Aggiornamenti necessari per Active Directory Federation Services (AD FS) e Proxy applicazione Web (WAP)
A partire da ottobre 2016, tutti gli aggiornamenti di tutti i componenti di Windows Server vengono rilasciati solo tramite Windows Update (WU). Non sono disponibili altri hotfix o singoli download. Si applica a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1.
Questa pagina elenca i pacchetti di rollup di particolare interesse per AD FS e WAP, nonché l'elenco cronologico degli aggiornamenti rapidi consigliati per AD FS e WAP.
Aggiornamenti per ADFS e WAP in Windows Server 2016
Gli aggiornamenti per Windows Server 2016 vengono recapitati mensilmente tramite Windows Update e sono cumulativi. Il pacchetto di aggiornamento elencato di seguito è consigliato per tutti i server AD FS e WAP 2016 e include tutti gli aggiornamenti necessari in precedenza, nonché le correzioni più recenti.
| KB # | Descrizione | Data di rilascio |
|---|---|---|
| 4534271 | Risolve un potenziale errore di Chrome di AD FS a causa del supporto dei nuovi criteri di cookie SameSite per impostazione predefinita per la versione 80 di Google Chrome. Per ulteriori informazioni, vedere qui. | Gennaio 2020 |
| CVE-2019-1126 | Questo aggiornamento della sicurezza risolve una vulnerabilità in Active Directory Federation Services (AD FS) che potrebbe consentire a un utente malintenzionato di ignorare i criteri di blocco extranet. | Luglio 2019 |
| 4489889 (Build sistema operativo 14393.2879) | Risolve un problema in Active Directory Federation Services (AD FS) che causa la visualizzazione di un trust della relying party duplicato nella console di gestione di AD FS. Ciò si verifica quando si creano o si visualizzano trust della relying party usando la console di gestione di AD FS. Risolve un problema di latenza di Active Directory Federation Services (AD FS) Web Application Proxy (WAP) elevato (oltre 10.000 ms) che si verifica mentre Extranet Smart Lockout (ESL) è abilitato in AD FS 2016. Questo aggiornamento della sicurezza risolve la vulnerabilità descritta in CVE-2018-16794. | marzo 2019 |
| 4487006 (Build sistema operativo 14393.2828) | Risolve un problema che causa l'esito negativo degli aggiornamenti di un trust della relying party quando si usa PowerShell o la console di gestione di Active Directory Federation Services (AD FS). Questo problema si verifica se si configura un trust della relying party per l'uso di un URL di metadati online che pubblica più di un PassiveRequestorEndpoint. L'errore è "MSIS7615: gli endpoint attendibili specificati in un trust della relying party devono essere univoci per tale trust della relying party". Risolve un problema che visualizza un messaggio di errore specifico per le modifiche alle password di complessità esterne a causa dei criteri di protezione password di Azure. | febbraio 2019 |
| 4462928 (Build sistema operativo 14393.2580) | Risolve i problemi di interoperabilità tra Active Directory Federation Services (AD FS) Extranet Smart Lockout (ESL) e ID di accesso alternativo. Quando l'ID di accesso alternativo è abilitato, le chiamate ai cmdlet di PowerShell di AD FS, Get-AdfsAccountActivity e Reset-AdfsAccountLockout restituiscono errori di "Account non trovato". Quando si richiama Set-AdfsAccountActivity, viene aggiunta una nuova voce anziché modificarne una esistente. | 2018 ottobre |
| 4343884 (Build sistema operativo 14393.2457) | Risolve un problema di Active Directory Federation Services (AD FS) per cui l’autenticazione multifattoriale non funziona correttamente con i dispositivi mobili che usano definizioni di impostazioni cultura personalizzate. Risolve un problema in Windows Hello for Business che causa un ritardo significativo (15 secondi) nella nuova registrazione utente. Questo problema si verifica quando viene usato un modulo di sicurezza hardware per archiviare un certificato dell'autorità di registrazione (RA) di AD FS. | Agosto 2018 |
