简介
一个修补程序汇总包 (生成4.3.2195.0) 是可用的 Microsoft 标识管理器 (MIM) 2016年。此包可以解决一些问题,并添加"更多信息"一节中描述的某些功能。
更新信息
受支持的更新可从 Microsoft 支持。我们建议所有客户到他们生产的系统都应用此更新。
Microsoft 技术支持
如果从 Microsoft 支持下载此更新,则没有此知识库文章顶部"提供修补程序下载"部分。如果未显示此部分,请与 Microsoft 客户服务和支持部门联系以获取此修复程序。此外,您可以从 Microsoft 更新或 Microsoft 更新目录获取更新。
注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请转到下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support注意:"提供修补程序下载"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。
此更新中的已知问题
同步服务
安装此更新后,规则扩展和基于可扩展 MA (ECMA1 或 ECMA 2.0) 的自定义管理代理 (Ma) 可能无法运行,而且可能会产生运行的状态为"已停止-扩展的 dll 的加载。当您运行此类规则扩展或自定义的 Ma 配置文件 (.config) 更改为以下过程之一后,会出现此问题︰
-
MIIServer.exe
-
Mmsscrpt.exe
-
Dllhost.exe
例如,您可以编辑 MIIServer.exe.config 文件来更改默认批处理大小为 FIM 服务 MA 处理同步条目。
在这种情况下,同步引擎安装此更新程序故意不替换配置文件以避免删除以前的更改。因为该配置文件不被替换,此更新所需的项将不会显示在文件中,并当引擎在运行完全导入或增量同步运行配置文件时,同步引擎不会加载任何规则扩展 Dll。
若要解决此问题,请执行以下步骤:
-
请将 MIIServer.exe.config 文件的备份副本。
-
在文本编辑器或 Microsoft Visual Studio 中打开 MIIServer.exe.config 文件。
-
在 MIIServer.exe.config 文件中,找到 < 运行 > 部分,然后用以下内容替换 < dependentAssembly > 部分的内容︰
<dependentAssembly><assemblyIdentity name="Microsoft.MetadirectoryServicesEx" publicKeyToken="31bf3856ad364e35" />
<bindingRedirect oldVersion="3.3.0.0-4.1.3.0" newVersion="4.1.4.0" />
</dependentAssembly> -
保存对文件所做的更改。
-
找到 Mmsscrpt.exe.config 文件所在的同一目录中的父目录中的 Dllhost.exe.config。对这两个文件重复步骤 1 到 4。
-
重新启动前沿标识管理器同步服务 (FIMSynchronizationService)。
-
验证规则扩展和自定义的管理代理现在工作如预期的那样。
系统必备组件
若要应用此更新,您必须生成4.3.1935.0或更高版本生成安装的 Microsoft 标识管理器 2016年。
对于 BHOLD BHOLD FIM 集成模块或访问管理连接器的部署,您必须具有此修补程序汇总包 (4.3.2195.0) 之前您 MIM 的服务器上安装的 BHOLD 模块对应用任何更新。
重启要求
应用插件和扩展(Fimaddinsextensions_xnn_kb3134725.msp) 程序包后,您必须重新启动计算机。此外,您可能需要重新启动服务器组件。
更换信息
此更新将替换更新3092179 (生成4.3.2064.0) Microsoft 标识管理器 2016 年。
文件信息
此更新的全球版本具有的文件属性 (或更新的文件属性) 在下表中列出。日期和为这些文件的时间以协调世界时 (UTC) 列出。当您查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用控制面板中的日期和时间项中的时区选项卡。
|
文件名称 |
日期 |
时间 |
文件大小 (字节) |
|---|---|---|---|
|
AccessManagementConnector.msi |
12-Feb-2016 |
09:43 |
671,744 |
|
外接程序和 extensions.zip |
21-Apr-2016 |
13:25 |
25,346,203 |
|
BholdAnalytics 5.0.3355.0_Release.msi |
12-Feb-2016 |
09:32 |
2,707,456 |
|
BholdAttestation 5.0.3355.0_Release.msi |
12-Feb-2016 |
10:20 |
3,280,896 |
|
BholdCore 5.0.3355.0_Release.msi |
12-Feb-2016 |
09:21 |
5,021,696 |
|
BholdFIMIntegration 5.0.3355.0_Release.msi |
12-Feb-2016 |
09:56 |
3,534,848 |
|
BholdModelGenerator 5.0.3355.0_Release.msi |
12-Feb-2016 |
10:31 |
3,252,224 |
|
BholdReporting 5.0.3355.0_Release.msi |
12-Feb-2016 |
10:07 |
1,998,848 |
|
FIMAddinsExtensions_x64_KB3134725.msp |
