Für Forefront Identity Manager 2010 ist ein Hotfix-Rollup-Paket (Build 4.0.3594.2) verfügbar
Einführung
Für Microsoft Forefront Identity Manager (FIM) 2010 ist ein Hotfix-Rollup-Paket (Build 4.0.3594.2) verfügbar. Dieses Hotfix-Rollup-Paket behebt einige Probleme und fügt einige Funktionen hinzu, die im Abschnitt „Weitere Informationen" beschrieben werden.
Dieses Hotfix-Rollup-Paket enthält alle vorherigen Hotfixes, die in den folgenden Artikeln der Microsoft Knowledge Base beschrieben werden:
2502631 Für Forefront Identity Manager 2010 ist ein Hotfix-Rollup-Paket (Build 4.0.3576.2) verfügbar
2417774 Für Forefront Identity Manager 2010 ist ein Hotfix-Rollup-Paket (Build 4.0.3573.2) verfügbar
2272389 Für Forefront Identity Manager 2010 ist ein Hotfix-Rollup-Paket (Build 4.00.3558.02) verfügbar
2028634 Für Microsoft Forefront Identity Manager (FIM) 2010 ist ein Hotfix-Rollup-Paket (Build 4.0.3547.2) verfügbar
978864 Update-Paket 1 für Microsoft Forefront Identity Manager (FIM) 2010 Dieses Hotfix-Rollup-Paket behebt außerdem einige Probleme und stellt einige Funktionen bereit, die in einem früheren Artikel der Microsoft Knowledge Base nicht dokumentiert wurden. Weitere Informationen zu diesen Problemen und Funktionen finden Sie im Abschnitt „Weitere Informationen".
Auflösung
Informationen zum Hotfix-Rollup
Ein unterstütztes Hotfix-Rollup ist von Microsoft erhältlich. Dieses Hotfix-Rollup soll jedoch nur das in diesem Artikel beschriebene Problem beheben. Wenden Sie diesen Hotfix nur auf Systemen an, bei denen das in diesem Artikel beschriebene Problem auftritt. Dieser Hotfix wird möglicherweise weiteren Tests unterzogen. Wenn Sie von diesem Problem nicht schwerwiegend betroffen sind, empfehlen wir Ihnen daher, auf das nächste Softwareupdate zu warten, das dieses Hotfix-Rollup enthält.
Wenn das Hotfix-Rollup zum Download verfügbar ist, finden Sie oben in diesem Knowledge Base-Artikel den Abschnitt „Hotfix-Download verfügbar". Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an den Kundendienst und Support von Microsoft, um den Hotfix zu erhalten.
Hinweis Wenn weitere Probleme auftreten oder eine Fehlerbehebung erforderlich ist, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Für weitere Supportfragen und Probleme, die für diesen speziellen Hotfix nicht in Frage kommen, fallen die üblichen Supportkosten an. Eine vollständige Liste der Microsoft-Kundendienst- und Support-Telefonnummern oder zum Erstellen einer separaten Serviceanfrage finden Sie auf der folgenden Microsoft-Website:
http://support.microsoft.com/contactus/?ws=support Hinweis Im Formular „Hotfix-Download verfügbar" werden die Sprachen angezeigt, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, liegt das daran, dass für diese Sprache kein Hotfix verfügbar ist.
Installationsinformationen
Wenn Sie eine der FIM-Serverkomponenten aktualisieren, müssen Sie auch die folgenden Serverkomponenten aktualisieren:
Die Komponenten der Zertifizierungsstelle (CA) des FIM-Zertifikatmanagements (CM) weisen dieselbe Version auf wie der FIM-CM-Server.
Der FIM-Dienst hat dieselbe Version wie der FIM-Synchronisierungsdienst.
Um einen Ausfall des Massenclients zu vermeiden, müssen Sie beim Upgrade des FIM 2010 CM-Massenclients auch den FIM CM-Server und die FIM CA-Servermodule auf die gleiche Version aktualisieren.
Voraussetzungen
Um dieses Hotfix-Rollup anzuwenden, muss Microsoft Forefront Identity Manager (FIM) 2010 installiert sein.
Informationen zum Neustart
Sie müssen den Computer neu starten, nachdem Sie das Hotfix-Rollup-Paket für Add-Ins und Erweiterungen angewendet haben. Darüber hinaus müssen Sie möglicherweise die Serverkomponenten neu starten.
