Εισαγωγή
Αυτό το άρθρο περιγράφει μια ενημερωμένη έκδοση που επιδιορθώνει τα ακόλουθα θέματα. Για υπηρεσίες Ομοσπονδία Active Directory (AD ΛΕ) διακομιστές που εκτελούν τον Windows Server 2008 και Windows Server 2008 R2, τα ζητήματα παρουσιάζονται αφού έχετε 2843638 εγκατεστημένη ενημερωμένη έκδοση. Για AD FS διακομιστές που εκτελούν Windows Server 2012, τα ζητήματα παρουσιάζονται αφού έχετε 2843639 εγκατεστημένη ενημερωμένη έκδοση. 2843638 και 2843639 περιγράφονται στο ενημερωτικό δελτίο ασφαλείας MS13-066.
Πρόβλημα 1
Όταν ένα διακριτικό καθολικής σύνδεσης (SSO) γίνεται πολύ μεγάλο, ο χρήστης δεν είναι δυνατό να πραγματοποιήσει έλεγχο ταυτότητας με το διακομιστή.
Γενικά, ένα μεγάλο διακριτικό SSO προκαλείται από ένα χρήστη που είναι μέλος πολλών ομάδων.
Πρόβλημα 2
Ας υποθέσουμε ότι κάνετε ανάπτυξη AD FS ως υπηρεσία παροχής ταυτότητας για μια υπηρεσία παροχής Ομοσπονδία. Εναλλακτικά, ας υποθέσουμε ότι Ανάπτυξη AD FS ως ένα ασφαλείας διακριτικό υπηρεσίας (STS) που λειτουργεί ως υπηρεσία παροχής ταυτότητας συνδυασμένη και παροχής Ομοσπονδία για μια εφαρμογή που αναγνωρίζουν το διακριτικό. Εάν υπάρχει μια αποτυχία της σχέσης αξιοπιστίας (για παράδειγμα, είναι απενεργοποιημένη η βασιστείτε αξιόπιστοι), ένας χρήστης διατηρεί βλέπει τη σελίδα "Είσοδος" μήνυμα λάθους κατά την προσπάθειά τους να εκτελούν έλεγχο ταυτότητας.
Πρόβλημα 3
Εάν απενεργοποιήσετε την επιλογή SSO σε ένα διακομιστή AD FS, οι αιτήσεις ελέγχου ταυτότητας στο διακομιστή AD FS θα αποτύχει.
Το ζήτημα 4
Όταν μια παθητική αίτηση ελέγχου ταυτότητας στο διακομιστή AD FS απαιτεί νωπών ελέγχου ταυτότητας, ο έλεγχος ταυτότητας αποτυγχάνει και ο διακομιστής διατηρεί να ζητούνται διαπιστευτήρια.
Σημείωση Μια εφαρμογή με δυνατότητα με απαιτήσεις μπορεί να ζητήσει νωπών ελέγχου ταυτότητας χρησιμοποιώντας το wfresh = 0 παράμετρος για τους μηχανισμούς WS-Fed. Η εφαρμογή μπορεί να χρησιμοποιεί αντί για αυτό το ForceAuthN = true παράμετρος για τους μηχανισμούς SAMLP.
Το ζήτημα 5
Για να προσαρμοστεί AD FS 2.0 αναπτύξεις, προσαρμογές που προστέθηκαν μετά την κλήση του SignIn() στον κώδικα της σελίδας FormsSignin.aspx.cs δεν εκτελούνται.
Προτεινόμενη αντιμετώπιση
Έχουμε εκδώσει ένα πακέτο επείγουσας επιδιόρθωσης για να επιλύσετε αυτό το ζήτημα.
Σημειώσεις
-
Μετά την εγκατάσταση αυτής της επείγουσας επιδιόρθωσης, πρέπει να χρησιμοποιήσετε τον έλεγχο ταυτότητας που βασίζεται σε φόρμες ή ενσωματωμένο έλεγχο ταυτότητας των Windows.
