AD FS(Active Directory Federation Services) 및 WAP(웹 애플리케이션 프록시)에 필요한 업데이트
2016년 10월부터 Windows Server의 모든 구성 요소에 대한 모든 업데이트는 WU(Windows 업데이트)를 통해서만 릴리스됩니다. 핫픽스 또는 개별 다운로드가 더 이상 없습니다. 이는 Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 및 Windows Server 2008 R2 SP1에 적용됩니다.
이 페이지에는 AD FS 및 WAP에 대한 특정 관심의 롤업 패키지와 AD FS 및 WAP에 권장되는 핫픽스 업데이트의 기록 목록이 나열되어 있습니다.
AD FS 및 Windows Server 2016에서에서 WAP에 대 한 업데이트
Windows Server 2016용 업데이트 Windows 업데이트 통해 매월 배달되며 누적됩니다. 아래에 나열된 업데이트 패키지는 모든 AD FS 및 WAP 2016 서버에 권장되며 이전에 필요한 모든 업데이트와 최신 수정 사항을 포함합니다.
| Kb # | 설명 | 출시 날짜 |
|---|---|---|
| 4534271 | Google Chrome 릴리스 80에 대해 기본적으로 새로운 SameSite 쿠키 정책을 지원하여 발생할 수 있는 AD FS 크롬 오류를 해결합니다. 자세한 내용은 여기를 참조하세요. | 2020년 1월 |
| CVE-2019-1126 | 이 보안 업데이트는 공격자가 엑스트라넷 잠금 정책을 우회할 수 있는 AD FS(Active Directory Federation Services)의 취약성을 해결합니다. | 2019년 7월 |
| 4489889(OS 빌드 14393.2879) | AD FS(Active Directory Federation Services)에서 중복 신뢰 당사자 트러스트가 AD FS 관리 콘솔 표시되는 문제를 해결합니다. 이는 AD FS 관리 콘솔 사용하여 신뢰 당사자 트러스트를 만들거나 볼 때 발생합니다.AD FS 2016에서 ESL(엑스트라넷 스마트 잠금)을 사용하는 동안 발생하는 높은 AD FS(Active Directory Federation Services) WAP(웹 애플리케이션 프록시) 대기 시간 문제(10,000ms 이상)를 해결합니다. 이 보안 업데이트는 CVE-2018-16794에 설명된 취약성을 해결합니다. | 2019년 3월 |
| 4487006(OS 빌드 14393.2828) | PowerShell 또는 AD FS(Active Directory Federation Services) 관리 콘솔 사용할 때 신뢰 당사자 트러스트에 대한 업데이트가 실패하는 문제를 해결합니다. 이 문제는 둘 이상의 PassiveRequestorEndpoint를 게시하는 온라인 메타데이터 URL을 사용하도록 신뢰 당사자 트러스트를 구성하는 경우에 발생합니다. 오류는 "MSIS7615: 신뢰 당사자 트러스트에 지정된 신뢰할 수 있는 엔드포인트는 해당 신뢰 당사자 트러스트에 대해 고유해야 합니다." Azure 암호 보호 정책으로 인해 외부 복잡성 암호 변경에 대한 특정 오류 메시지를 표시하는 문제를 해결합니다. | 2019년 2월 |
| 4462928(OS 빌드 14393.2580) | AD FS(Active Directory Federation Services) ESL(엑스트라넷 스마트 잠금) 및 대체 로그인 ID 간의 상호 운용 문제를 해결합니다. 대체 로그인 ID를 사용하도록 설정하면 AD FS PowerShell cmdlet, Get-AdfsAccountActivity 및 Reset-AdfsAccountLockout에 대한 호출은 "계정을 찾을 수 없음" 오류를 반환합니다. Set-AdfsAccountActivity가 호출되면 기존 항목을 편집하는 대신 새 항목이 추가됩니다. | 2018년 10월 |
| 4343884(OS 빌드 14393.2457) | 사용자 지정 문화권 정의를 사용하는 모바일 디바이스에서 Multi-Factor Authentication이 제대로 작동하지 않는 AD FS(Active Directory Federation Services) 문제를 해결합니다. 새 사용자 등록에서 상당한 지연(15초)을 발생시키는 비즈니스용 Windows Hello 문제를 해결합니다. 이 문제는 하드웨어 보안 모듈을 사용하여 AD FS RA(등록 기관) 인증서를 저장하는 경우에 발생합니다. | 2018년 8월 |
