Introdução
Um pacote cumulativo de atualizações de hotfix (build 4.4.1459.0) está disponível para o Microsoft Identity Manager (MIM) 2016 Service Pack 1. Esse pacote inclui correções e funcionalidade atualizada.
Problema conhecido dessa atualização
Serviço de Sincronização
Depois que essa atualização é instalada, as extensões de regras e os MAs (agentes de gerenciamento personalizados) baseados em MA extensível (ECMA1 ou ECMA 2.0) podem não ser executados e podem produzir um status de execução de "stopped-extension-dll-load". Esse problema ocorre quando você executa essas extensões de regras ou MAs personalizadas depois de alterar o arquivo de configuração (.config) para um dos seguintes processos:
-
MIIServer.exe
-
Mmsscrpt.exe
-
Dllhost.exe
Por exemplo, você editou o arquivo MIIServer.exe.config para alterar o tamanho do lote padrão para processar entradas de sincronização para o MA do serviço FIM.
Nessa situação, o instalador do mecanismo de sincronização para essa atualização evita intencionalmente substituir o arquivo de configuração para evitar a exclusão das alterações anteriores. Como o arquivo de configuração não foi substituído, as entradas exigidas por essa atualização não estarão presentes nos arquivos e o mecanismo de sincronização não carregará DLLs de extensão de regras quando o mecanismo executar um perfil de execução de Importação Completa ou Sincronização Delta.
Para resolver esse problema, siga estas etapas:
-
Faça uma cópia de backup do MIIServer.exe.config arquivo.
-
Abra o arquivo MIIServer.exe.config em um editor de texto ou no Microsoft Visual Studio.
-
Localize a <de runtime> no arquivo MIIServer.exe.config, e substitua o conteúdo da seção> dependentAssembly do <pelo seguinte:<dependentAssembly> <assemblyIdentity name="Microsoft.MetadirectoryServicesEx" publicKeyToken="31bf3856ad364e35" /> <bindingRedirect oldVersion="3.3.0.0-4.1.3.0" newVersion="4.1.4.0" /> </dependentAssembly>
-
Salve as alterações no arquivo.
-
Localize o arquivo Mmsscrpt.exe.config no mesmo diretório e o Dllhost.exe.config no diretório pai. Repita as etapas de 1 a 4 para esses dois arquivos.
-
Reinicie o Serviço de Sincronização do Forefront Identity Manager (FIMSynchronizationService).
-
Verifique se as extensões de regras e os agentes de gerenciamento personalizados funcionam agora como esperado.
Informações da atualização
Uma atualização com suporte está disponível no Centro de Download da Microsoft. Recomendamos que todos os clientes apliquem essa atualização em seus sistemas de produção.
Pré-requisitos
Para aplicar essa atualização, você deve ter o Microsoft Identity Manager 2016 build 4.4.1302.0.
Necessidade de reinicialização
Você deve reiniciar o computador depois de aplicar o pacote suplementos e extensões (Fimaddinsextensions_xnn_KB4012498.msp). Talvez você também precise reiniciar os componentes de servidor.
Informações sobre substituição
Essa atualização substitui a atualização (build 4.4.1302.0) para Microsoft Identity Manager 2016.
Informações sobre arquivos
A versão global dessa atualização apresenta os atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horários destes arquivos estão listados em formato UTC (Tempo Universal Coordenado). Quando você visualizar as informações sobre os arquivos, elas são convertidas no horário local. Para saber a diferença entre a hora UTC e a hora local, use a guia Fuso horário no item Data e Hora do Painel de Controle.
|
File name |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
|---|---|---|---|---|
|
Fimaddinsextensions_x64_kb4012498.msp |
Não aplicável |
4,993,024 |
27-Mar-2017 |
1,241 |
|
Fimaddinsextensions_x86_kb4012498.msp |
Não aplicável |
2,670,592 |
27-Mar-2017 |
12:42 |
|
Fimcmbulkclient_x86_kb4012498.msp |
Não aplicável |
4,927,488 |
27-Mar-2017 |
12:42 |
|
Fimcmclient_x64_kb4012498.msp |
Não aplicável |
6,144,000 |
27-Mar-2017 |
12:42 |
|
Fimcmclient_x86_kb4012498.msp |
Não aplicável |
5,849,088 |
27-Mar-2017 |
12:43 |
|
Fimcm_x64_kb4012498.msp |
Não Aplicável |
20,885,504 |
27-Mar-2017 |
12:42 |
|
Fimcm_x86_kb4012498.msp |
Não aplicável |
20,713,472 |
27-Mar-2017 |
12:42 |
|
Fimservice_x64_kb4012498.msp |
Não aplicável |
25,105,140 |
27-Mar-2017 |
12:43 |
|
Fimsyncservice_x64_kb4012498.msp |
Não Aplicável |
15,962,112 |
27-Mar-2017 |
12:43 |
|
Idioma packs.zip |
Não Aplicável |
21,923,527 |
27-Mar-2017 |
12:43 |
Problemas corrigidos ou melhorias adicionadas nesta atualização
Esta atualização faz as seguintes correções e melhorias que não foram anteriormente documentadas na Base de Dados de Conhecimento Microsoft.
Serviço MIM
Problema 1
O fluxo de trabalho de autenticação falha com "O período de tempo limite do semáforo expirou" depois que o cliente personalizado solicita o token AuthN.
Depois de instalar a atualização, a solicitação será concluída conforme o esperado e uma mensagem clara sobre um erro de comunicação será lançada no log de eventos.
Problema 2
Sob uma carga pesada, pode haver uma situação de condição de corrida quando duas instâncias do Serviço mim tentam processar o mesmo fluxo de trabalho ao mesmo tempo. Isso pode causar falha no processamento do fluxo de trabalho.
Após a instalação dessa atualização, o problema deixa de ocorrer.
Problema 3
Definir o particionamento pode não funcionar se um critério de conjunto contiver uma subcon condição. Depois de instalar essa atualização, definir o particionamento funciona corretamente.
Problema 4
Ao longo do tempo, alguns dados de processamento se acumulam no banco de dados do Serviço do MIM, o que pode causar problemas de desempenho. Isso causa um problema quando muitas IDs de objeto são mantidas no FIM. Tabela de objetos. O trabalho SQL Server Agent executa o procedimento armazenado FIM_DeleteExpiredSystemObjectsJob e remove objetos do sistema expirados coletando todas as solicitações e quaisquer referências de objeto e coloca suas IDs de objeto na tabela ExpiredObjectKeys.
Em seguida, todos os valores nas tabelas ObjectValue* são removidos para cada número de ID na tabela ExpiredObjectKeys . Por fim, se os valores nas tabelas ObjectValue* tiverem realmente sido excluídos, a linha correspondente na tabela ExpiredObjectKeys também será excluída. No entanto, a ID do objeto em si nunca é excluída do fim. Tabela de objetos.
Depois de instalar a atualização, um novo procedimento armazenado no namespace de depuração é adicionado para limpar o banco de dados desses objetos.
-
Nome do procedimento armazenado: depuração. DeleteObjectRemainders
-
Sintaxe: exec debug. DeleteObjectRemainders
Problema 5
Após a instalação limpa do MIM SP1, o Mim Reporting ou o Particionamento de Serviço do MIM podem não funcionar corretamente. Depois de instalar essa atualização, o relatório e o particionamento do Serviço mim são instalados e funcionam corretamente.
Problema 6
Se o nível de compatibilidade do banco de dados FIMService estiver definido como 120, poderá ocorrer deadlocks do SQL. Depois de instalar essa atualização, esses deadlocks não ocorrem mais.
Melhoria 1
O log de rastreamento detalhado no Serviço do MIM agora pode ser habilitado sem forçar uma reinicialização do serviço.
