如果 Windows 識別基礎安裝 Windows Server 2008 中,或在 Windows Server 2008 R2 中,使用 SAML 語彙基元和協力廠商的密碼編譯安全性模式時,簽章驗證失敗

文章翻譯 文章翻譯
文章編號: 2599538 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

徵狀

請考慮下列案例:
  • 您的網路環境中執行 Windows Server 2008 或 Windows Server 2008 R2 的電腦上安裝 Microsoft Windows 識別基礎。
  • 您可以在硬體安全性模組 (HSM) 在網路環境中使用協力廠商的密碼編譯安全性模組。
  • HSM 用來儲存權杖簽署憑證的私密金鑰。
  • 您嘗試使用安全性判斷提示標記語言 (SAML) 權杖,這種環境中進行驗證。
在這個案例中,簽章驗證失敗時,所處理的 SAML 語彙基元。此外,您會收到下列的例外狀況事件記錄檔:

事件識別碼 303
事件 xmlns ="http://schemas.microsoft.com/win/2004/08/events/event

">
-<system></system>
<provider name="AD FS 2.0" guid="{20E25DDB-09E5-404B-8A56-EDAE2F12EE81}"></provider>
<eventid>303</eventid>
<version>0</version>
<level>2</level>
<task>0</task>
<opcode>0</opcode>
<keywords>0x8000000000000001</keywords>
<timecreated systemtime=" systemtime=""></timecreated systemtime=">時間" />
<eventrecordid>19775</eventrecordid>
<correlation activityid="{ activityid=""></correlation activityid="{>ActivityID}" />
<execution processid=" processid=""></execution processid=">其中 ProcessID"ThreadID ="ThreadID" />
<channel>AD FS 2.0/管理</channel>
<computer></computer>FQDN
<security userid=" userid=""></security userid=">使用者識別碼" />

-<userdata></userdata>
-<event xmlns:auto-ns2=" xmlns:auto-ns2=""></event xmlns:auto-ns2=">http://schemas.microsoft.com/win/2004/08/events"xmlns ="http://schemas.microsoft.com/ActiveDirectoryFederationServices/2.0/Events">
-<eventdata></eventdata>
<data>Microsoft.IdentityModel.Protocols.XmlSignature.SignatureVerificationFailedException: MSIS0038: SAML 訊息沒有正確簽章。發行者: ' http://idp-sts.external.ustest.lmco.com/adfs/services/trust'。在 Microsoft.IdentityServer.Protocols.Saml.Contract.SamlContractUtility.CreateSamlMessage (MSISSamlBindingMessage 訊息)],在 Microsoft.IdentityServer.Service.SamlProtocol.SamlProtocolService.Issue (IssueRequest issueRequest) 在 Microsoft.IdentityServer.Service.SamlProtocol.SamlProtocolService.ProcessRequest (訊息 requestMessage)</data>



事件識別碼 364
事件 xmlns ="http://schemas.microsoft.com/win/2004/08/events/event

">
-<system></system>
<provider name="AD FS 2.0" guid="{20E25DDB-09E5-404B-8A56-EDAE2F12EE81}"></provider>
<eventid>364</eventid>
<version>0</version>
<level>2</level>
<task>0</task>
<opcode>0</opcode>
<keywords>0x8000000000000001</keywords>
<timecreated systemtime=" systemtime=""></timecreated systemtime=">時間" />
<eventrecordid>19776</eventrecordid>
<correlation activityid="{ activityid=""></correlation activityid="{>ActivityID}" />
<execution processid=" processid=""></execution processid=">其中 ProcessID"ThreadID ="ThreadID" />
<channel>AD FS 2.0/管理</channel>
<computer></computer>FQDN
<security userid=" userid=""></security userid=">使用者識別碼" />