| 4338822(OS 빌드 14393.2395) | 콘솔에서 신뢰 당사자 트러스트를 만들거나 볼 때 AD FS 관리 콘솔 중복 신뢰 당사자 트러스트를 표시하는 AD FS의 문제를 해결합니다.AD FS에서 비즈니스용 Windows Hello 실패하는 문제를 해결합니다. 이 문제는 두 개의 클레임 공급자가 있을 때 발생합니다. PIN 등록은 "400 내부 서버 오류: 디바이스 식별자를 가져올 수 없음" 으로 실패합니다. 종료되지 않는 비활성 연결과 관련된 WAP 문제를 해결합니다. 이로 인해 시스템 리소스 누수(예: 메모리 누수)와 더 이상 응답하지 않는 WAP 서비스가 발생합니다. 사용자가 다른 로그인 옵션을 선택하지 못하게 하는 AD FS 문제를 해결합니다. 이는 사용자가 인증서 기반 인증을 사용하여 로그인하도록 선택했지만 구성되지 않은 경우에 발생합니다. 또한 사용자가 인증서 기반 인증을 선택한 다음 다른 로그인 옵션을 선택하려고 할 때도 발생합니다. 이 경우 사용자는 브라우저를 닫을 때까지 인증서 기반 인증 페이지로 리디렉션됩니다. | 2018년 7월 |
| 4103720(OS 빌드 14393.2273) | PreventTokenReplays를 사용하도록 설정할 때 SAML 신뢰 당사자에 대한 IdP 시작 로그인이 실패하게 하는 AD FS 문제를 해결합니다. OAUTH가 디바이스 또는 브라우저 애플리케이션에서 인증할 때 발생하는 AD FS 문제를 해결합니다. 사용자 암호 변경으로 오류가 발생하고 사용자가 로그인할 앱 또는 브라우저를 종료해야 합니다. UTC +1 이상(유럽 및 아시아)에서 엑스트라넷 스마트 잠금을 사용하도록 설정하지 않는 문제를 해결합니다. 또한 UTC로 변환할 때 DateTime.MaxValue보다 크거나 DateTime.MinValue보다 작거나 JSON으로 serialize할 수 없는 Get-AdfsAccountActivity: DateTime 값으로 인해 일반 엑스트라넷 잠금이 실패합니다.새 사용자가 PIN을 프로비전할 수 없는 비즈니스용 AD FS Windows Hello 문제를 해결합니다. MFA 공급자가 구성되지 않은 경우에 발생합니다. | 2018년 5월 |
| 4093120(OS 빌드 14393.2214) | 처리되지 않은 새로 고침 토큰 유효성 검사 문제를 해결합니다. "Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthInvalidRefreshTokenException: MSIS9312: 잘못된 OAuth 새로 고침 토큰을 받았습니다. 새로 고침 토큰이 토큰에서 허용된 시간보다 일찍 수신되었습니다." | 2018년 4월 |
| 4077525(OS 빌드 14393.2097) | AD FS 팜에 WID(Windows 내부 데이터베이스)를 사용하는 서버가 두 개 이상 있는 경우 HTTP 500 오류가 발생하는 문제를 해결합니다. 이 시나리오에서는 WAP(웹 애플리케이션 프록시) 서버에서 HTTP 기본 사전 인증이 일부 사용자를 인증하지 못합니다. 오류가 발생하면 WAP 이벤트 로그에 Microsoft Windows Web 애플리케이션 프록시 경고 이벤트 ID 13039가 표시될 수도 있습니다. 설명은 "웹 애플리케이션 프록시 사용자를 인증하지 못했습니다. 사전 인증은 '리치 클라이언트용 AD FS'입니다. 지정된 사용자에게는 지정된 신뢰 당사자에 액세스할 권한이 없습니다. 대상 신뢰 당사자 또는 WAP 신뢰 당사자의 권한 부여 규칙을 수정해야 합니다."AD FS가 인증 중에 prompt=login을 더 이상 무시할 수 없는 문제를 해결합니다. 암호 인증이 사용되지 않는 시나리오를 지원하기 위해 사용 안 함 옵션이 추가되었습니다. 자세한 내용은 Windows Server 2016 RTM에서 인증하는 동안 AD FS가 "prompt=login" 매개 변수를 무시함을 참조하세요.인증 옵션으로 인증서를 선택하는 권한 있는 고객(및 신뢰 당사자)이 연결하지 못하는 AD FS의 문제를 해결합니다. WIA(Windows 통합 인증)를 사용하도록 설정하고 요청에서 WIA를 수행할 수 있는 경우 prompt=login을 사용할 때 오류가 발생합니다.IDP(ID 공급자)가 OAuth 그룹의 RP(신뢰 당사자)와 연결된 경우 AD FS가 HRD(홈 영역 검색) 페이지를 잘못 표시하는 문제를 해결합니다. OAuth 그룹의 RP와 여러 IDP가 연결되어 있지 않으면 사용자에게 HRD 페이지가 표시되지 않습니다. 대신 사용자는 인증을 위해 연결된 IDP로 직접 이동합니다. | 2018년 2월 |