Uma nova seção é adicionada ao arquivo Microsoft.ResourceManagement.Service.exe.config para dar suporte a essa funcionalidade. Depois de instalar essa atualização, esta nova seção estará presente.
<dynamicLogging mode="true" loggingLevel="Critical" />
O registro em log pode ser definido para qualquer nível entre Crítico e Detalhado.
Dois arquivos de saída serão gravados na pasta de instalação do Serviço do MIM. É importante que a conta de Serviço do MIM tenha permissões de gravação nessa pasta.
Local da pasta:
%programfiles%\Microsoft Forefront Identity Manager\2010\Service
Arquivos gravados:
-
Microsoft.ResourceManagement.Service_tracelog.svclog
-
Microsoft.ResourceManagement.Service_tracelog.txt
Melhoria 2
O suporte para o System Center 2016 Service Manager e Data Warehouse é adicionado para o Mim Service Reporting.
Antes dessa atualização, o Mim Reporting não podia instalar e executar com o System Center 2016 Service Manager Console.
Depois de instalar essa atualização, o Mim Reporting pode ser instalado e executado sem a necessidade de pré-instalar o console do SCSM para qualquer versão com suporte do SCSM.
Serviço de Sincronização
Problema 1
Se o agente de gerenciamento do Serviço fim exportar uma exclusão de objeto, mas não receber uma confirmação da exclusão, esse mesmo objeto poderá ser parcialmente recriado no FIMService.
Depois de instalar essa atualização, um erro será exibido na lista de erros da execução de exportação e a recriação não ocorrerá.
Problema 2
Quando o DN de um objeto também é a âncora, ele não pode ser renomeado. Em vez disso, você recebe a seguinte exceção:
Erro inesperado
"O dimage tem uma âncora ou uma classe de objeto principal diferente do que está no holograma."
Depois de instalar essa atualização, a renomeação será processada conforme o esperado.
Problema 3
A ferramenta Chave de Gerenciamento de Chave de Criptografia (miiskmu.exe) pode não abandonar chaves devido a um tempo limite causado por um bloqueio de banco de dados.
Depois de instalar essa atualização, as chaves são processadas sem encontrar o tempo limite.
Problema 4
Quando você executa uma etapa do perfil de sincronização, são encontrados problemas periódicos de desempenho.
Foi feita uma correção no mms_getprojected_csrefguids_noorder armazenado para ajudar a melhorar o desempenho.
Problema 5
Em determinadas circunstâncias, as regras de sincronização baseadas em filtro são aplicadas mesmo quando não deveriam ser.
Depois de instalar essa atualização, a regra de sincronização será aplicada somente se for necessário.
Problema 6
Em Exportar para o Conector LDAP Genérico, se a criação de um arquivo de Log de Auditoria tiver sido configurada, o perfil de execução de exportação será interrompido sem postar um erro BAIL.
Depois de instalar essa atualização, uma etapa Exportar perfil de execução será executada corretamente no Conector LDAP Genérico quando a opção de criação do Arquivo de Log de Auditoria estiver habilitada.
Portal de Redefinição de Senha do MIM
Problema 1
Quando você redefine uma senha usando a porta de autenticação de SMS, uma mensagem incorreta é exibida para o usuário:
Você precisa clicar em Avançar depois de concluir esta chamada" e na próxima linha "Chamar Verificado:
Depois de instalar essa atualização, a cadeia de caracteres incorreta "Chamada Verificada:" é removida dessa caixa de diálogo.
Portal de Gerenciamento de Identidade do MIM
Problema 1
Arrastar e soltar usuários na caixa Remover para excluir ou remover um membro para associação de grupo não funciona em todas as circunstâncias.
Depois de instalar essa correção, os usuários podem arrastar e soltar usuários na caixa Remover ao gerenciar associações manuais de grupo.
Problema 2
Configurações locais de Data/Hora sendo ignoradas para inglês (Austrália).
