简介
本文介绍的更新解决了以下问题。对于运行 Windows Server 2008 的 Active Directory 联合身份验证服务 (AD FS) 服务器,Windows Server 2008 R2 具有安全更新安装 2843638 后,会出现问题。对于 AD FS 服务器运行的 Windows Server 2012,您安装安全更新 2843639 安装后,会出现问题。安全公告 MS13-066 中描述了 2843638 和 2843639。问题 1当登录 (SSO) 标记值太大时,用户不能与服务器进行身份验证。通常情况下,大型的 SSO 标记是许多组的成员用户引起的。问题 2假定您部署 AD FS 联合身份验证提供商的身份标识提供程序作为。或者,假设您在为安全令牌服务 (STS),可用作组合的标识提供程序和联合身份验证提供程序识别标记的应用程序部署 AD FS。如果信任关系中的故障 (例如,禁用信赖方信任),在尝试进行身份验证时,用户保持看到登录页面而不是一条错误消息。问题 3如果禁用 AD FS 服务器上的 SSO 选项时,AD FS 服务器的身份验证请求失败。问题 4当被动的身份验证请求到 AD FS 服务器需要全新的身份验证时,身份验证失败,并且服务器不断要求输入凭据。注意:声明感知应用程序可能要求新的身份验证使用wfresh = 0 WS 进机制的参数。应用程序可能改为使用ForceAuthN = true SAMLP 机制的参数。问题 5为自定义的 AD FS 2.0 部署,则不会执行 FormsSignin.aspx.cs 页代码中的SignIn()调用后添加的自定义项。
解决方案
我们已经发布了修补程序包来解决此问题。备注:
-
安装此修复程序后,您必须使用基于表单的身份验证或 Windows 集成身份验证。
-
安装此修复程序后,AD FS 2.0 不再支持被动 HTTP 基本身份验证。如果您使用此身份验证中,现在将看到请求进入重定向循环,并最终失败。我们建议您在安装此修复程序之前将环境迁移到基于表单的身份验证。
-
如果您在 STS 服务器上安装此修补程序,还必须在代理服务器上安装此修复程序。我们建议您在升级代理服务器,使您无需关闭服务器场中所有服务器之前升级所有 STS 服务器。
修补程序信息
可以从 Microsoft 获得受支持的修复程序。但是,此修补程序用于解决本文中描述的问题。此修复程序仅适用于遇到本文中描述的问题的系统。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。如果此修复程序可供下载,则在此知识库文章顶部"提供修补程序下载"部分。如果未显示此部分,请与 Microsoft 客户服务和支持部门联系以获取此修复程序。注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码的完整列表,或要创建单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support注意:"修补程序下载可用"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。
系统必备组件
若要应用此更新,您必须运行下列操作系统之一:
-
Windows Server 2008 SP 2
-
Windows Server 2008 R2 Service Pack 1
-
Windows Server 2012
注册表信息
若要应用此更新,您不必对注册表进行任何更改。
重启要求
应用此更新后,不需要重新启动计算机。
更新替换信息
此更新不替代以前发布的更新。
此更新的全球版本将安装具有下表所列属性的文件。这些文件的日期和时间以协调世界时 (UTC) 列出。您的本地计算机上这些文件的日期和时间以您的本地时间加上当前夏令时 (DST) 偏差显示。此外,当您对文件执行某些操作时,日期和时间可能会更改。
Windows Server 2008 的文件信息
对于所有受支持的基于 x86 的 Windows Server 2008 的版本
|
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
|---|---|---|---|---|---|
|
Microsoft.identitymodel.dll |
6.1.7601.22179 |
1,093,632 |
04-Dec-2012 |
06:42 |
x86 |
|
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
22-Oct-2013 |
03:52 |
x86 |
|
Microsoft.identityserver.service.mof |
不适用 |
4,606 |
09-Sep-2011 |
11:40 |
不适用 |
|
Uninstallwmiprovider.mof |
不适用 |
1,012 |
09-Sep-2011 |
11:40 |
不适用 |
|
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
22-Oct-2013 |
03:52 |
x86 |
对于所有受支持的基于 x64 的 Windows Server 2008 的版本
|
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
|---|---|---|---|---|---|
|
Microsoft.identitymodel.dll |
6.1.7601.22179 |
1,093,632 |
04-Dec-2012 |
06:43 |
x86 |
|
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
22-Oct-2013 |
03:51 |
x86 |
|
Microsoft.identityserver.service.mof |
不适用 |
4,606 |
15-Nov-2011 |
15:15 |
不适用 |
|
Uninstallwmiprovider.mof |
不适用 |
1,012 |
15-Nov-2011 |
15:15 |
不适用 |
|
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
22-Oct-2013 |
03:51 |
x86 |
Windows Server 2008 R2 文件信息
备注:
-
通过检查下表中显示的文件版本号,可以识别应用于特定产品、 里程碑 (RTM、 SPn) 和服务分支 (LDR、 GDR) 的文件:
版本
产品
里程碑
服务分支
6.1.760 1.22xxx
Windows Server 2008 R2
SP1
LDR
-
LDR 服务分支包含除了广泛发布的修补程序的修补程序。
对于所有受支持的基于 x64 的 Windows Server 2008 R2 版本
|
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
|---|---|---|---|---|---|
|
Microsoft.identitymodel.dll |
6.1.7601.22485 |
1,093,632 |
21-Oct-2013 |
09:35 |
x86 |
|
Microsoft.identityserver.service.dll |
6.1.7601.22485 |
671,744 |
21-Oct-2013 |
08:45 |
x86 |
|
Microsoft.identityserver.service.mof |
不适用 |
4,606 |
09-Jul-2013 |
06:32 |
不适用 |
|
Uninstallwmiprovider.mof |
不适用 |
1,012 |
09-Jul-2013 |
06:32 |
不适用 |
|
Microsoft.identityserver.dll |
6.1.7601.22485 |
790,528 |
21-Oct-2013 |
08:45 |
x86 |
Windows Server 2012 文件信息
备注:
-
通过检查下表中显示的文件版本号,可以识别应用于特定产品、 里程碑 (RTM、 SPn) 和服务分支 (LDR、 GDR) 的文件:
版本
产品
里程碑
服务分支
6.2.920 0.17xxx
Windows Server 2012
RTM
GDR
6.2.920 0.21xxx
Windows Server 2012
RTM
LDR
-
LDR 服务分支包含除了广泛发布的修补程序的修补程序。
对于所有受支持的基于 x64 的 Windows Server 2012 的版本
|
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
|---|---|---|---|---|---|
|
Microsoft.identityserver.service.dll |
6.2.9200.17066 |
660,992 |
01-Aug-2014 |
02:45 |
x86 |
|
Microsoft.identityserver.service.dll |
6.2.9200.21186 |
660,480 |
01-Aug-2014 |
02:02 |
x86 |
|
Microsoft.identityserver.dll |
6.2.9200.17066 |
876,032 |
01-Aug-2014 |
02:45 |
x86 |
|
Microsoft.identityserver.dll |
6.2.9200.21186 |
876,032 |
01-Aug-2014 |
02:02 |
x86 |
有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
用于描述 Microsoft 软件更新的标准术语的824684说明有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
2843638 MS13-066︰ 活动目录联合身份验证服务 2.0 的安全更新的说明︰ 2013 年 8 月 13 日