| 4041688(OS 빌드 14393.1794) | 이 수정은 잘못된 캐싱 동작으로 인해 AD 기관 요청이 잘못된 ID 공급자에게 간헐적으로 잘못 전달되는 문제를 해결합니다. 이는 Multi Factor Authentication과 같은 인증 기능에 영향을 줄 수 있습니다. 혼합 WS2012R2 및 WS2016 AD FS 팜에서 올바른 충실도(자세한 감사 사용)로 AD FS 서버 상태를 보고하는 Microsoft Entra 커넥트 Health 기능이 추가되었습니다.2012 R2 AD FS 팜을 AD FS 2016으로 업그레이드하는 동안 많은 신뢰 당사자 트러스트가 있는 경우 팜 동작 수준을 높이기 위한 powershell cmdlet이 시간 제한으로 실패하는 문제를 해결했습니다.요청을 다른 STS(보안 토큰 서버)에 페더레이션하는 동안 wct 매개 변수 값을 수정하여 AD FS가 인증 실패를 일으키는 문제를 해결했습니다. | 2017년 10월 |
| 4038801(OS 빌드 14393.1737) | 페더레이션된 LDP를 사용하여 OIDC 로그아웃에 대한 지원이 추가되었습니다. 이렇게 하면 여러 사용자가 LDP와의 페더레이션이 있는 단일 디바이스에 직렬로 로그인될 수 있는 "키오스크 시나리오"가 허용됩니다.CEP/CES 기반 인증서가 gMSA 계정에서 작동하지 않는 WinHello 문제가 해결되었습니다.외래 키 제약 조건으로 인해 Windows Server 2016 AD FS 서버의 WINDOWS 내부 데이터베이스(WID)가 IdentityServerPolicy.Scopes 및 IdentityServerPolicy.Clients 테이블의 ApplicationGroupId 열과 같은 일부 설정을 동기화하지 못하는 문제를 해결합니다. 이러한 동기화 실패로 인해 주 AD FS 서버와 보조 AD FS 서버 간에 다른 클레임, 클레임 공급자 및 애플리케이션 환경이 발생할 수 있습니다. 또한 WID 기본 역할이 보조 노드로 이동되면 AD FS 관리 UX에서 애플리케이션 그룹을 더 이상 관리할 수 없습니다.이 업데이트는 사용자 지정 문화권 정의를 사용하는 모바일 디바이스에서 Multi Factor Authentication이 제대로 작동하지 않는 문제를 해결합니다. | 2017년 9월 |
| 4034661(OS 빌드 14393.1613) | "성공 감사" 및 "실패 감사"를 사용하도록 설정한 후에도 호출자 IP 주소가 AD FS 4.0 \ Windows Server 2016 RS1 AD FS 서버의 보안 이벤트 로그에서 411 이벤트에 의해 기록되는 문제를 해결합니다.이 수정은 ADFX 서버가 HTTP 프록시를 사용하도록 구성된 경우 Azure MFA(Multi Factor Authentication) 문제를 해결합니다." 만료되었거나 해지된 인증서를 AD FS 프록시 서버에 표시해도 사용자에게 오류를 반환하지 않는 문제를 해결했습니다." | 2017년 8월 |
| 4034658(OS 빌드 14393.1593) | 온-프레미스 배포를 위해 비즈니스용 Windows Hello에 대한 MFA 인증서 등록을 지원하기 위해 2016 AD FS 서버 수정 | 2017년 8월 |
| 4025334(OS 빌드 14393.1532) | pkeyauth 요청에 잘못된 데이터가 포함된 경우 PkeyAuth 토큰 처리기가 인증에 실패할 수 있는 문제를 해결했습니다. 디바이스 인증을 수행하지 않고도 인증을 계속해야 합니다. | 2017년 7월 |
| 4022723(OS 빌드 14393.1378) | [웹 애플리케이션 프록시] 2012R2/2016 혼합 배포 에서 WAP 2016에서 DisableHttpOnlyCookieProtection 구성 속성의 값을 선택하지 않음[웹 애플리케이션 프록시] EAS 사전 인증 시나리오에서 AD FS에서 사용자 액세스 토큰을 가져올 수 없습니다.AD FS 2016: WSFED 로그아웃으로 인해 예외가 발생합니다. | 2017년 6월 |
| 3213986 | x64 기반 시스템용 Windows Server 2016 누적 업데이트(KB3213986) | 2017년 1월 |
AD FS 및 WAP Windows Server 2012 r 2에서에 대 한 업데이트
다음은 Windows Server 2012 R2에서 AD FS(Active Directory Federation Services)용으로 릴리스된 핫픽스 및 업데이트 롤업 목록입니다.
| Kb # | 설명 | 출시 날짜 |
|---|---|---|
| 4534309 | Google Chrome 릴리스 80에 대해 기본적으로 새로운 SameSite 쿠키 정책을 지원하여 발생할 수 있는 AD FS 크롬 오류를 해결합니다. 자세한 내용은 여기를 참조하세요. | 2020년 1월 |
| 4507448 | 이 보안 업데이트는 공격자가 엑스트라넷 잠금 정책을 우회할 수 있는 AD FS(Active Directory Federation Services)의 취약성을 해결합니다. | 2019년 7월 |
| 4041685 | 요청 헤더의 MSISConext 쿠키가 결국 헤더 크기 제한을 오버플로하고 HTTP 상태 코드 400 "잘못된 요청 - 헤더가 너무 깁니다"로 인증하지 못하는 AD FS 문제를 해결했습니다.AD FS가 인증 중에 더 이상 "prompt=login"을 무시할 수 없는 문제를 해결했습니다. 암호가 아닌 인증이 사용되는 시나리오를 복원하기 위해 "사용 안 함" 옵션이 추가되었습니다. | 업데이트 롤업 2017년 10월 미리 보기 |
| 4019217 | Server 2012 R2 AD FS 서버를 사용할 때 토큰 브로커를 사용하는 클라우드 폴더 클라이언트가 작동하지 않음 | 2017년 5월 미리 보기 업데이트 롤업 |
| 4015550 | AD FS가 외부 사용자를 인증하지 않고 AD FS WAP가 임의로 요청을 전달하지 못하는 문제를 해결했습니다. | 2017년 4월 업데이트 롤업 |
| 4015547 | AD FS가 외부 사용자를 인증하지 않고 AD FS WAP가 임의로 요청을 전달하지 못하는 문제를 해결했습니다. | 2017년 4월 보안 업데이트 |
| 4012216 | MS17-019 이 보안 업데이트는 AD FS(Active Directory Federation Services)의 취약성을 해결합니다. 이 취약성은 공격자가 AD FS 서버에 특별히 작성된 요청을 보내면 정보를 공개할 수 있으므로 공격자가 대상 시스템에 대한 중요한 정보를 읽을 수 있습니다. | 2017년 3월 업데이트 롤업 |
| 3179574 | AD FS 엑스트라넷 암호 업데이트와 관련된 문제가 해결되었습니다. | 2016년 8월 업데이트 롤업 |
| 3172614 | prompt=login 지원이 도입되었으며, AD FS 관리 콘솔 및 AlwaysRequireAuthentication 설정과 관련된 문제가 해결되었습니다. | 2016년 7월 업데이트 롤업 |
| AD FS(Active Directory Federation Services) 3.0은 연결 문자열 SSL(Secure Sockets Layer) 포트 636 또는 3269를 사용하도록 구성된 LDAP(Lightweight Directory Access Protocol) 특성 저장소에 연결할 수 없습니다. | 2016년 6월 업데이트 롤업 | |
| 3148533 | Windows Server 2012 R2에서 AD FS 프록시를 통해 MFA 대체 인증 실패 | 2016년 5월 |
| 3134787 | AD FS 로그는 Windows Server 2012 r 2에서의 계정 잠금 시나리오에 대 한 클라이언트 IP 주소를 포함 하지 않습니다. | 2016년 2월 |