-
Μετά την εγκατάσταση αυτής της επείγουσας επιδιόρθωσης, AD FS 2.0 δεν υποστηρίζει πλέον την παθητική βασικού ελέγχου ταυτότητας HTTP. Εάν χρησιμοποιείτε αυτόν τον έλεγχο ταυτότητας, τώρα θα δείτε ότι το αίτημα δρομολογείται σε βρόχο ανακατεύθυνσης και τελικά αποτυγχάνει. Συνιστάται να κάνετε μετεγκατάσταση του περιβάλλοντος για τον έλεγχο ταυτότητας που βασίζεται σε φόρμες, πριν να εγκαταστήσετε αυτήν την επείγουσα επιδιόρθωση.
-
Εάν εγκαταστήσετε αυτήν την επείγουσα επιδιόρθωση σε διακομιστές STS, πρέπει επίσης να εγκαταστήσετε την επείγουσα επιδιόρθωση σε διακομιστές μεσολάβησης. Συνιστούμε να κάνετε αναβάθμιση όλων των διακομιστών STS, πριν να αναβαθμίσετε τους διακομιστές μεσολάβησης έτσι ώστε να μην έχετε να μειωθεί σε όλους τους διακομιστές στο σύμπλεγμα διακομιστών.
Πληροφορίες άμεσης επιδιόρθωσης
Μια υποστηριζόμενη άμεση επιδιόρθωση είναι διαθέσιμη από τη Microsoft. Ωστόσο, αυτή η επείγουσα επιδιόρθωση προορίζεται για τη διόρθωση μόνο του ζητήματος που περιγράφεται σε αυτό το άρθρο. Εφαρμόστε αυτήν την άμεση επιδιόρθωση μόνο σε συστήματα που αντιμετωπίζουν το πρόβλημα που περιγράφεται σε αυτό το άρθρο. Αυτή η άμεση επιδιόρθωση ενδέχεται να υποβληθεί σε πρόσθετο έλεγχο. Επομένως, εάν αυτό το ζήτημα δεν σας επηρεάζει ιδιαίτερα, σας συνιστούμε να περιμένετε έως την επόμενη ενημέρωση λογισμικού που περιέχει αυτήν την άμεση επιδιόρθωση.
Εάν η άμεση επιδιόρθωση είναι διαθέσιμη για λήψη, θα υπάρχει μια ενότητα "Διαθέσιμη λήψη άμεσης επιδιόρθωσης" στην αρχή αυτού του άρθρου της Γνωσιακής βάσης. Εάν αυτή η ενότητα δεν εμφανίζεται, επικοινωνήστε με την Υπηρεσία εξυπηρέτησης πελατών και υποστήριξης της Microsoft για να αποκτήσετε την άμεση επιδιόρθωση.
Σημείωση Εάν προκύψουν πρόσθετα ζητήματα ή απαιτείται αντιμετώπιση προβλημάτων, ίσως χρειαστεί να δημιουργήσετε ξεχωριστή αίτηση εξυπηρέτησης. Για πρόσθετες ερωτήσεις υποστήριξης και θέματα που δεν αφορούν τη συγκεκριμένη άμεση επιδιόρθωση, ισχύουν οι συνηθισμένες χρεώσεις υποστήριξης. Για την πλήρη λίστα αριθμών τηλεφώνου υποστήριξης και εξυπηρέτησης πελατών της Microsoft ή για να δημιουργήσετε ξεχωριστή αίτηση εξυπηρέτησης, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://support.microsoft.com/contactus/?ws=supportΣημείωση Η φόρμα "Διαθέσιμη λήψη άμεσης επιδιόρθωσης" εμφανίζει τις γλώσσες για τις οποίες είναι διαθέσιμη η άμεση επιδιόρθωση. Εάν η γλώσσα σας δεν εμφανίζεται, τότε η άμεση επιδιόρθωση δεν είναι διαθέσιμη για αυτήν τη γλώσσα.
