บทนำ
บทความนี้อธิบายถึงการปรับปรุงที่แก้ไขปัญหาต่อไปนี้ สำหรับบริการสหพันธรัฐไดเรกทอรีที่ใช้งานอยู่ (AD FS) เซิร์ฟเวอร์ที่กำลังเรียกใช้ Windows Server 2008 และ Windows Server 2008 R2 ปัญหาเกิดขึ้นหลังจากที่คุณได้ 2843638 ที่ติดตั้งการปรับปรุงความปลอดภัย FS โฆษณาเซิร์ฟเวอร์ที่กำลังเรียกใช้ Windows Server 2012 ปัญหาเกิดขึ้นหลังจากที่คุณได้ 2843639 ที่ติดตั้งการปรับปรุงความปลอดภัย 2843638 และ 2843639 จะอธิบายไว้ในความปลอดภัยนการ MS13-066
ปัญหาที่ 1
เมื่อเข้าสู่ระบบ (SSO) โทเค็นขยายใหญ่เกินไป ผู้ใช้ไม่สามารถรับรองความถูกต้องกับเซิร์ฟเวอร์
โดยทั่วไปแล้ว โทเค็น SSO ขนาดใหญ่เกิดจากผู้ใช้ที่เป็นสมาชิกของกลุ่มจำนวน
ปัญหาที่ 2
สมมติว่า คุณปรับใช้ AD FS เป็นตัวให้บริการข้อมูลเฉพาะตัวสำหรับตัวให้บริการสหพันธรัฐ หรือ สมมติว่า คุณปรับใช้ AD FS เป็นการรักษาความปลอดภัยโทเค็นบริการ (STS) ที่ทำงานเป็นผู้ให้บริการสหพันธรัฐสำหรับโปรแกรมประยุกต์โทเค็นทราบและการให้บริการข้อมูลเอกลักษณ์ที่รวม ถ้ามีความล้มเหลวในความสัมพันธ์แบบเชื่อถือได้ (ตัวอย่างเช่น ความน่าเชื่อถือของบริษัท relying ถูกปิดใช้งาน), ผู้ใช้ยังคงเห็นหน้าการลงทะเบียนแทนที่เป็นข้อผิดพลาดเมื่อพยายามทำการรับรองความถูกต้อง
ปัญหาที่ 3
ถ้าคุณปิดใช้งานตัวเลือก SSO บนเซิร์ฟเวอร์ FS โฆษณา คำขอการรับรองความถูกต้องไปยังเซิร์ฟเวอร์ FS โฆษณาล้มเหลว
ปัญหาที่ 4
เมื่อการร้องขอการรับรองความถูกต้องที่แฝงไปยังเซิร์ฟเวอร์ FS โฆษณาจำเป็นต้องมีการรับรองความถูกต้องใหม่ ล้มเหลวในการรับรองความถูกต้อง และเซิร์ฟเวอร์ถูกขอข้อมูลประจำตัว
หมายเหตุ แอพลิเคชันการอ้างสิทธิ์ทราบอาจร้องขอการรับรองความถูกต้องใหม่ โดยใช้การwfresh = 0พารามิเตอร์สำหรับกลไกการ WS Fed ได้ แอพลิเคชันอาจใช้แทนForceAuthN = trueพารามิเตอร์สำหรับกลไกการ SAMLP ได้
ปัญหาที่ 5
สำหรับการกำหนดเองโฆษณาจัดวาง FS 2.0 เพิ่มหลังจากการเรียกSignIn()ในโค้ดเพ FormsSignin.aspx.cs ไม่ได้ดำเนินการกำหนดเอง
การแก้ปัญหา
เราได้นำออกใช้แพคเกจโปรแกรมแก้ไขด่วนเพื่อแก้ไขปัญหานี้
หมายเหตุ
-
หลังจากที่มีการติดตั้งโปรแกรมแก้ไขด่วนนี้ คุณต้องใช้การพิสูจน์ตัวจริงแบบรวมของ Windows หรือโดยใช้แบบฟอร์มการรับรองความถูกต้อง
-