Depois de instalar essa atualização, as configurações de formato de data/hora locais são aplicadas.
Problema 3
Os controles personalizados não serão inicializados se houver parâmetros de evento personalizados na RCDC (Configuração de Exibição do Controle de Recursos).
Depois de instalar essa correção, os controles personalizados são inicializados conforme o esperado.
Problema 4
O tratamento de erros na Configuração de Exibição do Controle de Recursos às vezes não está claro.
Nesta atualização, as notificações de erro são personalizadas para descrever o erro com mais clareza.
Problema 5
Quando você usa um link copiado para um objeto personalizado no Portal de Gerenciamento de Identidade, o objeto não é exibido conforme o esperado.
Depois de instalar essa atualização, o objeto personalizado é exibido conforme o esperado do link copiado.
Problema 6
Quando você tenta instalar o Portal de Gerenciamento de Identidade no SharePoint 2016 depois de desinstalar ou durante uma atualização, o Portal não é instalado. Além disso, você recebe a seguinte exceção:
Tempo limite expirado e erro no log do Sharepoint: o nome do pacote não existe no repositório de soluções.
Ao instalar essa atualização, a instalação reiniciará o serviço de temporizador do SharePoint para repetir os trabalhos com falha do SharePoint, portanto, a instalação agora pode ser concluída.
Problema 7
O RCDC do Modo de Exibição de Aprovação tem símbolos incorretos e exibe um erro.
Depois de instalar essa correção, o RCDC do modo de exibição de aprovação é exibido conforme o esperado e não gera uma exceção.
Problema 8
Os botões de associação se objetos de grupo personalizados não funcionarem corretamente.
Depois de instalar essa correção, os botões de associação de grupo funcionam conforme o esperado.
Problema 9
Quando você exibe o Portal de Gerenciamento de Identidade do MIM usando o navegador Firefox, as exibições de lista de objetos, como Usuários e Grupos de Distribuição, não são exibidas corretamente.
Depois de instalar essa atualização, os modos de exibição de lista de objetos são exibidos conforme o esperado quando você usa o navegador Firefox.
Problema 10
Quando você exibe o Portal de Gerenciamento de Identidade do MIM usando o navegador Internet Explorer, os títulos de exibições de lista de objetos podem não ser alinhados à esquerda na coluna.
Depois de instalar essa atualização, os títulos de exibição de lista de objetos são exibidos alinhados à esquerda conforme o esperado.
Problema 11
Quando você executa o Portal do MIM no SharePoint 2016, os botões Ingressar, Sair, Adicionar Membro e Remover Membro não funcionam conforme o esperado em tipos de objeto de grupo personalizados.
Depois de instalar essa atualização, esses botões funcionam conforme o esperado em relação aos tipos de objeto de grupo personalizados.
Melhoria 1
Para resolver o fato de que o valor padrão de um Escopo de Grupo não pode ser definido, duas propriedades opcionais foram adicionadas ao UoCDropDownList e uocRadioButtonList.
-
Defaultvalue
-
Condição
Defaultvalue: Essa é uma propriedade opcional. Use essa propriedade para definir um valor padrão para o controle se o controle for usado para criar novos dados.
Por exemplo:
<my:Control my:Name="My UocDropDownList" my:TypeName="UocDropDownList"
…
<my:Properties>
...
<my:Property my:Name="DefaultValue" my:Value="MyDefault" />Condição: A condição é um atributo opcional na propriedade e é usada para especificar a condição quando a propriedade é aplicada. O controle pode ter várias propriedades que usam o mesmo nome, mas condições não contíguas.
A sintaxe da condição é a seguinte:
my:Condition="[left part] [condition] [right part]"
Observações
-
[parte esquerda] tem as seguintes opções:
-
Origem e caminho da associação
-
Valor simples
-
-
[condição] tem as seguintes opções:
-
==
-
!=
-
-
[parte direita] tem as seguintes opções:
-
Origem e caminho da associação
-
Valor simples
-
Exemplo de padrões diferentes de criação para diferentes tipos de grupo:
<my:Control my:Name="My UocDropDownList" my:TypeName="UocDropDownList"
…
<my:Properties>
...
