You have multiple accounts
Choose the account you want to sign in with.

摘要

一个修补程序汇总包 (build 4.5.412.0) 仅供 Microsoft 标识管理器 (MIM) 2016 Service Pack 1 (SP1)。此汇总包解决了一些问题,并添加"已修复问题并添加在此更新中的改进"一节中描述的某些改进。

更多信息

此更新中的已知问题

组管理问题

打开具有填充 MIM 门户中没有显示的所有者的组时,弹出菜单会引发,您会收到以下错误消息:

请选择上面的所有者之间显示的所有者。

关闭弹出窗口后,窗口会冻结在加载状态,您将无法再管理组。

同步服务

安装此更新后,规则扩展和基于可扩展 MA (ECMA1 或 ECMA 2.0) 的自定义管理代理 (Ma) 可能无法运行,而且可能会导致运行的状态为"已停止-扩展的 dll 的加载。当您运行此类规则扩展或自定义的 Ma 配置文件 (.config) 更改为以下过程之一后,会出现此问题:

  • MIIServer.exe

  • Mmsscrpt.exe

  • Dllhost.exe

例如,您可以编辑 MIIServer.exe.config 文件来更改默认批处理大小为前沿标识管理器 (FIM) 服务 MA 处理同步条目。在此情况下,同步引擎安装此更新程序不能替换配置文件以避免删除以前的更改。这是因为如果配置文件不被替换,此更新所需的项不存在的文件中。因此,同步引擎不会加载任何规则扩展 Dll 时引擎运行完全导入或增量同步运行配置文件。

若要解决此问题,请执行以下步骤:

  1. MIIServer.exe.config文件进行备份。

  2. 在文本编辑器或 Microsoft Visual Studio 中打开MIIServer.exe.config文件。

  3. 在 MIIServer.exe.config 文件中查找 <runtime> 部分,然后将 <dependentAssembly> 部分的内容替换为以下内容:

<dependentAssembly>

<assemblyIdentity name="Microsoft.MetadirectoryServicesEx" publicKeyToken="31bf3856ad364e35" />

<bindingRedirect oldVersion="3.3.0.0-4.1.3.0" newVersion="4.1.4.0" />

</dependentAssembly>

  1. 将更改保存到此文件。

  2. 当父文件夹中相同的文件夹中的 Dllhost.exe.config 到 Mmsscrpt.exe.config 文件。对于这些文件,请重复步骤 1 到 4。

  3. 重启 Forefront Identity Manager 同步服务 (FIMSynchronizationService)。

  4. 确认规则扩展和自定义管理代理现在按预期运行。

服务配置文件更新

MIM 服务修补程序安装后,将覆盖具有.NET 重定向的 Microsoft.Resourcemanagement.Service.exe.config 文件部分。必须手动重新添加非 MIM.dll 条目。例如,MIM WAL 库重定向都将丢失。

与 Azure MFA 服务器 SSPR SMS 网关

Azure MFA 内部部署服务器将忽略 MIM SSPR OTP SMS 网关设置身份验证工作流 (OTP 令牌的长度和消息文本) 中。服务器具有硬编码 OTP 令牌长度为 6。工作流失败如果 OTP 令牌的长度为 6 以外。若要发送用户首选语言的消息文本,可以在 Azure MFA 服务器中创建用户的配置文件并 MIM 之外对其进行更新。

Internet Explorer 支持

在此更新,MIM 门户更新以使用新的 jQuery 库。

请注意如果您正在使用的版本早于版本 11 的 Internet Explorer,弹出窗口可能不会按预期 MIM 门户中工作。

重要说明

安装此更新之后,请清除浏览器缓存,以强制重新加载缓存的 JS 库。

服务和门户设置

2013 x64 MIM 服务,门户安装程序在运行之前,必须安装 Visual C++ 的可再发行组件包 (Vcresist_x64.exe)。

关联的错误消息:

没有 Windows 安装服务软件包有问题。无法运行完成此安装所需的 DLL。请联系您的支持人员或程序包供应商联系。

解决办法:

从以下 Windows 下载中心链接下载 Visual C++ 的可再发行组件包 (Vsresist_x64.exe)。

Visual C++ 的可再发行组件包

Identity Management 门户

安装此更新后,可能不会 Internet Explorer 中按预期方式显示门户。若要解决此问题,请执行以下步骤:

  1. 关闭所有 Internet Explorer 实例。

  2. 在控制面板中打开Internet 选项项。

  3. 删除所有浏览历史记录和缓存的文件。

如果此问题仍然存在,请确保 Internet Explorer 的版本 11 或更高版本。如果运行的版本早于 11,可能显示不一致与版本 11 中显示的门户。

4.5.412.0 更新:

JQuery 库更新到最新版本在 MIM 修补程序生成 4.5.412.0。Internet Explorer 8 到 10 版本不再受 MIM 门户。如果您正在使用 Internet Explorer,我们建议您更新到版本 11 的使用以及 MIM 门户。

同步规则更新问题

在 MIM 版本 4.5.286.0 和 4.5.412.0 (此更新) 中,出站同步规则被配置为使用作用域筛选器对 MIM 服务管理代理实例进行了更改后可能遇到的问题。

症状:

同步运行时,将返回"同步-规则-验证-分析-错误"同步错误消息。

重现问题的步骤:

  1. 在同步服务管理器 (MIISClient.exe),对 MIM 服务管理代理实例的配置进行更改。 注意:这可以是任何类型的更改: 属性流规则、 筛选器规则,连接设置,等等。

  2. 运行增量导入,然后增量同步代理上运行的 MIM 服务管理。

结果:

作用域筛选器基于的同步将更新规则来设置所有的布尔值属性为false,不管以前设置属性的值。这将导致同步规则-验证-分析-错误异常返回。

解决方法:

若要变通解决此问题,在对 MIM 服务管理代理配置进行更改,运行完全导入 (仅限阶段) MIM 服务管理代理上运行配置文件。

更新信息

Microsoft 下载中心

可以从 Microsoft 下载中心下载此更新。 我们建议所有客户将此更新应用于其生产系统。

Download 立即下载更新 Microsoft 标识管理器 2016 sp1 (KB4489646)

先决条件

要应用此更新,必须安装以下产品:

  • 2013 x64 Visual C++ 可再发行组件包 (vsresist_x64.exe) (MIM 服务,门户安装程序在运行之前必须进行安装)

  • Microsoft 标识管理器 2016年生成4.4.1302.0

  • .NET Framework 4.6 以下组件:

    • MIM 服务

    • MIM 门户 (标识管理、 密码重置密码注册)

    • MIM PAM

    • MIM 的加载项和扩展

重启要求

必须重新启动计算机之后应用插件和扩展包 (Mimaddinsextensions_x(64/86)_kb4489646.msp)。您可能需要重新启动服务器组件。

替换信息

这是将替换所有的 MIM 2016 SP1 更新,从4.4.1302.0到 2016 年 Microsoft 标识管理器生成4.5.286.0是累积性更新。

文件信息

此更新的全球版具有下表中列出的文件属性(或更新的文件属性)。 这些文件的日期和时间按协调世界时 (UTC) 列出。 在查看文件信息时,文件时间将转换为本地时间。 要了解 UTC 与本地时间之间的时差,请使用控制面板中“日期和时间”项中的“时区”选项卡。

文件名

文件版本

文件大小

日期

时间

Mimaddinsextensions_x64_kb4489646.msp

Not applicable

7,589,888

10-May-2019

01:38

Mimaddinsextensions_x86_kb4489646.msp

Not applicable

3,272,704

10-May-2019

01:38

Mimcmbulkclient_x86_kb4489646.msp

Not applicable

11,550,720

10-May-2019

01:38

Mimcmclient_x64_kb4489646.msp

Not applicable

7,581,696

10-May-2019

01:38

Mimcmclient_x86_kb4489646.msp

Not applicable

7,196,672

10-May-2019

01:38

Mimcm_x64_kb4489646.msp

Not applicable

14,102,528

10-May-2019

01:38

Mimservice_x64_kb4489646.msp

Not applicable

38,031,360

10-May-2019

01:40

Mimsyncservice_x64_kb4489646.msp

Not applicable

22,515,712

10-May-2019

01:39

固定的问题,并添加在此更新中的改进

服务和门户

MIM 服务

改进 1

MIM 服务,门户安装程序添加 TLS 1.2 支持。此更新将安装 TLS 1.2 是否只有已启用的协议 *。 安装此更新后,MIM 服务和门户网站的更改模式安装程序将通过仅启用 TLS 1.2 和 SQL OLE DB 驱动程序安装成功。

