Active Directory 联合身份验证服务 (AD FS) 和 Web 应用程序代理 (WAP) 的所需更新
自 2016 年 10 月起,仅通过 Windows 更新 (WU) 发布 Windows Server 所有组件的所有更新。 不再提供修补程序或单个下载。 该规定适用于 Windows Server 2016、Windows Server 2012 R2、Windows Server 2012 和 Windows Server 2008 R2 SP1。
此页列出了 AD FS 和 WAP 特别感兴趣的汇总程序包,以及建议用于 AD FS 和 WAP 的修补程序更新的历史列表。
Windows Server 2016 中 AD FS 和 WAP 的更新
Windows Server 2016 的更新是累积式的,每月通过 Windows 更新交付一次。 下面列出的更新程序包包含以前所需的所有更新以及最新的修补程序,建议用于所有 AD FS 和 WAP 2016 服务器。
| KB # | 说明 | 发布日期 |
|---|---|---|
| 4534271 | 解决由于 Google Chrome 版本 80 默认支持新的 SameSite Cookie 策略而导致的潜在 AD FS 部件版式故障。 有关详细信息,请参阅此处。 | 2020 年 1 月 |
| CVE-2019-1126 | 此安全更新解决 Active Directory 联合身份验证服务 (AD FS) 中可能允许攻击者绕过 Extranet 锁定策略的漏洞。 | 2019 年 7 月 |
| 4489889(OS 版本 14393.2879) | 解决 Active Directory 联合身份验证服务 (AD FS) 中导致 AD FS 管理控制台中出现重复的信赖方信任的问题。 使用 AD FS 管理控制台创建或查看信赖方信任时,会发生此情况。 解决在 AD FS 2016 上启用 Extranet 智能锁定 (ESL) 时 Active Directory 联合身份验证服务 (AD FS) Web 应用程序代理 (WAP) 延迟较高(超过 10,000ms)的问题。 此安全更新解决 CVE-2018-16794 中所述的漏洞。 | 2019 年 3 月 |
| 4487006(OS 版本 14393.2828) | 解决在使用 PowerShell 或 Active Directory 联合身份验证服务 (AD FS) 管理控制台时导致信赖方信任更新失败的问题。 如果将信赖方信任配置为使用发布多个 PassiveRequestorEndpoint 的联机元数据 URL,则会出现此问题。 错误为“MSIS7615:信赖方信任中指定的受信任终结点对于该信赖方信任必须是唯一的。”解决由于 Azure 密码保护策略导致在外部复杂性密码更改时显示特定错误消息的问题。 | 2019 年 2 月 |
| 4462928(OS 版本 14393.2580) | 解决 Active Directory 联合身份验证服务 (AD FS) Extranet 智能锁定 (ESL) 和备用登录 ID 之间的互操作问题。 启用备用登录 ID 后,调用 AD FS PowerShell cmdlet、Get-AdfsAccountActivity 和 Reset-AdfsAccountLockout 返回“找不到帐户”错误。 调用 Set-AdfsAccountActivity 时,将添加新条目,而不是编辑现有条目。 | 2018 年 10 月 |
| 4343884(OS 版本 14393.2457) | 解决多重身份验证在使用自定义区域性定义的移动设备上无法正常工作的 Active Directory 联合身份验证服务 (AD FS) 问题。 解决 Windows Hello 企业版中导致新用户注册严重延迟(15 秒)的问题。 当硬件安全模块用于存储 AD FS 注册机构 (RA) 证书时,会出现此问题。 | 2018 年 8 月 |
| 4338822(OS 版本 14393.2395) | 解决 AD FS 中在从控制台创建或查看信赖方信任时,在 AD FS 管理控制台中显示重复的信赖方信任的问题。解决 AD FS 中导致 Windows Hello 企业版失败的问题。 存在两个声明提供程序时,会出现此问题。 PIN 注册将失败,并显示“400 内部服务器错误:无法获取设备标识符”。 解决与永不结束的非活动连接相关的 WAP 问题。 这会导致系统资源泄漏(例如内存泄漏),以及 WAP 服务不再进行响应。 解决阻止用户选择其他登录选项的 AD FS 问题。 当用户选择使用基于证书的身份验证登录,但该验证方式尚未配置时,会发生此情况。 如果用户选择“基于证书的身份验证”,然后尝试选择另一个登录选项,也会发生这种情况。 如果发生这种情况,用户将被重定向到“基于证书的身份验证”页,直到他们关闭浏览器。 | 2018 年 7 月 |
| 4103720(OS 版本 14393.2273) | 解决在启用 PreventTokenReplays 时导致 IdP 发起的登录 SAML 信赖方失败的 AD FS 问题。 解决 OAUTH 从设备或浏览器应用程序进行身份验证时出现的 AD FS 问题。 用户密码更改生成失败事件,并要求用户退出应用或浏览器才能登录。 解决在 UTC +1 及更高时区(欧洲和亚洲)无法启用 Extranet 智能锁定的问题。 此外,它会导致正常的 Extranet 锁定失败,并出现以下错误:Get-AdfsAccountActivity:在转换为 UTC 时大于 DateTime.MaxValue 或小于 DateTime.MinValue 的 DateTime 值无法序列化为 JSON。解决新用户无法预配其 PIN 的 AD FS Windows Hello 企业版问题。 如果未配置 MFA 提供程序,则会发生这种情况。 | 2018 年 5 月 |