20-Apr-2016 |
21:49 |
2,555,904 |
|
FIMAddinsExtensions_x86_KB3134725.msp |
20-Apr-2016 |
16:31 |
2,293,760 |
|
FIMCMBulkClient_x86_KB3134725.msp |
20-Apr-2016 |
16:31 |
4,722,688 |
|
FIMCMClient_x64_KB3134725.msp |
20-Apr-2016 |
21:49 |
5,722,112 |
|
FIMCMClient_x86_KB3134725.msp |
20-Apr-2016 |
16:31 |
5,492,736 |
|
FIMCM_x64_KB3134725.msp |
20-Apr-2016 |
21:49 |
18,313,216 |
|
FIMCM_x86_KB3134725.msp |
20-Apr-2016 |
16:31 |
18,157,568 |
|
FIMService_x64_KB3134725.msp |
20-Apr-2016 |
21:49 |
19,267,584 |
|
FIMSyncService_x64_KB3134725.msp |
20-Apr-2016 |
21:49 |
14,893,056 |
|
语言 Packs.zip |
21-Apr-2016 |
13:40 |
132,805,849 |
详细信息
解决问题或添加在此更新的功能
此更新修复了以下问题,或将以前未记载下列功能添加 Microsoft 知识库中相应的文章。
授权的访问管理 (PAM)
问题 1
PAM 请求过期期限后不能有些组成员身份删除 MIM 组件服务。此修补程序解决过期的组成员身份的删除。
注意:如果您使用 PAM,这将是一个重要更新,应该安装在所有环境。
问题 2
PAM 用户具有在服务数据库中保存其 NetBIOS 域名和 PAM 用户可以登录到门户。
问题 3
MIM 监视器错误发生在使用源组的 NetBIOS 名称。
问题 4
新 PAMGroup和新建 PAMUser cmdlet 不接受域的完全限定的域名 (FQDN)。
MIM 的加载项和扩展
问题 1
在一些用户界面的交互中消失 Outlook 外接程序中的审核按钮。
问题 2
如果您尝试安装了 Outlook 2016 安装的计算机上的 outlook MIM 加载,您会收到错误信息"未满足的安装先决条件"。
MIM 证书管理
问题 1
配置文件模板设置报表显示不正确的信息。它显示启用了PIN 翻转和管理员 PIN的初始值设置,即使不是如此。此外进行多元化投资 Admin 密钥设置被启用,如果它不是显示在配置文件模板设置报告。
问题 2
FIM 厘米证书请求"支持"插件不会创建用于创建外部 MIM 证书管理 (CM) 的外部证书的配置文件。
问题 3
此修复程序更新的 MIM 厘米 CA 模块跟踪和日志记录,从 CM 服务器应用程序跟踪不同之处在于 AD CS 服务器上安装 CA 模块。
如何使用跟踪 CA 模块
CA 模块跟踪与 CM 服务器应用程序,因为可能会在单独的计算机上安装 CA 模块。
日志位置
Microsoft\IdentityManagement\CertificateManagement\Admin 日志中,可以查看事件。默认情况下,CA 模块还消息写入系统文件夹 %temp%(通常为 C:\Windows\TEMP)。要更改日志文件位置,请在注册表中指定文件的新路径。请确认目录是否存在而且可写 ca。
如何更改日志位置
-
转到注册表中的 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration。
-
在ClmCATrace注册表值定义文件的新位置。
-
重新启动 CA。
ExitModule 的跟踪开关
注册表位置︰置此变量 \System\CurrentControlSet\Services\CertSvc\Configuration\ < CA 名称 > \ExitModules\Clm.Exit
字符串名称︰Microsoft.Clm.ExitModule
值数据︰数值数据可以是以下之一︰详细|信息|警告|错误
PolicyModule 的跟踪开关
注册表位置︰置此变量 \System\CurrentControlSet\Services\CertSvc\Configuration\ < CA 名称 > \PolicyModules\Clm.Policy
字符串名称︰Microsoft.Clm.PolicyModule
值数据︰此数值可以是下列值之一︰详细|信息|警告|错误
跟踪开关 PolicyModule 插件
注册表位置︰置此变量 \System\CurrentControlSet\Services\CertSvc\Configuration\ < CA 名称 > \PolicyModules\Clm.Policy\ < 插件的名称 >
字符串名称︰Microsoft.Clm.PolicyModulePlugins
值数据︰此数值可以是下列值之一︰详细|信息|警告|错误
注意:除非定义密钥,则默认值为信息。跟踪开关更改后,重新启动 CA。
问题 4
FIM 厘米证书请求"支持"插件不会创建用于 MIM 厘米之外创建的外部证书的配置文件。
问题 5
证书注册失败时系统使用德语的区域设置。
MIM 同步服务
问题 1
仅导出基于文件的 ECMA2 连接器无法导出已删除的对象。
问题 2
MsDS UserPasswordExpiryTimeComputed属性将显示为 Active Directory 域服务 (AD DS) 管理代理的选择属性选项卡中可用的属性。MsDS UserPasswordExpiryTimeComputed是在 AD DS 中的计算的属性和未检测到导入操作。截至此更新时,管理代理中的可用属性的列表中删除该属性。
