(内部版本 4.4.1459.0) 的修补程序汇总包可用于 Microsoft Identity Manager 2016 Service Pack 1

同步服务

安装此更新后，基于可扩展 MA (ECMA1 或 ECMA 2.0) 的规则扩展和自定义管理代理 (MA) 可能无法运行，并且可能会产生“stopped-extension-dll-load”的运行状态。 在更改以下其中一个进程的配置文件 (.config) 后运行此类规则扩展名或自定义 MAS 时，会出现此问题：

• MIIServer.exe

• Mmsscrpt.exe

• Dllhost.exe

例如，编辑MIIServer.exe.config文件以更改用于处理 FIM 服务 MA 的同步条目的默认批大小。

在这种情况下，此更新的同步引擎安装程序有意避免替换配置文件，以避免删除以前的更改。 由于未替换配置文件，因此此更新所需的条目不会存在于文件中，并且当引擎运行完全导入或增量同步运行配置文件时，同步引擎将不会加载任何规则扩展 DLL。

若要解决此问题，请按照下列步骤操作：

1. 创建MIIServer.exe.config文件的备份副本。

2. 在文本编辑器（如记事本）或 Microsoft Visual Studio 中打开 MIIServer.exe.config 文件。

3. 在MIIServer.exe.config文件中查找<运行时>部分， 然后将<dependentAssembly> 部分的内容替换为以下内容：<dependentAssembly> <assemblyIdentity name=“Microsoft.MetadirectoryServicesEx” publicKeyToken=“31bf3856ad36 4e35” /> <bindingRedirect oldVersion=“3.3.0.0-4.1.3.0” newVersion=“4.1.4.0” /> </dependentAssembly>

4. 将更改保存到此文件。

5. 在同一目录下查找 Mmsscrpt.exe.config 文件，在父目录下查找 Dllhost.exe.config。 对这两个文件重复步骤 1 到 4。

6. 重启 Forefront Identity Manager 同步服务 (FIMSynchronizationService)。

7. 确认规则扩展和自定义管理代理现在按预期运行。

MIM 服务

问题 1

自定义客户端请求 AuthN 令牌后，身份验证工作流失败，出现“信号灯超时期已过期”。

安装更新后，请求将按预期完成，有关通信错误的明确消息将引发到事件日志中。

问题 2

在负载过重的情况下，当两个 MIM 服务实例尝试同时处理同一工作流时，可能会出现争用情况。 这可能会导致工作流处理失败。

安装此更新后，此问题将不再发生。

问题 3

如果设置条件包含子条件，则设置分区可能不起作用。 安装此更新后，设置分区可正常工作。

问题 4

随着时间的推移，某些处理数据会累积到 MIM 服务数据库中，这可能会导致性能问题。 当许多对象 ID 保留在 FIM 中时，这会导致问题 。对象 表。 SQL Server 代理作业通过收集所有请求和任何对象引用来运行存储过程FIM_DeleteExpiredSystemObjectsJob并删除过期的系统对象，并将其对象 ID 放入 ExpiredObjectKeys 表中。

接下来， 将删除 ObjectValue* 表中 ExpiredObjectKeys 表中每个 ID 号的所有值。 最后，如果 ObjectValue* 表中的值确实已全部删除，则 ExpiredObjectKeys 表中的匹配行也会被删除。 但是，永远不会从 fim 中删除对象 ID 本身 。对象 表。

安装更新后，将添加调试命名空间中的新存储过程来清理这些对象的数据库。

• 存储过程名称：调试。DeleteObjectRemainders

• 语法：exec 调试。DeleteObjectRemainders

问题 5

MIM SP1 干净安装后，MIM 报告或 MIM 服务分区可能无法正常工作。 安装此更新后，将安装 MIM 服务报告和分区并正常运行。

问题 6

如果 FIMService 数据库兼容级别设置为 120，则可能会发生 SQL 死锁。 安装此更新后，这些死锁将不再发生。

改进 1

现在可以启用 MIM 服务中的详细跟踪日志记录，而无需强制重启服务。

将一个新部分添加到Microsoft.ResourceManagement.Service.exe.config文件以支持此功能。 安装此更新后，现在会显示此新部分。

