簡介
組建4.5.26.0) 組建 (的 hotfix 匯總套件適用于 Microsoft Identity Manager (MIM) 2016 Service Pack 1 (SP1) 。 此匯總套件可解決一些問題,並新增一些改進,詳情請參閱一節中所述。
此更新的已知問題
附註: 在我們調查此 Hotfix 匯總套件升級程式的問題時,已暫時移除 MIM 同步處理服務和 MIM Service MSP (安裝程式) 。 我們即將提供詳細資訊。
同步化服務
安裝此更新之後,根據可擴展 MA (ECMA1 或 ECMA 2.0) (MAs) 的規則延伸模組和自訂管理代理程式可能無法執行,並可能導致執行狀態為「stopped-extension-dll-load」。 當您針對下列其中一個處理常式變更組態檔 (.config) 之後,執行這類規則延伸模組或自訂 MAs 時,就會發生此問題:
-
MIIServer.exe
-
Mmsscrpt.exe
-
Dllhost.exe
例如,您編輯 MIIServer.exe.config 檔案,以變更 Forefront Identity Manager (FIM) Service MA 用來處理同步化項目的預設批次大小。 在這個情形中,此更新的同步作業引擎安裝程式不會取代設定檔,以免刪除您先前的變更。 這是因為若未取代設定檔,此更新所需的項目就不會存在檔案中。 因此,當同步作業引擎執行「完整匯入」或「差異同步」執行設定檔時,引擎不會載入任何規則延伸 DLL。
如果要解決這個問題,請依照下列步驟執行:
-
建立 MIIServer.exe.config 檔案的備份複本。
-
使用文字編輯器或 Microsoft Visual Studio 開啟 MIIServer.exe.config 檔案。
-
在 MIIServer.exe.config 檔案中尋找 <執行時間> 區段,然後以下列內容取代 <從屬參照> 節的內容:
<從屬自變>
<assemblyIdentity name="Microsoft.MetadirectoryServicesEx" publicKeyToken="31bf3856ad364e35" />
<bindingRedirect oldVersion="3.3.0.0-4.1.3.0" newVersion="4.1.4.0" />
</dependentAssembly>
-
將變更儲存到檔案。
-
在相同目錄中尋找 Mmsscrpt.exe.config 檔案,並在父目錄中尋找 Dllhost.exe.config。 針對這兩個檔案重複執行步驟 1 到步驟 4。
-
重新開機 Forefront Identity Manager Synchronization Service (FIM 同步處理服務) 。
-
確認規則延伸和自訂管理代理程式現在能如預期般運作。
服務與入口網站設定
您必須先安裝 2013 x64 C++ 可轉散發套件套件 (vcresist_x64.exe) ,才能執行 MIM 服務和入口網站設定。
相關聯的錯誤:
附註: Windows Installer 套件發生問題。 無法執行此安裝所需的 DLL。 請連絡您的支援人員或包裹廠商。
若要解決此問題:
從下列 Windows 下載中心連結下載C++ 可轉散發套件套件 (vcredist_x64.exe) 。
身分識別管理入口網站
安裝此更新之後,在 Internet Explorer 中入口網站可能不會如預期般顯示。 如果要解決這個問題,請依照下列步驟執行:
-
關閉所有 Internet Explorer 執行個體。
-
開啟 [網際網路選項] 控制台。
-
刪除所有歷程記錄和快取檔案。
如果此問題持續發生,請確定 Internet Explorer 版本為 11 或更新版本。 如果您執行的版本早于 11,則與版本 11 中顯示的入口網站比較時,可能會有顯示不一致之處。
憑證管理 REST API
將 MIM 憑證管理升級到此版本之後,針對 MIM 憑證管理使用 REST API 會導致下列例外狀況。
例外資訊
例外類型:System.IO.FileLoadException
訊息:無法載入「Newtonsoft.Json、Version=4.5.0.0、Culture=neutral、PublicKeyToken=30ad4fe6b2a6aeed」或其中一個相依性檔案或元件。 定位元件的資訊清單定義與元件參照不符。 (RESULT 的例外狀況:0x80131040)
FileName: Newtonsoft.Json, Version=4.5.0.0, Culture=neutral, PublicKeyToken=30ad4fe6b2a6aeed
方塊:
資料:System.Collections.ListDictionaryInternal
TargetSite:Void .ctor ()
HelpLink:Null
來源:System.Net.Http.Formatting
HResult: -2146234304
StackTrace 資訊
at System.Net.Http.Formatting.JsonMediaTypeFormatter..ctor ()
at System.Net.Http.Formatting.MediaTypeFormatterCollection.CreateDefaultFormatters ()
at System.Web.Http.HttpConfiguration.DefaultFormatters ()
at System.Web.Http.HttpConfiguration..ctor (HttpRouteCollection 路由)
at System.Web.Http.GlobalConfiguration.<.cctor>b__0 ()
at System.Lazy'1.CreateValue ()
at System.Lazy'1.LazyInitValue ()
at Microsoft.Clm.Web.GlobalASAX.InitializeWebApi ()
若要避免此例外狀況,請將下列系結重新導向資訊新增至 MIM 憑證管理 web.config 檔案。 這應該會直接放在 </configuration> 標籤的正上方。
重要: 安裝此更新之前,請先確認您已建立 web.config 檔案的備份。
<執行時間>
<元件Binding xmlns=「urn:schemas-microsoft-com:asm.v1」>
<從屬參照語>
<assemblyIdentity name=「Newtonsoft.Json」
publicKeyToken=「30AD4FE6B2A6AEED」 culture=「neutral」/>
<bindingRedirect oldVersion=「0.0.0.0-6.0.0.0」 newVersion=「9.0.0.0」/>
</dependentAssembly>
</assemblyBinding>
</runtime>
憑證管理入口網站的 web.config 檔案位於下列路徑:
%programfiles%\Microsoft Forefront Identity Manager\2010\Certificate Management\web
更新資訊
Microsoft 下載中心
您可以從「Microsoft 下載中心」取得支援的更新。 我們建議所有客戶將此更新套用到實際執行系統。
先決條件
若要套用此更新,您必須安裝以下內容:
-
Microsoft Identity Manager 2016 組建4.4.1302.0
-
.NET Framework 4.6 適用于下列元件:
-
MIM 服務
-
MIM 入口網站 (身分識別管理、密碼重設、密碼註冊)
-
MIM PAM
-
MIM 增益集和擴充功能
-
重新啟動需求
套用增益集和擴充功能套件 (Fimaddinsextensions_xnn_KB4073679.msp) 之後,您必須重新開機電腦。 此外,您可能也必須重新啟動伺服器元件。
取代資訊
這是取代所有 MIM 2016 SP1 更新的累積更新,從4.4.1302.0到組建2016 Microsoft Identity Manager 4.4.1749.0。
檔案資訊
此更新的全域版本具有下列表格中所列的檔案屬性 (或更新檔案屬性)。 這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。 當您檢視檔案資訊時,它會轉換成當地時間。 若要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 項目的 [時區] 索引標籤。
|
檔案名稱 |
檔案版本 |
檔案大小 |
日期 |
Time |
|---|---|---|---|---|
|
語言 Packs.zip |
不適用 |
119,853,706 |
2018 年 6 月 27 日 |
13:50 |
|
MIMAddinsExtensionsLP_x64_KB4073679.msp |
不適用 |
4,128,768 |
24-2018 年 5 月 |
22:51 |
|
MIMAddinsExtensionsLP_x86_KB4073679.msp |
不適用 |
2,744,320 |
24-2018 年 5 月 |
21:45 |
|
MIMAddinsExtensions_x86_KB4073679.msp |
不適用 |
3,280,896 |
24-2018 年 5 月 |
21:34 |
|
MIMCMBulkClient_x86_KB4073679.msp |
不適用 |
7,393,280 |
24-2018 年 5 月 |
12:13 |
|
MIMCMClient_x64_KB4073679.msp |
不適用 |
7,589,888 |
24-2018 年 5 月 |
1,212 |
|
MIMCMClient_x86_KB4073679.msp |
不適用 |
7,196,672 |
24-2018 年 5 月 |
1,211 |
|
MIMCM_x64_KB4073679.msp |
不適用 |
16,355,328 |
24-2018 年 5 月 |
12:27 |
|
MIMService_x64_KB4073679.msp |
不適用 |
39,837,696 |
24-2018 年 5 月 |
22:33 |
|
MIMSyncService_x64_KB4073679.msp |
不適用 |
22,253,568 |
24-2018 年 5 月 |
1,805 |
已修正此更新中新增的問題和改良功能
此更新提供下列先前未記載在「Microsoft 知識庫」中的修正和改善:
語言套件改進
我們已在此更新中新增語言套件改進。 如需詳細資訊,請參閱下列檔:
支援群組受管理的服務帳戶
此更新包含下列元件對群組受管理服務帳戶的支援:
-
MIM 同步處理服務 (FIM 同步處理服務)
-
MIM Service (FIM 服務)
-
MIM 密碼註冊
-
MIM 密碼重設
-
PAM 監控服務 (Pam 監控服務)
-
PAM 元件服務 (版權管理元件服務)
不支援
-
MIM 入口網站 (,因為這是 SharePoint 環境的一部分,因此您必須以伺服器陣列模式部署,並在 SharePoint Server 中設定自動密碼變更)
-
所有管理代理程式
-
Microsoft 憑證管理
-
BHOLD
如需詳細資訊,請參閱下列檔:
HTTPs://learn.microsoft.com/en-us/microsoft-identity-manager/microsoft-identity-manager-2016-gmsa
MIM 同步處理服務
改善
在此更新的發行中,我們新增了下列 Visual Studio 版本的支援,以建立規則延伸模組:
-
Visual Studio 2013
-
Visual Studio 2015
-
Visual Studio 2017
問題
問題 1
在 [同步處理] Service Manager (MIISClient.exe) 中重新整理管理代理程式 (連接器) 的磁碟分割時,在某些情況下,重新整理的資訊在按一下 [確定] 按鈕時不會如預期般儲存。
在此更新中,當您按一下[重新整理] 然後按一下 [確定] 時,已更新的磁碟分割資訊會如預期般儲存。
問題 2
在 Metaverse Designer 中編制 Indexable String 屬性索引時,如果屬性名稱太長,則會傳回未預期的錯誤。
在此更新中,現在會傳回更描述性的錯誤訊息。
問題 3
在 Windows Server 2016 上安裝 MIM 同步處理服務時建立文字檔管理代理程式時,某些文字編碼選項,包括 Unicode 都無法使用。
在此版本中,MIM 文字檔管理代理程式會更新,以正確地與Windows Server 2016程式字碼頁面處理互動。
MIM 服務管理代理程式
當您在 MIM 服務管理代理程式上執行匯出執行設定檔時,如果匯出錯誤訊息包含無效字元,這會造成執行歷程記錄專案中的損毀 (MIISClient.exe [作業] 索引標籤) ,且 MIIS 用戶端中無法檢視包含此匯出錯誤的連接器空間物件。
在此更新中,無效字元會從錯誤訊息中移除,然後再儲存至連接器空格物件並執行歷程記錄。
PCNS) (密碼變更通知服務
在某些情況下,PCNS 服務會在 Target Add 作業時當機,且服務不會重新開機。
在此更新中,不會再發生此當機。
服務和入口網站
MIM 服務
改進 1
Export-FIMConfig PowerShell Cmdlet 不會匯出 PAM 相關設定物件。 因此,MIM 服務組態移轉不包含 PAM 相關設定物件。
安裝此更新之後,可以使用 「-PamConfig」 引數來強制匯出 PAM 設定物件。
其他資訊:
改進 2
使用 Export-FIMConfig PowerShell Cmdlet 匯出最近的要求物件非常困難,因為必須撰寫自訂篩選運算式。
在此更新中,已針對 Export-FIMConfig Cmdlet 新增「要求」參數。
其他資訊:
改進 3
入口網站中布林值的 Null 和 False 值之間沒有視覺上的差異。
在此更新中,會進行下列變更:
-
物件建立時,新的 MIM 布林值現在設定為 False 。
-
當您新增布林值屬性系結至資源時,新的 MIM 布林值屬性現在設定為 False 。