Προϋποθέσεις
Για να εφαρμόσετε αυτήν την ενημέρωση, πρέπει να χρησιμοποιείτε ένα από τα ακόλουθα λειτουργικά συστήματα:
-
Τα Windows Server 2008 Service Pack 2
-
Τα Windows Server 2008 R2 Service Pack 1
-
Windows Server 2012
Πληροφορίες μητρώου
Για να εφαρμόσετε αυτήν την ενημέρωση, δεν χρειάζεται να κάνετε αλλαγές στο μητρώο.
Απαίτηση επανεκκίνησης
Δεν χρειάζεται να κάνετε επανεκκίνηση του υπολογιστή μετά την εφαρμογή αυτής της ενημέρωσης.
Πληροφορίες αντικατάστασης ενημέρωσης
Αυτή η ενημέρωση δεν αντικαθιστά ενημέρωση που είχε κυκλοφορήσει προηγουμένως.
Η καθολική έκδοση αυτής της ενημέρωσης εγκαθιστά αρχεία με χαρακτηριστικά που αναφέρονται στους παρακάτω πίνακες. Οι ημερομηνίες και οι ώρες για αυτά τα αρχεία αναφέρονται σε Συντονισμένη παγκόσμια ώρα (UTC). Οι ημερομηνίες και οι ώρες για αυτά τα αρχεία στον τοπικό υπολογιστή σας, εμφανίζονται στην τοπική σας ώρα μαζί με την τρέχουσα θερινή ώρα (DST). Επιπλέον, οι ημερομηνίες και οι ώρες ενδέχεται να αλλάξουν όταν εκτελείτε συγκεκριμένες λειτουργίες στα αρχεία.
Πληροφορίες αρχείου Windows Server 2008
Για όλες τις υποστηριζόμενες εκδόσεις του Windows Server 2008 που βασίζονται σε x86
Όνομα αρχείου |
Έκδοση αρχείου |
Μέγεθος αρχείου |
Ημ/νία |
Ώρα |
Πλατφόρμα |
---|---|---|---|---|---|
Microsoft.identitymodel.dll |
6.1.7601.22179 |
1,093,632 |
04-Dec-2012 |
06:42 |
x86 |
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
22-Oct-2013 |
03:52 |
x86 |
Microsoft.identityserver.service.mof |
Δεν ισχύει |
4,606 |
09-Sep-2011 |
11:40 |
Δεν ισχύει |
Uninstallwmiprovider.mof |
Δεν ισχύει |
1,012 |
09-Sep-2011 |
11:40 |
Δεν ισχύει |
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
22-Oct-2013 |
03:52 |
x86 |
Για όλες τις υποστηριζόμενες εκδόσεις του Windows Server 2008 που βασίζονται σε x64
Όνομα αρχείου |
Έκδοση αρχείου |
Μέγεθος αρχείου |
Ημ/νία |
Ώρα |
Πλατφόρμα |
---|---|---|---|---|---|
Microsoft.identitymodel.dll |
6.1.7601.22179 |
1,093,632 |
04-Dec-2012 |
06:43 |
x86 |
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
22-Oct-2013 |
03:51 |
x86 |
Microsoft.identityserver.service.mof |
Δεν ισχύει |
4,606 |
15-Nov-2011 |
15:15 |
Δεν ισχύει |
Uninstallwmiprovider.mof |
Δεν ισχύει |
1,012 |
15-Nov-2011 |
15:15 |
Δεν ισχύει |
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
22-Oct-2013 |
03:51 |
x86 |
Πληροφορίες αρχείου Windows Server 2008 R2
Σημειώσεις
-
Τα αρχεία που σχετίζονται με ένα συγκεκριμένο προϊόν, με ορόσημα (εκδόσεις RTM, SPn) και με κλάδους υπηρεσιών (LDR, GDR) μπορούν να αναγνωριστούν εξετάζοντας τους αριθμούς έκδοσης των αρχείων, όπως φαίνεται στον ακόλουθο πίνακα:
Έκδοση
Το προϊόν
Ορόσημο
Κλάδος υπηρεσίας
6.1.760
1.22 xxxWindows Server 2008 R2
SP1
LDR
-
Οι κλάδοι υπηρεσιών LDR περιέχουν επιπλέον άμεσες επιδιορθώσεις, πέρα από τις επιδιορθώσεις που έχουν κυκλοφορήσει ευρέως.
