摘要
組建 4.5.412.0) 組建 (hotfix 匯總套件適用于 Microsoft Identity Manager (MIM) 2016 Service Pack 1 (SP1) 。 此匯總套件可解決一些問題,並新增一些改進,詳情請參閱一節中所述。
其他相關資訊
此更新的已知問題
群組管理問題
當您開啟未在 MIM 入口網站中填入未顯示擁有者的群組時,會出現快顯視窗,而您會收到下列錯誤訊息:
請在上述擁有者之間選取顯示的擁有者。
關閉快顯視窗後,視窗會在 [ 載入 ] 狀態凍結,而且您無法再管理群組。
同步化服務
安裝此更新之後,根據可擴展 MA (ECMA1 或 ECMA 2.0) 而 (MAs) 的規則延伸模組和自訂管理代理程式可能無法執行,並可能導致執行狀態為「stopped-extension-dll-load」。 當您針對下列其中一個處理常式變更組態檔 (.config) 之後,執行這類規則延伸模組或自訂 MAs 時,就會發生此問題:
-
MIIServer.exe
-
Mmsscrpt.exe
-
Dllhost.exe
例如,您編輯 MIIServer.exe.config 檔案,以變更 Forefront Identity Manager (FIM) Service MA 用來處理同步化項目的預設批次大小。 在這個情形中,此更新的同步作業引擎安裝程式不會取代設定檔,以免刪除您先前的變更。 這是因為若未取代組態檔,則此更新所需的專案並不存在於檔案中。 因此,當同步作業引擎執行「完整匯入」或「差異同步」執行設定檔時,引擎不會載入任何規則延伸 DLL。
若要修正這個問題,請依照下列步驟執行:
-
備份 MIIServer.exe.config 檔案。
-
在文字編輯器或 Microsoft Visual Studio 中開 啟MIIServer.exe.config 檔案。
-
找出 MIIServer.exe.config 檔案中的 <runtime> 區段,然後以下列內容取代 <dependentAssembly> 區段的內容:
<從屬自變>
<assemblyIdentity name="Microsoft.MetadirectoryServicesEx" publicKeyToken="31bf3856ad364e35" />
<bindingRedirect oldVersion="3.3.0.0-4.1.3.0" newVersion="4.1.4.0" />
</dependentAssembly>
-
將變更儲存到檔案。
-
在同一個資料夾中尋找 Mmsscrpt.exe.config 檔案,並在上層資料夾中尋找 Dllhost.exe.config。 針對這些檔案重複步驟 1 到 4。
-
重新啟動 Forefront Identity Manager Synchronization 服務 (FIMSynchronizationService)。
-
確認規則延伸和自訂管理代理程式現在能如預期般運作。
服務組態檔更新
安裝 MIM Service Hotfix 之後,會覆寫具有 .NET 重新導向的 Microsoft.Resourcemanagement.Service.exe.config 檔案區段。 非 MIM .dll 專案必須手動重新新增。 例如,MIM WAL 文件庫重新導向會遺失。
SSPR SMS 閘道與 Azure MFA Server
驗證工作流程中的 MIM SSPR OTP SMS 閘道設定 (OTP Token 長度和訊息文字) 被 Azure MFA 內部部署伺服器忽略。 伺服器的硬編碼 OTP 權杖長度為 6。 如果 OTP Token 長度不是 6,工作流程會失敗。 若要以使用者慣用的語言傳送訊息文字,您可以在 Azure MFA 伺服器中為使用者建立設定檔,並在 MIM 之外更新。
Internet Explorer 支援
在此更新中,MIM 入口網站已更新為使用最新的 jQuery 文件庫。
附註如果您使用的 Internet Explorer 版本早于版本 11,則快顯視窗可能無法如預期般在 MIM 入口網站中運作。
重要: 安裝此更新之後,清除瀏覽器快取以強制重載快取的 JS 文件庫。
服務與入口網站設定
您必須先安裝 2013 x64 C++ 可轉散發套件套件 (Vcresist_x64.exe) ,才能執行 MIM 服務和入口網站設定。
相關聯的錯誤訊息:
Windows Installer 套件發生問題。 無法執行此安裝所需的 DLL。 請連絡您的支援人員或包裹廠商。
解析度:
從下列 Windows 下載中心連結下載C++ 可轉散發套件套件 (Vsresist_x64.exe) 。
身分識別管理入口網站
安裝此更新之後,在 Internet Explorer 中入口網站可能不會如預期般顯示。 若要修正這個問題,請依照下列步驟執行:
-
關閉所有 Internet Explorer 執行個體。
-
在 主控台 中開啟 [網際網路選項] 專案。
-
刪除所有流覽歷程記錄和快取的檔案。
如果此問題持續發生,請確定 Internet Explorer 版本為 11 或更新版本。 如果您執行的版本早于 11,則與版本 11 中顯示的入口網站相比,可能會有顯示不一致之處。
4.5.412.0 更新:
jQuery 文件庫已更新為 MIM hotfix 組建 4.5.412.0 中的最新版本。 MIM 入口網站不再支援 Internet Explorer 版本 8 到 10。 如果您使用的是 Internet Explorer,建議您更新至版本 11,以便與 MIM 入口網站搭配使用。
同步處理規則更新問題
在 MIM 組建 4.5.286.0 和 4.5.412.0 (此更新) ,設定為使用範圍篩選的輸出同步處理規則可能會在 MIM 服務管理代理程式實例變更之後發生問題。
徵狀:
執行同步處理時,會傳回「sync-rule-validation-parsing-error」同步處理錯誤訊息。
重現問題的步驟:
-
在 [同步處理] Service Manager (MIISClient.exe) 中,變更 MIM 服務管理代理程式實例的設定。
注意這可以是任何類型的變更:屬性流程規則、篩選規則、連線設定等等。 -
執行 Delta 匯入,然後在 MIM 服務管理代理程式上執行 Delta 同步處理。
結果:
無論先前設定的屬性值為何,範圍篩選型同步處理規則都會更新,以將所有布林值設為 False。 這會導致傳回 sync-rule-validation-parsing-errorsing 例外狀況。
解決 方案:
若要在變更 MIM 服務管理代理程式設定之後解決此問題,請在 MIM 服務管理代理程式上執行完整匯入 (階段) 執行設定檔。
更新資訊
Microsoft 下載中心
您可以從「Microsoft 下載中心」取得支援的更新。 我們建議所有客戶將此更新套用到實際執行系統。
先決條件
若要套用此更新,您必須安裝以下內容:
-
您必須先安裝 2013 x64 C++ 可轉散發套件套件 (vsresist_x64.exe) (,才能執行 MIM 服務和入口網站安裝)
-
Microsoft Identity Manager 2016 組建4.4.1302.0
-
.NET Framework 4.6 適用于下列元件:
-
MIM 服務
-
MIM 入口網站 (身分識別管理、密碼重設、密碼註冊)
-
MIM PAM
-
MIM 增益集和擴充功能
-
重新啟動需求
套用增益集和擴充功能套件 (Mimaddinsextensions_x (64/86) _kb4489646.msp) 之後,您必須重新開機電腦。 此外,您可能也必須重新啟動伺服器元件。
取代資訊
這是針對 Microsoft Identity Manager 2016 從4.4.1302.0到組建4.5.286.0的所有 MIM 2016 SP1 更新的累積更新。
檔案資訊
此更新的全域版本具有下列表格中所列的檔案屬性 (或更新檔案屬性)。 這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。 當您檢視檔案資訊時,它會轉換成當地時間。 若要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 項目的 [時區] 索引標籤。
|
檔案名稱 |
檔案版本 |
檔案大小 |
日期 |
Time |
|---|---|---|---|---|
|
Mimaddinsextensions_x64_kb4489646.msp |
不適用 |
7,589,888 |
2019 年 5 月 10 日 |
01:38 |
|
Mimaddinsextensions_x86_kb4489646.msp |
不適用 |
3,272,704 |
2019 年 5 月 10 日 |
01:38 |
|
Mimcmbulkclient_x86_kb4489646.msp |
不適用 |
11,550,720 |
2019 年 5 月 10 日 |
01:38 |
|
Mimcmclient_x64_kb4489646.msp |
不適用 |
7,581,696 |
2019 年 5 月 10 日 |
01:38 |
|
Mimcmclient_x86_kb4489646.msp |
不適用 |
7,196,672 |
2019 年 5 月 10 日 |
01:38 |
|
Mimcm_x64_kb4489646.msp |
不適用 |
14,102,528 |
2019 年 5 月 10 日 |
01:38 |
|
Mimservice_x64_kb4489646.msp |
不適用 |
38,031,360 |
2019 年 5 月 10 日 |
01:40 |
|
Mimsyncservice_x64_kb4489646.msp |
不適用 |
22,515,712 |
2019 年 5 月 10 日 |
01:39 |
已修正此更新中新增的問題和改良功能
服務和入口網站
MIM 服務
改進 1
TLS 1.2 支援已新增至 MIM 服務和入口網站安裝程式。 如果 TLS 1.2 是唯一啟用的通訊協定 *,將會安裝此更新。 安裝此更新之後,只要只安裝 TLS 1.2 且已安裝 SQL OLE DB 驅動程式,MIM 服務和入口網站的變更模式設定將會成功。
* 必須安裝適用于 SQL Server 的 Microsoft OLE DB 驅動程式 18:
HTTPs://www.microsoft.com/en-us/download/details.aspx?id=56730
問題 1
根據預設,MIM 服務中的動態記錄會記錄太多資料。 安裝此更新之後,Microsoft.ResourceManagement.Service.exe.config 檔案中的預設記錄 (所有切換) 層級設定為 [警告]。
問題 2
當您在 MIM 服務管理代理程式上執行匯出時,如果管理代理程式在匯出完成之前停止,MIM 服務會繼續處理放在匯出 SQL Broker 佇列中的變更。
安裝此更新之後,如果 MIM 服務管理代理程式在完成之前停止,MIM 服務會停止處理保留在 SQL Broker 佇列中的匯出變更。
重要: 這僅適用于非同步匯出作業。 同步處理匯出作業不存在此問題。
問題 3
在某些情況下,如果已拒絕相關要求,MIM 服務不會迴圈終止工作流程實例。
在 Forefront Identity Manager 事件記錄檔中丟棄的例外狀況:
重新繪製錯誤 50000、層級 16、狀態 1、Procedure ReRaiseException、行 37、訊息:重新繪製錯誤 50000、層級 16、State 1、Procedure DoUpdateRequest、行 255、訊息:RequestSqlOperationException:RequestKey 13808 不允許此作業,因為它已經處於最終狀態。
EXECUTE 後的交易計數表示 BEGIN 和 COMMIT 語句的不相符數目。 上一個計數 = 1,目前的計數 = 0。
安裝此更新之後,這個問題不再發生。
問題 4
在 MIM 組建 4.5.26.0 和更新版本的組建上,如果您嘗試刪除 MIM 服務架構中系結系結布林值至資源類型的系結,刪除要求會失敗。
安裝此更新之後,可以刪除系結。
問題 5
嘗試在命令提示字元以安靜模式執行變更模式安裝來更新 MIM 服務的服務帳戶,但無法變更服務帳戶。
安裝此更新之後,此作業將會成功。
問題 6
當您處理提供理由和理由之要求的核准時,工作流程的電子郵件通知中無法包含理由或理由文字。
安裝此更新之後,您可以在通知電子郵件範本中使用下列屬性值:
-
[//要求/理由]
-
[//WorkflowData/Reason]
問題 7
從組建 4.5.286.0 開始,嘗試將屬性流程規則新增至 MIM 服務或入口網站中的同步處理規則可能會使屬性流程規則無法新增。 新增屬性流程的要求成功,但屬性流程並未實際儲存至物件。 這並非在所有情況下都會發生。
安裝此更新之後,這個問題不再發生。
許可權存取管理
問題 1
在下列案例中,使用者不會如預期從陰影主體群組中移除 PAM:
-
Active Directory 中 辨別 名稱中有逸出字元的使用者
-
從 Windows 2012 網域功能層級或更舊版本上執行之網域移轉的使用者
對於 Active Directory 中 辨別 名稱中有逸出字元的使用者,例如 CN 值中包含的逗號,PAM 不會在要求到期時將此使用者從 Shadow Principal Group 中移除。
安裝此更新之後,使用者會如預期從陰影主體群組移除。
問題 2
許可權存取管理 (PAM) 不會在提出擴充現有要求的要求時,更新成員的「可供居住時間」 (TTL) 陰影主體群組。
若要重現此問題:
-
透過範例入口網站或在 PowerShell 中執行new-pamrequest Cmdlet 來產生新的 PAM 要求。
-
嘗試透過範例入口網站或執行new-pamrequest來延長要求。
安裝此更新之後,當您提出延長現有要求的要求時,PAM 會更新成員的陰影主體群組 TTL。
問題 3
當您使用 REST API 來呼叫傳回 PAM 提升要求的歷程記錄資料時,如果建立 PAM 要求的 MIM 要求已過期並從資料庫中刪除,API 通話會傳回例外狀況。
執行 get-PAMRequest 以傳回相同的資料,傳回要求但不會發生錯誤,但也沒有 [要求狀態] 值。
例外的原因是 PAMRequest 狀態是直接從上層 MIM 要求狀態取得。 如果該 MIM 要求已從資料庫中刪除,則沒有要傳回的狀態。
安裝此更新之後,REST API 通話會傳回 PAM 要求資訊,而不會傳回 [要求狀態] 資料。
MIM 身分識別管理入口網站
改進 1
jQuery 文件庫已更新至 MIM 入口網站中的版本 3.3.1,以改善安全性 (請參閱GitHub 關於 jQuery) 的討論。
改進 2
MIM 服務架構已更新,為頁面自訂新增 PageTitle 屬性。 如果在ResourceType定義中填入PageTitle屬性,此值會顯示在 [自訂Objects.aspx] 頁面上。 請參閱下列螢幕擷取畫面中的範例。
組建 4.5.412.0 之前的 [連絡人物件] 頁面
![[連絡人物件] 頁面](https://support.content.office.net/zh-tw/media/a8136243-9fc1-1b55-da18-35bb3c01a9bc.png)
-
建立 MPR 以授與編輯頁面標題的許可權。
-
定義 ResourceType 物件上 [頁面標題] 的值。
-
在系統管理命令提示字元視窗中執行 IISReset。
若要查看產生的變更,請流覽至 MIM 入口網站,然後再次檢視 [連絡人] 頁面。
問題 1
當您在 [MIM 入口網站] 的 [工作流程] Designer中編輯工作流程活動屬性時,活動屬性中所做的每一項變更都會使頁面捲動到工作流程活動編輯檢視的頂端。
安裝此更新之後,這個問題不再發生。
問題 2
當您在資源控制項顯示設定中使用自訂 UocIdentityPicker 控制項 (RCDC) 自訂物件類型時,在自訂屬性的搜尋結果對話方塊中排序傳回的物件可能會導致發生下列情況:
-
傳回的物件數目會變更
-