Registrierungsinformationen
Um einen der Fixes in diesem Hotfix-Rollup verwenden zu können, müssen Sie die Registrierung ändern. Weitere Informationen finden Sie im Abschnitt „Weitere Informationen".
Informationen zum Ersatz
Dieses Hotfix-Rollup-Paket ersetzt die folgenden Hotfix-Rollup-Pakete:
2502631 Für Forefront Identity Manager 2010 ist ein Hotfix-Rollup-Paket (Build 4.0.3576.2) verfügbar
2417774 Für Forefront Identity Manager 2010 ist ein Hotfix-Rollup-Paket (Build 4.0.3573.2) verfügbar
2272389 Für Forefront Identity Manager 2010 ist ein Hotfix-Rollup-Paket (Build 4.00.3558.02) verfügbar
2028634 Für Microsoft Forefront Identity Manager (FIM) 2010 ist ein Hotfix-Rollup-Paket (Build 4.0.3547.2) verfügbar
978864 Updatepaket 1 für Microsoft Forefront Identity Manager (FIM) 2010
Dateiinformationen
Die globale Version dieses Hotfix-Rollups installiert Dateien mit den in den folgenden Tabellen aufgeführten Attributen. Die Datums- und Uhrzeitangaben für diese Dateien werden in der koordinierten Weltzeit (UTC) angegeben. Die Datums- und Uhrzeitangaben für diese Dateien auf Ihrem lokalen Computer werden in Ihrer Ortszeit zusammen mit Ihrer aktuellen Sommerzeit (DST) angezeigt. Darüber hinaus können sich Datum und Uhrzeit ändern, wenn Sie bestimmte Vorgänge an den Dateien ausführen.
Für alle unterstützten Versionen von Forefront Identity Manager 2010
Dateiname | Dateiversion | Dateigröße | Datum | Zeit |
|---|---|---|---|---|
CM Bulk Client.zip | Unzutreffend | 10.228.107 | 15. Okt. 2011 | 21:41 |
FIMAdinsExtensions_x64_KB2520954.msp | Unzutreffend | 3.243.520 | 11. Okt. 2011 | 22:27 |
FIMAdinsExtensions_x86_KB2520954.msp | Unzutreffend | 3.703.296 | 11. Okt. 2011 | 21:54 |
FIMAdinsExtensionsLP_x64_KB2520954.msp | Unzutreffend | 4.611.072 | 18. Okt. 2011 | 09:35 |
FIMAdinsExtensionsLP_x86_KB2520954.msp | Unzutreffend | 3.698.688 | 11. Okt. 2011 | 21:54 |
FIMCM_x64_KB2520954.msp | Unzutreffend | 13.788.160 | 11. Okt. 2011 | 22:27 |
FIMCM_x86_KB2520954.msp | Unzutreffend | 13.386.240 | 11. Okt. 2011 | 21:54 |
FIMCMClient_x64_KB2520954.msp | Unzutreffend | 5.796.352 | 11. Okt. 2011 | 22:27 |
FIMCMClient_x86_KB2520954.msp | Unzutreffend | 5.139.968 | 11. Okt. 2011 | 21:54 |
FIMService_x64_KB2520954.msp | Unzutreffend | 17.148.928 | 11. Okt. 2011 | 22:27 |
FIMServiceLP_x64_KB2520954.msp | Unzutreffend | 4.662.272 | 11. Okt. 2011 | 22:27 |
FIMSyncService_x64_KB2520954.msp | Unzutreffend | 118.507.008 | 11. Okt. 2011 | 22:27 |
Mehr Informationen
Probleme in der Workflow Engine behoben
Fehler 1
Gehen Sie davon aus, dass Sie einen Vorgang ausführen, der auf die SQL-Datenbank zugreift, wenn die Verbindungspoolingfunktion von Microsoft SQL Server auf dem FIM-Server aktiviert ist. Sie führen beispielsweise eine Abfrage oder eine Anfrage aus. Wenn der Vorgang aus irgendeinem Grund abläuft, kann ein zukünftiger Vorgang für denselben Thread fehlschlagen, bis dieser Thread aus dem SQL-Verbindungspool entfernt wird. Im Ereignisprotokoll der FIM-Dienstanwendung, in der Eigenschaft „RequestStatusDetails" für eine Anforderung oder in der Eigenschaft „WorkflowStatusDetails" einer Workflowinstanz wird eine Fehlermeldung angezeigt, die der folgenden ähnelt:
Die Registrierung für die Transaktion ist nicht möglich, da auf der Verbindung gerade eine lokale Transaktion ausgeführt wird.
