Microsoft 提供的內容
適用於:
-
Microsoft Identity Manager 2016
-
Microsoft Identity Manager 2016 SP2
資訊
定期,公司可能需要更換或升級頒發憑證授權單位單位 (CA) 。 通常這會透過從 Forefront Identity Manager 2010 R2 (FIM 2010 R2) 或 Microsoft Identity Manager 2016 (MIM 2016 / MIM 2016 SP1) 升級/移轉到 MIM 2016 SP2 一起完成。 執行此動作的常見方式是架設新的伺服器/VM 來託管 CA、將 CA 資料庫移至新伺服器,以及開始使用已升級的新 CA。 如果新伺服器/VM 的名稱與原始 CA 伺服器的名稱不同,則會中斷設定檔範本中的憑證範本資訊,因為它參照原始的 CA 名稱。
升級 MIM CM 解決方案所使用的憑證授權單位單位時,維護裝載新/升級之憑證授權單位單位的伺服器,以及憑證授權單位單位名稱本身的相同伺服器/電腦名稱稱至關重要。 如果使用不同的 CA 伺服器名稱或 CA 名稱,則會中斷 MIM CM 解決方案。
-
有多份檔連結和文章可讓您瞭解如何將 CA 還原至具有不同伺服器名稱的伺服器,但這麼做會破壞 MIM CM 解決方案。
-
維持相同的 CA 名稱是直向向前,就像當您依照指示將 CA 還原到新伺服器時一樣。
如果伺服器名稱已變更,可能會發生下列錯誤:
-
所有嘗試的設定檔範本工作流程都會導致 RPC 錯誤、找不到 CA 錯誤,或是 CA 已解除委任錯誤。
-
MIM CM 不會撤銷發給原始 CA 的憑證。 它們在入口網站中看起來會以無訊息的方式失敗,但會在 MIM CM 事件記錄檔中提出例外狀況,指出 CA 已解除委任。
下列 (,但不只記錄這些) 錯誤訊息:
-
指定的 CA 名稱或伺服器名稱無效。
-
無法與憑證授權單位單位<CA-Name>聯繫,因為它標示為已解除委任。
解決方案
如果 CA 已移轉至具有新 CA 伺服器名稱的伺服器,且該名稱顯示在 clmutil.exe -listCa 命令中傳回的其他 CA 伺服器,請執行下列動作:
-
更新 CA,將 CA 伺服器名稱變更為原始名稱。
-
將 MIM CM 資料庫還原為 CA 伺服器升級之前備份的版本。
參考
Microsoft Identity Manager發行歷程記錄
