Bài viết này mô tả một hotfix cho phép Dịch vụ liên kết Active Directory (AD FS) cửa sổ mã thông báo nhận thẻ xác thực Proxy ứng dụng Web (WAP) trong Windows Server 2012 R2. Trước khi bạn áp dụng hotfix này, bạn sẽ thấy rằng hotfix này có một điều kiện tiên quyết. Nếu bạn muốn biết làm thế nào để bật thiết đặt, xem thông tin chi tiết Thêmthông tin.
Giới thiệu về hotfix này
Khi mã thông báo xác thực WAP do khách hàng, thẻ được đưa vào như một chuỗi truy vấn chuyển hướng URL về WAP. Mã thông báo xác thực này có giá trị thời gian theo quy định của máy chủ AD FS và URL chứa mã thông báo. Nếu người dùng vô tình chia sẻ URL có chứa mã thông báo với người dùng khác, WAP sẽ cho phép người dùng khác trong ngữ cảnh của người dùng mà mã thông báo được thực hiện.
Sau khi bạn cài đặt hotfix này, sự cố này có thể được giảm bằng cách đặt giới hạn sổ mã thông báo chấp nhận xác thực tại WAP bằng cách sử dụng tham số lệnh mới.
Thông tin về cập nhật nóng
Quan trọng Cài đặt gói ngôn ngữ sau khi bạn cài đặt hotfix này. Nếu bạn thực hiện thay đổi ngôn ngữ cụ thể trong các hotfix sẽ không được áp dụng, và bạn sẽ phải cài đặt hotfix. Để biết thêm thông tin, hãy xem
Cập nhật nóng được hỗ trợ do Microsoft cung cấp. Tuy nhiên, cập nhật nóng này chỉ được dùng để khắc phục sự cố được mô tả trong bài viết này. Chỉ áp dụng cập nhật nóng này cho hệ thống đang gặp sự cố cụ thể này.
Nếu cập nhật nóng này sẵn có để tải xuống, có phần "Tải xuống Hotfix sẵn có" ở đầu bài viết Cơ sở Kiến thức này. Nếu phần này không xuất hiện, hãy gửi một yêu cầu tới bộ phận Hỗ trợ và Dịch vụ Khách hàng của Microsoft để nhận hotfix.
Lưu ý Nếu sự cố khác xảy ra hoặc nếu cần khắc phục sự cố, bạn có thể phải tạo một yêu cầu dịch vụ riêng. Chi phí hỗ trợ thông thường sẽ tính cho các câu hỏi hỗ trợ bổ sung và các sự cố không phù hợp với cập nhật nóng cụ thể này. Để có danh sách đầy đủ số điện thoại hỗ trợ và dịch vụ khách hàng của Microsoft hoặc để tạo yêu cầu dịch vụ riêng, hãy ghé thăm website sau của Microsoft:
Lưu ý "Tải xuống Hotfix sẵn có" Hiển thị các ngôn ngữ mà hotfix này sẵn có. Nếu bạn không thấy ngôn ngữ của mình thì đó là do cập nhật nóng này hiện không có ngôn ngữ đó.
Điều kiện tiên quyết
Để áp dụng hotfix này, bạn phải có được cài đặt trong Windows Server 2012 R2.
Thông tin đăng ký
Để sử dụng hotfix trong gói này, bạn không phải thực hiện bất kỳ thay đổi sổ đăng ký.
Yêu cầu khởi động lại
Bạn có thể phải khởi động lại máy tính sau khi áp dụng cập nhật nóng này.
Thông tin thay thế cập nhật nóng
Cập nhật nóng này không thay thế cập nhật nóng được phát hành trước đó.
Phiên bản toàn cầu của cập nhật nóng này cài đặt các tệp có các thuộc tính được liệt kê trong bảng sau. Ngày và giờ của các tệp này được liệt kê theo Giờ Phối hợp Quốc tế (UTC). Ngày và giờ của các tệp này trên máy tính cục bộ của bạn được hiển thị theo giờ địa phương cùng với độ lệch giờ mùa hè (DST) hiện tại của bạn. Ngoài ra, ngày và giờ cũng có thể thay đổi khi bạn thực hiện các thao tác nhất định trên tệp.
Thông tin tệp Windows Server 2012 R2 và ghi chú
Quan trọng Các hotfix Windows 8.1 và Windows Server 2012 R2 được bao gồm trong cùng gói. Tuy nhiên, cập nhật nóng trên trang Yêu cầu Cập nhật nóng được liệt kê trong cả hai hệ điều hành. Để yêu cầu gói hotfix áp dụng cho một hoặc cả hai hệ điều hành, hãy chọn hotfix được liệt kê trong "Windows 8.1/Windows Server 2012 R2" trên trang. Luôn tham khảo phần "Áp dụng Cho" trong bài viết để xác định hệ điều hành thực mà mỗi cập nhật nóng áp dụng cho.
-
Các tệp áp dụng cho một sản phẩm cụ thể, bản gốc (RTM, SPn) và chi nhánh dịch vụ (LDR, GDR) có thể được xác định bằng cách kiểm tra các số phiên bản tệp như trình bày ở bảng sau:
-
Tệp MANIFEST (.manifest) và các tệp MUM (.mum) được cài đặt cho từng môi trường là liệt kê riêng trong phần "thông tin tệp bổ sung". MUM, MANIFEST và các tệp danh mục bảo mật liên quan (.cat) có ý nghĩa rất quan trọng để duy trì trạng thái của các cấu phần được cập nhật. Các tệp danh mục bảo mật, không được liệt kê các thuộc tính, được ký bằng chữ kỹ số của Microsoft.
Trạng thái
Microsoft đã xác nhận rằng đây là sự cố trong sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".
Thông tin
Sau khi cài đặt hotfix này, bạn phải đặt tham số ADFSTokenAcceptanceDurationSec mới trong cấu hình Proxy ứng dụng Web để kích hoạt chức năng cửa sổ mới chấp nhận. Ví dụ: để đặt một cửa sổ 60 thứ hai chấp nhận, bạn sẽ chạy lệnh ghép ngắn PowerShell sau:
Set-WebApplicationProxyConfiguration - ADFSTokenAcceptanceDurationSec: 60Thiết đặt này xác định thời gian bằng giây trong đó WAP sẽ chấp nhận thẻ do AD FS và trình bày lại của khách hàng. Thiết lập ADFSTokenAcceptanceDurationSec 0 sẽ trở lại chế độ mặc định đã không chấp nhận cửa sổ ứng dụng. Giá trị tối đa có thể được đặt là 3.600 (một giờ). Bạn có thể kiểm tra giá trị cài đặt bằng cách sử dụng lệnh ghép ngắn PowerShell sau:
Get-WebApplicationProxyConfigurationLưu ý:
-
Đây là một thiết đặt Web Proxy ứng dụng toàn cầu và sẽ áp dụng cho tất cả các quy tắc xuất bản khi xác thực được yêu cầu. Nó không ảnh hưởng đến đời mã thông báo sau khi thẻ được chuyển sang cookie xác thực Proxy ứng dụng Web.
-
Cài đặt lệnh này không áp dụng cho các ứng dụng được phát hành cùng với giao thức xác thực OAuth.
Tham khảo
Xem Microsoft sử dụng để miêu tả các bản cập nhật phần mềm.