Darüber hinaus ist der Zeitstempel derselbe wie der Zeitpunkt, zu dem der Vorgang fehlschlägt.
Probleme in der Synchronisierungs-Engine behoben
Fehler 1
Ein ExpectedRulesEntry (ERE)-Objekt ist einer untergeordneten Synchronisierungsregel eines Metaverse-Objekts zugeordnet. Wenn das ERE-Objekt über eine Entfernen-Aktion verfügt, wird auch die Deprovisionierung des Objekts ausgelöst. Dann führt das Verhalten zum Löschen des Metaverse-Objekts.
Ausgabe 2
Behebt eine Zugriffsverletzung, wenn eine benutzerdefinierte Erweiterung ein COM+-Objekt aufruft.
Ausgabe 3
Mit einem früheren Hotfix wurde ein spezieller ECMA-Modus (Extensible Connectivity Management Agent) eingeführt, um unbestätigte Exporte treuhänderisch aufzubewahren, anstatt auf die Bestätigung zu warten. Ein Problem mit diesem Hotfix führt dazu, dass die Delta-Synchronisierung neue Elemente hinzufügt, die nicht mit einem treuhänderisch verwalteten Export zu einem ausstehenden Export zusammengeführt werden. Nachdem Sie den in diesem Artikel erwähnten Hotfix installiert haben und der Registrierungseintrag ECMAAlwaysExportUnconfirmed auf 1 gesetzt ist, werden die hinterlegten und ausstehenden Änderungen zusammengeführt.
Ausgabe 4
Behebt ein Problem beim Aufbau einer SQL-Abfrage, das während eines Imports auftritt. Dieses Problem betrifft eine DB2-Datenbank, die einen Nicht-Unicode-Zeichensatz verwendet.
Ausgabe 5
Behebt viele Fehler „Export nicht reimportiert", die aufgrund von Fehlern in SQL auftreten können.
Ausgabe 6
Verbessert die Leistung aller Sync Engine-Vorgänge.
Hinweis Diese Änderung beinhaltet ein umfangreiches Upgrade der Synchronisierungsdatenbank. Dieses Upgrade kann je nach Hardware viel Zeit in Anspruch nehmen. Während des Datenbank-Upgrades wird ein Fortschrittsbalken angezeigt.
Ausgabe 7
Eine Kennwortzurücksetzung, die die Registrierungseinstellung ADMAEnforcePasswordPolicy verwendet, schlägt fehl, wenn sich der Benutzer in der Administratorgruppe befindet, aber kein Administrator ist.
Merkmal 1
Fügt eine Option hinzu, mit der FIM 2010 während des Kennwortfestlegungsvorgangs die aktuelle Zeit auf dem Server in das Feld „HTTPPasswordChangeDate" exportieren kann. Der Zeitstempel wird als TimeDate- Datentyp gespeichert.
Um dieses Verhalten zu aktivieren, legen Sie den folgenden Registrierungsunterschlüssel auf einen DWORD-Wert ungleich Null fest:
SYSTEM\CurrentControlSet\Services\FIMSynchronizationService\Parameters\NotesMAExportPwdTimestamp
Merkmal 2
Der FIM 2010 Active Directory Management Agent (AD MA) berücksichtigt die Liste der bevorzugten Domänencontroller beim Exportieren von Kennwörtern nicht. Dies ist ein Problem für Kunden, die Kennwortänderungen an eine bestimmte Gruppe von Domänencontrollern übertragen möchten. Dieses Hotfix-Rollup-Paket ändert den AD MA so, dass er zuerst die Liste der bevorzugten Domänencontroller verwendet. Wenn die Liste der bevorzugten Domänencontroller nicht vorhanden ist, identifiziert der Domänencontroller-Locator-Dienst einen Domänencontroller für Kennwortexportvorgänge. Darüber hinaus können Sie weiterhin erzwingen, dass Kennwortvorgänge den primären Domänencontroller verwenden, indem Sie den folgenden Registrierungsunterschlüssel festlegen:
Unterschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\FIMSynchronizationService\Parameters\PerMAInstance\<MA_name>
Wert:
ADMAUsePDCForPasswordOperations (REG_DWORD, 1 = True, 0 = False)
Dieses Hotfix-Rollup-Paket aktualisiert auch den AD MA, sodass keine Vertrauensbeziehung mit der konfigurierten Active Directory-Gesamtstruktur erforderlich ist, um Kennwörter in diese Gesamtstruktur zu exportieren.