-<userdata></userdata>
-<event xmlns:auto-ns2=" xmlns:auto-ns2=""></event xmlns:auto-ns2=">http://schemas.microsoft.com/win/2004/08/events"xmlns ="http://schemas.microsoft.com/ActiveDirectoryFederationServices/2.0/Events">
-<eventdata></eventdata>
<data>Microsoft.IdentityServer.Web.RequestFailedException: MSIS7012: 在處理要求時發生錯誤。如需詳細資訊,請連絡您的系統管理員。---> System.ServiceModel.FaultException: 這個錯誤的建立者未指定原因。在 Microsoft.IdentityServer.Protocols.Saml.Contract.MSISSamlProtocolContractClientManager.ProcessRequest (訊息要求),在 Microsoft.IdentityServer.Protocols.Saml.Contract.MSISSamlProtocolContractClient.ProcessRequest (MSISSamlRequest samlRequest) 在 Microsoft.IdentityServer.Protocols.Saml.Contract.MSISSamlProtocolContractClient.Issue (HttpSamlMessage httpSamlMessage、 SecurityTokenElement onBehalfOf、 字串工作階段狀態、 字串 & newSessionState、 字串 & authenticatingProvider) 在 Microsoft.IdentityServer.Web.FederationPassiveAuthentication.RequestBearerToken Microsoft.IdentityServer.Protocols.Saml.Contract.MSISSamlProtocolContractClient.ProcessRequest[T](MSISSamlRequest samlRequest) (HttpSamlRequestMessage httpSamlRequest、 SecurityTokenElement onBehalfOf、 字串 & samlpSessionState,字串 &samlpAuthenticationProvider)---的內部例外狀況堆疊追蹤---Microsoft.IdentityServer.Web.FederationPassiveAuthentication.RequestBearerToken (HttpSamlRequestMessage httpSamlRequest、 SecurityTokenElement onBehalfOf、 字串 & samlpSessionState、 字串 & samlpAuthenticationProvider) 在 Microsoft.IdentityServer.Web.FederationPassiveAuthentication.BuildSignInResponseCoreWithSerializedToken (字串 signOnToken、 WSFederationMessage incomingMessage) 在 Microsoft.IdentityServer.Web.FederationPassiveAuthentication.BuildSignInResponseCoreWithSecurityToken (SecurityToken securityToken、 WSFederationMessage incomingMessage) 在 Microsoft.IdentityServer.Web.FederationPassiveAuthentication.BuildSignInResponseForProtocolRequest (FederationPassiveContext federationPassiveContext、 SecurityToken securityToken) 在結尾Microsoft.IdentityServer.Web.FederationPassiveAuthentication.BuildSignInResponse (SecurityToken securityToken) System.ServiceModel.FaultException: 這個錯誤的建立者未指定原因。在 Microsoft.IdentityServer.Protocols.Saml.Contract.MSISSamlProtocolContractClientManager.ProcessRequest (訊息要求),在 Microsoft.IdentityServer.Protocols.Saml.Contract.MSISSamlProtocolContractClient.ProcessRequest (MSISSamlRequest samlRequest) 在 Microsoft.IdentityServer.Protocols.Saml.Contract.MSISSamlProtocolContractClient.Issue (HttpSamlMessage httpSamlMessage、 SecurityTokenElement onBehalfOf、 字串工作階段狀態、 字串 & newSessionState、 字串 & authenticatingProvider) 在 Microsoft.IdentityServer.Web.FederationPassiveAuthentication.RequestBearerToken Microsoft.IdentityServer.Protocols.Saml.Contract.MSISSamlProtocolContractClient.ProcessRequest[T](MSISSamlRequest samlRequest) (HttpSamlRequestMessage httpSamlRequest、 SecurityTokenElement onBehalfOf、 字串 & samlpSessionState,字串 &) samlpAuthenticationProvider</data>



發生的原因

發生這個問題的原因 CreateSamlMessage 當您使用協力廠商的密碼編譯安全性模式時,函式無法驗證簽章。

解決方案

Hotfix 資訊

從 Microsoft 取得支援的 hotfix。不過,此 hotfix 被用來修正本文所述的問題。此 hotfix 只適用於發生本文所述之問題的系統上。此 hotfix 可能會接受其他測試。因此,如果您不會嚴重受到這個問題,我們建議您等候下一個包含此 hotfix 的軟體更新。

