Wprowadzenie
W tym artykule opisano aktualizację, która rozwiązuje następujące problemy. Dla serwerów programu Active Directory Federation Services (AD FS) z systemem Windows Server 2008 i Windows Server 2008 R2 problemy występują po 2843638 zainstalować aktualizację zabezpieczeń. W przypadku serwerów programu AD FS z systemem Windows Server 2012 problemy występują po 2843639 zainstalować aktualizację zabezpieczeń. 2843638 i 2843639 są opisane w biuletynie zabezpieczeń MS13-066.
Problem 1
Gdy token jednokrotnej (SSO) powiększa się zbyt duży, użytkownik nie może uwierzytelnić z serwerem.
Ogólnie rzecz biorąc duże tokenu usługi rejestracji Jednokrotnej jest spowodowane użytkownik jest członkiem wielu grup.
Problem 2
Założono wdrażania programu AD FS jako dostawca tożsamości dla dostawcy federacji. Albo Załóżmy wdrażania programu AD FS jako zabezpieczeń tokenu usługi (STS) który działa jako połączenie dostawcy tożsamości i dostawcy Federacji dla aplikacji obsługującej tokenu. Jeśli błąd w relacji zaufania (na przykład zaufania strona pośrednicząca jest wyłączona), użytkownik utrzymuje widoczna strona logowania zamiast komunikatu o błędzie, gdy próbują wykonywać uwierzytelnianie.
Problem 3
Jeśli wyłączysz opcję rejestracji Jednokrotnej na serwerze usług AD FS, nie żądań uwierzytelnienia do serwera programu AD FS.
Problem 4
Gdy żądanie pasywne uwierzytelniania do serwera programu AD FS wymaga uwierzytelniania świeże, uwierzytelnianie nie powiedzie się, a serwer nadal wyświetla monit o podanie poświadczeń.
Uwaga Aplikacja obsługująca oświadczenia może zażądać świeżego uwierzytelniania za pomocą wfresh = 0 parametr dla mechanizmów WS-Fed. Aplikacja może używać zamiast ForceAuthN = true parametr dla mechanizmów SAMLP.
Wydanie 5
Aby uzyskać dostosowanej AD FS 2.0 wdrożeń, dostosowania dodane po signin() w kodzie strony FormsSignin.aspx.cs nie są wykonywane.
Rozwiązanie
Firma Microsoft wydała pakiet poprawek, aby rozwiązać ten problem.
Uwagi
-
Po zainstalowaniu tej poprawki, należy użyć uwierzytelniania formularzy lub uwierzytelniania zintegrowanego systemu Windows.
-
Po zainstalowaniu tej poprawki program AD FS 2.0 nie obsługuje już pasywnego uwierzytelnianie podstawowe HTTP. Jeśli używasz tego uwierzytelniania, teraz widać przechodzi w pętli przekierować żądanie i ostatecznie nie powiedzie się. Zaleca się migrowanie środowiska do uwierzytelniania opartego na formularzach, przed zainstalowaniem tej poprawki.
-
Po zainstalowaniu tej poprawki na serwerach STS, należy również zainstalować poprawkę na serwerach proxy. Zaleca się uaktualnienie wszystkich serwerów STS, przed przystąpieniem do uaktualniania serwerów proxy tak, że nie trzeba obniżyć wszystkie serwery w farmie serwerów.
Informacje o poprawce
Obsługiwana poprawka jest udostępniana przez firmę Microsoft. Jednak ta poprawka jest przeznaczona do usunięcia tylko problemu opisanego w tym artykule. Zastosuj poprawkę tylko w systemach, w których występuje problem opisany w tym artykule. Ta poprawka może być wciąż w fazie testowania. Jeśli dany system nie jest poważnie narażony na ten problem, firma Microsoft zaleca, aby poczekać na następną aktualizację oprogramowania zawierającą tę poprawkę.
Jeśli poprawka jest dostępna do pobrania, pojawi się sekcja "Poprawka dostępna do pobrania" na początku tego artykułu z bazy wiedzy Knowledge Base. Jeśli nie ma tej sekcji, skontaktuj się z Obsługą i Wsparciem Klienta Microsoft w celu uzyskania poprawki.
Uwaga Jeśli wystąpią dodatkowe błędy lub konieczność rozwiązania problemu, być może trzeba będzie utworzyć osobne zlecenie usługi. Zwykłe koszty obsługi będą zastosowane do dodatkowych pytań i problemów, których nie można rozwiązać przy użyciu określonej poprawki. Aby uzyskać pełną listę numerów telefonów działu obsługi klienta firmy Microsoft lub utworzyć osobne zlecenie usługi odwiedź następujące witryny firmy Microsoft:
http://support.microsoft.com/contactus/?ws=supportUwaga "Poprawka dostępna do pobrania" zawiera listę języków, dla których dostępna jest poprawka. Jeśli odpowiedni język nie jest widoczny, to dlatego, że poprawka nie jest dostępna dla danego języka.
Wymagania wstępne
Aby zastosować tę aktualizację, musi być uruchomiony jeden z następujących systemów operacyjnych:
-
Dodatek Service Pack 2 dla systemu Windows Server 2008
-
Windows Server 2008 R2 z dodatkiem Service Pack 1
-
Windows Server 2012
Informacje dotyczące rejestru
Aby zastosować tę aktualizację, nie trzeba wprowadzać żadnych zmian w rejestrze.
