简介
修补程序汇总包 (内部版本 4.5.26.0) 可用于Microsoft Identity Manager (MIM) 2016 Service Pack 1 (SP1) 。 此汇总包解决了一些问题,并添加了一些改进,如“此更新中已修复的问题和添加的改进”部分中所述。
此更新中的已知问题
备注 在调查此修补程序汇总包的升级过程出现问题时,MIM 同步服务和 MIM 服务 MSP (安装程序) 已被暂时删除。 稍后将提供更多信息。
同步服务
安装此更新后,基于 Extensible MA () ECMA1 或 ECMA 2.0) 规则扩展和自定义管理代理 () 可能无法运行,并可能导致运行状态为“已停止-扩展-dll-load”。 更改以下过程之一的配置文件 (.config) 后,运行此类规则扩展或自定义 CA 时,会出现此问题:
-
MIIServer.exe
-
Mmsscrpt.exe
-
Dllhost.exe
例如,编辑 MIIServer.exe.config 文件以更改用于处理 Forefront Identity Manager (FIM) Service MA 同步条目的默认批大小。 在此情况下,此更新的同步引擎安装程序无法替换配置文件,以免删除先前的更改。 这是因为如果未替换配置文件,则此更新所需的条目在文件中不存在。 因此,如果同步引擎运行“完全导入”或“增量同步”运行配置文件,则此引擎不会加载任何规则扩展 DLL。
若要解决此问题,请按照下列步骤操作:
-
创建 MIIServer.exe.config 文件的备份副本。
-
在文本编辑器(如记事本)或 Microsoft Visual Studio 中打开 MIIServer.exe.config 文件。
-
在 MIIServer.exe.config 文件中查找 <runtime> 部分,然后将 <dependentAssembly> 节的内容替换为以下内容:
<dependentAssembly>
<assemblyIdentity name="Microsoft.MetadirectoryServicesEx" publicKeyToken="31bf3856ad364e35" />
<bindingRedirect oldVersion="3.3.0.0-4.1.3.0" newVersion="4.1.4.0" />
</dependentAssembly>
-
将更改保存到此文件。
-
在同一目录下查找 Mmsscrpt.exe.config 文件,在父目录下查找 Dllhost.exe.config。 对这两个文件重复步骤 1 到 4。
-
(FIM 同步服务) 重启 Forefront Identity Manager Synchronization Service。
-
确认规则扩展和自定义管理代理现在按预期运行。
服务和门户设置
在运行 MIM 服务和门户安装程序之前,必须安装 2013 x64 Visual C++ 可再发行程序包 包 (vcresist_x64.exe) 。
关联的错误:
备注 Windows Installer 包存在问题。 无法运行完成此安装所需的 DLL。 请联系支持人员或包供应商。
若要解决此问题,请执行以下操作:
从以下 Windows 下载中心链接下载Visual C++ 可再发行程序包包 (vcredist_x64.exe) 。
Identity Management 门户
安装此更新后,门户可能不会按预期显示在 Internet Explorer 中。 若要修复此问题,请按照以下步骤操作:
-
关闭所有 Internet Explorer 实例。
-
打开“Internet 选项”控制面板。
-
删除所有历史记录和缓存的文件。
如果此问题仍然存在,请确保 Internet Explorer 的版本为 11 或更高版本。 如果运行的版本低于 11,则与版本 11 中显示的门户相比,可能会出现显示不一致的情况。
证书管理 REST API
将 MIM 证书管理升级到此版本后,针对 MIM 证书管理使用 REST API 会导致以下异常。
异常信息
异常类型:System.IO.FileLoadException
消息:无法加载文件或程序集“Newtonsoft.Json,Version=4.5.0.0,Culture=neutral,PublicKeyToken=30ad4fe6b2a6aeed”或其依赖项之一。 所定位程序集的清单定义与程序集引用不匹配。 HRESULT 的 (异常:0x80131040)
FileName:Newtonsoft.Json,Version=4.5.0.0,Culture=neutral,PublicKeyToken=30ad4fe6b2a6aeed