<dynamicLogging mode="true" loggingLevel="Critical" />

日志记录可以设置为关键和详细之间的任何级别。

两个输出文件将写入 MIM 服务的安装文件夹。 MIM 服务帐户必须拥有对此文件夹的写入权限。

文件夹位置：

%programfiles%\Microsoft Forefront Identity Manager\2010\Service

写入的文件：

• Microsoft.ResourceManagement.Service_tracelog.svclog

• Microsoft.ResourceManagement.Service_tracelog.txt

改进 2

为 MIM 服务报告添加了对 System Center 2016 Service Manager和Data Warehouse的支持。

在此更新之前，MIM 报告无法使用 System Center 2016 Service Manager控制台进行安装和执行。

安装此更新后，可以安装和执行 MIM 报告，而无需为任何受支持的 SCSM 版本预安装 SCSM 控制台。

同步服务

问题 1

如果 FIM 服务管理代理导出对象删除，但未收到删除的确认，则可以在 FIMService 中部分重新创建同一对象。

安装此更新后，导出运行的错误列表中将显示错误，并且不会发生重新创建。

问题 2

当对象的 DN 也是定位点时，无法重命名它。 相反，你会收到以下异常：

安装此更新后，将按预期处理重命名。

问题 3

加密密钥管理密钥 (miiskmu.exe) 工具可能不会因为数据库锁导致的超时而放弃密钥。

安装此更新后，将处理密钥，而不会遇到超时。

问题 4

运行同步配置文件步骤时，会遇到定期性能问题。

修复了 mms_getprojected_csrefguids_noorder 存储过程，以帮助提高性能。

问题 5

在某些情况下，即使不应应用基于筛选器的同步规则，也会应用这些规则。

安装此更新后，仅在应应用同步规则时才应用该规则。

问题 6

在导出通用 LDAP 连接器时，如果已配置审核日志文件的创建，导出运行配置文件将停止，而不会发布 BAIL 错误。

安装此更新后，启用审核日志文件创建选项时，导出运行配置文件步骤将在泛型 LDAP 连接器上正常运行。

MIM 密码重置门户

问题 1

使用短信身份验证门重置密码时，会向用户显示错误消息：

安装此更新后，会从该对话框中删除错误的字符串“呼叫已验证：”。

MIM Identity Management 门户

问题 1

将用户拖放到“删除”框中以删除或删除组成员身份的成员在所有情况下都不起作用。

安装此修补程序后，用户可以在管理手动组成员身份时将用户拖放到“删除”框中。

问题 2

英语 (澳大利亚) 忽略本地日期/时间设置。

安装此更新后，将应用本地日期/时间格式设置。

问题 3

如果资源控制显示配置 (RCDC) 中有自定义事件参数，则不会初始化自定义控件。

安装此修补程序后，自定义控件将按预期初始化。

问题 4

资源控制显示配置中的错误处理有时不明确。

在此更新中，将自定义错误通知，以便更清楚地描述错误。

问题 5

在标识管理门户中使用自定义对象的复制链接时，该对象不会按预期显示。

安装此更新后，自定义对象将按预期从复制的链接中显示。

问题 6

在卸载或更新期间尝试在 SharePoint 2016 上安装标识管理门户时，不会安装门户。 此外，还收到以下异常：

安装此更新后，安装程序将重启 SharePoint 计时器服务以重试失败的 SharePoint 作业，因此安装程序现在可以完成。

问题 7

审批视图 RCDC 具有错误的符号并显示错误。

安装此修补程序后，审批视图 RCDC 将按预期显示，并且不会引发异常。

问题 8

如果自定义组对象无法正常工作，则成员身份按钮。

安装此修补程序后，组成员身份按钮按预期工作。

问题 9

使用 Firefox 浏览器查看 MIM 标识管理门户时，对象列表视图（如用户和通讯组）无法正确显示。

安装此更新后，使用 Firefox 浏览器时，对象列表视图将按预期显示。

问题 10

使用 Internet Explorer 浏览器查看 MIM 标识管理门户时，对象列表视图标题可能不会在列中左对齐。

安装此更新后，对象列表视图标题将按预期显示左对齐。

问题 11

在 SharePoint 2016 中运行 MIM 门户时，“加入”、“离开”、“添加成员”和“删除成员”按钮在自定义组对象类型上无法按预期工作。