<my:Property my:Name="DefaultValue" my:Value=" MyDefautltForDistributionGroups" my:Condition="{Binding Source=object, Path=Type} == Distribution" />
<my:Property my:Name="DefaultValue" my:Value=" MyDefautltForSecurityGroups " my:Condition="{Binding Source=object, Path=Type} == Security" />Melhoria 2
O nome de todos os tipos de atividade que você criou por meio do Portal é authenticationGateActivity. Depois de instalar essa atualização, todos os novos objetos ActivityType criados terão os seguintes valores de nome de atividade, de acordo com o tipo:
-
Autenticação: authenticationActivity1... authenticationActivityN
-
Autorização: authorizationActivity1... authorizationActivityN
-
Ação: actionActivity1... actionActivityN
Melhoria 3
O solicitante ou aprovador não tem meios para fornecer justificativa ao criar a solicitação ou aprovar/rejeitar a solicitação pendente.
Com essa atualização, um campo de justificativa é adicionado ao modo de exibição Criar Solicitação e novos dados de solicitação/fluxo de trabalho de justificativa podem ser usados. Os atributos a seguir são adicionados aos parâmetros [//Request/Justification] e [//WorkflowData/Reason].
Gerenciamento de Certificados
Problema 1
Ao se registrar para um cartão inteligente virtual, inserir um pin com menos de 8 caracteres retorna um erro enganoso.
Depois de instalar essa atualização, um erro relevante será retornado ao usuário.
Problema 2
Ao renovar um cartão inteligente, um usuário pode ser capturado em um loop de renovação infinita.
As etapas a seguir causarão esse problema:
-
Os perfis de cartão inteligente atuais entram na janela de renovação:
-
O usuário recebe um email do Serviço FIM CM solicitando que ele conclua uma solicitação de renovação
-
-
O usuário executa com êxito a solicitação de renovação e recupera todos os certificados renovados.
-
Várias horas depois, o usuário recebe um segundo email do Serviço FIM CM.
-
Isso não é esperado, pois o perfil já foi renovado.
-
-
O usuário terminará em um loop de renovação infinita se executar todas as solicitações que o Serviço FIM CM cria.
Depois de instalar essa atualização, somente as solicitações corretas são criadas e não há loop infinito.
Problema 3
Se as CRLs Delta estiverem desabilitadas em uma Autoridade de Certificação usada pelo Gerenciamento de Certificados do MIM, a exceção ERROR_FILE_NOT_FOUND será gerada pelo MIM CM.
Depois de instalar essa atualização, nenhuma exceção será gerada.
Problema 4
O MIM CM não dá suporte ao modo NonAdmin quando você trabalha com cartões virtuais. O cartão inteligente virtual só pode ser criado pelo cliente DO MIM CM durante o registro. Também é necessário ter direitos de administrador local para criar um cartão inteligente virtual. Portanto, somente administradores locais podem se inscrever para um novo cartão inteligente virtual por meio do Portal do MIM CM.
Depois de instalar esse hotfix, uma nova chave do Registro configurará o cliente MIM CM para ser executado no modo não administrador. Observe que o cartão inteligente virtual deve ser pré-criado antes que o usuário possa registrar seu cartão inteligente virtual nas configurações de modo não Administração configurações.
Para habilitar o modo NonAdmin , altere ou crie o valor DWORD NonAdmin=1 na seguinte chave do Registro em um computador cliente:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\CLM\v1.0\SmartCardClient
Problema 5
Quando você usa a API REST do MIM CM para alterar o status do cartão inteligente para "Desabilitado", um Erro 501 (Não Implementado) é retornado.
Depois de instalar essa atualização, esse mesmo código desabilitará com êxito o cartão inteligente.
