Introduzione
In questo articolo viene descritto un aggiornamento che risolve i problemi descritti di seguito. Per i server di Active Directory Federation Services (ADFS) che eseguono Windows Server 2008 e Windows Server 2008 R2, i problemi si verificano dopo aver installato l'aggiornamento della protezione 2843638. Per i server ADFS che eseguono Windows Server 2012, i problemi si verificano dopo aver installato l'aggiornamento della protezione 2843639. 2843638 e 2843639 sono descritti nel Bollettino Microsoft sulla sicurezza MS13-066.
Problema 1
Quando un token di sign-on (SSO) cresce troppo grande, è Impossibile autenticare l'utente con il server.
In genere, un grande token SSO è causato da un utente è membro di molti gruppi.
Problema 2
Si supponga di distribuire ADFS come provider di identità per un provider di federazione. In alternativa, si supponga che ADFS venga distribuito come un Security Token Service (STS) che opera come provider di identità combinata e provider di federazione per un'applicazione compatibile con token. Se si verifica un errore nella relazione di trust (ad esempio, il trust di terze parti componente è disabilitato), un utente mantiene la visualizzazione della pagina di accesso invece di un messaggio di errore quando tentano di eseguire l'autenticazione.
Problema 3
Se si disattiva l'opzione SSO su un server ADFS, le richieste di autenticazione al server ADFS danno esito negativo.
Problema 4
Quando una richiesta di autenticazione passiva per il server ADFS richiede la fresh authentication, l'autenticazione non riesce e il server richiede le credenziali.
Nota: Un'applicazione in grado di riconoscere attestazioni può richiedere la fresh authentication utilizzando il parametro wfresh = 0 per i meccanismi WS-Fed. L'applicazione può utilizzare il parametro ForceAuthN = true per i meccanismi SAMLP.
Problema 5
Per distribuzioni AD FS 2.0 personalizzate, le personalizzazioni aggiunte dopo la chiamata al metodo SignIn() nel codice della pagina FormsSignin.aspx.cs non vengono eseguite.
Risoluzione
Microsoft ha rilasciato un pacchetto di hotfix per risolvere il problema.
Note
-
Dopo aver installato questo hotfix, è necessario utilizzare l'autenticazione basata su form o autenticazione integrata di Windows.
-
Dopo aver installato questo hotfix, AD FS 2.0 non supporta l'autenticazione di base HTTP passivo. Se si utilizza l'autenticazione, ora vedrete che la richiesta, entra in un ciclo di reindirizzamento e non viene individuata. Si consiglia di migrare l'ambiente per l'autenticazione basata su form, prima di installare questo hotfix.
-
Se si installa questo hotfix nel server STS, è necessario installare anche l'aggiornamento rapido sul server proxy. Si consiglia di aggiornare tutti i server di STS prima di aggiornare i server proxy in modo che non è necessario arrestare tutti i server in una server farm.
Informazioni sull'hotfix
Un hotfix supportato è disponibile da Microsoft. Questo hotfix è tuttavia destinato esclusivamente alla risoluzione del problema descritto in questo articolo. Applicare questo hotfix solo ai sistemi in cui si verifica il problema descritto in questo articolo. Questo hotfix potrebbe essere sottoposto ad ulteriori test. Se il problema non causa gravi difficoltà, si consiglia di attendere il successivo aggiornamento software contenente tale hotfix.
Se l'hotfix è disponibile per il download, vi è una sezione "Hotfix Download disponibile" nella parte superiore di questo articolo della Knowledge Base. Se questa sezione non viene visualizzata, contattare il servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.
Nota: Se si verificano ulteriori problemi o se è necessaria attività di risoluzione aggiuntiva, potrebbe essere necessario creare una richiesta di assistenza separata. I costi di supporto normale verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare specifico hotfix in questione. Per un elenco completo dei numeri di telefono del servizio clienti Microsoft e supporto tecnico o per creare una richiesta di assistenza separata, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota: Il modulo "Hotfix Download disponibile" Visualizza le lingue per cui è disponibile l'hotfix. Se non viene visualizzata la lingua, è perché un aggiornamento rapido non è disponibile per tale lingua.
Prerequisiti
Per applicare questo aggiornamento, è necessario eseguire uno dei seguenti sistemi operativi:
-
Windows Server 2008 Service Pack 2
-
Windows Server 2008 R2 Service Pack 1
-
Windows Server 2012
Informazioni del Registro di sistema
Per applicare questo aggiornamento, non è necessario apportare modifiche al Registro di sistema.
Richiesta di riavvio
Non è necessario riavviare il computer dopo avere applicato questo aggiornamento.
