Condividi tramite

Impossibile trovare il certificato federativo con l'impronta digitale quando si usa il certificato successivo.

  • Si applica a: Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Exchange Online, Exchange Server 2010 Enterprise, Exchange Server 2010 Standard

Numero KB originale: 2810692

Annotazioni

La configurazione ibrida guidata inclusa in Exchange Management Console in Microsoft Exchange Server 2010 non è più supportata. Pertanto, non dovresti più usare il vecchio Assistente alla configurazione ibrida. Usare invece il wizard di Configurazione Ibrida di Microsoft 365. Per ulteriori informazioni, vedere Procedura guidata di configurazione ibrida di Microsoft 365 per Exchange 2010.

Sintomi

Si consideri lo scenario seguente in una distribuzione ibrida di Exchange Server locale ed Exchange Online in Microsoft 365:

  • Il certificato corrente creato per l'attendibilità federativa nel server ibrido viene eliminato involontariamente.
  • Per il corretto funzionamento dell'attendibilità, è necessario sostituire il certificato corrente.
  • Viene creato un nuovo certificato.
  • Eseguire la Gestione guidata della federazione e quindi selezionare la casella di controllo per il certificato di rinnovo per impostare il certificato successivo come certificato corrente e utilizzare il nuovo certificato.

In questo scenario, la procedura guidata non aggiorna il certificato come previsto. Quando si tenta di usare il cmdlet Set-FederationTrust -Identity per aggiornare il trust della federazione affinché utilizzi il prossimo certificato come certificato corrente, viene visualizzato il seguente messaggio di errore:

[PS] C:>Set-FederationTrust -Identity -PublishFederationCertificate "Microsoft Federation Gateway"
Impossibile trovare il certificato federativo con l'impronta digitale "<impronta digitale del certificato corrente>".
+ CategoriaInformazioni: InvalidResult: (:) [Set-FederationTrust], FederationCertificateInvalidException
+ FullyQualifiedErrorId : 906B427C,Microsoft.Exchange.Management.SystemConfigurationTasks

Motivo

Questo problema si verifica se il nuovo certificato non è presente nell'archivio certificati. In questo caso, la Gestione guidata federazione non può passare al nuovo certificato.

Risoluzione

Per risolvere questo problema, aggiornare l'oggetto Active Directory per il trust di federazione aggiungendo l'impronta digitale del prossimo certificato di federazione all'oggetto. In questo modo, la Procedura guidata di gestione della federazione o il cmdlet Set-FederationTrust processi correttamente la richiesta di rollover.

Per fare questo, segui questi passaggi:

  1. Accedere al server di distribuzione ibrida di Exchange 2010 come amministratore di dominio.

  2. Aprire Modifica di Active Directory Service Interfaces (ADSI). A tale scopo, fare clic su Start, fare clic su Esegui, digitare e quindi fare clic su ADSIEdit.msc.

  3. Dopo il caricamento della finestra di modifica ADSI, fare clic con il pulsante destro del mouse su MODIFICA ADSI nel riquadro di spostamento e quindi scegliere Connetti a.

  4. Nella finestra Impostazioni connessione fare clic su Seleziona un contesto di denominazione noto nell'area Punto di connessione e quindi fare clic su Configurazione.

  5. Nell'area Computer selezionare Predefinito (dominio o server a cui si è connessi) e quindi fare clic su OK.

  6. Individuare CN=Configuration, DC=<DOMAIN>, DC=<COM>, CN=Services, CN=Microsoft Exchange, CN=<ORGANIZATION NAME>, CN=Federation Trusts.

    Annotazioni

    Sostituire i valori nei segnaposto (<>) con i valori specifici dell'ambiente.

  7. Fare clic con il pulsante destro del mouse su CN=Microsoft Federation Gateway e quindi scegliere Proprietà.

  8. Fare doppio clic sulla msExchFedOrgNextCertificate proprietà e quindi copiare l'intero valore.

    Annotazioni

    Questo valore può essere popolato solo se si verifica il problema descritto nella sezione Sintomi. Se il valore non viene popolato, non è possibile continuare con i passaggi rimanenti.

  9. Chiudere la msExchFedOrgNextCertificate proprietà .

  10. Fare doppio clic sulla msExchFedOrgPrivCertificate proprietà e quindi incollare il valore copiato nel passaggio 8. L'anteprima del certificato corrente verrà sostituita con l'anteprima del certificato successivo.

  11. Fare clic su OK per impostare il valore.

  12. Forzare manualmente la replica di Active Directory. In alternativa, attendere che la modifica venga replicata nell'infrastruttura di Active Directory.

    Annotazioni

    Per altre informazioni su come forzare la replica di Active Directory, vedere Forzare la replica su una connessione.

  13. Nella Console di gestione di Exchange, eseguire di nuovo la Gestione guidata delle federazioni. Il certificato corrente e il certificato successivo devono essere uguali.

  14. Selezionare la casella di controllo Certificato di rotazione per impostare il certificato successivo come certificato corrente e quindi completare i passaggi del wizard.

  15. Testare la configurazione usando il Test-Federation cmdlet . I risultati dovrebbero indicare che la convalida del certificato federativo ha avuto esito positivo.

    Annotazioni

    Per altre informazioni sul Test-FederationTrust cmdlet, vedere Test-FederationTrust.

Maggiori informazioni

Hai ancora bisogno di aiuto? Vai alla Community Microsoft o al sito dei forum di Windows Azure Active Directory.

  • Last updated on