W przypadku używania następnego certyfikatu nie można odnaleźć certyfikatu federacji z kciukiem

Oryginalny numer KB:   2810692

Uwaga

Kreator konfiguracji hybrydowej zawarty w konsoli zarządzania programu Exchange w programie Microsoft Exchange Server 2010 nie jest już obsługiwany. Dlatego nie należy już używać starego Kreatora konfiguracji hybrydowej. Zamiast tego użyj Kreatora konfiguracji hybrydowej usługi Office 365. Aby uzyskać więcej informacji, zobacz Kreator konfiguracji hybrydowej usługi Office 365 dla programu Exchange 2010.

Problem

Rozważmy następujący scenariusz we wdrożeniu hybrydowym usługi Exchange Server i usługi Exchange Online w usłudze Office 365:

  • Bieżący certyfikat, który został utworzony dla zaufania federacji na serwerze hybrydowym, zostanie nieumyślnie usunięty.
  • Aby zaufanie działało poprawnie, bieżący certyfikat musi zostać zastąpiony.
  • Zostanie utworzony nowy certyfikat.
  • Uruchom Kreatora zarządzania federacją, a następnie zaznacz pole wyboru Roll certificate to make the next certificate as the current certificate to use the new certificate ..

W tym scenariuszu kreator nie aktualizuje certyfikatu zgodnie z oczekiwaniami. Podczas próby użycia polecenia cmdlet w celu ustawienia zaufania federacji przy użyciu następnego certyfikatu jako bieżącego certyfikatu jest wyświetlany Set-FederationTrust -Identity następujący komunikat o błędzie:

[PS] C. > Set-FederationTrust -Identity "Microsoft Federation Gateway" -PublishFederationCertificate
Nie można odnaleźć certyfikatu federacji z kciukiem <thumbprint of the current certificate> "".
+ Informacje o kategorii: InvalidResult: (:) [Set-FederationTrust], FederationCertificateInvalidException
+ FullyQualifiedErrorId: 906B427C,Microsoft.Exchange.Management.SystemConfigurationTasks

Przyczyna

Ten problem występuje, jeśli brakuje nowego certyfikatu w magazynie certyfikatów. W takim przypadku Kreator zarządzania federacją nie może się przechować do nowego certyfikatu.

Rozwiązanie

Aby rozwiązać ten problem, zaktualizuj obiekt usługi Active Directory dla zaufania federacji, dodając do obiektu thumbprint następnego certyfikatu federacji. Dzięki temu Kreator zarządzania federacją lub Set-FederationTrust polecenie cmdlet pomyślnie przetworzyć żądanie rollover.

Aby to zrobić, wykonaj następujące kroki.

  1. Zaloguj się na serwerze wdrożenia hybrydowego programu Exchange 2010 jako administrator domeny.

  2. Otwórz edycję interfejsów usługi Active Directory (ADSI). W tym celu kliknij przycisk Start, kliknij pozycję Uruchom, wpisz ADSIEdit.msc , a następnie kliknij przycisk OK.

  3. Po załadowaniu okna edycji adsi kliknij prawym przyciskiem myszy pozycję ADSI Edit (Edytuj ADSI) w okienku nawigacji, a następnie kliknij polecenie Połącz z.

  4. W oknie Ustawienia połączenia kliknij pozycję Wybierz dobrze znany kontekst nazewnictwa w obszarze Punkt połączenia, a następnie kliknij pozycję Konfiguracja.

  5. W obszarze Komputer wybierz pozycję Domyślna (domena lub serwer, do którego się zalogowano) , a następnie kliknij przycisk OK.

  6. Znajdź CN=Configuration, DC= <DOMAIN> , DC= , <COM> CN=Services, CN=Microsoft Exchange, CN= <ORGANIZAION NAME> , CN=Federation Trusts.

    Uwaga

    Zamień wartości w symbolach zastępczych ( ) na < > wartości specyficzne dla środowiska.

  7. Kliknij prawym przyciskiem myszy pozycję CN=Brama federacyjne firmy Microsoft, a następnie kliknij polecenie Właściwości.

  8. Kliknij dwukrotnie msExchFedOrgNextCertificate właściwość, a następnie skopiuj całą wartość.

    Uwaga

    Ta wartość może zostać wypełniona tylko wtedy, gdy występuje problem opisany w sekcji Objawy. Jeśli wartość nie jest wypełniona, nie można kontynuować pozostałych kroków.

  9. Zamknij msExchFedOrgNextCertificate właściwość.

  10. Kliknij dwukrotnie właściwość, a następnie wklej wartość msExchFedOrgPrivCertificate skopiowaną w kroku 8. Miniatura bieżącego certyfikatu zostanie zastąpiona miniaturą następnego certyfikatu.

  11. Kliknij przycisk OK, aby ustawić wartość.

  12. Ręczne wymuszanie replikacji usługi Active Directory. Możesz też poczekać, aż zmiana zreplikuje się w całej infrastrukturze usługi Active Directory.

    Uwaga

    Aby uzyskać więcej informacji na temat wymuszania replikacji usługi Active Directory, zobacz Wymuszanie replikacji za pośrednictwem połączenia.

  13. W konsoli zarządzania programu Exchange ponownie uruchom Kreatora zarządzania federacją. Bieżący certyfikat i następny certyfikat powinny być takie same.

  14. Zaznacz pole wyboru Zdaj certyfikat, aby następny certyfikat był certyfikatem bieżącym, a następnie wykonaj kroki kreatora.

  15. Przetestuj konfigurację przy użyciu Test-Federation polecenia cmdlet. Wyniki powinny pokazywać, że sprawdzanie poprawności certyfikatu federacji powiodło się.

    Uwaga

    Aby uzyskać więcej informacji na temat Test-FederationTrust polecenia cmdlet, przejdź do tematu Test-FederationTrust.

Więcej informacji

Nadal potrzebujesz pomocy? Przejdź do witryny Społeczności firmy Microsoft lub witryny internetowej forów usługi Windows Azure Active Directory.