| 4093120(OS 版本 14393.2214) | 解决未经处理的刷新令牌验证问题。 它生成以下错误:“Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthInvalidRefreshTokenException:MSIS9312:收到的 OAuth 刷新令牌无效。 刷新令牌的接收时间早于令牌中允许的时间。” | 2018 年 4 月 |
| 4077525(OS 版本 14393.2097) | 解决当 AD FS 场至少有两台服务器使用 Windows 内部数据库 (WID) 时发生 HTTP 500 错误的问题。 在这种情况下,Web 应用程序代理 (WAP) 服务器上的 HTTP 基本预身份验证无法对某些用户进行身份验证。 发生错误时,你可能还会在 WAP 事件日志中看到 Microsoft Windows Web 应用程序代理警告事件 ID 13039。 说明内容为“Web 应用程序代理未能对用户进行身份验证。 预身份验证是‘适用于富客户端的 AD FS’。 指定用户无权访问指定信赖方。 需要修改目标信赖方或 WAP 信赖方的授权规则。”解决 AD FS 在身份验证期间无法再忽略 prompt=login 的问题。 添加了“禁用”选项以支持不使用密码身份验证的方案。 有关详细信息,请参阅“AD FS 在 Windows Server 2016 RTM 中进行身份验证期间忽略“prompt=login”参数”。解决 AD FS 中选择“证书”作为身份验证选项的授权客户(和信赖方)无法连接的问题。 如果启用了 Windows 集成身份验证 (WIA) 并且请求可以执行 WIA,则使用 prompt=login 时将失败。解决当标识提供者 (IDP) 与 OAuth 组中的信赖方 (RP) 相关联时,AD FS 错误地显示主领域发现 (HRD) 页的问题。 除非多个 IDP 与 OAuth 组中的 RP 相关联,否则 HRD 页不会显示用户。 相反,用户将直接转到关联的 IDP 进行身份验证。 | 2018 年 2 月 |
| 4041688(OS 版本 14393.1794) | 此修补程序解决由于缓存行为不正确而导致间歇性地将 AD 颁发机构请求误定向到错误的标识提供者的问题。 这可能会影响多重身份验证等身份验证功能。 添加了 Microsoft Entra Connect Health 报告 AD FS 服务器运行状况的功能,以合适的保真度(使用详细审核)反映了 WS2012R2 和 WS2016 AD FS 混合场。修复了以下问题:在将 2012 R2 AD FS 场升级到 AD FS 2016 期间,当存在许多信赖方信任时,用于提高场行为级别的 powershell cmdlet 失败并超时。解决了以下问题:在与其他安全令牌服务器 (STS) 对请求进行联合身份验证时,AD FS 因修改 wct 参数值导致身份验证失败。 | 2017 年 10 月 |
| 4038801(OS 版本 14393.1737) | 添加了对使用联合 LDP 注销 OIDC 的支持。 这将允许“展台方案”,即多个用户可以连续登录到与 LDP 联合的单个设备。修复了基于 CEP/CES 的证书不适用于 gMSA 帐户的 WinHello 问题。修复了以下问题:Windows Server 2016 AD FS 服务器上的 Windows 内部数据库 (WID) 因外键约束无法同步某些设置,例如 IdentityServerPolicy.Scopes 和 IdentityServerPolicy.Clients 表中的 ApplicationGroupId 列。 此类同步失败可能会导致主 AD FS 服务器与辅助 AD FS 服务器之间的声明、声明提供程序和应用程序体验不同。 此外,如果将 WID 主角色移动到辅助节点,则不可再在 AD FS 管理 UX 中管理应用程序组。此更新修复了多重身份验证在使用自定义区域性定义的移动设备上无法正常工作的问题 | 2017 年 9 月 |
| 4034661(OS 版本 14393.1613) | 修复以下问题:即使在启用“成功审核”和“失败审核”后,AD FS 4.0 \ Windows Server 2016 RS1 AD FS 服务器的安全事件日志中的 411 个事件也会记录调用方 IP 地址。此修补程序解决将 ADFX 服务器配置为使用 HTTP 代理时 Azure 多重身份验证 (MFA) 的问题。“解决了向 AD FS 代理服务器出示过期或吊销证书不会向用户返回错误的问题。” | 2017 年 8 月 |
| 4034658(OS 版本 14393.1593) | 修复 2016 AD FS 服务器,以支持用于本地部署的 Windows Hello 企业版的 MFA 证书注册 | 2017 年 8 月 |
| 4025334(OS 版本 14393.1532) | 解决了以下问题:如果 pkeyauth 请求包含不正确的数据,PkeyAuth 令牌处理程序可能无法通过身份验证。 身份验证应依旧继续,但不执行设备身份验证 | 2017 年 7 月 |