FusionLog:
数据:System.Collections.ListDictionaryInternal
TargetSite: Void .ctor ()
HelpLink:NULL
源:System.Net.Http.Formatting
HResult: -2146234304
StackTrace 信息
at System.Net.Http.Formatting.JsonMediaTypeFormatter..ctor ()
at System.Net.Http.Formatting.MediaTypeFormatterCollection.CreateDefaultFormatters ()
at System.Web.Http.HttpConfiguration.DefaultFormatters ()
at System.Web.Http.HttpConfiguration..ctor (HttpRouteCollection 路由)
at System.Web.Http.GlobalConfiguration.<.cctor>b__0 ()
at System.Lazy'1.CreateValue ()
at System.Lazy'1.LazyInitValue ()
at Microsoft.Clm.Web.GlobalASAX.InitializeWebApi ()
若要避免此异常,请将以下绑定重定向信息添加到 MIM 证书管理 web.config 文件。 这应直接放置在 </configuration> 标记的上方。
重要: 在安装此更新之前,请确保创建 web.config 文件的备份。
<运行时>
<assemblyBinding xmlns=“urn:schemas-microsoft-com:asm.v1”>
<dependentAssembly>
<assemblyIdentity name=“Newtonsoft.Json”
publicKeyToken=“30AD4FE6B2A6AEED” culture=“neutral”/>
<bindingRedirect oldVersion=“0.0.0.0-6.0.0.0” newVersion=“9.0.0.0”/>
</dependentAssembly>
</assemblyBinding>
</runtime>
证书管理门户的 web.config 文件位于以下路径中:
%programfiles%\Microsoft Forefront Identity Manager\2010\Certificate Management\web
更新信息
Microsoft 下载中心
可以从 Microsoft 下载中心下载此更新。 我们建议所有客户将此更新应用于其生产系统。
先决条件
要应用此更新,必须安装以下产品:
-
Microsoft Identity Manager 2016 内部版本 4.4.1302.0
-
.NET Framework 4.6,适用于以下组件:
-
MIM 服务
-
MIM 门户 (标识管理、密码重置、密码注册)
-
MIM PAM
-
MIM 加载项和扩展
-
重启要求
应用加载项和扩展包 (Fimaddinsextensions_xnn_KB4073679.msp) 后,必须重新启动计算机。 还必须重启服务器组件。
替换信息
这是一个累积更新,将替换所有 MIM 2016 SP1 更新,从 4.4.1302.0 到 2016 Microsoft Identity Manager版本 4.4.1749.0。
文件信息
此更新的全球版具有下表中列出的文件属性(或更新的文件属性)。 这些文件的日期和时间以协调世界时 (UTC) 格式列出。 在查看文件信息时,文件时间将转换为本地时间。 要了解 UTC 与本地时间之间的时差,请使用控制面板中“日期和时间”项中的“时区”选项卡。
File name |
文件版本 |
文件大小 |
日期 |
Time |
---|---|---|---|---|
语言 Packs.zip |
暂缺 |
119,853,706 |
2018 年 6 月 27 日 |
13:50 |
MIMAddinsExtensionsLP_x64_KB4073679.msp |
暂缺 |
4,128,768 |
2018 年 5 月 24 日 |
22:51 |
MIMAddinsExtensionsLP_x86_KB4073679.msp |
暂缺 |
2,744,320 |
2018 年 5 月 24 日 |
21:45 |
MIMAddinsExtensions_x86_KB4073679.msp |
暂缺 |
3,280,896 |
2018 年 5 月 24 日 |
