本文介绍的修复程序使 Windows Server 2012 R2 中的 Web 应用程序代理 (WAP) 身份验证令牌的 Active Directory 联合身份验证服务 (AD FS) 令牌接受窗口。应用此修补程序之前,请注意此修补程序的系统必备组件。如果您想要知道如何启用此设置,请参阅中的详细信息的详细信息。
有关此修复程序
当客户端获得 WAP 身份验证令牌时,令牌是作为重定向 URL 回 WAP 查询字符串包含。此身份验证令牌的有效期为 AD FS 服务器按照规定的时间和 URL 包含的标记。如果用户不小心共享 URL 包含它们与其他用户的令牌,WAP 将授权向其颁发令牌的用户的上下文中的其他用户。
安装此修复程序后,此问题可以通过 WAP 在设置身份验证令牌接受窗口限制,通过使用新的 cmdlet 参数来降低。修补程序信息
重要:安装此修复程序后,则无法安装语言包。如果那样的话,将不会应用此热修复程序中的特定于语言的变化,和您将需要重新安装此修复程序。有关详细信息,请参阅。
可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。仅对出现这一特定问题的系统应用此修补程序。 如果此修复程序可供下载,则在此知识库文章顶部"提供修补程序下载"部分。如果未显示此部分,将申请提交到 Microsoft 客户服务和支持,以获取此修复程序。 注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站︰注意:"修补程序下载可用"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。
系统必备组件
要应用此修补程序,您必须安装在 Windows Server 2012 R2 。
注册表信息
若要使用此程序包中的修复程序,您不必对注册表进行任何更改。
重启要求
您可能需要在应用此修补程序后,重新启动计算机。
修补程序替换信息
此修补程序不替代以前发布的修补程序。
此修复程序的全球版本将安装具有下表所列属性的文件。这些文件的日期和时间以协调世界时 (UTC) 列出。您的本地计算机上这些文件的日期和时间以您的本地时间加上当前夏令时 (DST) 偏差显示。此外,当您对文件执行某些操作时,日期和时间可能会更改。
Windows Server 2012 R2 文件信息和备注
重要:Windows 8.1 的修补程序和 Windows Server 2012 R2 的修复程序在同一个包中 。但是,热修复程序请求页上的修补程序在这两个操作系统中列出。若要申请到一个或两个操作系统的系统应用此修补程序包,选择此修补程序在"Windows 8.1/Windows Server 2012 R2"页上列出。始终参考"适用于"一节文章,以确定每个修补程序适用于实际的操作系统。
-
通过检查下表中显示的文件版本号,可以识别应用于特定产品、 里程碑 (RTM、 SPn) 和服务分支 (LDR、 GDR) 的文件:
-
为每个环境安装的 MANIFEST 文件 (.manifest) 和 MUM 文件 (.mum) 都在"其他文件信息"部分中单独列出。MUM、 MANIFEST和相关的安全目录 (.cat) 文件,对要维护更新组件的状态非常重要。对其属性没有列出的安全目录文件已签署 Microsoft 数字签名。
状态
Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。
详细信息
安装此修复程序后,必须将新的 ADFSTokenAcceptanceDurationSec 参数设置中启用新的验收窗口功能的 Web 应用程序代理服务器配置。例如,设置另一个 60 验收窗口,需要运行下列 PowerShell cmdlet:
一组 WebApplicationProxyConfiguration ADFSTokenAcceptanceDurationSec: 60此设置确定的时间以秒为单位的 WAP 在其中接受令牌颁发的 AD FS,出现回客户端。将 ADFSTokenAcceptanceDurationSec 设置为零将还原为应用没有接收窗口的默认行为。可以设置的最大值为 3600 (1 小时)。您可以通过使用以下 PowerShell cmdlet 检查设置的值︰
获得 WebApplicationProxyConfiguration备注:
-
这是一个全局的 Web 应用程序代理服务器设置,将应用于所有的发布规则都要求身份验证。它不影响令牌的生存期标记转换为 Web 应用程序代理服务器身份验证 cookie 之后。
-
此 cmdlet 设置不适用于发布的应用程序使用 OAuth 的身份验证协议。
参考资料
请参阅 Microsoft 用于描述软件更新。