| 3134222 | 서비스 주소 거부에 Active Directory Federation Services 용 보안 업데이트 MS16-020:: 2016 년 2 월 9 일 | 2016년 2월 |
| 3105881 | AD FS Windows Server 2012 R2 기반 서버에서 디바이스 인증을 사용 하는 경우 애플리케이션에 액세스할 수 없습니다. | 2015 년 10 월 |
| 3092003 | 페이지를 반복적으로 로드 하 고 사용자가 Windows Server 2012 R2 AD FS에서 MFA를 사용할 때 인증에 실패 | 2015년 8월 |
| 3080778 | MFA 어댑터가 Windows Server 2012 R2에서 예외를 throw할 때 AD FS가 OnError를 호출하지 않습니다. | 2015년 7월 |
| 3075610 | 트러스트 관계를 추가 하거나 Windows Server 2012 r 2에서 클레임 공급자를 제거한 후 보조 AD FS 서버에서 손실 됩니다. | 2015년 7월 |
| 3070080 | 비 클레임 인식 신뢰 당사자 트러스트에 대 한 제대로 작동 하지 홈 영역 검색 | 2015년 6월 |
| 3052122 | Windows Server 2012 r 2에서 AD FS 토큰에 복합 ID 클레임에 대 한 지원을 추가 하는 업데이트 | 2015년 5월 |
| 3045711 | MS15-040: Active Directory 페더레이션 서비스의 취약점으로 정보 공개 | 2015 년 4 월 |
| 3042127 | "HTTP 400-잘못 된 요청" Windows Server 2012 r 2에서 WAP 통해 공유 사서함을 열면 하는 동안 오류가 발생 했습니다. | 2015년 3월 |
| 3042121 | Windows Server 2012 r 2에서 웹 애플리케이션 프록시 인증 토큰에 대 한 AD FS 토큰 재생 보호 | 2015년 3월 |
| 3035025 | 사용자가 Windows Server 2012 R2에서 등록된 디바이스를 사용할 필요가 없도록 암호 업데이트 기능의 핫픽스 | 2015 년 1 월 |
| 3033917 | AD FS는 Windows Server 2012 R2에서 SAML 응답을 처리할 수 없습니다. | 2015 년 1 월 |
| 3025080 | Windows Server 2012 r 2에서 웹 애플리케이션 프록시를 통해 Office 파일을 저장 하려고 할 때 작업이 실패 | 2015 년 1 월 |
| 3025078 | 잘못된 사용자 이름을 사용하여 Windows Server 2012 R2에 로그온하는 경우 사용자 이름을 다시 입력하라는 메시지가 표시되지 않습니다. | 2015 년 1 월 |
| 3020813 | Windows Server 2012 R2 AD FS에서 웹 애플리케이션을 실행할 때 인증하라는 메시지가 표시됩니다. | 2015 년 1 월 |
| 3020773 | Windows Server 2012 r 2에서 디바이스 등록 서비스의 초기 배포 후 시간 초과 오류 | 2015 년 1 월 |
| 3018886 | 인트라넷에서 Windows Server 2012 R2 AD FS 서버에 액세스할 때 사용자 이름과 암호를 두 번 입력하라는 메시지가 표시됩니다. | 2015 년 1 월 |
| 3013769 | Windows Server 2012 R2 업데이트 롤업 | 2014 년 12 월 |
| 3000850 | Windows Server 2012 R2 업데이트 롤업 | 2014년 11월 |
| 2975719 | Windows Server 2012 R2 업데이트 롤업 | 2014 년 8 월 |
| 2967917 | Windows Server 2012 R2 업데이트 롤업 | 2014 년 7 월 |
| 2962409 | Windows Server 2012 R2 업데이트 롤업 | 2014 년 6 월 |
| 2955164 | Windows Server 2012 R2 업데이트 롤업 | 2014 년 5 월 |
| 2919355 | Windows Server 2012 R2 업데이트 롤업 | 2014년 4월 |
Windows Server 2012(AD FS 2.1) 및 AD FS 2.0의 AD FS에 대한 업데이트
다음은 AD FS 2.0 및 2.1용으로 릴리스된 핫픽스 및 업데이트 롤업 목록입니다.