21:34 |
MIMCMBulkClient_x86_KB4073679.msp |
暂缺 |
7,393,280 |
2018 年 5 月 24 日 |
12:13 |
MIMCMClient_x64_KB4073679.msp |
暂缺 |
7,589,888 |
2018 年 5 月 24 日 |
1,212 |
MIMCMClient_x86_KB4073679.msp |
暂缺 |
7,196,672 |
2018 年 5 月 24 日 |
1,211 |
MIMCM_x64_KB4073679.msp |
暂缺 |
16,355,328 |
2018 年 5 月 24 日 |
12:27 |
MIMService_x64_KB4073679.msp |
暂缺 |
39,837,696 |
2018 年 5 月 24 日 |
2,233 |
MIMSyncService_x64_KB4073679.msp |
暂缺 |
22,253,568 |
2018 年 5 月 24 日 |
1,805 |
此更新中已修复的问题和添加的改进
此更新包含以前未在 Microsoft 知识库中记录的以下修补程序和改进。
语言包改进
此更新中添加了语言包改进。 有关详细信息,请参阅以下文档:
对组托管服务帐户的支持
此更新包括对以下组件的组托管服务帐户的支持:
-
MIM 同步服务 (FIM 同步服务)
-
MIM 服务 (FIM 服务)
-
MIM 密码注册
-
MIM 密码重置
-
PAM 监视服务 (Pam 监视服务)
-
PAM 组件服务 (特权管理组件服务)
不支持
-
MIM 门户 (因为这是 SharePoint 环境的一部分,因此您必须在场模式下部署,并在 SharePoint Server 中配置自动密码更改)
-
所有管理代理
-
Microsoft 证书管理
-
BHOLD
有关详细信息,请参阅以下文档:
https://learn.microsoft.com/en-us/microsoft-identity-manager/microsoft-identity-manager-2016-gmsa
MIM 同步服务
改进
在此更新的版本中,添加了对以下版本的 Visual Studio 的支持,用于创建规则扩展:
-
Visual Studio 2013
-
Visual Studio 2015
-
Visual Studio 2017
问题
问题 1
在某些情况下,刷新管理代理 (连接器) 同步Service Manager (MIISClient.exe) 的分区时,单击“确定”按钮时,刷新的信息不会按预期保存。
在此更新中,单击“刷新”,然后单击“确定”时,更新后的分区信息将按预期保存。
问题 2
为 Metaverse Designer中的可索引字符串属性编制索引时,如果该属性的名称太长,将返回意外错误。
在此更新中,现在会返回更具描述性的错误消息。
问题 3
在 Windows Server 2016 上安装 MIM 同步服务时创建文本文件管理代理,某些文本编码选项(包括 Unicode)不可用。
在此版本中,MIM 文本文件管理代理已更新,以便与Windows Server 2016代码页处理正确交互。
MIM 服务管理代理
在 MIM 服务管理代理上运行导出运行配置文件时,如果导出错误消息包含无效字符,这会导致运行历史记录条目 (MIISClient.exe 操作 “选项卡) 损坏,并且无法在 MIIS 客户端中查看包含此导出错误的连接器空间对象。
在此更新中,在将无效字符保存到连接器空间对象和运行历史记录之前,将从错误消息中删除。
密码更改通知服务 (PCNS)
在某些情况下,PCNS 服务在目标添加操作上崩溃,并且服务不会重启。
在此更新中,不再发生此崩溃。
服务和门户
MIM 服务
改进 1
Export-FIMConfig PowerShell cmdlet 不会导出与 PAM 相关的配置对象。 因此,MIM 服务配置迁移不包括与 PAM 相关的配置对象。
安装此更新后,“-PamConfig”参数可用于强制导出 PAM 配置对象。
其他信息:
改进 2
使用 Export-FIMConfig PowerShell cmdlet 导出最近的请求对象非常困难,因为必须编写自定义筛选器表达式。
在此更新中,已为 Export-FIMConfig cmdlet 添加了“-request”参数。
其他信息:
改进 3
门户中布尔属性的 NULL 值和 False 值之间没有视觉差异。
在此更新中,将进行以下更改:
-
创建对象时,新的 MIM 布尔属性现在设置为 False 。
-
向资源添加新的布尔属性绑定时,新的 MIM 布尔属性现在设置为 False 。
