Nie można odnaleźć certyfikatu federacyjnego z odciskiem palca podczas korzystania z następnego certyfikatu

  • Artykuł
  • Dotyczy:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Exchange Online, Exchange Server 2010 Enterprise, Exchange Server 2010 Standard

Oryginalny numer KB: 2810692

Uwaga

Kreator konfiguracji hybrydowej dołączony do konsoli zarządzania programu Exchange w Microsoft Exchange Server 2010 r. nie jest już obsługiwany. W związku z tym nie należy już używać starego kreatora konfiguracji hybrydowej. Zamiast tego użyj kreatora konfiguracji hybrydowej platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Kreator konfiguracji hybrydowej platformy Microsoft 365 dla programu Exchange 2010.

Symptomy

Rozważmy następujący scenariusz w przypadku wdrożenia hybrydowego lokalnych Exchange Server i Exchange Online na platformie Microsoft 365:

  • Bieżący certyfikat, który został utworzony dla relacji zaufania federacji na serwerze hybrydowym, jest przypadkowo usuwany.
  • Bieżący certyfikat musi zostać zastąpiony, aby zaufanie działało poprawnie.
  • Zostanie utworzony nowy certyfikat.
  • Uruchamiasz Kreatora zarządzania federacją, a następnie wybierasz certyfikat Roll, aby ustawić następny certyfikat jako bieżący certyfikat , aby użyć nowego certyfikatu.

W tym scenariuszu kreator nie aktualizuje certyfikatu zgodnie z oczekiwaniami. Podczas próby użycia Set-FederationTrust -Identity polecenia cmdlet w celu skorzystania z następnego certyfikatu jako bieżącego certyfikatu federacji zostanie wyświetlony następujący komunikat o błędzie:

[PS] C:>Set-FederationTrust -Identity "Microsoft Federation Gateway" -PublishFederationCertificate
Nie można odnaleźć certyfikatu federacyjnego z odciskiem palca< bieżącego certyfikatu>.
+ CategoryInfo: InvalidResult: (:) [Set-FederationTrust], FederationCertificateInvalidException
+ FullyQualifiedErrorId: 906B427C, Microsoft.Exchange.Management.SystemConfigurationTasks

Przyczyna

Ten problem występuje, jeśli w magazynie certyfikatów brakuje nowego certyfikatu. W takim przypadku Kreator zarządzania federacją nie może rzucić do nowego certyfikatu.

Rozwiązanie

Aby rozwiązać ten problem, zaktualizuj obiekt usługi Active Directory dla relacji zaufania federacji, dodając odcisk palca następnego certyfikatu federacyjnego do obiektu. Dzięki temu Kreator zarządzania federacją Set-FederationTrust lub polecenie cmdlet pomyślnie przetworzyć żądanie przeniesienia.

Aby to zrobić, wykonaj następujące kroki.

  1. Zaloguj się na serwerze wdrażania hybrydowego programu Exchange 2010 jako administrator domeny.

  2. Otwórz pozycję Edytuj interfejsy usługi Active Directory (ADSI). Aby to zrobić, kliknij przycisk Start, kliknij przycisk Uruchom, wpisz ADSIEdit.msc, a następnie kliknij przycisk OK.

  3. Po załadowaniu okna EDYCJA ADSI kliknij prawym przyciskiem myszy pozycję ADSI Edit w okienku nawigacji, a następnie kliknij pozycję Połącz z.

  4. W oknie Ustawienia połączenia kliknij pozycję Wybierz dobrze znany kontekst nazewnictwa w obszarze Punkt połączenia , a następnie kliknij pozycję Konfiguracja.

  5. W obszarze Komputer wybierz pozycję Domyślne (domena lub serwer, na który się zalogowano), a następnie kliknij przycisk OK.

  6. Zlokalizuj elementy CN=Configuration, DC=<DOMAIN>, DC=<COM>, CN=Services, CN=Microsoft Exchange, CN=<ORGANIZATION NAME>, CN=Federation Trusts.

    Uwaga

    Zastąp wartości w symbolach zastępczych (<>) wartościami specyficznymi dla danego środowiska.

  7. Kliknij prawym przyciskiem myszy cn = Microsoft Federation Gateway, a następnie kliknij pozycję Właściwości.

  8. Kliknij dwukrotnie właściwość msExchFedOrgNextCertificate , a następnie skopiuj całą wartość.

    Uwaga

    Ta wartość może zostać wypełniona tylko wtedy, gdy wystąpi problem opisany w sekcji Objawy. Jeśli wartość nie jest wypełniona, nie można kontynuować pozostałych kroków.

  9. Zamknij właściwość msExchFedOrgNextCertificate .

  10. Kliknij dwukrotnie właściwość msExchFedOrgPrivCertificate , a następnie wklej wartość skopiowaną w kroku 8. Miniatura bieżącego certyfikatu zostanie zastąpiona miniaturą następnego certyfikatu.

  11. Kliknij przycisk OK , aby ustawić wartość.

  12. Ręcznie wymuś replikację usługi Active Directory. Możesz też zaczekać, aż zmiana zostanie zreplikowana w całej infrastrukturze usługi Active Directory.

    Uwaga

    Aby uzyskać więcej informacji na temat wymuszania replikacji usługi Active Directory, przejdź do pozycji Wymuś replikację za pośrednictwem połączenia.

  13. W konsoli zarządzania programu Exchange uruchom ponownie Kreatora zarządzania federacją. Bieżący certyfikat i następny certyfikat powinny być takie same.

  14. Zaznacz pole wyboru Roluj certyfikat, aby ustawić następny certyfikat jako bieżący certyfikat , a następnie wykonaj kroki opisane w kreatorze.

  15. Przetestuj konfigurację przy użyciu Test-Federation polecenia cmdlet. Wyniki powinny wskazywać, że weryfikacja certyfikatu federacyjnego zakończyła się pomyślnie.

    Uwaga

    Aby uzyskać więcej informacji na temat Test-FederationTrust polecenia cmdlet, przejdź do pozycji Test-FederationTrust.

Więcej informacji

Nadal potrzebujesz pomocy? Przejdź do witryny internetowej forów microsoft community lub forów usługi Azure Active Directory systemu Windows .