Informazioni sulla sostituzione dell'aggiornamento
Questo aggiornamento non sostituisce un aggiornamento rilasciato in precedenza.
La versione globale di questo aggiornamento consente di installare file che dispongono degli attributi elencati nelle tabelle seguenti. Le date e ore per questi file sono elencate nel tempo universale coordinato (UTC). Le date e le ore dei file sul computer locale vengono visualizzate nell'ora locale con la differenza dell'ora legale (DST). Inoltre, le date e gli orari possono cambiare quando si eseguono determinate operazioni sui file.
Informazioni sui file di Windows Server 2008
Per tutte le versioni basate su x86 supportate di Windows Server 2008
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
---|---|---|---|---|---|
Microsoft.identitymodel.dll |
6.1.7601.22179 |
1,093,632 |
04-Dec-2012 |
06:42 |
x86 |
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
22-Oct-2013 |
03:52 |
x86 |
Microsoft.identityserver.service.mof |
Non applicabile |
4,606 |
09-Sep-2011 |
11:40 |
Non applicabile |
Uninstallwmiprovider.mof |
Non applicabile |
1.012 |
09-Sep-2011 |
11:40 |
Non applicabile |
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
22-Oct-2013 |
03:52 |
x86 |
Per tutte le versioni basate su x64 supportate di Windows Server 2008
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
---|---|---|---|---|---|
Microsoft.identitymodel.dll |
6.1.7601.22179 |
1,093,632 |
04-Dec-2012 |
06:43 |
x86 |
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
22-Oct-2013 |
03:51 |
x86 |
Microsoft.identityserver.service.mof |
Non applicabile |
4,606 |
15-Nov-2011 |
15:15 |
Non applicabile |
Uninstallwmiprovider.mof |
Non applicabile |
1.012 |
15-Nov-2011 |
15:15 |
Non applicabile |
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
22-Oct-2013 |
03:51 |
x86 |
Informazioni sui file di Windows Server 2008 R2
Note
-
I file relativi a un prodotto, un'attività cardine (RTM, SPn) e un ramo (LDR, GDR specifici) del servizio possono essere identificati esaminando i numeri di versione del file come indicato nella tabella seguente:
Versione
Prodotto
Attività cardine
Ramo del servizio
6.1.760
1.22 xxxWindows Server 2008 R2
SP1
LDR
-
I rami del servizio LDR contengono hotfix in aggiunta alle correzioni rilasciate.
Per tutte le versioni basate su x64 supportate di Windows Server 2008 R2
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
---|---|---|---|---|---|
Microsoft.identitymodel.dll |
6.1.7601.22485 |
1,093,632 |
21-Oct-2013 |
09:35 |
x86 |
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
21-Oct-2013 |
08:45 |
x86 |
Microsoft.identityserver.service.mof |
Non applicabile |
4,606 |
09-Jul-2013 |
06:32 |
Non applicabile |
Uninstallwmiprovider.mof |
Non applicabile |
1.012 |
09-Jul-2013 |
06:32 |
Non applicabile |
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
21-Oct-2013 |
08:45 |
x86 |
Informazioni sui file di Windows Server 2012
Note
-
I file relativi a un prodotto, un'attività cardine (RTM, SPn) e un ramo (LDR, GDR specifici) del servizio possono essere identificati esaminando i numeri di versione del file come indicato nella tabella seguente:
Versione
Prodotto
Attività cardine
Ramo del servizio
6.2.920 0,17xxx
Windows Server 2012
RTM
GDR
6.2.920 0,21xxx
Windows Server 2012
RTM
LDR
-
I rami del servizio LDR contengono hotfix in aggiunta alle correzioni rilasciate.
Per tutte le versioni basate su x64 supportate di Windows Server 2012
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
---|---|---|---|---|---|
Microsoft.identityserver.service.dll |
6.2.9200.17066 |
660,992 |
01-Aug-2014 |
02:45 |
x86 |
Microsoft.identityserver.service.dll |
6.2.9200.21186 |
660,480 |
01-Aug-2014 |
02:02 |
x86 |
Microsoft.identityserver.dll |
6.2.9200.17066 |
876,032 |
01-Aug-2014 |
02:45 |
x86 |
Microsoft.identityserver.dll |
6.2.9200.21186 |
876,032 |
01-Aug-2014 |
02:02 |
x86 |
Per ulteriori informazioni sulla terminologia degli aggiornamenti software, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
824684 descrizione della terminologia standard utilizzata per descrivere gli aggiornamenti software MicrosoftPer ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
2843638 MS13-066: descrizione dell'aggiornamento della protezione per Active Directory Federation Services 2.0: 13 agosto 2013