重要 在某些环境中,这种行为更改可能会中断这些进程。 建议在环境中测试此更改。
问题 1
在首次安装 MIM 服务时选择加入客户体验改善计划后,对 FIM 服务的后续更新安装将禁用客户体验改善计划设置。
在此更新中,将按预期维护 客户体验改善计划 设置。
问题 2
某些使用非托管资源的 Privileged Access Management 对象不会及时清除。
安装此更新后,将正确清理这些对象。
问题 3
如果 MIM 服务帐户的邮箱托管在 Exchange Online (Office 365) 并且安装了 MIM 服务的更新,则服务邮箱的加密密码将变为 null。
从此更新开始,MIM 服务的Exchange Online邮箱的加密密码不会更改。
问题 4
启用动态日志记录时创建的 MIM 服务日志文件没有限制。
在此更新中,将添加逻辑,以在达到大小限制时切换到另一个文件。 如果达到第二个文件的大小限制,日志记录将覆盖第一个文件。 默认大小限制为 1 GB。
问题 5
安装 MIM 服务和门户时,安装程序将返回以下异常:
此 Windows Installer 程序包存在问题。 作为安装程序的一部分运行的程序未按预期完成。 请联系支持人员或包供应商。
尝试升级 FIMService 数据库时,会出现根本问题。
在此更新中,此问题不再发生。
特权访问管理
PAM PowerShell 改进
添加了以下与 PAM 相关的 PowerShell cmdlet,以支持在集中添加成员和从中删除成员的功能:
-
Get-PAMSet
-
Add-PAMSetMember
-
Remove-PAMSetMember
PAM PRIV 密码过期通知
目前,PAM 不会在 PRIV 密码即将过期时通知用户。 在此更新中,“PwdExpirationDate”参数将添加到 PAM REST API 会话信息中。
返回 PAM 会话信息:
已禁用自我审批
审批工作流活动
审批工作流活动无法禁用自我审批。 在各种情况下,你可能希望配置审批活动,以强制另一个审批者批准(如果请求来自另一个审批者)。
在此更新中,“审批”工作流活动现在在活动属性设置中具有“禁用自我审批检查”框。
New-PAMRole PowerShell cmdlet
为了支持拒绝自我审批的功能, New-PAMRole cmdlet 具有一个新参数来拒绝角色的自我审批。
禁用自动批准如果所有者
在高级视图中查看对象时,“禁用自动批准”属性也会显示在 MIM 门户中的 msidmPamRole 对象中。
问题 1
在某些情况下,特权访问管理 (PAM) 事件日志中输入以下警告:
异常:System.ObjectDisposedException:无法访问已释放的对象。
安装此更新后,此警告不再显示在 PAM 事件日志中。
问题 2
尝试使用 Set-PAMUser PowerShell cmdlet 更改 PrivAccountName 属性时,对象将被删除,而不是在当前对象中更新。
在此更新中, Set-PAMUser cmdlet 可以毫无问题地更改 PrivAccountName。
问题 3
Get-PamRequest cmdlet 没有用于指定最近请求的筛选器。
在此更新中,“-CreatedFrom”参数将添加到此 cmdlet。
问题 4
New-PamRole cmdlet 不确保“可用”日期大于“可用”日期。
在此更新中, New-PamRole cmdlet 现在验证“可用日期是否大于”可用日期”。
问题 5
Get-PAMRole cmdlet 的输出不显示“Available From”和“Available To”值
在此更新中, Get-PAMRole PowerShell cmdlet 将返回“Available From”和“Available To”值。
问题 6
Get-PamRequest cmdlet 返回不符合筛选条件的请求。
在此更新中, Get-PamRequest cmdlet 筛选器现已正确应用
问题 7
在 Windows Server 2016 上运行时,Set-PamGroup cmdlet 失败。
在此更新中, Set-PamGroup cmdlet 现在可以更新 Active Directory 影子主体组对象。
问题 8
Remove-PamUser cmdlet 失败,如果用户作为候选项链接到角色,则会返回一条不清楚的错误消息。
在此更新中,客户端验证已添加到 cmdlet,并阐明了异常消息。
问题 9
Remove-PamUser PowerShell cmdlet 失败,如果角色已链接到请求,则会返回一条不清楚的错误消息。
在此更新中,客户端验证已添加到 cmdlet,并阐明了异常消息。
问题 10