Wymagania dotyczące ponownego uruchomienia
Nie musisz ponownie uruchomiać komputera po zastosowaniu tej aktualizacji.
Informacje dotyczące zastępowania aktualizacji
Ta aktualizacja nie zastępuje wcześniej wydanej aktualizacji.
Wersja globalna tej aktualizacji instaluje pliki, których atrybuty wymieniono w poniższych tabelach. Daty i godziny odpowiadające tym plikom są podane w formacie uniwersalnego czasu koordynowanego (UTC, Coordinated Universal Time). Daty i godziny odpowiadające tym plikom na komputerze lokalnym są wyświetlane w formacie czasu lokalnego, wraz z Twoim bieżącym bias czasu letniego (DST). Dodatkowo, daty mogą ulec zmianie podczas wykonywania pewnych operacji na plikach.
Informacje o plikach systemu Windows Server 2008
Wszystkie obsługiwane wersje systemu Windows Server 2008 x86
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
---|---|---|---|---|---|
Microsoft.identitymodel.dll |
6.1.7601.22179 |
1,093,632 |
04-Dec-2012 |
06:42 |
x86 |
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
22-Oct-2013 |
03:52 |
x86 |
Microsoft.identityserver.service.mof |
Nie dotyczy |
4.606 |
09-Sep-2011 |
11:40 |
Nie dotyczy |
Uninstallwmiprovider.mof |
Nie dotyczy |
1 012 |
09-Sep-2011 |
11:40 |
Nie dotyczy |
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
22-Oct-2013 |
03:52 |
x86 |
Dla wszystkich obsługiwanych wersji systemu Windows Server 2008 z x64
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
---|---|---|---|---|---|
Microsoft.identitymodel.dll |
6.1.7601.22179 |
1,093,632 |
04-Dec-2012 |
06:43 |
x86 |
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
22-Oct-2013 |
03:51 |
x86 |
Microsoft.identityserver.service.mof |
Nie dotyczy |
4.606 |
15-Nov-2011 |
15:15 |
Nie dotyczy |
Uninstallwmiprovider.mof |
Nie dotyczy |
1 012 |
15-Nov-2011 |
15:15 |
Nie dotyczy |
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
22-Oct-2013 |
03:51 |
x86 |
Informacje o plikach systemu Windows Server 2008 R2
Uwagi
-
Pliki dotyczące określonego produktu, etapu rozwoju (RTM, SPn) i składnika usługi (LDR, GDR) można zidentyfikować przez sprawdzenie wersji pliku, jak pokazano w poniższej tabeli:
Wersja
Produkt
Kamień milowy
Składnik usługi
6.1.760
1,22 xxxWindows Server 2008 R2
SP1
LDR
-
Składniki usługi LDR zawierają też inne poprawki, a nie tylko publicznie rozpowszechniane poprawki.
Dla wszystkich obsługiwanych wersji systemu Windows Server 2008 R2 x64
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
---|---|---|---|---|---|
Microsoft.identitymodel.dll |
6.1.7601.22485 |
1,093,632 |
21-Oct-2013 |
09:35 |
x86 |
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
21-Oct-2013 |
08:45 |
x86 |
Microsoft.identityserver.service.mof |
Nie dotyczy |
4.606 |
09-Jul-2013 |
06:32 |
Nie dotyczy |
Uninstallwmiprovider.mof |
Nie dotyczy |
1 012 |
09-Jul-2013 |
06:32 |
Nie dotyczy |
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
21-Oct-2013 |
08:45 |
x86 |
Informacje o plikach systemu Windows Server 2012
Uwagi
-
Pliki dotyczące określonego produktu, etapu rozwoju (RTM, SPn) i składnika usługi (LDR, GDR) można zidentyfikować przez sprawdzenie wersji pliku, jak pokazano w poniższej tabeli:
Wersja
Produkt
Kamień milowy
Składnik usługi
6.2.920 0,17xxx
Windows Server 2012
RTM
GDR
6.2.920 0.21xxx
Windows Server 2012
RTM
LDR
-
Składniki usługi LDR zawierają też inne poprawki, a nie tylko publicznie rozpowszechniane poprawki.
Dla wszystkich obsługiwanych wersji systemu Windows Server 2012 x64
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
---|---|---|---|---|---|
Microsoft.identityserver.service.dll |
6.2.9200.17066 |
660,992 |
01-Aug-2014 |
02:45 |
x86 |
Microsoft.identityserver.service.dll |
6.2.9200.21186 |
660,480 |
01-Aug-2014 |
02:02 |
x86 |
Microsoft.identityserver.dll |
6.2.9200.17066 |
876,032 |
01-Aug-2014 |
02:45 |
x86 |
Microsoft.identityserver.dll |
6.2.9200.21186 |
876,032 |
01-Aug-2014 |
02:02 |
x86 |
Aby uzyskać więcej informacji dotyczących terminologii aktualizacji oprogramowania, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
824684 Opis standardowej terminologii używanej do opisywania aktualizacji oprogramowania firmy MicrosoftAby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
2843638 MS13-066: Opis aktualizacji zabezpieczeń programu Active Directory Federation Services 2.0: 13 sierpnia 2013