傳回的物件無法依預期排序
安裝此 Hotfix 之後,雖然適用下列例外狀況,但不會發生此排序問題:
允許對兩個通用屬性進行排序的篩選,加上系結到此資源類型的屬性:
-
/ResourceType[部分條件]
-
/ResourceType
-
/Some hierarchy/ResourceType
-
/Some hierarchy/ResourceType[Some Condition]
範例:
-
/人
-
/Group[Type='Security]'
此特定修正程式不適用於類似下列範例的篩選:
-
[ResourceType='Group']
-
/Groups/Members
在定義篩選使其不涵蓋于此變更的情況下,MIM 支援目前僅 (系結至「資源」資源類型) 之通用屬性的排序行為。
問題 3
當您將使用者資訊貼到 UocIdentityPicker 控制項時,如果資訊的格式設定為標準 Outlook 電子郵件和名稱格式,則會傳回例外狀況。 例外狀況會標示不支援的文字字元。 如果您在例外視窗中按一下 [確定],則會從 UocIdentityPicker 控制項中清除該值。
Outlook 電子郵件格式範例:
Joe User <juser@contoso.com>
安裝此更新之後,UocIdentityPicker 控制項會成功剖析以此格式貼上的使用者名稱。
附註: 貼上格式化為上一個範例的值之後,如果您按 Ctrl+Z 復原貼上,就會傳回快顯視窗例外狀況。 這表示有不受支援的字元。 與其使用 Ctrl+Z 刪除值,請使用 Delete 或倒退鍵。
問題 4
從 MIM 組建 4.5.202.0 開始,當自訂 RCDC 控制項設定為具有當地語系化字串時,資源會以混合語言顯示。
範例:
自訂的 RCDC 使用德文語言 (當地 DE-DE 和 DE-CH,德國-瑞士) 。 升級到 4.5.202.0 之後,這些 RCDC 就無法再正確顯示。 相反地,它們會顯示英文和德文文字的混合。
安裝此更新之後,RCDC 會如預期般顯示。
憑證管理
問題 1
如果您使用 REST API 提交要求,嘗試在要求中設定資料收集專案會失敗。
安裝此更新之後,資料收集專案可根據要求設定為預期。
問題 2
當您使用 MIM CM REST API 註冊虛擬智慧卡,而且您使用自訂應用程式或 MIM CM Modern App 時,已註冊虛擬智慧卡的電腦主機名稱不會如預期般在 MIM CM 要求中註冊。
安裝此更新之後,系統會依預期將電腦主機名稱記錄在要求中。
問題 3
當您嘗試安裝 MIM CM 大量用戶端的 4.5.286.0 更新時,安裝失敗,並傳回下列例外狀況:
安裝程式發生非預期的錯誤。 錯誤碼為 2711。
此 Hotfix 更新已修正此問題。 MIM CM 大量用戶端現在將會成功更新。
問題 4
當您使用 MIM CM 大量用戶端查詢組建 4.5.26.0 中的要求時,要求的批註不會如預期般傳回。
安裝此更新之後,每個要求的批註會依預期傳回大量用戶端。
同步化服務
改進 1
Active Directory 網域服務管理代理程式現在支援探索和匯入 msDS-GroupManagedServiceAccount物件類型。
問題 1
在 MIM 組建 4.5.286.0 中,MIM 管理代理商匯出可能會傳回下列例外狀況:
錯誤原因:端點無法分派要求。\r\n\r\n錯誤詳細資料:<DispatchRequestFailures xmlns=「HTTP://schemas.microsoft.com/2006/11/ResourceManagement」 xmlns:xsi=「HTTP://www.w3.org/2001/XMLSchema-instance」 xmlns:xsd=「HTTP://www.w3.org/2001/XMLSchema」><DispatchRequestAdministratorDetails><FailureMessage>Exception: Other
Stack Trace:Microsoft.ResourceManagement.WebServices.Exceptions.AllowedToPerformException:Other ---> System.Data.SqlClient.SqlException:重新繪製錯誤 50000、層級 13、狀態 1、Procedure ReRaiseException、 行 37,訊息:重新繪製錯誤 50000、層級 13、狀態 1、程式 ReRaiseException、行 37、訊息:重新繪製錯誤 1205、層級 13、狀態 51、程式產生回復Output、行 2147、訊息:交易 (處理常式識別碼 88) 在另一個處理常式的鎖定資源上鎖死並已被選為鎖死的受害者。 重新執行交易。
at System.Data.SqlClient.SqlConnection.OnError (SqlException exception, Boolean breakConnection)
at System.Data.SqlClient.TdsParser.ThrowExceptionAndWarning (TdsParserStateObject stateObj)
