简介
修补程序汇总包 (内部版本 4.4.1642.0) 可用于Microsoft Identity Manager (MIM) 2016 2016 Service Pack 1 (SP1) 。 此汇总包解决了一些问题,并添加了“更多信息”部分中所述的一些改进。
有关此更新程序的已知问题
同步服务
安装此更新后,基于可扩展 MA(ECMA1 或 ECMA 2.0)的规则扩展和自定义管理代理 (MA) 可能不运行,且可能会生成运行状态“stopped-extension-dll-load”。 更改以下过程之一的配置文件 (.config) 后,运行此类规则扩展或自定义 CA 时,会出现此问题:
-
MIIServer.exe
-
Mmsscrpt.exe
-
Dllhost.exe
例如,编辑 MIIServer.exe.config 文件以更改用于处理 Forefront Identity Manager (FIM) Service MA 同步条目的默认批大小。 在这种情况下,此更新的同步引擎安装程序无法替换配置文件,以避免删除以前的更改。 这是因为如果未替换配置文件,则此更新所需的条目在文件中不存在。 因此,如果同步引擎运行“完全导入”或“增量同步”运行配置文件,则此引擎不会加载任何规则扩展 DLL。
若要解决此问题,请按照下列步骤操作:
-
创建 MIIServer.exe.config 文件的备份副本。
-
在文本编辑器(如记事本)或 Microsoft Visual Studio 中打开 MIIServer.exe.config 文件。
-
在 MIIServer.exe.config 文件中查找 <runtime> 部分,然后将 <dependentAssembly> 节的内容替换为以下内容:
<dependentAssembly>
<assemblyIdentity name="Microsoft.MetadirectoryServicesEx" publicKeyToken="31bf3856ad364e35" />
<bindingRedirect oldVersion="3.3.0.0-4.1.3.0" newVersion="4.1.4.0" />
</dependentAssembly>
-
将更改保存到此文件。
-
在同一目录下查找 Mmsscrpt.exe.config 文件,在父目录下查找 Dllhost.exe.config。 对这两个文件重复步骤 1 到 4。
-
重启 Forefront Identity Manager 同步服务 (FIMSynchronizationService)。
-
确认规则扩展和自定义管理代理现在按预期运行。
更新信息
Microsoft 下载中心
可以从 Microsoft 下载中心下载此更新。 我们建议所有客户将此更新应用于其生产系统。
先决条件
若要应用此更新,必须拥有 Microsoft Identity Manager 2016 版本 4.4.1302.0。
重启要求
应用加载项和扩展 (Fimaddinsextensions_xnn_KB4021562.msp) 包后,必须重新启动计算机。 还必须重启服务器组件。
替换信息
这是一个累积更新,可替换 2016 Microsoft Identity Manager 版本 4.4.1459.0 的所有 MIM 2016 SP1 更新。
文件信息
此更新的全球版具有下表中列出的文件属性(或更新的文件属性)。 这些文件的日期和时间以协调世界时 (UTC) 格式列出。 在查看文件信息时,文件时间将转换为本地时间。 要了解 UTC 与本地时间之间的时差,请使用控制面板中“日期和时间”项中的“时区”选项卡。
File name |
文件版本 |
文件大小 |
日期 |
Time |
---|---|---|---|---|
Fimaddinsextensions_x64_kb4021562.msp |
暂缺 |
5,017,600 |
2017 年 9 月 22 日 |
1,707 |
Fimaddinsextensions_x86_kb4021562.msp |
暂缺 |
2,686,976 |
2017 年 9 月 22 日 |
1,707 |
Fimcmbulkclient_x86_kb4021562.msp |
