Planowanie programu MIM 2016 SP2 w środowiskach protokołu TLS 1.2 lub w trybie FIPS
Ważne
Ten artykuł dotyczy tylko programu MIM 2016 z dodatkiem SP2
Podczas instalowania programu MIM 2016 SP2 w zablokowanym środowisku, które ma wszystkie protokoły szyfrowania, ale protokół TLS 1.2 jest wyłączony, obowiązują następujące wymagania:
- Aby ustanowić bezpieczne składniki połączenia TLS 1.2 programu MIM, wymagają najnowszych aktualizacji systemu Windows Server i .NET Framework, które umożliwiają instalowanie obsługi protokołu TLS 1.2 na platformie .NET 3.5 Framework. W zależności od konfiguracji serwera może być konieczne włączenie opcji SystemDefaultTlsVersions dla .NET Framework i / lub wyłączenie wszystkich protokołów SCHANNEL z wyjątkiem protokołu TLS 1.2 w rejestrze w podkluczach klienta i serwera.
Usługa synchronizacji programu MIM, SQL MA
- Aby ustanowić bezpieczne połączenie TLS 1.2 z programem SQL Server, usługa synchronizacji programu MIM i wbudowany agent zarządzania SQL wymagają klienta SQL Native Client 11.0.7001.0 lub nowszego.
Usługa MIM
Uwaga
Instalacja nienadzorowana programu MIM 2016 z dodatkiem SP2 kończy się niepowodzeniem w środowisku tylko protokołu TLS 1.2. Zainstaluj usługę MIM w trybie interaktywnym lub, jeśli instalacja nienadzorowana jest włączona, upewnij się, że protokół TLS 1.1 jest włączony. Po zakończeniu instalacji nienadzorowanej w razie potrzeby wymuś protokół TLS 1.2.
- Certyfikaty z podpisem własnym nie mogą być używane przez usługę MIM w środowisku tylko protokołu TLS 1.2. Podczas instalowania usługi MIM wybierz certyfikat zgodny z silnym szyfrowaniem wystawiony przez zaufany urząd certyfikacji.
- Instalator usługi MIM dodatkowo wymaga sterownika OLE DB dla SQL Server w wersji 18.2 lub nowszej.
Zagadnienia dotyczące trybu FIPS
W przypadku zainstalowania usługi MIM na serwerze z włączonym trybem FIPS należy wyłączyć walidację zasad FIPS, aby umożliwić wykonywanie przepływów pracy usługi MIM. W tym celu dodaj element enforceFIPSPolicy enabled=false do sekcji środowiska uruchomieniowego plikuMicrosoft.ResourceManagement.Service.exe.config między środowiskiem uruchomieniowym i sekcją assemblyBinding , jak pokazano poniżej:
<runtime>
<enforceFIPSPolicy enabled="false"/>
<assemblyBinding ...>