Hotfix 是可供下載,如果沒有此知識庫文件頂端的 「 下載 Hotfix 」 區段。如果這個區段不會出現,請連絡 Microsoft 客戶服務及支援 」 取得 hotfix。

附註 如果發生其他問題或需要任何的疑難排解時,您可能必須建立個別的服務要求。收取支援費用會套用到其他支援問題,以及此特定 hotfix 無法解決的問題。Microsoft 客戶服務和支援的電話號碼或建立個別的服務要求的完整清單,請造訪下列 Microsoft 網站:
http://support.microsoft.com/contactus/?ws=support
附註 「 下載 Hotfix 」 表單會顯示此 hotfix 是可用的語言。如果看不到您的語言,是因為 hotfix 未提供該語言的支援。

必要條件

若要套用此 hotfix,您必須執行下列作業系統其中一項:
  • Windows Server 2008 版本 2 (SP2)
  • Windows Server 2008 R2
  • Windows Server 2008 R2 版本 1 (SP1)
此外,您必須擁有 AD FS 2.0 安裝。

如需有關如何取得 Windows Server 2008 service pack 的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
968849如何取得最新的 service pack 的 Windows Server 2008
如需有關如何取得 Windows 7 或 Windows Server 2008 R2 service pack 的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
976932版本 1 的 Windows 7,以及 Windows Server 2008 R2 的相關資訊

登錄資訊

若要使用此套件中的 hotfix,您不需要對登錄進行任何變更。

重新啟動需求

套用此 hotfix 之後,您必須重新啟動電腦。

Hotfix 取代資訊

此 hotfix 不會取代先前發行的 hotfix。

檔案資訊

此 hotfix 的全球版本具有下列表格中所列的屬性的檔案的安裝。日期和時間,這些檔案會列出在國際標準時間 (UTC)。以您當地的時間和目前的日光節約時間 (DST) 的時差來顯示日期和本機電腦上這些檔案的時間。此外,日期和時間可能會變更當您執行特定作業時的檔案。
Windows Server 2008 檔案資訊備忘稿
重要 Windows Vista hotfix 和 Windows Server 2008 的快速補充程式包含在相同的套件。不過,只有 「 Windows Vista 」 會列在 Hotfix 要求] 頁面。若要要求 hotfix 套件套用至一或兩個作業系統,選取所列在 「 Windows Vista 」 頁面上的 hotfix。永遠參考文件以判斷實際套用到的快速修正程式的作業系統中 「 適用於 」 一節。
  • 資訊清單檔案 (.manifest) 」 與 「 菊 (.mum) 安裝檔案,每個環境 分別列 在 「 為 Windows Server 2008 的其他檔案資訊 」 區段。MUM 的檔案和資訊清單檔,相關的安全性類別目錄 (.cat) 檔案中,會維護更新元件的狀態非常重要。安全性類別目錄檔案,其屬性並未列出,是使用 Microsoft 數位簽章來簽署。
所有支援的 Windows Server 2008 的 x86 為主版
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間
Microsoft.identitymodel.dll6.1.7601.218051,093,63202-年 9 月-201110: 59
所有支援的 Windows Server 2008 的 x64 為主版
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間
Microsoft.identitymodel.dll6.1.7601.218051,093,63202-年 9 月-201110: 50
Windows Server 2008 R2 檔案資訊備忘稿
  • 套用至特定產品、 里程碑 (RTM、 SP 的檔案n),及服務分支 (LDR,GDR) 可識別藉由檢查的檔案版本號碼,如下列表格所示:
    摺疊此表格展開此表格
    版本產品里程碑服務分支
    6.1.760 0.21xxxWindows Server 2008 R2RTMLDR
    6.1.760 1.21xxxWindows Server 2008 R2SP1LDR
  • 資訊清單檔案 (.manifest) 」 與 「 菊 (.mum) 安裝檔案,每個環境 分別列 在 「 Windows Server 2008 R2 其他檔案資訊 」 區段。菊] 及 [資訊清單檔] 和 [相關的安全性類別目錄 (.cat) 檔案,是非常重要,以維護更新元件的狀態。安全性類別目錄檔案,其屬性並未列出,是使用 Microsoft 數位簽章來簽署。
所有支援的 Windows Server 2008 R2 的 x64 為主版
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間
Microsoft.identitymodel.dll6.1.7600.210401,093,6322011-31-8 月06: 34
Microsoft.identitymodel.dll6.1.7601.218051,093,6322011-31-8 月08: 17