重要 在某些環境中,這種行為變更可能會破壞這些程式。 建議您在環境中測試這項變更。
問題 1
當您第一次安裝 MIM 服務時選取加入客戶經驗改進計畫後,後續對 FIM 服務的更新安裝會停用客戶經驗改進計畫設定。
在此更新中, 客戶經驗改進計畫 設定會如預期維持。
問題 2
某些使用未受管理資源的許可權訪問管理物件不會及時清除。
安裝此更新之後,系統會正確清除這些物件。
問題 3
如果 MIM 服務帳戶的信箱裝載于 Exchange Online (Office 365) ,且已安裝 MIM 服務的更新,則服務信箱的加密密碼會變成 Null。
從此更新開始,MIM 服務Exchange Online信箱的加密密碼不會變更。
問題 4
啟用動態記錄時所建立的 MIM Service 記錄檔沒有限制。
在此更新中,如果達到大小限制,系統會新增邏輯以切換到另一個檔案。 如果達到第二個檔案的大小限制,登入會覆寫第一個檔案。 預設大小限制為 1 GB。
問題 5
當您安裝 MIM 服務和入口網站時,安裝程式會傳回下列例外狀況:
此 Windows Installer 套件發生問題。 在安裝過程中執行的程式未如預期般完成。 請連絡您的支援人員或包裹廠商。
當您嘗試升級 FIMService 資料庫時,會發生基礎問題。
在此更新中,不會再發生此問題。
許可權存取管理
PAM PowerShell 改進
下列與 PAM 相關的 PowerShell Cmdlet 新增來支援在集合中新增和移除成員的功能:
-
Get-PAMSet
-
Add-PAMSetMember
-
Remove-PAMSetMember
PAM PRIV 密碼到期通知
目前,PAM 不會在使用者的 PRIV 密碼即將過期時通知使用者。 在此更新中,「PwdExpirationDate」參數會新增至 PAM REST API 會話資訊。
傳回 PAM 會話資訊:
自我核准已停用
核准工作流程活動
核准工作流程活動無法停用自我核准。 您可能會想要設定核准活動,以便在要求來自其他核准者時強制核准其他核准者。
在此更新中,核准工作流程活動現在在活動屬性設定中具有 [ 停用自我核准] 核取方塊。
New-PAMRole PowerShell Cmdlet
為了支援拒絕自我核准的功能, New-PAMRole Cmdlet 有一個新的引數來拒絕該角色的自我核准。
停用自動核准如果擁有者
在 [進階檢視] 中檢視物件時,MIM 入口網站中的msidmPamRole 物件也會顯示 [停用自動核准] 屬性。
問題 1
在某些情況下,會在許可權存取管理 (PAM) 事件記錄檔中輸入下列警告:
例外:System.ObjectDisposedException:無法存取已丟棄的物件。
安裝此更新之後,此警告不會再出現在 PAM 事件記錄檔中。
問題 2
嘗試使用 Set-PAMUser PowerShell Cmdlet 變更 PrivAccountName 屬性時,會刪除該物件,而不是在目前的物件中更新。
在此更新中, Set-PAMUser Cmdlet 可以無問題地變更 PrivAccountName。
問題 3
Get-PamRequest Cmdlet 沒有指定最近要求的篩選器。
在此更新中,「-CreatedFrom」參數會新增至此 Cmdlet。
問題 4
New-PamRole Cmdlet 不會確保 「可供消費者」日期大於 [可用來源] 日期。
在此更新中, New-PamRole Cmdlet 現在會驗證「可供使用」日期大於「可用來源」日期。
問題 5
Get-PAMRole Cmdlet 的輸出不會顯示 [可用來源] 和 [可供消費者] 值
在此更新中, Get-PAMRole PowerShell Cmdlet 會傳回「可用來源」和「可供消費者」值。
問題 6
Get-PamRequest Cmdlet 會傳回不符合篩選準則的要求。
在此更新中, Get-PamRequest Cmdlet 篩選器現在已正確套用
問題 7
在 Windows Server 2016 上執行時,Set-PamGroup Cmdlet 會失敗。
在此更新中, Set-PamGroup Cmdlet 現在可以更新 Active Directory 陰影主體群組物件。
問題 8
Remove-PamUser Cmdlet 會失敗,如果使用者連結到候選字的角色,則會傳回不清楚的錯誤訊息。
在此更新中,用戶端驗證會新增至 Cmdlet,並厘清例外訊息。
問題 9
Remove-PamUser PowerShell Cmdlet 會失敗,如果角色連結到要求,則會傳回不明確的錯誤訊息。
在此更新中,用戶端驗證會新增至 Cmdlet,並厘清例外訊息。
問題 10
執行 FIM 服務和入口網站的 Change-Mode 設定時,系統不會公開 PAM 帳戶進行設定。
-
PAM Rest API 帳戶
-
PAM 元件服務帳戶
-
PAM 監控服務帳戶
在此更新中,Change-Mode 設定可讓上述帳戶重新設定。
MIM 身分識別管理入口網站
問題 1
從 MIM 組建 4.4.1642.0開始,當您嘗試使用 [MIM 入口網站] 對話方塊頂端的剪貼簿圖示,嘗試為從 MIM 入口網站對話方塊複製的 URL 建立導覽列專案時,伺服器名稱現在會包含在相對 URL 中。 這需要在設定從一個 MIM 實例移轉到另一個 MIM 實例時手動修改 URL。
在此更新中,相對 URL 不再包含伺服器名稱。
問題 2
將免費文字新增至身分識別選擇器控制項時,控制項似乎會動態增加寬度,而非文繞圖。
在此更新中,控制項大小已更正。
問題 3
在 [MIM 身分識別管理入口網站] 中,在 Internet Explorer 10 中檢視時,快顯對話方塊無法正確顯示。
在此更新中,快顯現在會在 Internet Explorer 10 中如預期般顯示。
問題 4
在 [MIM 入口網站] 快顯對話方塊中,標題列中無法正確顯示斯拉夫符號。
在此更新中,標題列文字中的斯拉夫文符號會正確顯示。
問題 5
在 MIM 入口網站中建立新的動作工作流程定義時,如果使用 [匯入工作流程定義] 選項,並指定不正確的檔案類型,則嘗試將同步處理規則活動新增至工作流程的嘗試會失敗。
在此更新中,失敗的「匯入工作流程定義」屬性會造成例外狀況並復原,允許同步處理規則活動新增至工作流程定義。
問題 6
MIM 身分識別管理入口網站中的某些對話方塊會在 Internet Explorer 中顯示雙捲軸。
在此更新中,在 Internet Explorer 中檢視時,快顯視窗不會再顯示額外的滾動列。
增益集和擴充功能
當您嘗試在安裝 Office 365 Office 2016 時安裝 Outlook 的 MIM 增益集時,會傳回例外狀況,且安裝失敗並傳回錯誤訊息,指出找不到下列檔案:
Microsoft.Vbe.Interop.Forms.dll 版本 11.0.0.0
在此更新中,Outlook 的 MIM 增益集包含遺失的 Outlook 記憶體二進位檔案複本。
Self-Service 密碼重設]
問題 1
當您嘗試透過 Self-Service 密碼重設來重設密碼時,如果重設密碼的使用者物件的辨別名稱包含斜線字元,則密碼重設作業會失敗。 在此更新中,[辨別名稱] 中的特殊字元不再阻止 Self-Service 密碼重設],無法重設 Active Directory 中使用者的密碼。
問題 2
Self-Service 密碼重設語言套件的某些句子在問題和答案門的 [問題] 和 [答案] 對話方塊上無法正確當地語系化。 在此更新中,這些句子會在顯示器中正確當地語系化。
憑證管理
問題 1
透過 MIM CM 現代化應用程式更新虛擬智慧卡時,使用者會收到禁止例外。 如果自訂 REST API 解決方案嘗試更新虛擬智慧卡,也會發生此問題。 在此更新中,問題已修正。
問題 2
重設 Smartcard PIN 工具失敗,並傳回下列錯誤訊息:
「CLM 在嘗試變更智慧卡 PIN 碼時發生錯誤。 不正確的引數或不正確屬性指派」。
在此更新中,此問題已修正。
問題 3
當您嘗試從 4.4.1302.0 安裝 4.4.1302.0 到 4.4.1459之後的組建更新時,安裝程式會失敗。
在此更新中,安裝程式現在可以在此案例中順利完成。
問題 4
當您使用現代化應用程式來續約、註冊及取代作業時,要求記錄並未包含透過 CertificateManagement 入口網站執行相同作業時所記錄的所有要求狀態專案 (,例如「安裝憑證」) 。
在此更新中,要求的所有階段現在都會記錄在要求記錄中。
問題 5
MIM 憑證管理 (CM) 線上更新未完成,且會傳回「記錄已由其他使用者更新或刪除」例外狀況。 這是因為線上更新嘗試刪除相同的憑證多次。
在此更新中,CM 線上更新不會再發生此問題。
問題 6
使用憑證管理入口網站中的 [下載憑證] 連結下載使用者的憑證時,憑證下載 (.cer 檔案) 太大,不包含 [開始憑證] 和 [結束憑證] 行。
在此更新中,此作業會如預期下載憑證。
問題 7
錯誤不會從 Microsoft.Clm.Config 碼中丟棄,而會遮罩許多可能的問題。
例外處理常式代碼會更新,以改善 MIM 憑證管理中的錯誤報表。
憑證管理大量用戶端
在此更新中,MIM 憑證管理大量用戶端同時適用于 TLS 1.1 和 TLS 1.2。
參考
Microsoft Identity Manager發行歷程記錄
了解 Microsoft 用來說明軟體更新的術語。
本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。 Microsoft 不以默示或其他方式,提供與這些產品的效能或可靠性有關的擔保。
