Federationscertifikat med thumbprint hittas inte när du använder nästa certifikat

Ursprungligt KB-nummer:   2810692

Anteckning

Hybridkonfigurationsguiden som ingår i Exchange Management Console i Microsoft Exchange Server 2010 stöds inte längre. Därför bör du inte längre använda den gamla hybridkonfigurationsguiden. Använd i stället hybridkonfigurationsguiden för Office 365. Mer information finns i Hybridkonfigurationsguiden för Office 365 för Exchange 2010.

Problem

Tänk dig följande scenario i en hybriddistribution av lokal Exchange Server och Exchange Online i Office 365:

  • Det aktuella certifikatet som skapades för federationsförtroendet på hybridservern tas bort oavsiktligt.
  • Det aktuella certifikatet måste ersättas för att förtroende ska fungera korrekt.
  • Ett nytt certifikat skapas.
  • Du kör guiden Hantera federation och sedan väljer du rollcertifikatet för att göra nästa certifikat som aktuell certifikatkryssruta för att använda det nya certifikatet.

I det här scenariot uppdaterar guiden inte certifikatet som förväntat. När du försöker använda cmdleten för att göra federeringsförtroendet använda nästa certifikat som det aktuella certifikatet Set-FederationTrust -Identity får du följande felmeddelande:

[PS] C: > Set-FederationTrust -Identity "Microsoft Federation Gateway" -PublishFederationCertificate
Federationscertifikat med thumbprint <thumbprint of the current certificate> " " hittades inte.
+ Kategoriinfo: InvalidResult: (:) [Set-FederationTrust], FederationCertificateInvalidException
+ FullyQualifiedErrorId : 906B427C,Microsoft.Exchange.Management.SystemConfigurationTasks

Orsak

Det här problemet uppstår om det nya certifikatet saknas från certifikatarkivet. I det här fallet kan guiden Hantera federation inte distribueras till det nya certifikatet.

Lösning

Du kan åtgärda problemet genom att uppdatera Active Directory-objektet för federationsförtroendet genom att lägga till thumbprint för nästa federationscertifikat i objektet. Då kan guiden Hantera federation eller Set-FederationTrust cmdleten bearbeta begäran om återställning.

Gör så här:

  1. Logga in på Exchange 2010-hybriddistributionsservern som domänadministratör.

  2. Öppna ADSI-gränssnitt (Active Directory Service Interfaces). Det gör du genom att klicka på Start, klicka på Kör, skriva och sedan klicka ADSIEdit.mscOK.

  3. När fönstret ADSI-redigering har lästs in högerklickar du på ADSI-redigering i navigeringsfönstret och klickar sedan på Anslut till.

  4. I fönstret Anslutningsinställningar klickar du på Välj en känd namngivningskontext i området Kopplingspunkt och klickar sedan på Konfiguration.

  5. I området Dator väljer du Standard (domän eller server som du är inloggad på) och klickar sedan på OK.

  6. Locate CN=Configuration, DC= <DOMAIN> , DC= , <COM> CN=Services, CN=Microsoft Exchange, CN= <ORGANIZAION NAME> , CN=Federation Trusts.

    Anteckning

    Ersätt värdena i platshållarna ( < > ) med de värden som är specifika för din miljö.

  7. Högerklicka på CN=Microsoft Federation Gateway och klicka sedan på Egenskaper.

  8. Dubbelklicka på egenskapen msExchFedOrgNextCertificate och kopiera sedan hela värdet.

    Anteckning

    Det här värdet kanske bara fylls i om du upplever problemet som beskrivs i avsnittet Symptom. Om värdet inte fylls i kan du inte fortsätta med de återstående stegen.

  9. Stäng msExchFedOrgNextCertificate egenskapen.

  10. Dubbelklicka på egenskapen msExchFedOrgPrivCertificate och klistra sedan in värdet som du kopierade i steg 8. Miniatyren för det aktuella certifikatet ersätts med miniatyren för nästa certifikat.

  11. Klicka på OK för att ange värdet.

  12. Manuellt tvinga Active Directory-replikering. Eller vänta tills ändringen replikeras i Active Directory-infrastrukturen.

    Anteckning

    Mer information om hur du tvingar Active Directory-replikering finns i Tvinga replikering via en anslutning.

  13. Kör guiden Hantera federation i Exchange Management Console igen. Det aktuella certifikatet och nästa certifikat bör vara samma.

  14. Markera rollcertifikatet för att göra nästa certifikat som aktuellt certifikat och slutför sedan stegen i guiden.

  15. Testa konfigurationen med hjälp av Test-Federation cmdleten. Resultaten bör visa att verifieringen av federationscertifikatet lyckades.

    Anteckning

    Mer information om Test-FederationTrust cmdleten finns i Test-FederationTrust.

Mer information

Behöver du fortfarande hjälp? Gå till webbplatsen för Microsoft Community eller Windows Azure Active Directory-forumen.