Nie można odnaleźć certyfikatu federacyjnego z odciskiem palca podczas korzystania z następnego certyfikatu
Oryginalny numer KB: 2810692
Uwaga
Kreator konfiguracji hybrydowej dołączony do konsoli zarządzania programu Exchange w Microsoft Exchange Server 2010 r. nie jest już obsługiwany. W związku z tym nie należy już używać starego kreatora konfiguracji hybrydowej. Zamiast tego użyj kreatora konfiguracji hybrydowej platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Kreator konfiguracji hybrydowej platformy Microsoft 365 dla programu Exchange 2010.
Symptomy
Rozważmy następujący scenariusz w przypadku wdrożenia hybrydowego lokalnych Exchange Server i Exchange Online na platformie Microsoft 365:
- Bieżący certyfikat, który został utworzony dla relacji zaufania federacji na serwerze hybrydowym, jest przypadkowo usuwany.
- Bieżący certyfikat musi zostać zastąpiony, aby zaufanie działało poprawnie.
- Zostanie utworzony nowy certyfikat.
- Uruchamiasz Kreatora zarządzania federacją, a następnie wybierasz certyfikat Roll, aby ustawić następny certyfikat jako bieżący certyfikat , aby użyć nowego certyfikatu.
W tym scenariuszu kreator nie aktualizuje certyfikatu zgodnie z oczekiwaniami. Podczas próby użycia Set-FederationTrust -Identity
polecenia cmdlet w celu skorzystania z następnego certyfikatu jako bieżącego certyfikatu federacji zostanie wyświetlony następujący komunikat o błędzie:
[PS] C:>Set-FederationTrust -Identity "Microsoft Federation Gateway" -PublishFederationCertificate
Nie można odnaleźć certyfikatu federacyjnego z odciskiem palca< bieżącego certyfikatu>.
+ CategoryInfo: InvalidResult: (:) [Set-FederationTrust], FederationCertificateInvalidException
+ FullyQualifiedErrorId: 906B427C, Microsoft.Exchange.Management.SystemConfigurationTasks
Przyczyna
Ten problem występuje, jeśli w magazynie certyfikatów brakuje nowego certyfikatu. W takim przypadku Kreator zarządzania federacją nie może rzucić do nowego certyfikatu.
Rozwiązanie
Aby rozwiązać ten problem, zaktualizuj obiekt usługi Active Directory dla relacji zaufania federacji, dodając odcisk palca następnego certyfikatu federacyjnego do obiektu. Dzięki temu Kreator zarządzania federacją Set-FederationTrust
lub polecenie cmdlet pomyślnie przetworzyć żądanie przeniesienia.
Aby to zrobić, wykonaj następujące kroki.
Zaloguj się na serwerze wdrażania hybrydowego programu Exchange 2010 jako administrator domeny.
Otwórz pozycję Edytuj interfejsy usługi Active Directory (ADSI). Aby to zrobić, kliknij przycisk Start, kliknij przycisk Uruchom, wpisz
ADSIEdit.msc
, a następnie kliknij przycisk OK.Po załadowaniu okna EDYCJA ADSI kliknij prawym przyciskiem myszy pozycję ADSI Edit w okienku nawigacji, a następnie kliknij pozycję Połącz z.
W oknie Ustawienia połączenia kliknij pozycję Wybierz dobrze znany kontekst nazewnictwa w obszarze Punkt połączenia , a następnie kliknij pozycję Konfiguracja.
W obszarze Komputer wybierz pozycję Domyślne (domena lub serwer, na który się zalogowano), a następnie kliknij przycisk OK.
Zlokalizuj elementy CN=Configuration, DC=<DOMAIN>, DC=<COM>, CN=Services, CN=Microsoft Exchange, CN=<ORGANIZATION NAME>, CN=Federation Trusts.
Uwaga
Zastąp wartości w symbolach zastępczych (<>) wartościami specyficznymi dla danego środowiska.
Kliknij prawym przyciskiem myszy cn = Microsoft Federation Gateway, a następnie kliknij pozycję Właściwości.
Kliknij dwukrotnie właściwość
msExchFedOrgNextCertificate
, a następnie skopiuj całą wartość.Uwaga
Ta wartość może zostać wypełniona tylko wtedy, gdy wystąpi problem opisany w sekcji Objawy. Jeśli wartość nie jest wypełniona, nie można kontynuować pozostałych kroków.
Zamknij właściwość
msExchFedOrgNextCertificate
.Kliknij dwukrotnie właściwość
msExchFedOrgPrivCertificate
, a następnie wklej wartość skopiowaną w kroku 8. Miniatura bieżącego certyfikatu zostanie zastąpiona miniaturą następnego certyfikatu.Kliknij przycisk OK , aby ustawić wartość.
Ręcznie wymuś replikację usługi Active Directory. Możesz też zaczekać, aż zmiana zostanie zreplikowana w całej infrastrukturze usługi Active Directory.
Uwaga
Aby uzyskać więcej informacji na temat wymuszania replikacji usługi Active Directory, przejdź do pozycji Wymuś replikację za pośrednictwem połączenia.
W konsoli zarządzania programu Exchange uruchom ponownie Kreatora zarządzania federacją. Bieżący certyfikat i następny certyfikat powinny być takie same.
Zaznacz pole wyboru Roluj certyfikat, aby ustawić następny certyfikat jako bieżący certyfikat , a następnie wykonaj kroki opisane w kreatorze.
Przetestuj konfigurację przy użyciu
Test-Federation
polecenia cmdlet. Wyniki powinny wskazywać, że weryfikacja certyfikatu federacyjnego zakończyła się pomyślnie.Uwaga
Aby uzyskać więcej informacji na temat
Test-FederationTrust
polecenia cmdlet, przejdź do pozycji Test-FederationTrust.
Więcej informacji
Nadal potrzebujesz pomocy? Przejdź do witryny internetowej forów microsoft community lub forów usługi Azure Active Directory systemu Windows .
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla