Introducción
Este artículo describe una actualización que corrige los siguientes problemas. Para los servidores de servicios de federación de Active Directory (AD FS) que ejecutan Windows Server 2008 y Windows Server 2008 R2, los problemas se producen después de tener seguridad actualizar 2843638 instalado. Para los servidores de AD FS que se ejecutan Windows Server 2012, los problemas se producen después de tener seguridad actualizar 2843639 instalado. 2843638 y 2843639 se describen en el boletín de seguridad MS13-066.
Problema 1
Cuando un token de sesión (SSO) crece demasiado grande, el usuario no puede autenticarse con el servidor.
Por lo general, un símbolo (token) SSO grande es causado por un usuario que sea miembro de muchos grupos.
Problema 2
Suponga que implementar AD FS como proveedor de identidad para un proveedor de federación. O bien, suponga que implementar AD FS como un Security Token Service (STS) que funciona como proveedor de identidad combinada y federación para una aplicación compatible con símbolo (token). Si se produce un error en la relación de confianza (por ejemplo, se deshabilita la confianza de fabricantes de confianza), un usuario sigue viendo la página de inicio de sesión en lugar de un mensaje de error al intentar realizar la autenticación.
Problema 3
Si deshabilita la opción de SSO en un servidor de AD FS, fallan las solicitudes de autenticación al servidor de AD FS.
Problema 4
Cuando una solicitud de autenticación pasivo en el servidor de AD FS requiere autenticación fresca, se produce un error en la autenticación y el servidor pide constantemente las credenciales.
Nota: Una aplicación de notificaciones puede solicitar autenticación fresca mediante la wfresh = 0 parámetro para los mecanismos de WS-Fed. La aplicación en su lugar puede utilizar el ForceAuthN = true parámetro para los mecanismos SAMLP.
Problema 5
Para personalizar AD FS 2.0 implementaciones, las personalizaciones que se agregan después de la llamada SignIn() en el código de la página de FormsSignin.aspx.cs no se ejecutan.
Solución
Hemos publicado un paquete de hotfix para resolver este problema.
Notas:
-
Después de instalar este hotfix, debe utilizar autenticación basada en formularios o la autenticación integrada de Windows.
-
Después de instalar este hotfix, AD FS 2.0 ya no admite la autenticación básica HTTP pasiva. Si utiliza esta autenticación, ahora verá que la solicitud entra en un bucle de redireccionamiento y finalmente falla. Se recomienda migrar el entorno de autenticación basada en formularios antes de instalar este hotfix.
-
Si instala este hotfix en los servidores de STS, también debe instalar la revisión en servidores proxy. Le recomendamos que actualice todos los servidores de STS antes de actualizar los servidores proxy de modo que no es necesario acabar con todos los servidores de una granja de servidores.
Información de la revisión
Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir el problema descrito en este artículo. Aplique esta revisión solamente a sistemas que experimenten el problema descripto en este artículo. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.
Si la revisión está disponible para su descarga, entonces podrá ver una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.
Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota: El formulario de "Descarga de revisión disponible" muestra los idiomas para los que la revisión está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.
Requisitos previos
Para aplicar esta actualización, debe estar ejecutando uno de los siguientes sistemas operativos:
-
Windows Server 2008 Service Pack 2
-
Windows Server 2008 R2 Service Pack 1
-
Windows Server 2012
Información del registro
Para aplicar esta actualización, no es necesario realizar ningún cambio en el registro.
Requisito de reinicio
No tiene que reiniciar el equipo después de aplicar esta actualización.
Información para sustituir la actualización
Esta actualización no reemplaza a ninguna actualización publicada previamente.
La versión global de esta actualización instala los archivos que tienen los atributos enumerados en las tablas siguientes. Las fechas y las horas de estos archivos se muestran en la hora Universal coordinada (UTC). Las fechas y las horas de estos archivos en el equipo local se muestran en horario local junto con la diferencia de horario de verano (DST) actual. Además, las fechas y las horas pueden cambiar cuando realiza determinadas operaciones en los archivos.
Información de archivo de Windows Server 2008
Para todas las versiones basadas en x86 compatibles de Windows Server 2008
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Microsoft.identitymodel.dll |
6.1.7601.22179 |
1,093,632 |
04-Dec-2012 |
06:42 |
x86 |
|
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
22-Oct-2013 |
03:52 |
x86 |
|
Microsoft.identityserver.service.mof |
No aplicable |
4,606 |
09-Sep-2011 |
11:40 |
No aplicable |
|
Uninstallwmiprovider.mof |
No aplicable |
1.012 |
09-Sep-2011 |
11:40 |
No aplicable |
|
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
22-Oct-2013 |
03:52 |
x86 |
Para todas las versiones basadas en x64 compatibles de Windows Server 2008
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Microsoft.identitymodel.dll |
6.1.7601.22179 |
1,093,632 |
04-Dec-2012 |
06:43 |
x86 |
|
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
22-Oct-2013 |
03:51 |
x86 |
|
Microsoft.identityserver.service.mof |
No aplicable |
4,606 |
15-Nov-2011 |
15:15 |
No aplicable |
|
Uninstallwmiprovider.mof |
No aplicable |
1.012 |
15-Nov-2011 |
15:15 |
No aplicable |
|
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
22-Oct-2013 |
03:51 |
x86 |
Información de archivo de Windows Server 2008 R2
Notas:
-
Los archivos que se aplican a un producto, hito (RTM, SPn) y el servicio (LDR, GDR) se pueden identificar examinando los números de versión de archivo, como se muestra en la siguiente tabla:
Versión
Producto
Hito
Tipo de servicio
6.1.760
1.22 xxxWindows Server 2008 R2
SP1
LDR
-
Las ramas del servicio LDR contienen revisiones además de las correcciones de amplia distribución.
Para todas las versiones basadas en x64 compatibles de Windows Server 2008 R2
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Microsoft.identitymodel.dll |
6.1.7601.22485 |
1,093,632 |
21-Oct-2013 |
09:35 |
x86 |
|
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
21-Oct-2013 |
08:45 |
x86 |
|
Microsoft.identityserver.service.mof |
No aplicable |
4,606 |
09-Jul-2013 |
06:32 |
No aplicable |
|
Uninstallwmiprovider.mof |
No aplicable |
1.012 |
09-Jul-2013 |
06:32 |
No aplicable |
|
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
21-Oct-2013 |
08:45 |
x86 |
Información de archivo de Windows Server 2012
Notas:
-
Los archivos que se aplican a un producto, hito (RTM, SPn) y el servicio (LDR, GDR) se pueden identificar examinando los números de versión de archivo, como se muestra en la siguiente tabla:
Versión
Producto
Hito
Tipo de servicio
6.2.920 0.17xxx
Windows Server 2012
RTM
GDR
6.2.920 0.21xxx
Windows Server 2012
RTM
LDR
-
Las ramas del servicio LDR contienen revisiones además de las correcciones de amplia distribución.
Para todas las versiones basadas en x64 compatibles de Windows Server 2012
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Microsoft.identityserver.service.dll |
6.2.9200.17066 |
660,992 |
01-Aug-2014 |
02:45 |
x86 |
|
Microsoft.identityserver.service.dll |
6.2.9200.21186 |
660,480 |
01-Aug-2014 |
02:02 |
x86 |
|
Microsoft.identityserver.dll |
6.2.9200.17066 |
876,032 |
01-Aug-2014 |
02:45 |
x86 |
|
Microsoft.identityserver.dll |
6.2.9200.21186 |
876,032 |
01-Aug-2014 |
02:02 |
x86 |
Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de MicrosoftPara obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
2843638 MS13-066: descripción de la actualización de seguridad para Active Directory Federation Services 2.0: 13 de agosto de 2013