| 4338822 (Build sistema operativo 14393.2395) | Risolve un problema in AD FS che mostra un trust della relying party duplicato nel sistema di gestione di AD FS quando si creano o si visualizzano trust della relying party dalla console.Risolve un problema in AD FS che causa l'esito negativo di Windows Hello for Business. Il problema si verifica quando sono presenti due provider di attestazioni. La registrazione del PIN avrà esito negativo e viene visualizzato l'errore "400 Internal Server Error: Unable to obtain device identifier" (Errore interno del server 400: Impossibile ottenere l'identificatore del dispositivo). Risolve un problema WAP correlato alle connessioni inattive che non terminano mai. Ciò comporta perdite di risorse di sistema (ad esempio, una perdita di memoria) e a un servizio WAP che non risponde più. Risolve un problema di AD FS che impedisce agli utenti di selezionare un'opzione di accesso diversa. Ciò si verifica quando gli utenti scelgono di accedere utilizzando l'autenticazione basata su certificati, ma non è stato configurato. Ciò si verifica anche se gli utenti selezionano Autenticazione basata su certificati e quindi tentano di selezionare un'altra opzione di accesso. In questo caso, gli utenti verranno reindirizzati alla pagina Autenticazione basata su certificati fino a quando non chiuderanno il browser. | Luglio 2018 |
| 4103720 (Build sistema operativo 14393.2273) | Risolve un problema con AD FS che causa l'esito negativo di un account di accesso avviato da IdP a una relying party SAML quando PreventTokenReplays è abilitato. Risolve un problema di AD FS che si verifica quando OAUTH esegue l'autenticazione da un dispositivo o da un'applicazione del browser. Una modifica della password utente genera un errore e richiede all'utente di uscire dall'app o dal browser per effettuare l'accesso. Risolve un problema per cui l'abilitazione del blocco intelligente Extranet in UTC +1 e fusi orari superiori (Europa e Asia) non funziona. Inoltre, causa l'esito negativo normale del blocco Extranet con l'errore seguente: Get-AdfsAccountActivity: valori DateTime maggiori di DateTime.MaxValue o inferiori a DateTime.MinValue quando convertiti in UTC non possono essere serializzati in JSON.Risolve un problema di Windows Hello for Business di AD FS in cui i nuovi utenti non sono in grado di effettuare il provisioning del PIN. Ciò si verifica quando non è configurato alcun provider MFA. | maggio 2018 |
| 4093120 (Build sistema operativo 14393.2214) | Risolve un problema di convalida del token di aggiornamento non gestito. Viene generato l'errore seguente: "Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthInvalidRefreshTokenException: MSIS9312: Token di aggiornamento OAuth non valido ricevuto. Il token di aggiornamento è stato ricevuto prima del tempo consentito nel token." | 2018 aprile |
| 4077525 (Build sistema operativo 14393.2097) | Risolve un problema a causa del quale si verifica un errore HTTP 500 quando una farm AD FS dispone di almeno due server che utilizzano il database interno di Windows (WID). In questo scenario, la preautenticazione di base HTTP nel server Proxy applicazione Web (WAP) non riesce ad autenticare alcuni utenti. Quando si verifica l'errore, è possibile che venga visualizzato anche l'avviso Proxy applicazione Web Microsoft Windows ID evento 13039 nel registro eventi WAP. Nella descrizione si legge: "Proxy applicazione Web non è riuscito ad autenticare l'utente. La preautenticazione è "AD FS per i client avanzati". L'utente specificato non è autorizzato ad accedere alla relying party specificata. È necessario modificare le regole di autorizzazione della relying party di destinazione o della relying party WAP".Risolve il problema in cui AD FS non può più ignorare prompt=login durante l'autenticazione. È stata aggiunta un'opzione Disabilitato per supportare scenari in cui non viene utilizzata l'autenticazione della password. Per altre informazioni, vedere AD FS ignora il parametro "prompt=login" durante un'autenticazione in Windows Server 2016 RTM.Risolve il problema in AD FS in cui i clienti autorizzati (e le relying party) che selezionano Certificato come opzione di autenticazione non riusciranno a connettersi. L'errore si verifica quando si usa prompt=login se è abilitata l'autenticazione integrata di Windows e la richiesta può eseguire WIA.Risolve il problema per cui AD FS visualizza erroneamente la pagina Individuazione area di autenticazione principale (HRD) quando un provider di identità (IDP) è associato a una relying party (RP) in un gruppo OAuth. A meno che non siano associati più PROVIDER di identità al gruppo OAuth, l'utente non visualizzerà la pagina HRD. L'utente passa invece direttamente all'IDP associato per l'autenticazione. | Febbraio 2018 |