暂缺 |
5,210,112 |
2017 年 9 月 22 日 |
1,707 |
Fimcmclient_x64_kb4021562.msp |
暂缺 |
6,152,192 |
2017 年 9 月 22 日 |
1,707 |
Fimcmclient_x86_kb4021562.msp |
暂缺 |
5,857,280 |
2017 年 9 月 22 日 |
1,707 |
Fimcm_x64_kb4021562.msp |
暂缺 |
20,967,424 |
2017 年 9 月 22 日 |
1,707 |
Fimcm_x86_kb4021562.msp |
暂缺 |
20,787,200 |
2017 年 9 月 22 日 |
1,707 |
Fimservice_x64_kb4021562.msp |
暂缺 |
30,408,704 |
2017 年 9 月 22 日 |
1,707 |
Fimsyncservice_x64_kb4021562.msp |
暂缺 |
15,970,304 |
2017 年 9 月 22 日 |
1,707 |
更多信息
此更新中修复的问题或增加的改进之处
此更新包含以前未在 Microsoft 知识库中记录的以下修补程序和改进。
MIM 服务
问题 1
如果启用了SQL Server“Always On”功能,则当托管 FIM 服务数据库的主服务器在处理 (大约 500) 的大请求序列期间出现故障时,一个请求始终会失败。
应用此更新后,如果发生错误,FIM 服务会尝试在验证阶段恢复请求。 此更改不保证请求已完成。 但是,它使请求更加稳定。
有关 alwaysOnRetryRequestProcessingTransaction 设置的详细信息,请参阅以下内容:
-
默认情况下,此设置处于禁用状态。
-
如果尝试启用此设置,将发生异常,并且 FIM 事件日志中会创建两个具有以下条件的条目:
-
第一个条目包含原始错误。
-
第二个条目包括 AlwaysOnRetryRequestProcessingTransaction 关键字 (keyword) 。
-
-
此属性在 Microsoft.ResourceManagement.Service.exe.config 文件的 ResourceManagementService 部分中设置。 例如:
<resourceManagementService externalHostName=“myMIMServer” AlwaysOnRetryRequestProcessingTransaction=“true” />
问题 2
如果输入字符串中的单词数少于在函数中指定要输出的数字,Word () 函数不会返回所记录的空字符串。 此函数引发异常,不返回空字符串。
安装此更新后,将返回空字符串。 有关详细信息,请参阅 FIM 2010 的函数参考。
问题 3
在动态组或集中,如果取消引用条件位于筛选器生成器中的其他条件下,则 “查看成员” 命令可能会返回不正确的成员身份。
安装此更新后,“ 查看成员 ”按钮将返回正确的成员身份。
问题 4
在某些情况下,AuthZ 工作流会拒绝请求并返回以下错误消息:
在状态持久性存储中找不到工作流
安装此更新后,授权工作流按预期工作,而不会引发错误。
问题 5
当工作流运行枚举资源活动来查询 MIM 时,它会遇到间歇性故障。
安装此更新后,枚举资源活动不再失败。
问题 6
运行 Import-FIMReportingSchemaDefinition PowerShell cmdlet 时,将返回以下异常:
进行 Web 服务调用时失败
安装此更新后, Import-FIMReportingSchemaDefinition cmdlet 按预期工作。
问题 7
即使未安装 PAM 组件,也会启用特权访问管理 (PAM) 相关的管理策略规则和导航栏项。
安装此更新后,这些对象将隐藏,直到安装 PAM 组件。
问题 8
使用 PAM PowerShell cmdlet 创建新的 PAM 对象时,FIM 事件日志中可能会出现以下警告:
域配置同步器需要 1 个 DomainConfiguration 对象,而是找到了 0 个 DomainConfiguration 对象。
