MIM 2016 - 如何升級 MIM CM 所使用的憑證授權單位單位

資訊

定期，公司可能需要更換或升級頒發憑證授權單位單位 (CA) 。 通常這會透過從 Forefront Identity Manager 2010 R2 (FIM 2010 R2) 或 Microsoft Identity Manager 2016 (MIM 2016 / MIM 2016 SP1) 升級/移轉到 MIM 2016 SP2 一起完成。 執行此動作的常見方式是架設新的伺服器/VM 來託管 CA、將 CA 資料庫移至新伺服器，以及開始使用已升級的新 CA。 如果新伺服器/VM 的名稱與原始 CA 伺服器的名稱不同，則會中斷設定檔範本中的憑證範本資訊，因為它參照原始的 CA 名稱。

升級 MIM CM 解決方案所使用的憑證授權單位單位時，維護裝載新/升級之憑證授權單位單位的伺服器，以及憑證授權單位單位名稱本身的相同伺服器/電腦名稱稱至關重要。   如果使用不同的 CA 伺服器名稱或 CA 名稱，則會中斷 MIM CM 解決方案。

• 有多份檔連結和文章可讓您瞭解如何將 CA 還原至具有不同伺服器名稱的伺服器，但這麼做會破壞 MIM CM 解決方案。

• 維持相同的 CA 名稱是直向向前，就像當您依照指示將 CA 還原到新伺服器時一樣。

如果伺服器名稱已變更，可能會發生下列錯誤：

• 所有嘗試的設定檔範本工作流程都會導致 RPC 錯誤、找不到 CA 錯誤，或是 CA 已解除委任錯誤。

• MIM CM 不會撤銷發給原始 CA 的憑證。 它們在入口網站中看起來會以無訊息的方式失敗，但會在 MIM CM 事件記錄檔中提出例外狀況，指出 CA 已解除委任。

下列 (，但不只記錄這些) 錯誤訊息：

• 指定的 CA 名稱或伺服器名稱無效。

• 無法與憑證授權單位單位<CA-Name>聯繫，因為它標示為已解除委任。

解決方案

如果 CA 已移轉至具有新 CA 伺服器名稱的伺服器，且該名稱顯示在 clmutil.exe -listCa 命令中傳回的其他 CA 伺服器，請執行下列動作：

1. 更新 CA，將 CA 伺服器名稱變更為原始名稱。

2. 將 MIM CM 資料庫還原為 CA 伺服器升級之前備份的版本。  

參考  

Microsoft Identity Manager發行歷程記錄  

部署 MIM 憑證管理員 Windows 應用程式 |Microsoft Learn

如何將證書授權單位移至另一部伺服器 - Windows Server |Microsoft Learn