* Microsoft OLE DB 驱动程序 18 为 SQL Server 必须安装:

https://www.microsoft.com/download/details.aspx?id=56730

问题 1

在 MIM 服务的动态记录正在记录默认情况下数据太多。安装此更新后,默认级别的日志记录 (AllSwitch) 是在 Microsoft.ResourceManagement.Service.exe.config 文件中,设置为警告

问题 2

当您导出代理上运行的 MIM 服务管理,如果管理代理停止导出完成之前时,MIM 服务将继续处理放到导出 SQL 中介程序队列中的更改。

安装此更新时,如果 MIM 服务管理代理导出在完成之前停止后,MIM 服务将停止处理导出的 SQL 代理队列中保留的更改。

重要说明

这仅适用于异步导出操作。这个问题不存在同步导出操作。

问题 3

在某些情况下,MIM 服务不会终止在一个循环中的工作流实例,如果关联的请求已被拒绝。

在前沿标识管理器事件日志中引发的异常:

Reraised Error 50000, Level 16, State 1, Procedure ReRaiseException, Line 37, Message: Reraised Error 50000, Level 16, State 1, Procedure DoUpdateRequest, Line 255, Message: RequestSqlOperationException: This operation is not allowed on RequestKey 13808 because it is already in a final state. Transaction count after EXECUTE indicates a mismatching number of BEGIN and COMMIT statements. Previous count = 1, current count = 0.

安装此更新后,此问题将不再发生。

问题 4

MIM 生成 4.5.26.0 和更高版本中,如果您尝试删除绑定绑定一个布尔 MIM 服务架构中的属性与资源类型,则删除请求将失败。

安装此更新后,可以删除该绑定。

问题 5

试图通过运行 MIM 服务更新服务帐户在安静模式下,在命令提示符更改模式安装将无法更改服务帐户。

安装此更新后,此操作将会成功。

问题 6

当您处理的请求提供的理由和原因的批准时,无论是论证还是原因文本可以包含在电子邮件通知从工作流。

安装此更新后,您可以使用下列在通知电子邮件模板中包含这些属性值:

  • [//Request/Justification]

  • [//WorkflowData/Reason]

问题 7

开始生成 4.5.286.0,试图为同步规则 MIM 服务或门户网站中添加属性流规则可能阻止属性流规则添加。请求添加到属性流成功,但对象不实际保存属性流。 在所有情况下,这可能不会发生。

安装此更新后,此问题将不再发生。

访问权限的管理

问题 1

在以下方案中的用户不会从阴影主体组通过 PAM,如预期的那样:

  • 用户在 Active Directory 中的可分辨名称中包含转义字符

  • 从运行在 Windows 2012 域功能级别或更早版本的域迁移了用户

对于用户在 Active Directory 中的可分辨名称中包含一个转义字符,如在 CN 值包括逗号的 PAM 没有此用户从组中删除阴影主体上请求过期时间。

安装此更新后,用户将从阴影主体组,如预期的那样。

问题 2

特权访问管理 (PAM) 不会更新某成员的"生存时间"(TTL) 阴影主体组时发出请求来扩展现有的请求。

要重现此问题:

  1. 生成新的 PAM 请求通过示例门户或继续运行新 pamrequest cmdlet。

  2. 尝试扩展请求通过示例门户或通过运行新 pamrequest

安装此更新后,PAM 更新阴影主要组成员的 TTL 时发出请求来扩展现有的请求。

问题 3

当您使用 REST API 调用来回报 PAM 提升请求,历史数据,如果创建了 PAM 请求 MIM 请求已过期,从数据库中删除时,则 API 调用返回一个异常。

运行get PAMRequest返回相同的数据返回没有错误,请求,而且还具有请求的状态值。

该异常的原因是PAMRequest状态将直接由父 MIM 请求状态。如果已从数据库中删除了 MIM 请求,则无状态返回。

安装此更新后,REST API 调用返回而无需请求状态数据的 PAM 请求信息。

MIM Identity Management 门户

改进 1

jQuery 库更新到版本 3.3.1 MIM 门户来提高安全性 (请参阅关于 jQuery GitHub 上的讨论)。

改进 2

MIM 服务架构更新添加页面自定义页面标题属性。如果在页面标题属性填充资源类型定义中,此值将显示在 CustomizedObjects.aspx 页面上。下面的屏幕抓图中的示例,请参阅。