หลังจากที่มีการติดตั้งโปรแกรมแก้ไขด่วนนี้ FS โฆษณา 2.0 ไม่สนับสนุน passive HTTP พื้นฐานรับรองความถูกต้อง ถ้าคุณใช้การรับรองความถูกต้องนี้ คุณเดี๋ยวนี้จะเห็นว่า คำขอเข้าวนเปลี่ยนเส้นทาง และในที่สุดล้มเหลว เราขอแนะนำให้ คุณโยกย้ายสภาพแวดล้อมไปโดยใช้แบบฟอร์มการรับรองความถูกต้องก่อนที่คุณติดตั้งโปรแกรมแก้ไขด่วนนี้
-
ถ้าคุณติดตั้งโปรแกรมแก้ไขด่วนนี้บนเซิร์ฟเวอร์ STS คุณต้องติดตั้งโปรแกรมแก้ไขด่วนบนพร็อกซีเซิร์ฟเวอร์ เราขอแนะนำให้ คุณปรับรุ่นเซิร์ฟเวอร์ STS ทั้งหมดก่อนที่คุณอัพเกรดพร็อกซีเซิร์ฟเวอร์เพื่อให้คุณไม่จำเป็นต้องนำมาลงทุกเซิร์ฟเวอร์ในเซิร์ฟเวอร์ฟาร์ม
ข้อมูลโปรแกรมแก้ไขด่วน
มีโปรแกรมแก้ไขด่วนที่รองรับพร้อมให้บริการจาก Microsoft อย่างไรก็ตาม โปรแกรมแก้ไขด่วนนี้มุ่งหวังเพื่อการแก้ไขปัญหาที่อธิบายไว้ในบทความนี้เท่านั้น ใช้การแก้ไขด่วนนี้กับระบบต่าง ๆ ที่พบปัญหาอธิบายไว้ในบทความนี้เท่านั้น โปรแกรมแก้ไขด่วนนี้อาจได้รับการทดสอบเพิ่มเติม ดังนั้น ถ้าคุณไม่ได้รับผลกระทบจากปัญหานี้รุนแรง เราขอแนะนำให้ คุณรอการปรับปรุงซอฟต์แวร์ถัดไปที่ประกอบด้วยโปรแกรมแก้ไขด่วนนี้
หากโปรแกรมแก้ไขด่วนพร้อมสำหรับการดาวน์โหลด คุณจะเห็นส่วน "มีการดาวน์โหลดโปรแกรมแก้ไขด่วน" ที่ด้านบนของบทความฐานข้อมูลองค์ความรู้นี้ หากส่วนนี้ไม่ปรากฏขึ้น ติดต่อฝ่ายสนับสนุนและบริการลูกค้าของ Microsoft เพื่อขอรับโปรแกรมแก้ไขด่วน
หมายเหตุ ถ้ามีปัญหาอื่น ๆ เกิดขึ้น หรือถ้าจำเป็นต้องแก้ไขปัญหาใด ๆ คุณอาจต้องสร้างคำขอรับบริการแยกต่างหาก จะมีค่าใช้จ่ายในการสนับสนุนปกติกับคำถามเพิ่มเติมและเรื่องอื่น ๆ ที่ไม่มีสิทธิได้รับโปรแกรมแก้ไขด่วนเฉพาะนี้ สำหรับรายชื่อทั้งหมด ของหมายเลขโทรศัพท์ของฝ่ายบริการลูกค้าและการสนับสนุนของ Microsoft หรือเพื่อสร้างการร้องขอบริการแยกต่างหาก แวะไปที่เว็บไซต์ของ Microsoft ต่อไปนี้:
http://support.microsoft.com/contactus/?ws=supportหมายเหตุ แบบฟอร์ม "โปรแกรมแก้ไขด่วนดาวน์โหลดพร้อมใช้งาน" แสดงภาษาโปรแกรมแก้ไขด่วนจะพร้อมใช้งาน ถ้าคุณไม่เห็นภาษาของคุณ อาจเป็น เพราะไม่มีโปรแกรมแก้ไขด่วนพร้อมใช้งานสำหรับภาษานั้น
ข้อกำหนดเบื้องต้น
หากต้องการใช้การปรับปรุงนี้ คุณต้องเรียกใช้ระบบปฏิบัติการอย่างใดอย่างหนึ่งต่อไปนี้:
-
Windows Server 2008 Service Pack 2
-
Windows Server 2008 R2 Service Pack 1
-
Windows Server 2012
ข้อมูลรีจิสทรี
หากต้องการนำการปรับปรุงนี้ไปใช้ คุณไม่จำเป็นต้องดำเนินการเปลี่ยนแปลงใด ๆ ต่อรีจิสทรีนี้
ข้อกำหนดการรีสตาร์ท
คุณไม่จำเป็นต้องรีสตาร์ทเครื่องคอมพิวเตอร์หลังจากใช้การปรับปรุงนี้
ข้อมูลการแทนที่การปรับปรุง
การปรับปรุงนี้ไม่ได้แทนที่การปรับปรุงที่ออกมาก่อนหน้านี้
การปรับปรุงนี้รุ่นสากลจะติดตั้งแฟ้มที่มีแอตทริบิวต์ซึ่งแสดงรายการไว้ในตารางต่อไปนี้ วันที่และเวลาสำหรับแฟ้มเหล่านี้จะแสดงรายการไว้ในรูปแบบเวลามาตรฐานสากล (UTC) วันที่และเวลาสำหรับแฟ้มเหล่านี้บนเครื่องคอมพิวเตอร์เฉพาะที่ของคุณจะแสดงผลตามเวลาท้องถิ่นของคุณร่วมกับความโน้มเอียงของเวลาตามฤดูกาล (DST) ในปัจจุบันของคุณ นอกจากนี้ วันที่และเวลาอาจจะเปลี่ยนแปลงไปได้อีกด้วยเมื่อคุณดำเนินการบางอย่างกับแฟ้มนี้
ข้อมูลแฟ้มของ Windows Server 2008
สำหรับทั้งหมดได้รับการสนับสนุน Windows Server 2008 รุ่นที่ใช้ x86
ชื่อแฟ้ม |
รุ่นของแฟ้ม |
ขนาดของแฟ้ม |
วันที่ |
เวลา |
แพลตฟอร์ม |
---|---|---|---|---|---|
Microsoft.identitymodel.dll |
6.1.7601.22179 |
1,093,632 |
04-Dec-2012 |
06:42 |
x86 |
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
22-Oct-2013 |
03:52 |
x86 |
Microsoft.identityserver.service.mof |
ไม่มีข้อมูล |
4,606 |
09-Sep-2011 |
11:40 |
ไม่มีข้อมูล |
Uninstallwmiprovider.mof |
ไม่มีข้อมูล |
1,012 |
09-Sep-2011 |
11:40 |
ไม่มีข้อมูล |
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
22-Oct-2013 |
03:52 |
x86 |
สำหรับทั้งหมดได้รับการสนับสนุน Windows Server 2008 รุ่นที่ใช้ x64
ชื่อแฟ้ม |
รุ่นของแฟ้ม |
ขนาดของแฟ้ม |
วันที่ |
เวลา |
แพลตฟอร์ม |
---|---|---|---|---|---|
Microsoft.identitymodel.dll |
6.1.7601.22179 |
1,093,632 |
04-Dec-2012 |
06:43 |
x86 |
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
22-Oct-2013 |
03:51 |
x86 |
Microsoft.identityserver.service.mof |
ไม่มีข้อมูล |
4,606 |
15-Nov-2011 |
15:15 |
ไม่มีข้อมูล |
Uninstallwmiprovider.mof |
ไม่มีข้อมูล |
1,012 |
15-Nov-2011 |
15:15 |
ไม่มีข้อมูล |
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
22-Oct-2013 |
03:51 |
x86 |
ข้อมูลแฟ้มของ Windows Server 2008 R2
หมายเหตุ
-
แฟ้มที่นำไปใช้กับผลิตภัณฑ์เจาะจง หลักเป้าหมาย (RTM, SPn), และสาขาเซอร์วิส (LDR, GDR) สามารถระบุได้ ด้วยการตรวจสอบหมายเลขรุ่นของแฟ้มดังที่ปรากฏในตารางต่อไปนี้:
รุ่น
ผลิตภัณฑ์
หลักเป้าหมาย
สาขาเซอร์วิส
6.1.760