狀況說明

Microsoft 已確認這是 「 套用 」 一節所列的 Microsoft 產品中的問題。

其他相關資訊

如需有關軟體更新術語的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
編號 824684用來描述 Microsoft 軟體更新標準術語的說明

其他檔案資訊

Windows Server 2008 的其他檔案資訊

所有支援的其他檔案 x 的 Windows Server 2008 的 x86 版本
摺疊此表格展開此表格
檔案名稱Msil_microsoft.identitymodel_31bf3856ad364e35_7.0.6002.22713_none_69f5c7925e740531.manifest
檔案版本不適用
檔案大小3,342
日期 (UTC)2011-08-年 9 月
時間 (UTC)19: 10
檔案名稱X86_9b5f0195f4641e38ea45e8629df5288d_31bf3856ad364e35_7.0.6002.22713_none_cd43532c445ef867.manifest
檔案版本不適用
檔案大小654
日期 (UTC)12-年 9 月-2011
時間 (UTC)07: 23
所有支援的其他檔案的 Windows Server 2008 的 x64 為主版
摺疊此表格展開此表格
檔案名稱Amd64_9b5f0195f4641e38ea45e8629df5288d_31bf3856ad364e35_7.0.6002.22713_none_2961eeaffcbc699d.manifest
檔案版本不適用
檔案大小656
日期 (UTC)12-年 9 月-2011
時間 (UTC)07: 23
檔案名稱Msil_microsoft.identitymodel_31bf3856ad364e35_7.0.6002.22713_none_69f5c7925e740531.manifest
檔案版本不適用
檔案大小3,346
日期 (UTC)2011-08-年 9 月
時間 (UTC)15: 35

Windows Server 2008 R2 的其他檔案資訊

所有支援的其他檔案的 Windows Server 2008 R2 的 x64 為主版
摺疊此表格展開此表格
檔案名稱Amd64_343e2fe9947d063eb95271428600775a_31bf3856ad364e35_7.1.7601.21805_none_1b300b4f814b6630.manifest
檔案版本不適用
檔案大小656
日期 (UTC)2011-31-8 月
時間 (UTC)11: 09
檔案名稱Amd64_cb3249ddaee029936ca1dc0c78998191_31bf3856ad364e35_7.1.7600.21040_none_6fb3702e79aa4e2f.manifest
檔案版本不適用
檔案大小656
日期 (UTC)2011-31-8 月
時間 (UTC)11: 09
檔案名稱Msil_microsoft.identitymodel_31bf3856ad364e35_7.1.7600.21040_none_681389a3c2802db7.manifest
檔案版本不適用
檔案大小2,333
日期 (UTC)2011-31-8 月
時間 (UTC)06: 51
檔案名稱Msil_microsoft.identitymodel_31bf3856ad364e35_7.1.7601.21805_none_6a2a518fbf817277.manifest
檔案版本不適用
檔案大小2,333
日期 (UTC)2011-31-8 月
時間 (UTC)08: 45

屬性

文章編號: 2599538 - 上次校閱: 2011年10月13日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Windows Identity Foundation
關鍵字:?
kbautohotfix kbqfe kbhotfixserver kbfix kbsurveynew kbexpertiseadvanced kbmt KB2599538 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:2599538
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com