Sadržaj koji obezbeđuje Microsoft
Odnosi se na:
-
Microsoft Identity Manager 2016
-
Microsoft Identity Manager 2016 SP2
Informacije
Preduzeće će povremeno morati da zameni ili nadogradi autoritet za izdavanje certifikata (CA). To se često radi zajedno sa nadogradnjom/migcijom iz programa Forefront Identity Manager 2010 R2 (FIM 2010 R2) ili Microsoft Identity Manager 2016 (MIM 2016 / MIM 2016 SP1) u MIM 2016 SP2. Uobičajen način da to uradite je da ustanete od novog servera/virtuelne mašine za hostovanje ca, premestite CA bazu podataka na novi server i počnete da koristite taj novi nadograđeni ca. Ako ime novog servera/virtuelne mašine nije isto kao originalni CA server, informacije o predlošku certifikata u predlošku profila će se raskinuti zato što upućuju na originalno ime autoriteta za izdavanje certifikata.
Prilikom nadogradnje autoriteta za izdavanje certifikata koji koristi REŠENJE MIM CM, od suštinske je važnosti za održavanje imena istog servera/računara za server koji hostuje novi/nadograđani autoritet za izdavanje certifikata, kao i samo ime autoriteta za izdavanje certifikata. Ako se koristi drugo ime CA servera ili ime CA servera, to će raskidati MIM CM rešenje.
-
Postoji više veza u dokumentaciji i objava u kojima možete saznati kako da vratite CA na server sa drugim imenom servera, ali ako to uradite, to će raskidati MIM CM rešenje.
-
Održavanje istog ca imena je direktno unapred, jer će to biti urađeno kada sledite uputstva za vraćanje ca na novi server.
Ako je ime servera promenjeno, može doći do sledećih grešaka:
-
Svi tokovi posla predloška profila koji su pokušani da dođu do RPC greške, greške ca nisu pronađeni ili je ca otkazan.
-
MIM CM neće opozivati certifikate izdate originalnom autoritetu za izdavanje certifikata. Izgleda da neće uspeti tiho na Portalu, ali će izaći iz izuzetka u evidenciji događaja MIM CM koja navodi da je CA raspuštena.
Sledeće poruke o grešci (ali ne samo ove) mogu biti evidentirane:
-
Navedeno ime ili ime servera ca nije važeće.
-
Nije moguće kontaktirati <CA-Name> se sa autoritetom za izdavanje certifikata zato što je označen kao oduševljen.
Rešenje
Ako se CA migrira na server sa novim imenom CA servera koje prikazuje dodatni CA server vraćen u komandi clmutil.exe -listCa, uradite sledeće:
-
Ažurirajte CA da biste promenili ime CA servera u originalno ime.
-
Vratite MIM CM bazu podataka u prethodno stanje na rezervnu kopiju verzije direktno pre nadogradnje CA servera.
Reference
Microsoft Identity Manager istorije izdavanja
Primena Windows aplikacije MIM upravljača certifikatima | Microsoft Learn
Kako da premestite autoritet za certifikaciju na drugi server – Windows Server | Microsoft Learn