| 4041688 (Build sistema operativo 14393.1794) | Questa correzione risolve un problema che indirizza in modo intermittente le richieste dell'autorità di Active Directory al provider di identità errato a causa di un comportamento di memorizzazione nella cache non corretto. Ciò può influire su funzionalità di autenticazione come Multi Factor Authentication. È stata aggiunta la possibilità per Microsoft Entra Connect Health di riferire sull'integrità del server AD FS con il corretto livello di fedeltà (utilizzando il controllo dettagliato) nelle farm AD FS WS2012R2 e WS2016 miste.È stato risolto un problema per cui, durante l'aggiornamento della farm AD FS 2012 R2 ad AD FS 2016, il cmdlet di PowerShell che aumenta il livello di comportamento della farm restituisce un errore con un timeout quando sono presenti molti trust della relying party.È stato risolto un problema per cui AD FS causa errori di autenticazione modificando il valore del parametro wct durante la federazione delle richieste ad altri server token di sicurezza (STS). | ottobre 2017 |
| 4038801 (Build sistema operativo 14393.1737) | Aggiunta del supporto per la disconnessione OIDC tramite LDP federati. Ciò consentirà "Scenari in modalità tutto schermo" in cui più utenti potrebbero essere connessi serialmente a un singolo dispositivo in cui è presente la federazione con un LDP.È stato risolto un problema WinHello per cui i certificati basati su CEP/CES non funzionano con gli account del servizio gestito del gruppo.Risolve un problema per cui il database interno di Windows (WID) nei server AD FS di Windows Server 2016 non sincronizza alcune impostazioni, ad esempio le colonne ApplicationGroupId di IdentityServerPolicy.Scopes e IdentityServerPolicy.Clients, a causa di un vincolo di chiave esterna. Tali errori di sincronizzazione possono causare diverse esperienze di attestazione, provider di attestazioni e applicazioni tra i server AD FS primari e secondari. Inoltre, se il ruolo primario wid viene spostato in un nodo secondario, i gruppi di applicazioni non saranno più gestibili nell'esperienza utente di gestione di AD FS.Questo aggiornamento risolve un problema per cui Multi Factor Authentication non funziona correttamente con i dispositivi mobili che usano definizioni di impostazioni cultura personalizzate | settembre 2017 |
| 4034661 (Build sistema operativo 14393.1613) | Risolve un problema a causa del quale l'indirizzo IP del chiamante è registrato da 411 eventi nel registro eventi di sicurezza di AD FS 4.0 \ Windows Server 2016 RS1 AD FS anche dopo aver abilitato i "controlli riusciti" e "controlli di errore".Questa correzione risolve un problema con Azure Multi Factor Authentication (MFA) quando un server ADFX è configurato per l'uso di un proxy HTTP."È stato risolto un problema per cui la presentazione di un certificato scaduto o revocato al server proxy AD FS non restituisce un errore all'utente." | August 2017 |
| 4034658 (Build sistema operativo 14393.1593) | Correzione per il server AD FS 2016 al fine di supportare la registrazione dei certificati MFA per le distribuzioni locali di Windows Hello For Business | August 2017 |
| 4025334 (Build sistema operativo 14393.1532) | È stato risolto un problema per cui il gestore di token PkeyAuth poteva avere un esito negativo nell'autenticazione nel caso la richiesta pkeyauth conteneva dati non corretti. L'autenticazione deve continuare senza eseguire l'autenticazione del dispositivo | Luglio 2017 |
| 4022723 (Build sistema operativo 14393.1378) | [Proxy applicazione Web] Il valore della proprietà di configurazione DisableHttpOnlyCookieProtection non viene selezionato da WAP 2016 nella distribuzione mista di 2012R2R2/2016 [Proxy applicazione Web] Non è possibile ottenere il token di accesso utente da AD FS negli scenari di preautenticazione EAS.AD FS 2016: la disconnessione WSFED causa un'eccezione | 2017 giugno |
| 3213986 | Aggiornamento cumulativo per Windows Server 2016 per sistemi basati su x64 (KB3213986) | Gennaio 2017 |
Aggiornamenti per ADFS e WAP in Windows Server 2012 R2
Di seguito è riportato l'elenco degli hotfix e degli aggiornamenti cumulativi rilasciati per Active Directory Federation Services (AD FS) in Windows Server 2012 R2.
| KB # | Descrizione | Data di rilascio |
|---|---|---|
| 4534309 | Risolve un potenziale errore di Chrome di AD FS a causa del supporto dei nuovi criteri di cookie SameSite per impostazione predefinita per la versione 80 di Google Chrome. Per ulteriori informazioni, vedere qui. | Gennaio 2020 |
| 4507448 | Questo aggiornamento della sicurezza risolve una vulnerabilità in Active Directory Federation Services (AD FS) che potrebbe consentire a un utente malintenzionato di ignorare i criteri di blocco extranet. | Luglio 2019 |
| 4041685 | È stato risolto un problema di AD FS a causa del quale i cookie MSISConext nelle intestazioni di richiesta possono eventualmente superare il limite di dimensioni delle intestazioni e causare l'autenticazione con codice di stato HTTP 400 "Richiesta non valida - Intestazione troppo lunga".È stato risolto un problema per cui AD FS non può più ignorare "prompt=login" durante l'autenticazione. È stata aggiunta un'opzione "Disabilitato" per ripristinare scenari in cui non viene usata l'autenticazione tramite password. | Anteprima dell'aggiornamento cumulativo di ottobre 2017 |
| 4019217 | I client di Cartelle di lavoro che usano il broker di token non funzionano quando si utilizza un server AD FS Server 2012 R2 | Anteprima dell'aggiornamento cumulativo di maggio 2017 |
| 4015550 | È stato risolto un problema per cui AD FS non autenticava gli utenti esterni e AD FS WAP in modo casuale non riusciva a inoltrare la richiesta | Aggiornamento cumulativo di aprile 2017 |
| 4015547 | È stato risolto un problema per cui AD FS non autenticava gli utenti esterni e AD FS WAP in modo casuale non riusciva a inoltrare la richiesta | Aggiornamento della sicurezza di aprile 2017 |
| 4012216 | MS17-019 Questo aggiornamento della sicurezza risolve una vulnerabilità in Active Directory Federation Services (AD FS). La vulnerabilità potrebbe consentire la divulgazione di informazioni se un utente malintenzionato invia una richiesta appositamente creata a un server AD FS, consentendogli di leggere informazioni riservate sul sistema di destinazione. | Aggiornamento cumulativo di marzo 2017 |
| 3179574 | Correzione del problema relativo all'aggiornamento della password extranet di AD FS. | Aggiornamento cumulativo di agosto 2016 |
| 3172614 | È stato introdotto il supporto prompt=login, è stato risolto un problema relativo alla console di gestione di AD FS e all'impostazione AlwaysRequireAuthentication. | Aggiornamento cumulativo di luglio 2016 |
| Active Directory Federation Services (AD FS) 3.0 non è in grado di connettersi agli archivi di attributi LDAP (Lightweight Directory Access Protocol) configurati per l'uso della porta Secure Sockets Layer (SSL) 636 o 3269 nella stringa di connessione. | Aggiornamento cumulativo di giugno 2016 | |
| 3148533 | Errore dell'autenticazione fallback MFA tramite Proxy AD FS in Windows Server 2012 R2 | 2016° maggio |
| 3134787 | I registri di ADFS non contengono l'indirizzo IP del client per gli scenari di blocco degli account in Windows Server 2012 R2 | 2016 febbraio |
| 3134222 | MS16-020: Aggiornamento della protezione per Active Directory Federation Services per la negazione di indirizzo del servizio: il 9 febbraio 2016 | 2016 febbraio |