Για όλες τις υποστηριζόμενες εκδόσεις του Windows Server 2008 R2 που βασίζονται σε x64
Όνομα αρχείου |
Έκδοση αρχείου |
Μέγεθος αρχείου |
Ημ/νία |
Ώρα |
Πλατφόρμα |
---|---|---|---|---|---|
Microsoft.identitymodel.dll |
6.1.7601.22485 |
1,093,632 |
21-Oct-2013 |
09:35 |
x86 |
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
21-Oct-2013 |
08:45 |
x86 |
Microsoft.identityserver.service.mof |
Δεν ισχύει |
4,606 |
09-Jul-2013 |
06:32 |
Δεν ισχύει |
Uninstallwmiprovider.mof |
Δεν ισχύει |
1,012 |
09-Jul-2013 |
06:32 |
Δεν ισχύει |
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
21-Oct-2013 |
08:45 |
x86 |
Πληροφορίες αρχείου 2012 διακομιστή των Windows
Σημειώσεις
-
Τα αρχεία που σχετίζονται με ένα συγκεκριμένο προϊόν, με ορόσημα (εκδόσεις RTM, SPn) και με κλάδους υπηρεσιών (LDR, GDR) μπορούν να αναγνωριστούν εξετάζοντας τους αριθμούς έκδοσης των αρχείων, όπως φαίνεται στον ακόλουθο πίνακα:
Έκδοση
Το προϊόν
Ορόσημο
Κλάδος υπηρεσίας
6.2.920 0.17xxx
Windows Server 2012
RTM
GDR
6.2.920 0.21xxx
Windows Server 2012
RTM
LDR
-
Οι κλάδοι υπηρεσιών LDR περιέχουν επιπλέον άμεσες επιδιορθώσεις, πέρα από τις επιδιορθώσεις που έχουν κυκλοφορήσει ευρέως.
Για όλες τις υποστηριζόμενες εκδόσεις του Windows Server 2012 που βασίζονται σε x64
Όνομα αρχείου |
Έκδοση αρχείου |
Μέγεθος αρχείου |
Ημ/νία |
Ώρα |
Πλατφόρμα |
---|---|---|---|---|---|
Microsoft.identityserver.service.dll |
6.2.9200.17066 |
660,992 |
01-Aug-2014 |
02:45 |
x86 |
Microsoft.identityserver.service.dll |
6.2.9200.21186 |
660,480 |
01-Aug-2014 |
02:02 |
x86 |
Microsoft.identityserver.dll |
6.2.9200.17066 |
876,032 |
01-Aug-2014 |
02:45 |
x86 |
Microsoft.identityserver.dll |
6.2.9200.21186 |
876,032 |
01-Aug-2014 |
02:02 |
x86 |
Για περισσότερες πληροφορίες σχετικά με την ορολογία των ενημερώσεων λογισμικού, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο στη Γνωσιακή Βάση της Microsoft:
824684 περιγραφή της βασικής ορολογίας που χρησιμοποιείται για την περιγραφή ενημερωμένων εκδόσεων λογισμικού της MicrosoftΓια περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
2843638 MS13-066: περιγραφή της ενημέρωσης ασφάλειας για το Active Directory Ομοσπονδία Services 2.0: 13 Αυγούστου 2013