Applies ToIdentity Manager 2016 Microsoft Identity Manager 2016 SP2

Содержимое, предоставляемое корпорацией Майкрософт  

Применимо к:

  • Microsoft Identity Manager 2016

  • Microsoft Identity Manager 2016 с пакетом обновления 2 (SP2)

Информация

Периодически компании может потребоваться замена или обновление выдающего центра сертификации (ЦС). Часто это выполняется вместе с обновлением или миграцией с Forefront Identity Manager 2010 R2 (FIM 2010 R2) или Microsoft Identity Manager 2016 (MIM 2016 или MIM 2016 с пакетом обновления 1 (SP1) на MIM 2016 с пакетом обновления 2 (SP2). Распространенный способ сделать это — создать новый сервер или виртуальную машину для размещения ЦС, переместить базу данных ЦС на новый сервер и начать использовать новый обновленный ЦС. Если имя нового сервера или виртуальной машины не совпадает с именем исходного сервера ЦС, сведения о шаблоне сертификата в шаблоне профиля не работают, так как они ссылались на исходное имя ЦС.

При обновлении центра сертификации, используемого решением MIM CM, важно сохранить то же имя сервера или компьютера для сервера, на котором размещен новый или обновленный центр сертификации, а также имя самого центра сертификации.   Если используется другое имя сервера ЦС или имя ЦС, решение MIM CM будет нарушено.

  • Существует несколько ссылок на документацию и записей, где можно узнать, как восстановить ЦС на сервер с другим именем сервера, но это приведет к прерыванию решения MIM CM.

  • Сохранение того же имени ЦС является прямым, так как это будет сделано при выполнении инструкций по восстановлению ЦС на новом сервере.

Если имя сервера было изменено, могут возникнуть следующие ошибки:

  • Все попытки рабочих процессов шаблона профиля приводят к ошибке RPC, ошибке ЦС не найден или центр сертификации будет выведен из эксплуатации.

  • Сертификаты, выданные исходному ЦС, не будут отзываться MIM CM. Они автоматически завершатся ошибкой на портале, но в журнале событий MIM CM выдастся исключение, указывающее, что ЦС списан.

Можно регистрировать следующие (но не только эти) сообщения об ошибках:

  • Указанное имя или имя сервера ЦС недопустимо.

  • Невозможно связаться с центром сертификации <CA-Name>, так как он помечается как списанный.

Решение

Если ЦС переносится на сервер с новым именем сервера ЦС, где отображается дополнительный сервер ЦС, возвращенный в команде clmutil.exe -listCa, сделайте следующее:

  1. Обновите ЦС, чтобы изменить имя сервера ЦС на исходное имя.

  2. Восстановите базу данных MIM CM до версии, резервной копии на момент обновления сервера ЦС.  

Ссылки  

журнал выпусков Microsoft Identity Manager  

Развертывание приложения windows диспетчера сертификатов MIM | Microsoft Learn

Перемещение центра сертификации на другой сервер — Windows Server | Microsoft Learn

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей