Úvod
Tento článek popisuje aktualizaci, která řeší následující problémy. Pro Active Directory Federation Services (AD FS) servery se systémem Windows Server 2008 a Windows Server 2008 R2 problémy dojít po 2843638 nainstalována aktualizace zabezpečení. U serverů služby AD FS, které se systémem Windows Server 2012 problémy dojít po 2843639 nainstalována aktualizace zabezpečení. 2843638 a 2843639 jsou popsány v bulletinu zabezpečení MS13-066.
Problém 1
V případě, že token přihlášení (SSO) příliš naroste, uživatele nelze ověřit na serveru.
Obecně velké token SSO je způsobena uživatel je členem mnoho skupin.
Problém 2
Předpokládá nasazení služby AD FS jako zprostředkovatel identit poskytovat identity federation zprostředkovatele. Nebo se předpokládá nasazení služby AD FS jako zabezpečení Token služby (STS), která funguje jako zprostředkovatel kombinované identity a zprostředkovatele federace pro token podporující aplikaci. Pokud dojde k selhání ve vztahu důvěryhodnosti (například vztah důvěryhodnosti předávající strany je zakázán), uživatel udržuje zobrazení přihlašovací stránky namísto chybová zpráva při pokusu o provedení ověřování.
Problém 3
Pokud zakážete možnost jednotného přihlášení k webu na serveru služby AD FS, se nezdaří ověřování požadavků na server služby AD FS.
Problém 4
Pasivní režim ověřování požadavku na server služby AD FS vyžaduje ověřování čerstvé, neúspěšného ověření a pověření přístupového serveru.
Poznámka: Aplikace deklaracemi mohou požadovat ověření čerstvé pomocí wfresh = 0 parametr pro mechanismy WS-Fed. Aplikace může používat místo ForceAuthN = true parametr pro SAMLP mechanismy.
Problém 5
Pro vlastní AD FS 2.0 nasazení, vlastní nastavení, které jsou přidány po volání SignIn() v kódu stránky FormsSignin.aspx.cs již nebudou provedeny.
Řešení
Společnost Microsoft vydala balíček opravy hotfix Chcete-li vyřešit tento problém.
Poznámky
-
Po instalaci této opravy hotfix je nutné použít ověřování založené na formulářích nebo integrované ověřování systému Windows.
-
Po instalaci této opravy hotfix služby AD FS 2.0 již podporuje pasivní základní ověřování protokolu HTTP. Používáte-li toto ověřování, nyní uvidíte, že požadavek přejde do smyčka přesměrování a nakonec se nezdaří. Doporučujeme migrovat na životní prostředí pro ověřování na základě formulářů před instalací této opravy hotfix.
-
Pokud nainstalujete tuto opravu hotfix na serverech STS, musíte také nainstalovat opravu hotfix na serverech proxy. Doporučujeme inovovat všechny servery STS, před upgradem serverů proxy, takže není nutné snížit všechny servery v serverové farmě.
Informace o opravě hotfix
Společnost Microsoft má k dispozici podporovanou opravu hotfix. Tato oprava hotfix je však určena opravit pouze problému popsaného v tomto článku. Tuto opravu hotfix instalujte pouze do systémů, ve kterých dochází k potížím popsaným v tomto článku. Tato oprava hotfix může být dále testována. Proto pokud nejste vážně ohrožen tímto problémem, doporučujeme počkat na další aktualizaci softwaru, která obsahuje tuto opravu hotfix.
Pokud oprava hotfix je k dispozici ke stažení, je sekce "Oprava Hotfix je k dispozici ke stažení" v horní části tohoto článku znalostní báze Knowledge Base. Pokud tato sekce není uvedena, obraťte se na Zákaznický servis a podporu společnosti Microsoft k získaní opravy hotfix.
Poznámka: Pokud nastanou další problémy nebo bude nutné další řešení potíží, bude možná třeba vytvořit další samostatný požadavek na služby. Běžná cena za technickou podporu se vztahuje k dodatečným otázkám podpory a k problémům, které se netýkají této konkrétní opravy hotfix. Pro úplný seznam telefonních čísel společnosti Microsoft Zákaznikého servisu a podpory nebo chcete-li vytvořit zvláštní požadavek na službu navštivte následující web společnosti Microsoft:
http://support.microsoft.com/contactus/?ws=supportPoznámka: "Hotfix stažení k dispozici" formulář zobrazí jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, to je protože oprava hotfix není k dispozici pro daný jazyk.
Předpoklady
Chcete-li nainstalovat tuto aktualizaci, musíte používat některou z následujících operačních systémů:
-
Windows Server 2008 Service Pack 2
-
Windows Server 2008 R2 Service Pack 1
-
Windows Server 2012
Informace o registrech
Instalace této aktualizace nevyžaduje žádné úpravy registru.
Požadavek na restartování
Nemusíte po instalaci této aktualizace restartovat počítač.
Informace o nahrazení aktualizace
Tato aktualizace nenahrazuje žádné dříve vydané aktualizace.
Globální verze této aktualizace nainstaluje soubory, jejichž atributy jsou uvedeny v následujících tabulkách. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Kalendářní data a časy těchto souborů v místním počítači jsou zobrazeny dle vašeho místního času a také podle aktuálního letního času (DST). Navíc data a časy se mohou změnit při provádění některých operací se soubory.
Informace o souborech systému Windows Server 2008
Pro všechny podporované verze systému Windows Server 2008 x86
|
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
|---|---|---|---|---|---|
|
Microsoft.identitymodel.dll |
6.1.7601.22179 |
1,093,632 |
04-Dec-2012 |
06:42 |
x86 |
|
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
22-Oct-2013 |
03:52 |
x86 |
|
Microsoft.identityserver.service.mof |
Není k dispozici |
4,606 |
09-Sep-2011 |
11:40 |
Není k dispozici |
|
Uninstallwmiprovider.mof |
Není k dispozici |
1,012 |
09-Sep-2011 |
11:40 |
Není k dispozici |
|
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
22-Oct-2013 |
03:52 |
x86 |
Pro všechny podporované verze systému Windows Server 2008 x64
|
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
|---|---|---|---|---|---|
|
Microsoft.identitymodel.dll |
6.1.7601.22179 |
1,093,632 |
04-Dec-2012 |
06:43 |
x86 |
|
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
22-Oct-2013 |
03:51 |
x86 |
|
Microsoft.identityserver.service.mof |
Není k dispozici |
4,606 |
15-Nov-2011 |
15:15 |
Není k dispozici |
|
Uninstallwmiprovider.mof |
Není k dispozici |
1,012 |
15-Nov-2011 |
15:15 |
Není k dispozici |
|
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
22-Oct-2013 |
03:51 |
x86 |
Informace o souborech systému Windows Server 2008 R2
Poznámky
-
Soubory týkající se konkrétního produktu, milníku (RTM, SPn) a složky služby (LDR, GDR) lze identifikovat porovnáním čísel verzí souborů podle následující tabulky:
Verze
Výrobek
Milník
Složka služby
6.1.760
1.22 xxxWindows Server 2008 R2
SP1
LDR
-
Větve LDR obsahují kromě veřejně vydaných oprav i opravy hotfix.
Pro všechny podporované verze systému Windows Server 2008 R2 x64
|
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
|---|---|---|---|---|---|
|
Microsoft.identitymodel.dll |
6.1.7601.22485 |
1,093,632 |
21-Oct-2013 |
09:35 |
x86 |
|
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
21-Oct-2013 |
08:45 |
x86 |
|
Microsoft.identityserver.service.mof |
Není k dispozici |
4,606 |
09-Jul-2013 |
06:32 |
Není k dispozici |
|
Uninstallwmiprovider.mof |
Není k dispozici |
1,012 |
09-Jul-2013 |
06:32 |
Není k dispozici |
|
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
21-Oct-2013 |
08:45 |
x86 |
Informace o souborech systému Windows Server 2012
Poznámky
-
Soubory týkající se konkrétního produktu, milníku (RTM, SPn) a složky služby (LDR, GDR) lze identifikovat porovnáním čísel verzí souborů podle následující tabulky:
Verze
Výrobek
Milník
Složka služby
6.2.920 0.17xxx
Windows Server 2012
RTM
GDR
6.2.920 0.21xxx
Windows Server 2012
RTM
LDR
-
Větve LDR obsahují kromě veřejně vydaných oprav i opravy hotfix.
Pro všechny podporované verze systému Windows Server 2012 x64
|
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
|---|---|---|---|---|---|
|
Microsoft.identityserver.service.dll |
6.2.9200.17066 |
660,992 |
01-Aug-2014 |
02:45 |
x86 |
|
Microsoft.identityserver.service.dll |
6.2.9200.21186 |
660,480 |
01-Aug-2014 |
02:02 |
x86 |
|
Microsoft.identityserver.dll |
6.2.9200.17066 |
876,032 |
01-Aug-2014 |
02:45 |
x86 |
|
Microsoft.identityserver.dll |
6.2.9200.21186 |
876,032 |
01-Aug-2014 |
02:02 |
x86 |
Pro další informace o terminologii používané v aktualizacích softwaru, klepněte na následující číslo článku k zobrazení článku v databázi Microsoft Knowledge Base:
824684 Popis standardní terminologie používané při popisu aktualizací softwaru společnosti MicrosoftDalší informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
2843638 MS13-066: Popis aktualizace zabezpečení pro Active Directory Federation Services 2.0: 13 srpen 2013
