Conteúdo fornecido pela Microsoft
Aplicável a:
-
Microsoft Identity Manager 2016
-
Microsoft Identity Manager 2016 SP2
Informações
Periodicamente, uma empresa pode precisar substituir ou atualizar uma AC (Autoridade de Certificado em emissão). Muitas vezes isso é feito junto com uma atualização/migração do Forefront Identity Manager 2010 R2 (FIM 2010 R2) ou Microsoft Identity Manager 2016 (MIM 2016 / MIM 2016 SP1) para MIM 2016 SP2. Uma maneira comum de fazer isso é levantar um novo servidor/VM para hospedar a AC, mover o banco de dados de AC para o novo servidor e começar a usar essa nova AC atualizada. Se o nome do novo servidor/VM não tiver o mesmo nome que o servidor de AC original, as informações de Modelo de Certificado no Modelo de Perfil serão quebradas, pois ele faz referência ao nome da AC original.
Ao atualizar uma Autoridade de Certificado usada por uma solução MIM CM, é fundamental manter o mesmo servidor/nome do computador para o servidor que hospeda a autoridade de certificado nova/atualizada, bem como o próprio nome da Autoridade de Certificado. Se um nome de servidor de CA diferente ou um nome de AC for usado, ele interromperá a solução MIM CM.
-
Há vários links e postagens de documentação em que você pode aprender a restaurar a AC em um servidor com um nome de servidor diferente, mas isso interromperá a solução MIM CM.
-
Manter o mesmo nome da AC é direto, pois isso será feito quando você seguir as instruções para restaurar a AC no novo servidor.
Se o nome do servidor tiver sido alterado, os seguintes erros poderão ocorrer:
-
Todos os fluxos de trabalho do Modelo de Perfil tentados resultarão em um erro RPC, a AC não encontrou erro ou a AC está desativada.
-
Os certificados emitidos para a AC original não serão revogados pelo MIM CM. Eles parecerão falhar silenciosamente no Portal, mas lançarão uma exceção no Log de Eventos do MIM CM informando que a AC está desativada.
As seguintes mensagens de erro (mas não apenas estas) podem ser registradas:
-
O nome ou nome do servidor especificado da AC é inválido.
-
A autoridade de certificado <CA-Name> não pode ser contatada porque está marcada como desativada.
Solução
Se a AC for migrada para um servidor com um novo Nome do Servidor de CA que mostra um servidor de AC adicional retornado no comando clmutil.exe -listCa, faça o seguinte:
-
Atualize a AC para alterar o Nome do Servidor de CA para o nome original.
-
Restaure o banco de dados MIM CM para a versão com backup logo antes da atualização do servidor de AC.
Referências
Microsoft Identity Manager histórico de lançamentos
Implantar o aplicativo Windows do Gerenciador de Certificados mim | Microsoft Learn
Como mover uma autoridade de certificação para outro servidor – Windows Server | Microsoft Learn