| 3105881 | Impossibile accedere alle applicazioni quando è abilitata l'autenticazione del dispositivo nel server ADFS basato su Windows Server 2012 R2 | Ottobre 2015 |
| 3092003 | Caricamento della pagina più volte e l'autenticazione non riesce quando gli utenti utilizzano l'autenticazione a più Fattori in Windows Server 2012 R2 AD ADFS | Agosto 2015 |
| 3080778 | AD FS non chiama OnError quando scheda MFA genera un'eccezione in Windows Server 2012 R2 | luglio 2015 |
| 3075610 | Le relazioni di trust vengono persi nel server secondario di ADFS dopo l'aggiunta o rimozione di provider di attestazioni in Windows Server 2012 R2 | luglio 2015 |
| 3070080 | Individuazione principale dell'area di autenticazione non funziona correttamente per le attestazioni Non compatibile con Trust della Relying Party | giugno 2015 |
| 3052122 | Aggiornamento aggiunge il supporto per composta ID attestazioni nei token di ADFS in Windows Server 2012 R2 | maggio 2015 |
| 3045711 | MS15-040: Una vulnerabilità in Active Directory Federation Services può consentire l'intercettazione di informazioni personali | Aprile 2015 |
| 3042127 | "HTTP 400 - richiesta non valida" quando si apre una cassetta postale condivisa tramite WAP in Windows Server 2012 R2 | marzo 2015 |
| 3042121 | AD FS riproduzione token protezione per i token di autenticazione Proxy applicazione Web in Windows Server 2012 R2 | marzo 2015 |
| 3035025 | Funzionalità di aggiornamento rapido per l'aggiornamento della password in modo che gli utenti non devono utilizzare dispositivo registrato in Windows Server 2012 R2 | Gennaio 2015 |
| 3033917 | AD FS non è in grado di elaborare la risposta SAML in Windows Server 2012 R2 | Gennaio 2015 |
| 3025080 | Operazione non riesce quando si tenta di salvare un file di Office mediante Proxy applicazione Web in Windows Server 2012 R2 | Gennaio 2015 |
| 3025078 | Non richiesto per il nome utente nuovamente quando si utilizza un nome utente non corretto per accedere a Windows Server 2012 R2 | Gennaio 2015 |
| 3020813 | Richiesto per l'autenticazione quando si esegue un'applicazione web in Windows Server 2012 R2 AD FS | Gennaio 2015 |
| 3020773 | Errori di timeout dopo la distribuzione iniziale del servizio di registrazione del dispositivo in Windows Server 2012 R2 | Gennaio 2015 |
| 3018886 | Viene richiesto un nome utente e password due volte quando si accede a server di Windows Server 2012 R2 AD FS dalla rete intranet | Gennaio 2015 |
| 3013769 | Windows Server 2012 R2 Update Rollup | Dicembre 2014 |
| 3000850 | Windows Server 2012 R2 Update Rollup | novembre 2014 |
| 2975719 | Windows Server 2012 R2 Update Rollup | Agosto 2014 |
| 2967917 | Windows Server 2012 R2 Update Rollup | Luglio 2014 |
| 2962409 | Windows Server 2012 R2 Update Rollup | Giugno 2014 |
| 2955164 | Windows Server 2012 R2 Update Rollup | Maggio 2014 |
| 2919355 | Windows Server 2012 R2 Update Rollup | Aprile 2014 |
Aggiornamenti per AD FS in Windows Server 2012 (AD FS 2.1) e AD FS 2.0
Di seguito è riportato l'elenco degli hotfix e degli aggiornamenti cumulativi rilasciati per AD FS 2.0 e 2.1.
