın. Bunu yapmak için Başlat'a tıklayın, Çalıştır'a tıklayın, yazın ADSIEdit.mscve ardından Tamam'a tıklayın.

  3. ADSI Düzenleme penceresi yüklendikten sonra gezinti bölmesinde ADSI Düzenle'ye sağ tıklayın ve bağlan'a tıklayın.

  4. Bağlantı Ayarları penceresinde Bağlantı Noktası alanında İyi bilinen bir Adlandırma Bağlamı Seçin'e ve ardından Yapılandırma'ya tıklayın.

  5. Bilgisayar alanında Varsayılan (Oturum açtığınız etki alanı veya sunucu) öğesini seçin ve ardından Tamam'a tıklayın.

  6. CN=Configuration, DC=<DOMAIN>, DC=<COM>, CN=Services, CN=Microsoft Exchange, CN=<ORGANIZATION NAME>, CN=Federation Trusts'ı bulun.

    Not

    Yer tutuculardaki (<>) değerleri ortamınıza özgü değerlerle değiştirin.

  7. CN=Microsoft Federation Gateway'a sağ tıklayın ve ardından Özellikler'e tıklayın.

  8. Özelliğine msExchFedOrgNextCertificate çift tıklayın ve ardından değerin tamamını kopyalayın.

    Not

    Bu değer yalnızca Belirtiler bölümünde açıklanan sorunla karşılaşırsanız doldurulabilir. Değer doldurulmazsa, kalan adımlara devam yapamazsınız.

  9. msExchFedOrgNextCertificate özelliğini kapatın.

  10. Özelliğe çift tıklayın msExchFedOrgPrivCertificate ve 8. adımda kopyaladığınız değeri yapıştırın. Geçerli sertifikanın küçük resmi, sonraki sertifikanın küçük resmiyle değiştirilir.

  11. Değeri ayarlamak için Tamam'a tıklayın.

  12. Active Directory çoğaltmasını el ile zorlama. Veya değişikliğin Active Directory altyapınız genelinde çoğaltılması için bekleyin.

    Not

    Active Directory çoğaltmasını zorlama hakkında daha fazla bilgi için Bağlantı üzerinden çoğaltmayı zorlama bölümüne gidin.

  13. Exchange Yönetim Konsolu Federasyon Yönetme Sihirbazı'nı yeniden çalıştırın. Geçerli sertifika ve sonraki sertifika aynı olmalıdır.

  14. Sonraki sertifikayı geçerli sertifika olarak yapmak için Sertifikayı yuvarla onay kutusunu seçin ve sihirbazdaki adımları tamamlayın.

  15. Cmdlet'ini kullanarak yapılandırmayı test edin Test-Federation . Sonuçlar, federasyon sertifikası doğrulamasının başarılı olduğunu göstermelidir.

    Not

    Cmdlet hakkında Test-FederationTrust daha fazla bilgi için Test-FederationTrust'a gidin.

Daha fazla bilgi

Yine de yardım mı gerekiyor? Microsoft Topluluğu'na veya Windows Azure Active Directory Forumları web sitesine gidin.