Forefront Identity Manager 2010 (4.0.3594.2) 修补程序汇总包

安装信息

• 如果升级任何 FIM 服务器组件，还必须升级以下服务器组件：

  • FIM 证书 (CM) (CA) 组件与 FIM CM 服务器相同。

  • FIM 服务与 FIM 同步服务的版本相同。

• 若要避免批量客户端故障，还必须在升级 FIM 2010 CM 批量客户端时将 FIM CM 服务器和 FIM CA 服务器模块升级到同一版本。

先决条件

若要应用此修补程序汇总，必须安装 Microsoft Forefront Identity Manager (FIM) 2010。

重启信息

应用加载项和扩展修补程序汇总包后，必须重启计算机。 此外，可能必须重启服务器组件。

注册表信息

若要使用此修补程序汇总中的修补程序之一，必须更改注册表。 有关详细信息，请参阅"详细信息"部分。

替换信息

此修补程序汇总包替换以下修补程序汇总包：

2502631 Forefront Identity Manager 2010 2417774 修补程序汇总包 (内部版本 4.0.3576.2) 适用于修补程序汇总包

() 适用于 Forefront Identity Manager 2010
2272389内部版本 4.0.3573.2 (修补程序汇总包 4.00 Forefront Identity Manager 2010 2028634) .3558.02 (内部版本

4.0.3547.2 提供修补程序汇总包) Microsoft Forefront Identity Manager (FIM) 2010
978864 Update Package 1 for Microsoft Forefront Identity Manager (FIM) 2010 提供

文件信息

此修补程序汇总的全局版本将安装具有下表中列出的属性的文件。 这些文件的日期和时间使用协调世界时 (UTC) 列出。 这些文件在本地计算机上显示的日期和时间是本地时间再加上当前夏令时 (DST) 偏差。 此外，如果对这些文件执行某些操作，日期和时间可能会更改。

问题 1

假设在 FIM 服务器中启用SQL池功能Microsoft SQL Server访问数据库的操作。 例如，运行查询或请求。 如果操作由于任何原因而失败，则同一线程上的未来操作可能会失败，直到该线程从SQL池中删除。 FIM 服务应用程序事件日志、请求的 RequestStatusDetails 属性或工作流实例的 WorkflowStatusDetails 属性中会显示如下所示的错误消息：

此外，时间戳与操作失败的时间相同。

问题 1

ExpectedRulesEntry (ERE) 对象关联到 Metaverse 对象的子同步规则。 如果 ERE 对象具有"删除"操作，则也会触发对象的取消预配。 然后，该行为会导致删除 Metaverse 对象。

问题 2

修复了自定义扩展调用 COM+ 对象时的访问冲突。

问题 3

早期版本的修补程序引入了特殊的可扩展连接管理代理 (ECMA) 模式，以在托管中保留未确认的导出，而不是等待确认。 该修补程序的问题会导致增量同步将未与托管导出合并的项添加到挂起的导出中。 安装本文中提到的修补程序后，如果 ECMAAlwaysExportUnconfirmed 注册表项设置为 1，则合并托管更改和挂起的更改。

问题 4

修复了SQL期间发生的查询构造问题。 此问题影响使用非 Unicode 字符集的 DB2 数据库。

问题 5

修复了许多"导出未重新导入"错误，这些错误可能是由于错误SQL。

问题 6

提高所有同步引擎操作的性能。

请注意，此更改涉及广泛升级到同步数据库。 此升级可能需要很长时间，具体取决于硬件。 数据库升级期间会显示进度栏。

问题 7

当用户在管理员组中但不是管理员时，使用 ADMAEnforcePasswordPolicy 注册表设置的密码重置会失败。

功能 1

添加一个选项，让 FIM 2010 在密码设置操作期间将服务器上当前时间导出到 HTTPPasswordChangeDate 字段。 时间戳存储为 TimeDate 数据类型。

若要启用此行为，将以下注册表子项设置为非零 DWORD 值：

SYSTEM\CurrentControlSet\Services\FIMSynchronizationService\Parameters\NotesMAExportPwdTimestamp

功能 2

导出密码时，FIM 2010 Active Directory 管理 (AD MA) 不优先使用域控制器列表。 对于需要更改密码才能流向一组特定域控制器的客户，这是一个问题。 此修补程序汇总包将 AD MA 更改为首先使用首选的域控制器列表。 如果首选的域控制器列表不存在，域控制器定位器服务将标识用于密码导出操作的域控制器。 此外，仍可以通过设置以下注册表子项来强制密码操作使用主域控制器：

子项
：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\FIMSynchronizationService\Parameters\PerMAInstance\<MA_name>

值
：ADMAUsePDCForPasswordOperations (REG_DWORD，1 = True，0 = False) 此修补程序汇总包还会更新
AD MA，因此不需要与已配置的 Active Directory 林建立信任关系来将密码导出到该林。

