Planowanie MIM 2016 SP2 w środowiskach ZLS 1.2 lub FIPS

Ważne

Ten artykuł dotyczy tylko MIM SP2 2016

Podczas instalowania MIM 2016 SP2 w zablokowanym środowisku, które ma wszystkie protokoły szyfrowania, ale protokół TLS 1.2 jest wyłączony, obowiązują następujące wymagania:

  • Aby ustanowić bezpieczne połączenie TLS 1.2 ze składnikami MIM, należy zainstalować najnowsze aktualizacje programu Windows Server i .NET Framework, które umożliwiają obsługę TLS 1.2 na platformie .NET 3.5 Framework. W zależności od konfiguracji serwera może być konieczne włączenie opcji SystemDefaultTlsVersions dla protokołów .NET Framework i/lub wyłączenie wszystkich protokołów SCHANNEL z wyjątkiem protokołu TLS 1.2 w rejestrze w podkluczach klienta i serwera.

MIM Synchronization Service, SQL MA

  • Aby nawiązać bezpieczne połączenie TLS 1.2 z serwerem SQL, usługa MIM Synchronization Service i wbudowany agent zarządzania programu SQL wymagają programu SQL Native Client 11.0.7001.0 lub nowszego.

Usługa MIM

Uwaga

MIM 2016 SP2 nie można zainstalować nienadzorowany w środowisku tylko TLS 1.2. Zainstaluj usługę MIM Service w trybie interaktywnym lub, w przypadku instalacji nienadzorowane, upewnij się, że jest włączony system TLS 1.1. Po zakończeniu instalacji nienadzorowej w razie potrzeby wymuś TLS 1.2.

  • Certyfikaty z podpisem własnym nie mogą być używane przez usługę MIM Service tylko w środowisku TLS 1.2. Wybierz certyfikat zgodny z szyfrowaniem silnego wystawiony przez zaufany urząd certyfikacji podczas instalowania MIM Service.
  • MIM Service wymaga dodatkowo OLE DB sterownika SQL Server wersji 18.2 lub nowszej.

Zagadnienia dotyczące trybu FIPS

Jeśli zainstalujesz usługę MIM Service na serwerze z włączonym trybem FIPS, musisz wyłączyć weryfikację zasad FIPS, aby umożliwić wykonywanie przepływów pracy usługi MIM Service. W tym celu dodaj element enforceFIPSPolicy enabled=false do sekcji runtime pliku Microsoft.ResourceManagement.Service.exe.config między sekcjami runtime i assemblyBinding, jak pokazano poniżej:

<runtime>
<enforceFIPSPolicy enabled="false"/>
<assemblyBinding ...>