PUT …/api/v1.0/requests/{reqID}/smartcards/{smartcardID}
{
“status” : “Disabled”
}Para obter mais informações, consulte o tópico Atualizar Status do Cartão Inteligente no site da Microsoft.
Problema 6
O MIM CM Server versão 4.3.1999.0 ou uma versão posterior (até o hotfix atual) não pode funcionar com a versão mais antiga dos clientes CM (FIM 2010R2 e MIM).
Depois de instalar essa atualização, o MIM CM Server funcionará com clientes MIM e FIM 2010R2 CM mais antigos (os clientes FIM 2010R2 versão 4.1.3508.0 e versões posteriores foram testados).
Problema 7
Não foi possível criar a solicitação "OfflineUnblock" usando a seguinte chamada da API REST do MIM CM:
https://learn.microsoft.com/en-us/microsoft-identity-manager/reference/create-request
Depois de instalar essa atualização, esse mesmo código enviará com êxito a solicitação OfflineUnblock.
Problema 8
Não há nenhuma possibilidade de usar a ID do cartão inteligente como um parâmetro ao criar uma solicitação "Desabilitar" (ou qualquer outro tipo) usando a seguinte chamada da API REST do MIM CM:
https://learn.microsoft.com/en-us/microsoft-identity-manager/reference/create-request
Somente o parâmetro "perfil" está disponível.
Por exemplo:
POST api/v1.0/requests
{
"target":"e5008CDD9E614F9BBEDC45EEEE6776F0",
"comment":"any comment",
"type":"Disable",
"profiletemplateuuid":"7860DEBB-771D-464E-AAC5-2F093282CE66",
"datacollection":[],
"priority":"1",
"smartcard":"49BFE09C-5590-4CC4-8A21-FB4289F4F6C8"
}Depois de instalar essa atualização, você pode usar a ID do cartão inteligente como um parâmetro.
Observe que a ID do cartão inteligente não é igual à do número de série do cartão inteligente. A ID do cartão inteligente é criada pelo MIM CM para cada cartão inteligente ativo.
Problema 9
O rastreamento de cliente do MIM CM não registra datetime. Depois de instalar essa atualização, os dados de data e hora serão incluídos no log de rastreamento do cliente.
Problema 10
Cancelar um usuário na caixa de diálogo modal de cartões inteligentes virtuais existente pode levar a uma mensagem de erro não utilizada e confusa em vez de simplesmente cancelar a operação.
Depois de instalar essa atualização, a operação cancela o usuário.
Problema 11
O fluxo de desativação para de responder para cartões inteligentes virtuais do TPM quando a opção NonAdmin é definida no Registro.
Problema 12
As configurações de revogação duplicadas em Substituir política não se aplicam a um perfil duplicado. Depois de instalar essa atualização, o fluxo funciona conforme o esperado. O atraso de revogação é copiado com êxito para o perfil duplicado.
Problema 13
O Gerenciamento de Certificados do MIM não registra dados de exceção de serviço Web. Depois de instalar essa atualização, o CM agora registra todos os dados de exceção do serviço Web.
Melhoria 1
Antes dessa atualização, a única opção para regras de PIN no Aplicativo Moderno do MIM CM é MinimumPinLength.
Depois de instalar essa atualização, as seguintes configurações de validação agora estarão disponíveis:
-
Dígitos
-
LowercaseLetters
-
Maxlength
-
Minlength
-
SpecialCharacte3rs
-
UppercaseCharacters
Suplemento mim para Outlook
Problema 1
As dlls de suplemento do MIM de 32 bits (por exemplo, OfficeintegrationShim2010.dll) são não assinadas depois que você aplica a atualização do MIM SP1 MSP (build 4.4.1302.0).
Nesta atualização, todos os arquivos são assinados conforme o esperado.
Referências
Saiba mais sobre a terminologia que a Microsoft usa para descrever atualizações de software.