功能 3

添加了在将对象导入 AD MA 连接器空间之前筛选对象的能力。

问题 1

修复了有时会导致错误集计算的问题。 这导致大量设置更正。 此外，还修改了"设置更正"作业，以便它不会更改由另一个系统维护作业维护的特殊集。

问题 2

修改了 FIM 的"查询和设置"功能，以正确将百分号、下划线和方括号视为文本，而不是SQL通配符。



FIM 属性值中使用的字符串的已批准字符集在 FIM 服务的属性和绑定架构中定义。 以下"FIM XPath 筛选器方言"一文在 MSDN 上记录了用于表示 XPath 筛选器的语法：

http://msdn.microsoft.com/en-us/library/ee652287.aspx某些客户可能在 FIM 搜索SQL设置筛选器中将字符定义为查询通配符，例如百分比字符。 在这种情况下，客户预期 FIM 将字符视为SQL通配符。 这不是产品记录或支持的功能。 在某些情况下，客户可能能够通过删除通配符并改为使用"contains"查询/筛选器来实现预期功能。



具有包含通配符的筛选器的现有 set 资源SQL应用此修补程序之前，这些筛选器可能无法继续正常运行。 此外，如果管理员稍后更新筛选器定义，则包含通配符且在应用修补程序后继续按预期方式正常运行的筛选器可能具有不同的功能。

使用定义为查询通配符SQL字符的客户必须在升级到此修补程序之前或之后检查和修订其集筛选器。 客户应考虑设置成员身份更改对设置转换 MPR 的影响。 此外，客户可能想要在更改其 Set 筛选器时暂时禁用 MPR 或更新工作流定义，以避免在设置定义维护期间无意中触发预配或取消预配操作。

问题 1

在服务器密钥生成函数中启用随机数生成器。

问题 2

在注册以前未与 FIM 证书管理一起使用的智能卡时， (CM) 。

问题 1

修复了同步规则和无代码预配的 FIM 同步服务配置未正确写入 FIM 服务数据库的问题。

问题 1

修复了SQL Server并发性高期间可能会发生的死锁问题。

问题 2

修复了 FIM 服务数据库中的意外数据可能导致 FIM MA 导致同步服务在导入期间失败以及发生停止服务器错误的问题。

问题 3

修复了添加或删除多值字符串属性的值时的问题。 如果请求受授权（如请求重新评估）控制，则请求在批准后会失败。

问题 4

一段时间后，FIM 2010 中的某些 ExpectedRuleEntry 对象和 DetectedRuleEntry 对象可能会"孤立"。 如果系统中任何对象的 DetectedRulesList 中未引用 DetectedRuleEntry 对象，则确定该对象为孤立对象。 同样，当 ExpectedRuleEntry 对象未在系统的任何对象的 ExpectedRulesList 中引用时，该对象也将被确定为孤立对象。

这些孤立对象对 FIM 没有功能影响。 但是，随着时间的推移，这些孤立对象可能会导致与 FIM 相关的 FIM 操作和同步操作（例如使用 FIM MA 导入或导出）的性能降低。

一个修剪存储过程，[debug]。[DeleteOrphanedRulesByType]已添加到 FimService 数据库的 [debug] 命名空间。 必须针对 DetectedRuleEntry 对象和 ExpectedRuleEntry 对象单独运行此存储过程。 存储过程还具有"reportOnly"模式，此模式可用于确定系统中是否存在孤立的 DetectedRuleEntry 和 ExpectedRuleEntry 对象以及这些对象的数量。

@ruleType参数需要以下已知值之一：

• DetectedRuleEntry 对象的 N'Detected'

• ExpectedRuleEntry 对象的 N'Expected'

若要确定系统中孤立对象的数量，请以"reportOnly"模式运行存储过程，如下所示。

    DECLARE
       @deletedRulesFound  BIT;
        EXEC [debug].[DeleteOrphanedRulesByType] @ruleType=N'CHANGE_ME', @reportOnly=1, @deletedRulesFound=@deletedRulesFound OUTPUT;

若要循环访问并实际删除系统中孤立的对象，请运行存储过程，如下所示。 @deletionLimit=1000 指示该过程在删除 1，000 个对象时停止。 如果系统中有 1，000 多个孤立对象，请根据建议 (多次运行该过程) 或增大 deletionLimit 值。

    DECLARE 
       @deletedRulesFound  BIT,
       @startDateTime      DATETIME,
       @endDateTime        DATETIME;
    SELECT @deletedRulesFound = -1;         
    WHILE @deletedRulesFound <> 0
    BEGIN
        SELECT @startDateTime  = CURRENT_TIMESTAMP;
        EXEC [debug].[DeleteOrphanedRulesByType] @ruleType=N'CHANGE_ME', @deletionLimit=1000, @reportOnly=0, @deletedRulesFound=@deletedRulesFound OUTPUT;
        SELECT @endDateTime    = CURRENT_TIMESTAMP;
        SELECT @startDateTime AS [StartTime], @endDateTime AS [EndTime], @deletedRulesFound AS [WereDeletedRulesFound];
    END