问题 3
有时在 MIM 同步服务 (MIISClient) 中的"导入服务器配置"阶段,导入服务器配置对话框中挂起。
问题 4
运行同步任务同时运行的多个配置文件可能会导致数据损坏。
注意:用 0x8023063D 错误代码时显示一个消息框。
问题 5
授权还原 Active Directory 对象后, 活动目录管理代理 (AD MA) 增量导入错误地将会检测到它们为已删除。
问题 6
此更新增加了重写默认同步引擎行为更改后导出和导入服务器配置运行配置文件 GUID 的能力。
注意:此更新将添加 Guid"保持"模式下打开一个特殊的注册表子项。要启用"保留"的模式,创建下列对象︰
注册表位置︰HKEY_LOCAL_MACHINE\Software\Microsoft\Forefront 标识 Manager\2010\Synchronization 服务
字符串名称︰KeepEqualRunPrGuids
值数据︰真
问题 7
此更新扩展 AD MA 的功能配置 cmdlet 以便能够处理多个分区。
注意:扩展集 MIISADMAConfiguration – 分区的用分号 (;) 分隔。
使用情况
组-MIISADMAConfiguration-MAName MA_NAME -林FORESTNAME -凭据 (获取凭据)-分区"DC = contoso,DC = com;DC = ForestDnsZones,DC = contoso,DC = com"
问题 8
此更新将添加新的 cmdlet加载 MIISADMARunProfileStep。
注意:它将运行配置文件步骤"完全导入"分配给分区 DC = CONTOSO,DC = COM 到名为 ADMA_FULLIMPORT AD_MA 的管理代理的运行配置文件。如果不存在具有此名称的运行配置文件,将创建它。管理代理应该已经存在。
StepType参数 (短格式或长时间一个可以使用) 的可能的值︰
-
"FI","完全导入"
-
"FS","完全同步"
-
"FIFS","完全导入和完全同步"
-
"FIDS","完全导入和增量同步"
-
"DI"、"增量导入"
-
"DS"、"增量同步"
-
"DIDS"、"增量导入和增量同步"
-
"费用","出口"
使用情况
添加 MIISADMARunProfileStep MAName 'AD_MA'-分区 DC = CONTOSO,DC = COM-StepType FI ProfileName 'ADMA_FULLIMPORT'
问题 9
由于该二进制文件具有无效的入口点时,MmsScrpt.exe 会崩溃。显示最常见的错误是"访问冲突"。
问题 10
导入 MIISServerConfig PowerShell cmdlet 不允许跳过配置导入过程中的管理代理。
MIM 门户
问题 1
此更新使控件显示和隐藏基于状态的复选框启用电子邮件的自定义项。
此更新中包括一个额外的属性到 RCDC 的配置数据。现在事件元素可能具有的参数属性。为组 RCDC OnChangeEmailEnabling事件,它应包含逗号分隔的要显示或隐藏控件的 (区分大小写) 的列表。
下面是一个小的示例 (RCDC 的一部分) 来显示它的工作原理︰
<my:Control my:Name="EmailEnabling" my:TypeName="UocCheckBox" my:Caption="%SYMBOL_EmailEnablingCaption_END%"
my:Description="%SYMBOL_EmailEnablingDescription_END%"
my:AutoPostback="true" my:RightsLevel="{Binding Source=rights,
Path=Email}">
<my:Properties>
<my:Property my:Name="Text" my:Value="%SYMBOL_EmailEnablingValue_END%"/>
</my:Properties>
<my:Events>
注意:如果不包含参数特性,不会更改而不是以前的行为。
问题 2
此更新增加了完全自定义的门户标题的能力。
注意:(通过将CustomPortalHeader.html文件添加到自定义文件夹) 替换自定义 HTML 内容的门户的标头部分。
问题 3
所有支持的语言和区域性本地化正确一些报告了一些特定于区域性的本地化设置不正确地进行本地化。
问题 4
门户网站并不验证上载的图像文件的内容。不过,门户网站可以检查图像的内容。若要启用此验证,用户的创建和用户编辑 RCDC 必须加上UocFileUpload类型,如下面的示例中所示的属性选项更改︰
<my:Property my:Name="ValidateImage" my:Value="true"/
MIM 服务
问题 1
在 4.3.2064.0 修复程序安装数据库升级失败如果 FIM 服务数据库的名称不是 FIMService 的默认名称。
问题 2
如果实现了复杂的设置模式,请求计算过程可能会发生死锁。
问题 3
配置备份工具不能 MIM。
问题 4
FIM 管理代理 (MA) 导出允许您添加 MIM 对象的多值的字符串属性。
BHOLD
问题 1
Applicationdeletealias函数会添加 BHOLD 的 web 服务。
与 ARGs 函数名可能作为ExecuteXml方法的参数传递。
备注:
-
用户 id和applicationid都是必需的参数
-
别名是一个可选参数。而无需显式定义的别名参数,此函数删除应用程序的用户对所有别名。
问题 2
BHOLD 核心时从父删除角色的LogItems表中显示的错误。
语言支持
问题 1
新塞尔维亚语区域性 sr-Latn-RS 是适用于以下组件︰
-
MIM 服务
-
MIM 客户端
-
证书管理
参考资料
了解 Microsoft 用于描述软件更新的术语。