为 FIM 服务和门户运行 Change-Mode 安装程序时,不会公开 PAM 帐户进行配置。
-
PAM Rest API 帐户
-
PAM 组件服务帐户
-
PAM 监视服务帐户
在此更新中,Change-Mode 安装程序允许重新配置上述帐户。
MIM Identity Management 门户
问题 1
从 MIM 内部版本 4.4.1642.0 开始,尝试使用 MIM 门户对话框顶部的剪贴板图标为从 MIM 门户对话框复制的 URL 创建导航栏项时,服务器名称现在包含在相对 URL 中。 这需要在配置从一个 MIM 实例迁移到另一个 MIM 实例时手动修改 URL。
在此更新中,相对 URL 不再包含服务器名称。
问题 2
将自由文本添加到标识选取器控件时,控件似乎会动态增大其宽度,而不是环绕文本。
在此更新中,将更正控件大小调整。
问题 3
在 MIM 标识管理门户中,在 Internet Explorer 10 中查看时,弹出对话框未正确显示。
在此更新中,弹出窗口现在在 Internet Explorer 10 中按预期显示。
问题 4
在 MIM 门户弹出对话框中,西里尔文符号未在标题栏中正确显示。
在此更新中,标题栏文本中的西里尔文符号正确显示。
问题 5
在 MIM 门户中创建新的操作工作流定义时,如果使用“导入工作流定义”选项,并且指定了不正确的文件类型,则尝试将同步规则活动添加到工作流失败。
在此更新中,失败的“导入工作流定义”属性将引发异常并恢复,从而允许将同步规则活动添加到工作流定义。
问题 6
MIM 标识管理门户中的某些对话框在 Internet Explorer 中显示一个双滚动条。
在此更新中,弹出窗口在 Internet Explorer 中查看时不再显示额外的滚动条。
加载项和扩展
当您尝试在 Office 2016 Office 365安装过程中安装适用于 Outlook 的 MIM 加载项时,将返回异常,安装失败并返回一条错误消息,指出找不到以下文件:
Microsoft.Vbe.Interop.Forms.dll 版本 11.0.0.0
在此更新中,适用于 Outlook 的 MIM 加载项包含缺少的 Outlook 互操作二进制文件的副本。
Self-Service 密码重置
问题 1
尝试通过 Self-Service 密码重置来重置密码时,如果要重置密码的用户对象的可分辨名称包含正斜杠字符,则密码重置操作将失败。 在此更新中,可分辨名称中的特殊字符不再阻止 Self-Service 密码重置在 Active Directory 中重置用户的密码。
问题 2
Self-Service 密码重置语言包包含一些句子,这些句子在“问答门”的“问答”对话框中未正确本地化。 在此更新中,句子在显示中正确本地化。
证书管理
问题 1
通过 MIM CM 新式应用续订虚拟智能卡时,用户会收到禁止异常。 如果自定义 REST API 解决方案尝试续订虚拟智能卡,也会出现此问题。 在此更新中,问题已得到更正。
问题 2
重置智能卡 PIN 工具失败,并返回以下错误消息:
“CLM 在尝试更改智能卡 PIN 时遇到错误。 参数数错误或属性分配无效。”
在此更新中,此问题已得到更正。
问题 3
尝试将 MIM 证书颁发机构模块的更新从 4.4.1302.0 安装到高于 4.4.1459 的版本时,安装失败。
在此更新中,设置现在可以在此方案中成功完成。
问题 4
使用新式应用进行续订、注册和替换操作时,请求历史记录不包含通过 CertificateManagement 门户执行相同操作时记录的所有请求状态项 (例如“安装证书”) 。
在此更新中,请求的所有阶段现在都记录在请求历史记录中。
问题 5
MIM 证书管理 (CM) Online Update 未完成,并返回“记录已被其他用户更新或删除”异常。 这是因为联机更新多次尝试删除同一证书。
在此更新中,CM 联机更新不再遇到此问题。
问题 6
使用证书管理门户中的“下载证书”链接为用户下载证书时,证书下载 (.cer 文件) 太大,不包含“开始证书”和“结束证书”行。
在此更新中,此操作会按预期下载证书。
问题 7
Microsoft.Clm.Config 代码中不会引发错误,从而掩盖了许多可能的问题。
异常处理代码已更新,以改进 MIM 证书管理中的错误报告。
证书管理批量客户端
在此更新中,MIM 证书管理批量客户端适用于 TLS 1.1 和 TLS 1.2。
参考
Microsoft Identity Manager发布历史记录
了解 Microsoft 用于描述软件更新的术语。
本文中提到的第三方产品由 Microsoft 以外的其他公司提供。 对于这些产品的性能或可靠性,Microsoft 不做任何暗示保证或其他形式的保证。