| Kb # | 설명 | 출시 날짜 | 적용 대상: |
|---|---|---|---|
| 3197878 | Windows Server 2012에서 프록시를 통한 인증 실패(핫픽스 3094446 일반 릴리스임) | 2016년 11월 품질 롤업 | AD FS 2.1 |
| 3197869 | Windows Server 2008 R2 SP1에서 프록시를 통한 인증 실패(핫픽스 3094446 일반 릴리스임) | 2016년 11월 품질 롤업 | AD FS 2.0 |
| 3094446 | Windows Server 2012 또는 Windows Server 2008 R2 s p 1에서 프록시를 통해 인증 실패 | 2015 년 9 월 | AD FS 2.0 및 2.1 |
| 3070078 | Windows Server 2012에서 암호화 인증서에 대해 인증할 때 AD FS 2.1에서 예외가 throw됨 | 2015년 7월 | AD FS 2.1 |
| 3062577 | MS15-062: Active Directory Federation Services의 취약성으로 인해 권한 상승이 허용됩니다. | 2015년 6월 | AD FS 2.0 / 2.1 |
| 3003381 | M s 14-077: Active Directory 페더레이션 서비스의 취약점으로 정보 공개: 2015 년 4 월 14 일 | 2014년 11월 | AD FS 2.0 / 2.1 |
| 2987843 | 많은 사용자가 Windows Server 2012에서 웹 애플리케이션에 로그온 하는 경우 AD FS 페더레이션 서버의 메모리 사용량은 계속 증가 | 2014 년 7 월 | AD FS 2.1 |
| 2957619 | 위임 된 토큰에 대 한 AD FS를 요청 하는 경우 중지 됩니다. AD FS에서 신뢰 당사자 트러스트 | 2014 년 5 월 | AD FS 2.1 |
| 2926658 | SQL 권한이 없는 경우 AD FS SQL 팜 배포 실패 | 2014년 10월 | AD FS 2.1 |
| 2896713 또는 2989956 | 업데이트는 AD FS 서버에 2843638 보안 업데이트를 설치 하려면 몇 가지 문제를 해결 하려면 | 2013년 11월 2014년 9월 | AD FS 2.0 / 2.1 |
| 2877424 | 업데이트를 사용 하면 2.1 팜의 AD FS에서 여러 신뢰 당사자 트러스트에 대 한 인증서가 두 개를 사용 하 여 | 2013년 10월 | AD FS 2.1 |
| 2873168 | FIX: 타사 CSP 및 HSM을 사용 하 고 다음 Windows Server 2008 R2 서비스 팩 1에서 AD FS 2.0에 대 한 업데이트 롤업 3에서 클레임 공급자 트러스트를 구성할 때 오류가 발생 한다 | 2013 년 9 월 | AD FS 2.0 |
| Windows Server 2008 R2 s p 1에서 예외를 발생 하는 암호화 인증서의 주체 이름에 쉼표 | 2013년8월 | AD FS 2.0 | |
| 2843639 | [보안] Active Directory Federation Services의 취약점으로 인 한 정보 공개 | 2013 년 11 월 | AD FS 2.1 |
| 2843638 | MS13-066: 2008 Active Directory Federation Services 2.0에 대 한 보안 업데이트: 2013 년 8 월 13 일 | 2013년8월 | AD FS 2.0 |
| 2827748 | Federationmetadata.xml 파일에는 Windows Server 2012의 WS-Trust 및 WS-Federation 엔드포인트에 대한 MEX 엔드포인트 정보가 포함되어 있지 않습니다. | 2013년 5월 | AD FS 2.1 |
| 2790338 | Active Directory Federation Services (AD FS)에 대 한 업데이트 롤업 3의 설명 2.0 | 2013년 3월 | AD FS 2.0 |