出现此问题的原因是,FIM 服务中没有关联的 DomainConfiguration 对象来匹配 New-PAM* cmdlet 要向其添加对象的域。
安装此更新后,New-PAMDomainConfiguration cmdlet 将在 FIM 服务中创建相应的 DomainConfiguration 对象, New-PAMForest cmdlet 将在 FIM 服务中创建相应的 ForestConfiguration 对象。
问题 9
如果托管的 (Corp) 林中有子域,则具有审批的 PAM 方案将无法正常工作。
安装此更新后,此方案按预期工作。
同步服务
问题 1
如果使用“已声明的导入”筛选器将连接的数据源中的对象从导入中排除,则导入筛选器不会发现由管理代理连接器空间中的占位符名称标识的对象的替换名称。
安装此更新后,导入筛选器将按预期发现对象的替换名称。
问题 2
当具有较高优先级的上一个对象断开连接时,导入属性流优先级不会转移到下一个示例对象。
安装此更新后,优先级按预期工作。
问题 3
如果与目标Active Directory 域服务 (AD DS) 没有信任关系,则密码重置 (MIIS_CSObject.PasswordSet () 方法) 失败。
安装此更新后,不再发生此故障。
问题 4
安装 ECMA v2 连接器实例的更新(例如通用 LDAP 连接器更新)后,关闭“ 连接 ”选项卡时,属性表可能会停止响应。
安装此更新后,此问题将不再发生。
问题 5
对 Sun-Java System Directory 使用“Oracle (以前为 Sun) 目录服务器”管理代理时,即使目录服务器没有支持 LDAP 分页的列出 LDAP 控件,管理代理也会尝试使用 LDAP 分页。
安装此更新后,此问题将不再发生。
问题 6
在管理代理规则扩展代码中动态更改 metaverse 对象的对象类型时,同步服务可能会定期崩溃。
安装此更新后,以前导致同步服务崩溃的 metaverse 对象类型之间的动态更改将引发异常。
MIM Identity Management 门户
问题 1
通过 Firefox 浏览器访问门户时,筛选器生成器无法按预期工作。
安装此更新后,可以在 Firefox 浏览器中使用筛选器生成器。
问题 2
门户搜索在某些屏幕分辨率中呈现错误。
安装此更新后,门户将正确呈现。
问题 3
在门户中,高级搜索中的日历控件将被截断。
安装此更新后,日历控件将正确显示。
问题 4
在某些情况下,MIM 门户中的筛选器生成器在某些新式浏览器中显示不正确。
安装此更新后,筛选器生成器将正确显示。
问题 5
所有 MIM 门户弹出窗口都具有固定大小,并且编辑控件无法正确显示。
安装此更新后,弹出对话框可调整大小,并且控件将正确显示。
问题 6
在某些语言中,导航菜单会切断某些菜单项。
安装此更新后,导航栏可通过 Common Portal 自定义对象调整大小。
问题 7
从 MIM 门户中的弹出窗口复制 URL 时,无法将 URL 生成到活动选项卡。
安装此更新后,可以直接将弹出窗口中的 URL 生成到活动选项卡。
MIM 密码注册门户
问题 1
使用双字节字符在“问答”身份验证入口中提供答案时,密码注册门户注册表单中会添加一条警告。 使用 MIM Windows 凭据提供程序扩展 (登录屏幕) 重置密码时,无法输入这些字符。
改进 1
在 SSPR 注册窗体上添加用于启用和禁用 IME 用法的选项。
-
现在,可通过在密码重置工作流中对 QAGate 活动使用以下新设置来自定义 IME:
注意 此设置还启用复制-粘贴操作。
-
假设 IME 设置已打开。 输入特殊字符时,密码注册门户中会显示警告:
-
启用 IME 设置后,Windows 客户端中仍不支持特殊字符。 此问题仅在密码重置门户中发生。
-
可以使用 \Password Registration Portal\GateResources\isIME.js 文件中的 Unicode 范围自定义此警告的字符集。
MIM Identity Management 门户
改进 1
尝试通过“密码重置”Self-Service 重置密码时,在光标移出控件之前,无法屏蔽在“问答”入口中输入的答案。 应用此更新后,将添加注册表项以支持 Q&A 门中的字符完全掩码。