1.22 xxxWindows Server 2008 R2
SP1
LDR
-
สาขาบริการของ ldr จะประกอบด้วยโปรแกรมแก้ไขด่วนนอกจากการแก้ไขที่ออกในวงกว้าง
สำหรับทั้งหมดได้รับการสนับสนุน Windows Server 2008 R2 รุ่นที่ใช้ x64
ชื่อแฟ้ม |
รุ่นของแฟ้ม |
ขนาดของแฟ้ม |
วันที่ |
เวลา |
แพลตฟอร์ม |
---|---|---|---|---|---|
Microsoft.identitymodel.dll |
6.1.7601.22485 |
1,093,632 |
21-Oct-2013 |
09:35 |
x86 |
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
21-Oct-2013 |
08:45 |
x86 |
Microsoft.identityserver.service.mof |
ไม่มีข้อมูล |
4,606 |
09-Jul-2013 |
06:32 |
ไม่มีข้อมูล |
Uninstallwmiprovider.mof |
ไม่มีข้อมูล |
1,012 |
09-Jul-2013 |
06:32 |
ไม่มีข้อมูล |
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
21-Oct-2013 |
08:45 |
x86 |
ข้อมูลแฟ้ม Windows Server 2012
หมายเหตุ
-
แฟ้มที่นำไปใช้กับผลิตภัณฑ์เจาะจง หลักเป้าหมาย (RTM, SPn), และสาขาเซอร์วิส (LDR, GDR) สามารถระบุได้ ด้วยการตรวจสอบหมายเลขรุ่นของแฟ้มดังที่ปรากฏในตารางต่อไปนี้:
รุ่น
ผลิตภัณฑ์
หลักเป้าหมาย
สาขาเซอร์วิส
6.2.920 0.17xxx
Windows Server 2012
RTM
GDR
6.2.920 0.21xxx
Windows Server 2012
RTM
LDR
-
สาขาบริการของ ldr จะประกอบด้วยโปรแกรมแก้ไขด่วนนอกจากการแก้ไขที่ออกในวงกว้าง
สำหรับทั้งหมดได้รับการสนับสนุน Windows Server 2012 รุ่นที่ใช้ x64
ชื่อแฟ้ม |
รุ่นของแฟ้ม |
ขนาดของแฟ้ม |
วันที่ |
เวลา |
แพลตฟอร์ม |
---|---|---|---|---|---|
Microsoft.identityserver.service.dll |
6.2.9200.17066 |
660,992 |
01-Aug-2014 |
02:45 |
x86 |
Microsoft.identityserver.service.dll |
6.2.9200.21186 |
660,480 |
01-Aug-2014 |
02:02 |
x86 |
Microsoft.identityserver.dll |
6.2.9200.17066 |
876,032 |
01-Aug-2014 |
02:45 |
x86 |
Microsoft.identityserver.dll |
6.2.9200.21186 |
876,032 |
01-Aug-2014 |
02:02 |
x86 |
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับศัพท์เฉพาะในการปรับปรุงซอฟต์แวร์ ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
824684คำอธิบายของคำศัพท์มาตรฐานที่ใช้เพื่ออธิบายปรับปรุงซอฟต์แวร์ของ Microsoftสำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
2843638 MS13-066: คำอธิบายของการปรับปรุงการรักษาความปลอดภัยสำหรับ 2.0 บริการสหพันธรัฐไดเรกทอรีที่ใช้งานอยู่: 13 สิงหาคม 2013