Merkmal 3
Integriert die Möglichkeit, Objekte zu filtern, bevor sie in den AD MA-Connector-Bereich importiert werden.
Probleme in Sets und Abfragen behoben
Fehler 1
Behebt ein Problem, das manchmal zu falschen Set-Berechnungen führte. Dies führte zu zahlreichen Satzkorrekturen. Außerdem wurde der Job „Sets Correction" überarbeitet, sodass er keine speziellen Sets ändert, die von einem anderen Systemwartungsjob verwaltet werden.
Ausgabe 2
Die FIM-Funktionen „Abfragen und Sätze" wurden überarbeitet, um Prozentzeichen, Unterstriche und öffnende Klammern korrekt als Literale und nicht als SQL-Platzhalterzeichen zu behandeln.
Die genehmigten Zeichensätze für Zeichenfolgen, die in FIM-Attributwerten verwendet werden, werden im Attribut- und Bindungsschema im FIM-Dienst definiert. Die Syntax zur Darstellung eines XPath-Filters ist auf MSDN im folgenden Artikel „FIM XPath Filter Dialect" dokumentiert:
http://msdn.microsoft.com/en-us/library/ee652287.aspx Einige Kunden haben möglicherweise Zeichen, die SQL als Abfrage-Platzhalterzeichen definiert, wie z. B. das Prozentzeichen, in FIM-Suchen und Set-Filter eingefügt. In diesem Fall wollten die Kunden, dass FIM die Zeichen als SQL-Platzhalterzeichen behandelt. Dies ist keine dokumentierte oder unterstützte Funktion des Produkts. In einigen Fällen können Kunden möglicherweise die beabsichtigte Funktionalität erreichen, indem sie den Platzhalter entfernen und stattdessen eine „enthält"-Abfrage/einen „Enthält"-Filter verwenden.
Vorhandene Set-Ressourcen mit Filtern, die SQL-Platzhalterzeichen enthalten, funktionieren möglicherweise nicht mehr so, wie die Filter vor der Anwendung dieses Hotfixes funktionierten. Außerdem funktioniert ein Filter, der Platzhalterzeichen enthält und nach der Anwendung des Hotfixes weiterhin wie erwartet funktioniert, möglicherweise anders, wenn der Administrator die Filterdefinition später aktualisiert.
Kunden, die Zeichen verwendet haben, die SQL als Abfrage-Platzhalterzeichen definiert hat, müssen ihre Set-Filter entweder vor oder nach dem Upgrade auf diesen Hotfix überprüfen und überarbeiten. Kunden sollten die Auswirkungen von Set-Mitgliedschaftsänderungen auf Set-Übergangs-MPRs berücksichtigen. Und Kunden möchten möglicherweise MPRs vorübergehend deaktivieren oder Workflow-Definitionen aktualisieren, während sie ihre Set-Filter ändern, um zu vermeiden, dass während der Set-Definitionswartung unbeabsichtigt Bereitstellungs- oder Deprovisionierungsvorgänge ausgelöst werden.
Probleme in der Zertifikatsverwaltung behoben
Fehler 1
Aktiviert den Zufallszahlengenerator in der Serverschlüsselgenerierungsfunktion.
Ausgabe 2
Verbessert die Leistung bei der Registrierung einer Smartcard, die zuvor noch nicht mit FIM Certificate Management (CM) verwendet wurde.
Behobene Probleme im FIM Management Agent (MA)
Fehler 1
Behebt ein Problem, bei dem die FIM-Synchronisierungsdienstkonfiguration für Synchronisierungsregeln und codelose Bereitstellung nicht korrekt in die FIM-Dienstdatenbank geschrieben wurde.
Probleme im FIM-Dienst behoben
Fehler 1
Behebt ein Problem mit SQL Server-Deadlocks, das in Zeiten hoher Parallelität von Anforderungen oder Genehmigungen auftreten kann.