备注 如果在密码注册和密码重置门户中启用了 IME,则忽略此设置。
在密码重置门户中,键入答案时始终隐藏文本。 这有助于防止他人“肩部冲浪”。
当输入法设置处于打开状态时,键入时将显示文本,当焦点离开文本框时,将隐藏文本。
MIM 凭据提供程序扩展 (SSPR)
问题 1
在 Windows 10 中使用 MIM 外接程序和扩展客户端的语言包时,即使 Windows 显示语言/区域设置配置为 fr-CA,客户端也不会按预期以法语显示。
安装此更新后,MIM 外接程序和扩展语言包将尝试将所有类似的语言映射到受支持的语言。 例如,如果 Windows 显示语言为 ES-CL (西班牙语智利) 或任何 ES-**,它将尝试将其映射到 ES-ES (西班牙西班牙语) 。
替代配置
如果自动映射无法按所需方式工作,则可以使用以下注册表项来覆盖特定语言的 Windows 显示语言设置:
注册表值名称:OverrideDefaultUILocale
值类型:字符串值
位置:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Forefront Identity Manager\2010\Extensions]
例如:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Forefront Identity Manager\2010\Extensions]
“OverrideDefaultUILocale”=“ES-ES”
备注 OverrideDefaultUILocale 注册表项中提供的值应与已安装的 MIM 外接程序和扩展语言包的语言之一匹配。
限制
仅当 Windows 显示语言与 MIM 加载项和扩展语言包不完全匹配时,此替代值才会生效。 下面是此限制的示例:
-
如果 Windows 显示语言为 es-ES,并且你已安装 es-ES MIM 语言包,则无法使用其他语言(如 fr-FR)替代此匹配项。
-
系统的区域设置设置为 zh-HK,并且为 zh-CN 和 zh-TW 安装了单独的 SSPR 本地化包。 默认情况下,SSPR 根据内部顺序) 选择 zh-CN (。 在这种情况下,可以添加 OverrideDefaultUILocale 注册表项,并将值设置为 zh-TW 以强制 SSPR 选择 zh-TW。 还可以安装任何其他本地化包 (,例如 fr-FR 或 ko-KR) ,并使用此注册表项对其进行配置。
备注 如果已安装当前系统区域设置的有效本地化包 (例如:locale es-ES 和本地化 es-ES) ,则无法使用注册表或任何其他机制选择其他本地化。
下面是此更新中的有效值列表:
-
bg-BG
-
cs-CZ
-
da-DK
-
de-dDE
-
el-GR
-
es-ES
-
et-EE
-
fi-FI
-
fr-FR
-
hi-IN
-
hr-HR
-
hu-HU
-
it-IT
-
ja-JP
-
ko-KR
-
it-IT
-
lv-LV
-
nb-NO
-
nl-NL
-
pl-PL
-
pt-BR
-
pt-PT
-
ro-RO
-
ru-RU
-
sk-SK
-
sl-SL
-
sv-SE
-
th-TH
-
tr-TR
-
uk-UA
-
zh-CN
-
zh-TW
证书管理批量客户端
问题 1
证书管理 (CM) 批量客户端需要相同的 CM 服务器版本。 否则,它无法顺利升级 (即先升级 CM Server,然后再升级批量客户端) 。
自版本 4.4.1642.0 (包括 CM 服务器和批量客户端) 以来,支持平滑升级。 较新版本的 CM Server 可与早期版本的批量客户端 (不低于 4.4.1642.0) 。 还可以从低于 4.4.1642.0 的版本升级。 但是,我们建议你与Microsoft 支持部门合作来执行此操作。
参考
Microsoft Identity Manager发布历史记录
了解 Microsoft 用于描述软件更新的术语。
本文中提到的第三方产品由 Microsoft 以外的其他公司提供。 对于这些产品的性能或可靠性,Microsoft 不做任何暗示保证或其他形式的保证。