at System.Data.SqlClient.TdsParser.Run (RunBehavior runBehavior, SqlCommand cmdHandler, SqlDataReader dataStream, BulkCopySimpleResultSet bulkCopyHandler, TdsParserStateObject stateObj)
at System.Data.SqlClient.SqlDataReader.ConsumeMetaData ()
at System.Data.SqlClient.SqlDataReader.get_MetaData ()
at System.Data.SqlClient.SqlCommand.FinishExecuteReader (SqlDataReader ds, RunBehavior runBehavior, String resetOptionsString)
at System.Data.SqlClient.SqlCommand.RunExecuteReaderTds (CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, Boolean async)
at System.Data.SqlClient.SqlCommand.RunExecuteReader (CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, String method, DbAsyncResult result)
at System.Data.SqlClient.SqlCommand.RunExecuteReader (CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, String method)
at System.Data.SqlClient.SqlCommand.ExecuteReader (CommandBehavior 行為,字串方法)
at System.Data.SqlClient.SqlCommand.ExecuteReader ()
at Microsoft.ResourceManagement.Data.DataAccess.DoRequestCreation (RequestType request, Guid cause, Guid requestMarker, Boolean doEvaluation, Int16 serviceId, Int16 servicePartitionId)
---內部例外堆疊追蹤---結尾
at Microsoft.ResourceManagement.WebServices.RequestDispatcher.CreateRequest (UniqueIdentifier requestor, UniqueIdentifier targetIdentifier, OperationType operation, String businessJustification, List'1 requestParameters, CultureInfo locale, Boolean isIdentRequest, Guid cause, Boolean doEvaluation, Nullable'1 serviceId, Nullable'1 servicePartitionId, UniqueId messageIdentifier, UniqueIdentifier requestCoNtextIdentifier, Boolean maintenanceMode)
at Microsoft.ResourceManagement.WebServices.RequestDispatcher.CreateRequest (UniqueIdentifier requestor, UniqueIdentifier targetIdentifier, OperationType operation, String businessJustification, List'1 requestParameters, CultureInfo locale, Boolean isIdentRequest, Guid cause, Boolean doEvaluation, Nullable'1 serviceId, Nullable'1 servicePartitionId, UniqueId messageIdentifier)
at Microsoft.ResourceManagement.WebServices.ResourceManagementService.Create (Message request) </FailureMessage><DispatchRequestFailureSource>Other</DispatchRequestFailureSource><AdditionalTextDetails>Request could be </AdditionalText 標頭></DispatchRequestAdministratorDetails><CorrelationId><3 fc548590-4306-4e1a-bb93-074f51f6757d><4 /CorrelationId></DispatchRequestFailures>
安裝此更新之後,這個問題不再發生。
參考
Microsoft Identity Manager發行歷程記錄
了解 Microsoft 用來說明軟體更新的術語。