安装此更新后，这些按钮可按预期方式针对自定义组对象类型运行。

改进 1

为了解决无法设置组范围的默认值这一事实，已将两个可选属性添加到 UoCDropDownList 和 UocRadioButtonList。

• DefaultValue

• 条件

DefaultValue： 这是一个可选属性。 如果控件用于创建新数据，请使用此属性为控件定义默认值。

例如：

   <my:Control my:Name="My UocDropDownList" my:TypeName="UocDropDownList"
        …
         <my:Properties>
          ...
           <my:Property my:Name="DefaultValue" my:Value="MyDefault" />

条件： 条件是属性中的可选属性，用于在应用属性时指定条件。 该控件可以具有多个使用相同名称但条件不一致的属性。

条件的语法如下所示：

my:Condition="[left part] [condition] [right part]"

注意

• [左部件] 具有以下选项：

  • 绑定源和路径

  • 简单值

• [condition] 具有以下选项：

  • ==

  • !=

• [右部件] 具有以下选项：

  • 绑定源和路径

  • 简单值

为不同类型的组创建不同默认值的示例：

<my:Control my:Name="My UocDropDownList" my:TypeName="UocDropDownList"
        …
         <my:Properties>
          ...
           <my:Property my:Name="DefaultValue" my:Value=" MyDefautltForDistributionGroups" my:Condition="{Binding Source=object, Path=Type} == Distribution" />
          <my:Property my:Name="DefaultValue" my:Value=" MyDefautltForSecurityGroups " my:Condition="{Binding Source=object, Path=Type} == Security" />

改进 2

通过门户创建的所有活动类型的名称是 AuthenticationGateActivity。 安装此更新后，创建的所有新 ActivityType 对象将根据类型具有以下活动名称值：

• 身份验证：authenticationActivity1... authenticationActivityN

• 授权：authorizationActivity1... authorizationActivityN

• 操作：actionActivity1... actionActivityN

改进 3

请求者或审批者无法在创建请求或批准/拒绝挂起的请求时提供理由。

通过此更新，会将一个理由字段添加到 “创建请求 ”视图中，并且可以使用新的理由请求/工作流数据。 添加了以下属性 [//Request/Justification] 和 [//WorkflowData/Reason] 参数。

证书管理

问题 1

注册虚拟智能卡时，输入小于 8 个字符的引脚将返回误导性错误。

安装此更新后，将向用户返回相关错误。

问题 2

续订智能卡时，用户可能会陷入无限续订循环。

以下步骤将导致此问题：

1. 当前智能卡配置文件输入续订窗口：

   • 用户从 FIM CM 服务收到一封电子邮件，要求他完成续订请求

2. 用户成功执行续订请求并检索续订的所有证书。

3. 几个小时后，用户从 FIM CM 服务收到第二封电子邮件。

   • 由于配置文件已续订，因此预计不会执行此操作。

4. 如果用户执行 FIM CM 服务创建的所有请求，则会以无限续订循环结束。

安装此更新后，只会创建正确的请求，并且没有无限循环。

问题 3

如果在 MIM 证书管理使用的证书颁发机构上禁用了增量 CRL，则 MIM CM 将引发异常ERROR_FILE_NOT_FOUND。

安装此更新后，不会引发异常。

问题 4

使用虚拟卡时，MIM CM 不支持 NonAdmin 模式。 虚拟智能卡只能由 MIM CM 客户端在注册期间创建。 创建虚拟智能卡还需要具有本地管理员权限。 因此，只有本地管理员才能通过 MIM CM 门户注册新的虚拟智能卡。

安装此修补程序后，新的注册表项会将 MIM CM 客户端配置为在非管理员模式下运行。 请注意，必须预先创建虚拟智能卡，然后用户才能在非管理员模式设置下注册其虚拟智能卡。

若要启用 NonAdmin 模式，请在客户端计算机上的以下注册表项下更改或创建 DWORD 值 NonAdmin=1 ：

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\CLM\v1.0\SmartCardClient

问题 5

使用 MIM CM REST API 将智能卡状态更改为“已禁用”时，将返回错误 501 (未实现) 。

安装此更新后，此相同的代码将成功禁用智能卡。

PUT …/api/v1.0/requests/{reqID}/smartcards/{smartcardID}
{
   “status” : “Disabled”
}

有关详细信息，请参阅 Microsoft 网站上的 “更新智能卡状态” 主题。

问题 6

MIM CM Server 版本 4.3.1999.0 或更高版本 (直到当前修补程序) 无法使用较旧版本的 CM 客户端 (FIM 2010R2 和 MIM) 。

安装此更新后，MIM CM Server 将使用较旧的 MIM 和 FIM 2010R2 CM 客户端 (FIM 2010R2 客户端版本 4.1.3508.0 及更高版本) 测试。

问题 7

无法使用来自 MIM CM REST API 的以下调用创建“OfflineUnblock”请求：

https://learn.microsoft.com/en-us/microsoft-identity-manager/reference/create-request

安装此更新后，此相同的代码将成功提交 OfflineUnblock 请求。

问题 8

使用 MIM CM REST API 的以下调用创建“禁用” (或任何其他类型) 请求时，不可能使用智能卡 ID 作为参数：

https://learn.microsoft.com/en-us/microsoft-identity-manager/reference/create-request

 只有“配置文件”参数可用。

例如：

POST api/v1.0/requests
    {
        "target":"e5008CDD9E614F9BBEDC45EEEE6776F0",
        "comment":"any comment",
        "type":"Disable",
        "profiletemplateuuid":"7860DEBB-771D-464E-AAC5-2F093282CE66",
        "datacollection":[],
        "priority":"1",
        "smartcard":"49BFE09C-5590-4CC4-8A21-FB4289F4F6C8"  
     }

安装此更新后，可以使用智能卡 ID 作为参数。

请注意，智能卡 ID 与智能卡序列号不同。 智能卡 ID 由 MIM CM 为每个活动智能卡创建。

问题 9

MIM CM 客户端跟踪不会记录日期时间。 安装此更新后，日期时间数据将包含在客户端跟踪日志中。

问题 10

在现有虚拟智能卡模式对话框中取消用户可能会导致错误消息未使用且令人困惑，而不只是取消操作。

安装此更新后，操作将取消用户。

问题 11

在注册表中设置 NonAdmin 选项时，停用流将停止响应 TPM 虚拟智能卡。

问题 12

替换 策略下的重复吊销设置不适用于重复配置文件。 安装此更新后，流按预期工作。 吊销延迟已成功复制到重复配置文件。

问题 13

MIM 证书管理不会记录 Web 服务异常数据。 安装此更新后，CM 现在会记录所有 Web 服务异常数据。

改进 1

在此更新之前，MIM CM 新式应用中 PIN 规则的唯一选项是 MinimumPinLength。

安装此更新后，现可使用以下验证设置：

• 数字

• 小写字母

• MaxLength

• MinLength

• SpecialCharacte3rs

• UppercaseCharacters

适用于 Outlook 的 MIM 加载项

问题 1

例如，应用 MIM SP1 MSP 更新 (4.4.1302.0 内部版本) 后，32 位 MIM 外接程序 dll (OfficeintegrationShim2010.dll) 是无符号的。

在此更新中，所有文件均按预期签名。