联系人对象页面之前生成 4.5.412.0

联系人对象页 安装 4.5.412.0 版本后,请执行以下操作:

  1. 创建 MPR 授予的权限来编辑页面标题。 4489646创建 MPR-2创建 MPR-3

  2. 资源类型对象在页标题中定义的值。 定义页面标题值

  3. 管理命令提示符窗口中运行 IISReset。

若要查看结果的更改,定位到 MIM 门户,并再次查看联系人页。

组织联系人

问题 1

编辑工作流活动在工作流设计器中的 MIM 门户的属性时,此更改是在活动属性导致页后,可以滚动到顶部的工作流活动的每项更改编辑视图。

安装此更新后,此问题将不再发生。

问题 2

当您使用自定义 UocIdentityPicker 控件在资源控制显示配置 (RCDC) 的自定义对象类型时,排序搜索结果对话框中对自定义属性中返回的对象可能会导致以下:

  • 返回的对象更改的次数

  • 返回的对象无法按需排序

安装此修复程序后,此排序问题没有出现,但存在下列例外情况:

允许在公共特性以及绑定到此资源类型的属性排序的筛选器:

  • / 资源类型 [某些条件]

  • /ResourceType

  • /Some hierarchy/ResourceType

  • / 某些层次结构/资源类型 [某些条件]

示例:

  • /Person

  • /Group[Type='Security]'

此修补程序不能用于筛选器类似于下面的示例:

  • [ResourceType='Group']

  • /Groups/Members

这样,它不会受此更改在其中定义筛选器的情况下,MIM 支持排序仅限于公共属性 (绑定到"资源的"资源类型的属性) 的当前行为。

问题 3

当用户信息粘贴到一个 UocIdentityPicker 时如果以标准的 Outlook 电子邮件和名称格式的信息的格式时,则一个异常会返回。该异常标志的文本中不支持的字符。如果您单击确定窗口中的异常,则会从 UocIdentityPicker 控件清除。

Outlook 电子邮件格式示例:

用户 Joe < juser@contoso.com >

安装此更新后,UocIdentityPicker 控件成功分析用户名称粘贴到此格式中。

注意:如果您按 Ctrl + Z 以撤消粘贴粘贴格式前面的示例中,值之后,将返回弹出异常。这表明有不支持的字符。而不是使用 Ctrl + Z 来删除此值,使用删除或 Backspace 键。

问题 4

从开始 MIM 生成 4.5.202.0,当 RCDC 的自定义控件被配置为具有本地化字符串,显示资源的混合语言。

例如:

自定义的 RCDC 使用德语语言 (本地 DE-DE 和德国 DE CH-瑞士)。升级到 4.5.202.0 后,这些 RCDCs 不能正确显示。相反,它们显示了英语和德语文本的混合。

安装此更新后,RCDCs 将显示按预期的方式。

证书管理

问题 1

尝试设置数据集合项请求中失败如果使用 REST API 提交请求。

安装此更新后,可以按预期方式申请设置数据集合项。

问题 2

当您注册虚拟智能卡使用 MIM 厘米 REST API,并使用自定义应用程序或 MIM 厘米现代应用程序时,按预期,MIM 厘米请求中没有注册虚拟智能卡已在其记录的计算机的主机名。

安装此更新后,计算机主机名记录请求中按预期的方式。

问题 3

当您尝试安装 4.5.286.0 对 MIM 厘米批量客户端安装更新失败,并返回以下异常:

安装程序遇到意外的错误。错误代码是 2711年。

在此热修复程序更新,此问题得到解决。现在,MIM 厘米批量客户端将成功更新。

问题 4

当您使用 MIM 厘米批量客户端查询中请求的生成 4.5.26.0,如预期的那样,也不会返回请求的注释。

安装此更新后,针对每个请求的注释被退回批量客户端按预期的方式。

同步服务

改进 1

Active Directory 域服务管理代理程序现在支持发现和 msDS GroupManagedServiceAccount 对象类型的导入。

问题 1

在 MIM 生成 4.5.286.0,MIM 管理代理出口可能会返回以下异常:

Fault Reason: The endpoint could not dispatch the request.\r\n\r\nFault Details: <DispatchRequestFailures xmlns="http://schemas.microsoft.com/2006/11/ResourceManagement" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema"><DispatchRequestAdministratorDetails><FailureMessage>Exception: Other

Stack Trace: Microsoft.ResourceManagement.WebServices.Exceptions.UnwillingToPerformException: Other ---> System.Data.SqlClient.SqlException: Reraised Error 50000, Level 13, State 1, Procedure ReRaiseException, Line 37, Message: Reraised Error 50000, Level 13, State 1, Procedure ReRaiseException, Line 37, Message: Reraised Error 1205, Level 13, State 51, Procedure GenerateRequestOutput, Line 2147, Message: Transaction (Process ID 88) was deadlocked on lock resources with another process and has been chosen as the deadlock victim. Rerun the transaction.

   at System.Data.SqlClient.SqlConnection.OnError(SqlException exception, Boolean breakConnection)

   at System.Data.SqlClient.TdsParser.ThrowExceptionAndWarning(TdsParserStateObject stateObj)

   at System.Data.SqlClient.TdsParser.Run(RunBehavior runBehavior, SqlCommand cmdHandler, SqlDataReader dataStream, BulkCopySimpleResultSet bulkCopyHandler, TdsParserStateObject stateObj)

   at System.Data.SqlClient.SqlDataReader.ConsumeMetaData()

   at System.Data.SqlClient.SqlDataReader.get_MetaData()

   at System.Data.SqlClient.SqlCommand.FinishExecuteReader(SqlDataReader ds, RunBehavior runBehavior, String resetOptionsString)

   at System.Data.SqlClient.SqlCommand.RunExecuteReaderTds(CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, Boolean async)

   at System.Data.SqlClient.SqlCommand.RunExecuteReader(CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, String method, DbAsyncResult result)

   at System.Data.SqlClient.SqlCommand.RunExecuteReader(CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, String method)

   at System.Data.SqlClient.SqlCommand.ExecuteReader(CommandBehavior behavior, String method)

   at System.Data.SqlClient.SqlCommand.ExecuteReader()

   at Microsoft.ResourceManagement.Data.DataAccess.DoRequestCreation(RequestType request, Guid cause, Guid requestMarker, Boolean doEvaluation, Int16 serviceId, Int16 servicePartitionId)

   --- End of inner exception stack trace ---

   at Microsoft.ResourceManagement.WebServices.RequestDispatcher.CreateRequest(UniqueIdentifier requestor, UniqueIdentifier targetIdentifier, OperationType operation, String businessJustification, List`1 requestParameters, CultureInfo locale, Boolean isChildRequest, Guid cause, Boolean doEvaluation, Nullable`1 serviceId, Nullable`1 servicePartitionId, UniqueId messageIdentifier, UniqueIdentifier requestContextIdentifier, Boolean maintenanceMode)

   at Microsoft.ResourceManagement.WebServices.RequestDispatcher.CreateRequest(UniqueIdentifier requestor, UniqueIdentifier targetIdentifier, OperationType operation, String businessJustification, List`1 requestParameters, CultureInfo locale, Boolean isChildRequest, Guid cause, Boolean doEvaluation, Nullable`1 serviceId, Nullable`1 servicePartitionId, UniqueId messageIdentifier)

   at Microsoft.ResourceManagement.WebServices.ResourceManagementService.Create(Message request)</FailureMessage><DispatchRequestFailureSource>Other</DispatchRequestFailureSource><AdditionalTextDetails>Request could not be dispatched.</AdditionalTextDetails></DispatchRequestAdministratorDetails><CorrelationId>fc548590-4306-4e1a-bb93-074f51f6757d</CorrelationId></DispatchRequestFailures>

安装此更新后,此问题将不再发生。

参考

Microsoft 标识管理器版本历史记录

了解 Microsoft 用于描述软件更新的术语

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

你对语言质量的满意程度如何?
哪些因素影响了你的体验?

谢谢您的反馈!

×