Введение
В этой статье описывается обновление, которое устраняет перечисленные ниже проблемы. Для серверов служб федерации Active Directory (AD FS) под управлением Windows Server 2008 и Windows Server 2008 R2 неполадки возникают после установки 2843638 обновление для системы безопасности. Для серверов службы федерации Active Directory под управлением Windows Server 2012 неполадки возникают после установки 2843639 обновление для системы безопасности. 2843638 и 2843639, описанные в бюллетене по безопасности MS13-066.
Проблема 1
Если маркер единого входа (SSO) превысит допустимое значение, пользователь не может аутентификации в сервере.
Как правило большие маркер SSO вызвана пользователь не является членом многих групп.
Проблема 2
Предполагается развертывать как поставщик удостоверений для поставщика федерации AD FS. Или Предположим, развертывание AD FS как маркеров безопасности службы (STS) работает как служба федерации для приложения, поддерживающего маркера и поставщик удостоверений объединенный. В случае отказа в отношениях доверия (например, доверяющей стороны доверия отключена), пользователь продолжает видеть страницу входа, а не сообщение об ошибке при попытке выполнения проверки подлинности.
Проблема 3
Если отключить параметр SSO на сервере AD FS, сбой запросов проверки подлинности на сервере AD FS.
Проблема 4
При пассивной проверки подлинности запроса к серверу службы федерации Active Directory требует новой проверки подлинности, происходит сбой проверки подлинности, а сервер продолжает запрашивать учетные данные.
Примечание. Приложение по заявкам может запросить новую проверку подлинности с помощью wfresh = 0 параметр для механизмов WS-Fed. Приложение может использовать вместо этого ForceAuthN = true параметр SAMLP механизмов.
Вопрос 5
Для настройки AD FS 2.0 развертывания, настройки, добавленные после вызова SignIn() в FormsSignin.aspx.cs коде страницы не выполняются.
Решение
Корпорация Майкрософт выпустила исправление для решения этой проблемы.
Примечания
-
После установки этого исправления необходимо использовать встроенную проверку подлинности Windows или проверки подлинности на основе форм.
-
После установки данного исправления, службы федерации Active Directory 2.0 больше не поддерживает пассивный обычной проверкой подлинности HTTP. При использовании проверки подлинности, вы сейчас увидите входит в цикл перенаправления и в конечном итоге происходит сбой запроса. Рекомендуется перейти среды проверки подлинности на основе форм, перед установкой данного исправления.
-
Если установить это исправление на серверах STS, необходимо также установить исправление на прокси-серверы. Рекомендуется обновить все серверы STS, перед установкой прокси-серверы таким образом, нет необходимости загружать все серверы в ферме серверов.
Сведения об исправлении
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.
Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Для получения полного списка телефонов поддержки и обслуживания клиентов корпорации Майкрософт, или для создания отдельного запроса на обслуживание, посетите следующий веб-сайт Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Чтобы применить это обновление, необходимо использовать одну из следующих операционных систем:
-
Windows Server 2008 с пакетом обновления 2
-
Windows Server 2008 R2 с пакетом обновления 1
-
Windows Server 2012
Сведения о реестре
Чтобы применить это обновление, нет необходимости вносить изменения в реестр.
Необходимость перезагрузки
Необходимо перезагрузить компьютер после установки этого обновления.
Сведения о замене обновлений
Это обновление не заменяет ранее выпущенное обновление.
Глобальная версия этого обновления устанавливает файлы, которые имеют атрибуты, перечисленные в следующих таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.
Сведения о файлах для Windows Server 2008
Для всех поддерживаемых версий Windows Server 2008 для систем на базе x86
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Microsoft.identitymodel.dll |
6.1.7601.22179 |
1,093,632 |
04-Dec-2012 |
06:42 |
x86 |
|
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
22-Oct-2013 |
03:52 |
x86 |
|
Microsoft.identityserver.service.mof |
Неприменимо |
4,606 |
09-Sep-2011 |
11:40 |
Неприменимо |
|
Uninstallwmiprovider.mof |
Неприменимо |
1,012 |
09-Sep-2011 |
11:40 |
Неприменимо |
|
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
22-Oct-2013 |
03:52 |
x86 |
Для всех поддерживаемых версий Windows Server 2008 для систем на базе x64
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Microsoft.identitymodel.dll |
6.1.7601.22179 |
1,093,632 |
04-Dec-2012 |
06:43 |
x86 |
|
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
22-Oct-2013 |
03:51 |
x86 |
|
Microsoft.identityserver.service.mof |
Неприменимо |
4,606 |
15-Nov-2011 |
15:15 |
Неприменимо |
|
Uninstallwmiprovider.mof |
Неприменимо |
1,012 |
15-Nov-2011 |
15:15 |
Неприменимо |
|
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
22-Oct-2013 |
03:51 |
x86 |
Сведения о файлах для Windows Server 2008 R2
Примечания
-
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.
Версия
Продукт
Контрольная точка
Направление поддержки
6.1.760
1.22 xxxWindows Server 2008 R2
SP1
LDR
-
В обновления LDR входят также специализированные исправления.
Для всех поддерживаемых 64-разрядных версий Windows Server 2008 R2
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Microsoft.identitymodel.dll |
6.1.7601.22485 |
1,093,632 |
21-Oct-2013 |
09:35 |
x86 |
|
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
21-Oct-2013 |
08:45 |
x86 |
|
Microsoft.identityserver.service.mof |
Неприменимо |
4,606 |
09-Jul-2013 |
06:32 |
Неприменимо |
|
Uninstallwmiprovider.mof |
Неприменимо |
1,012 |
09-Jul-2013 |
06:32 |
Неприменимо |
|
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
21-Oct-2013 |
08:45 |
x86 |
Сведения о файлах для Windows Server 2012
Примечания
-
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.
Версия
Продукт
Контрольная точка
Направление поддержки
6.2.920 0.17xxx
Windows Server 2012
RTM
GDR
6.2.920 0.21xxx
Windows Server 2012
RTM
LDR
-
В обновления LDR входят также специализированные исправления.
Для всех поддерживаемых версий Windows Server 2012 для систем на базе x64
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Microsoft.identityserver.service.dll |
6.2.9200.17066 |
660,992 |
01-Aug-2014 |
02:45 |
x86 |
|
Microsoft.identityserver.service.dll |
6.2.9200.21186 |
660,480 |
01-Aug-2014 |
02:02 |
x86 |
|
Microsoft.identityserver.dll |
6.2.9200.17066 |
876,032 |
01-Aug-2014 |
02:45 |
x86 |
|
Microsoft.identityserver.dll |
6.2.9200.21186 |
876,032 |
01-Aug-2014 |
02:02 |
x86 |
Для получения дополнительных сведений о терминологии обновлений программного обеспечения щелкните следующий номер статьи базы знаний Майкрософт:
Описание 824684 Стандартные термины, используемые при описании обновлений программных продуктов МайкрософтДля получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
2843638 MS13-066: Описание обновления безопасности для 2.0 службы федерации Active Directory: 13 августа 2013
