Планирование MIM 2016 с пакетом обновления 2 в среде TLS 1.2 или среде режима FIPS
Важно!
Эта статья относится только к MIM 2016 с пакетом обновления 2
При установке MIM 2016 с пакетом обновления 2 в заблокированную среду, в которой отключены все протоколы шифрования кроме TLS 1.2, применяются следующие требования:
- Чтобы установить безопасное подключение TLS 1.2 для компонентов MIM, требуются последние обновления для Windows Server и .NET Framework, позволяющие установить поддержку TLS 1.2 в .NET 3.5 Framework. В зависимости от конфигурации сервера возможно потребуется включить SystemDefaultTlsVersions для .NET Framework и (или) отключить все протоколы SCHANNEL, кроме TLS 1.2, в реестре в подразделах Client и Server.
Служба синхронизации MIM, SQL MA
- Чтобы установить безопасное подключение по протоколу TLS 1.2 с SQL Server, службе синхронизации MIM и встроенному агенту управления SQL требуется SQL Native Client 11.0.7001.0 или более поздней версии.
Служба MIM
Примечание
Сбой автоматической установки MIM 2016 с пакетом обновления 2 (SP2) в среде только с протоколом TLS 1.2. Установите службу MIM в интерактивном режиме или, при автоматической установке, обязательно включите протокол TLS 1.1. После завершения автоматической установки при необходимости задайте использование протокола TLS 1.2.
- Служба MIM не может использовать самозаверяющие сертификаты только в среде TLS 1.2. При установке службы MIM выберите надежный сертификат, совместимый с шифрованием, выданный доверенным центром сертификации.
- Для установщика службы MIM дополнительно требуется OLE DB Driver for SQL Server версии 18.2 или более поздней.
Рекомендации по режиму FIPS
Если служба MIM устанавливается на сервере с включенным режимом FIPS, необходимо отключить проверку политики FIPS, чтобы разрешить выполнение рабочих процессов службы MIM. Для этого добавьте элемент enforceFIPSPolicy enabled=false в раздел runtime файла Microsoft.ResourceManagement.Service.exe.config между разделами runtime и assemblyBinding, как показано ниже:
<runtime>
<enforceFIPSPolicy enabled="false"/>
<assemblyBinding ...>