Ausgabe 2
Behebt ein Problem, bei dem unerwartete Daten in der FIM-Dienstdatenbank dazu führen konnten, dass der FIM-MA dazu führte, dass der Synchronisierungsdienst während des Imports fehlschlug und ein Fehler aufgrund des gestoppten Servers auftrat.
Ausgabe 3
Behebt ein Problem, wenn Sie einen Wert für ein mehrwertiges Zeichenfolgenattribut hinzufügen oder entfernen. Wenn die Anfrage einer Autorisierung, wie z. B. einer Neubewertung der Anfrage, bedarf, schlägt die Anfrage nach der Genehmigung fehl.
Ausgabe 4
Einige ExpectedRuleEntry-Objekte und DetectedRuleEntry-Objekte in FIM 2010 können mit der Zeit „verwaist" werden. Wenn in der DetectedRulesList eines Objekts im System kein Verweis auf ein DetectedRuleEntry-Objekt enthalten ist, gilt dieses Objekt als verwaist. Wenn auf ein ExpectedRuleEntry-Objekt nicht in der ExpectedRulesList eines Objekts im System verwiesen wird, gilt dieses Objekt ebenfalls als verwaist.
Diese verwaisten Objekte haben keinen funktionalen Einfluss auf FIM. Mit der Zeit können diese verwaisten Objekte jedoch zu einem Leistungsabfall sowohl bei FIM-Vorgängen als auch bei Synchronisierungsvorgängen im Zusammenhang mit FIM führen, z. B. beim Import oder Export mithilfe des FIM-MA.
Eine gespeicherte Bereinigungsprozedur, [debug].[DeleteOrphanedRulesByType], wurde dem [debug]-Namespace der FimService-Datenbank hinzugefügt. Diese gespeicherte Prozedur muss für das DetectedRuleEntry-Objekt und das ExpectedRuleEntry-Objekt separat ausgeführt werden. Die gespeicherte Prozedur verfügt außerdem über einen „reportOnly"-Modus, und dieser Modus kann verwendet werden, um das Vorhandensein und die Anzahl verwaister DetectedRuleEntry- und ExpectedRuleEntry-Objekte im System zu ermitteln.
Der Parameter @ruleType erwartet einen der folgenden bekannten Werte:
N'Detected' für DetectedRuleEntry-Objekte
N'Expected' für ExpectedRuleEntry-Objekte
Um die Anzahl der verwaisten Objekte im System zu ermitteln, führen Sie die gespeicherte Prozedur im „reportOnly"-Modus wie folgt aus.
DECLARE
@deletedRulesFound BIT;
EXEC [debug].[DeleteOrphanedRulesByType] @ruleType=N'CHANGE_ME', @reportOnly=1, @deletedRulesFound=@deletedRulesFound OUTPUT;
Um verwaiste Objekte im System zu durchlaufen und tatsächlich zu löschen, führen Sie die gespeicherte Prozedur wie folgt aus. @deletionLimit=1000 weist die Prozedur an, zu stoppen, wenn 1.000 Objekte gelöscht wurden. Wenn mehr als 1.000 verwaiste Objekte im System vorhanden sind, führen Sie den Vorgang entweder mehrmals aus (empfohlen) oder erhöhen Sie den Wert für deleteLimit.
DECLARE
@deletedRulesFound BIT,
@startDateTime DATETIME,
@endDateTime DATETIME;
SELECT @deletedRulesFound = -1;
WHILE @deletedRulesFound <> 0
BEGIN
SELECT @startDateTime = CURRENT_TIMESTAMP;
EXEC [debug].[DeleteOrphanedRulesByType] @ruleType=N'CHANGE_ME', @deletionLimit=1000, @reportOnly=0, @deletedRulesFound=@deletedRulesFound OUTPUT;
SELECT @endDateTime = CURRENT_TIMESTAMP;
SELECT @startDateTime AS [StartTime], @endDateTime AS [EndTime], @deletedRulesFound AS [WereDeletedRulesFound];
END
Verweise
Für weitere Informationen zur Softwareupdate-Terminologie klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
824684 Beschreibung der Standardterminologie, die zur Beschreibung von Microsoft-Softwareupdates verwendet wird
No comments:
Post a Comment