| KB # | Descrizione | Data di rilascio | Si applica a: |
|---|---|---|---|
| 3197878 | L'autenticazione tramite proxy ha esito negativo in Windows Server 2012 (questa è la versione generale dell'hotfix 3094446) | Rollup della qualità di novembre 2016 | ADFS 2.1 |
| 3197869 | L'autenticazione tramite proxy non riesce in Windows Server 2008 R2 SP1 (si tratta della versione generale dell'hotfix 3094446) | Rollup della qualità di novembre 2016 | ADFS 2.0 |
| 3094446 | L'autenticazione tramite proxy ha esito negativo in Windows Server 2012 o Windows Server 2008 R2 SP1 | Settembre 2015 | AD FS 2.0 e 2.1 |
| 3070078 | AD FS 2.1 genera un'eccezione quando si esegue l'autenticazione con un certificato di crittografia in Windows Server 2012 | luglio 2015 | ADFS 2.1 |
| 3062577 | MS15-062: una vulnerabilità in Active Directory federation services potrebbe consentire l'elevazione dei privilegi | giugno 2015 | AD FS 2.0 / 2.1 |
| 3003381 | MS14-077: Una vulnerabilità in Active Directory Federation Services può consentire l'intercettazione di informazioni personali: 14 aprile 2015 | novembre 2014 | AD FS 2.0 / 2.1 |
| 2987843 | Utilizzo della memoria del server federativo ADFS continua ad aumentare quando molti utenti accedono a un'applicazione web in Windows Server 2012 | Luglio 2014 | ADFS 2.1 |
| 2957619 | Trust della relying party in ADFS viene interrotta quando viene effettuata una richiesta ad ADFS per un token di delegati | Maggio 2014 | ADFS 2.1 |
| 2926658 | Distribuzione di farm di AD FS SQL ha esito negativo se non si dispone delle autorizzazioni di SQL | ottobre 2014 | ADFS 2.1 |
| 2896713 o 2989956 | Aggiornamento è disponibile per risolvere diversi problemi dopo l'installazione dell'aggiornamento 2843638 su un server ADFS | Novembre 2013settembre 2014 | AD FS 2.0 / 2.1 |
| 2877424 | Aggiornamento consente di utilizzare un certificato per più Relying Party trust in un'istanza di ADFS farm 2.1 | Ottobre 2013 | ADFS 2.1 |
| 2873168 | FIX: Si verifica un errore quando si utilizza un CSP di terze parti e le STESSE e quindi configurare un trust di provider di attestazioni nell'aggiornamento cumulativo 3 per AD FS 2.0 in Windows Server 2008 R2 Service Pack 1 | Settembre 2013 | ADFS 2.0 |
| Una virgola nel nome soggetto di un certificato di crittografia genererà un'eccezione in Windows Server 2008 R2 SP1 | agosto 2013 | ADFS 2.0 | |
| 2843639 | [Sicurezza] Possibile divulgazione di informazioni a causa di vulnerabilità in Active Directory Federation Services | Novembre 2013 | ADFS 2.1 |
| 2843638 | MS13-066: Descrizione dell'aggiornamento della protezione di Active Directory Federation Services 2.0: 13 agosto 2013 | agosto 2013 | ADFS 2.0 |
| 2827748 | File FederationMetadata XML non contiene le informazioni sull'endpoint MEX per gli endpoint WS-Trust e WS-Federation in Windows Server 2012 | Maggio 2013 | ADFS 2.1 |
| 2790338 | Descrizione dell'aggiornamento cumulativo 3 per Active Directory Federation Services (ADFS) 2.0 | Marzo 2013 | ADFS 2.0 |