| 4022723(OS 版本 14393.1378) | [Web 应用程序代理] 2012R2/2016 混合部署中的 WAP 2016 未选取 DisableHttpOnlyCookieProtection 配置属性的值[Web 应用程序代理]在 EAS 预身份验证方案中,无法从 AD FS 获取用户访问令牌。AD FS 2016:WSFED 注销导致异常 | 2017 年 6 月 |
| 3213986 | 适用于 x64 系统的 Windows Server 2016 的累积更新 (KB3213986) | 2017 年 1 月 |
Windows Server 2012 R2 中 AD FS 和 WAP 的更新
下面是针对 Windows Server 2012 R2 中的 Active Directory 联合身份验证服务 (AD FS) 发布的修补程序和更新汇总列表。
| KB # | 说明 | 发布日期 |
|---|---|---|
| 4534309 | 解决由于 Google Chrome 版本 80 默认支持新的 SameSite Cookie 策略而导致的潜在 AD FS 部件版式故障。 有关详细信息,请参阅此处。 | 2020 年 1 月 |
| 4507448 | 此安全更新解决 Active Directory 联合身份验证服务 (AD FS) 中可能允许攻击者绕过 Extranet 锁定策略的漏洞。 | 2019 年 7 月 |
| 4041685 | 解决了以下 AD FS 问题:请求标头中的 MSISConext Cookie 可能最终溢出标头大小限制并导致无法通过身份验证,同时出现 HTTP 状态代码 400“错误请求 - 标头过长”。修复了 AD FS 在身份验证期间无法再忽略“prompt=login”的问题。 添加了“禁用”选项,用于还原使用非密码身份验证的方案。 | 2017 年 10 月更新汇总预览 |
| 4019217 | 使用 Server 2012 R2 AD FS 服务器时,使用令牌代理的工作文件夹客户端不工作 | 2017 年 5 月更新汇总预览 |
| 4015550 | 修复了 AD FS 不对外部用户进行身份验证和 AD FS WAP 转发请求随机失败的问题 | 2017 年 4 月更新汇总 |
| 4015547 | 修复了 AD FS 不对外部用户进行身份验证和 AD FS WAP 转发请求随机失败的问题 | 2017 年 4 月安全更新 |
| 4012216 | MS17-019 此安全更新解决 Active Directory 联合身份验证服务 (AD FS) 中的漏洞。 如果攻击者向 AD FS 服务器发送特制请求,则此漏洞可能导致信息泄露,允许攻击者读取有关目标系统的敏感信息。 | 2017 年 3 月更新汇总 |
| 3179574 | 修复了 AD FS Extranet 密码更新的问题。 | 2016 年 8 月更新汇总 |
| 3172614 | 引入了 prompt=login 支持,修复了 AD FS 管理控制台和 AlwaysRequireAuthentication 设置的问题。 | 2016 年 7 月更新汇总 |
| Active Directory 联合身份验证服务 (AD FS) 3.0 无法连接到配置为在连接字符串中使用安全套接字层 (SSL) 端口 636 或 3269 的轻型目录访问协议 (LDAP) 属性存储。 | 2016 年 6 月更新汇总 | |
| 3148533 | 通过 Windows Server 2012 R2 中的 AD FS 代理进行的 MFA 回退身份验证失败 | 2016 年 5 月 |
| 3134787 | AD FS 日志不包含 Windows Server 2012 R2 中帐户锁定方案的客户端 IP 地址 | 2016 年 2 月 |
| 3134222 | MS16-020:用于解决拒绝服务的 Active Directory 联合身份验证服务安全更新:2016 年 2 月 9 日 | 2016 年 2 月 |
| 3105881 | 在基于 Windows Server 2012 R2 的 AD FS 服务器中启用设备身份验证时无法访问应用程序 | 2015 年 10 月 |
| 3092003 | 当用户在 Windows Server 2012 R2 AD FS 中使用 MFA 时,页面会重复加载,以致身份验证失败 | 2015 年 8 月 |
| 3080778 | 当 MFA 适配器在 Windows Server 2012 R2 中引发异常时,AD FS 不调用 OnError | July 2015 |
| 3075610 | 在 Windows Server 2012 R2 中添加或删除声明提供程序后,辅助 AD FS 服务器上的信任关系将丢失 | July 2015 |
| 3070080 | 主领域发现无法正常用于非声明感知信赖方信任 | 2015 年 6 月 |
| 3052122 | 更新添加了对 Windows Server 2012 R2 中 AD FS 令牌中的复合 ID 声明的支持 | 2015 年 5 月 |
| 3045711 | MS15-040:Active Directory 联合身份验证服务中的漏洞可能导致信息泄露 | 2015 年 4 月 |
| 3042127 | 在 Windows Server 2012 R2 中通过 WAP 打开共享邮箱时出现“HTTP 400 - 错误请求”错误 | 2015 年 3 月 |
| 3042121 | Windows Server 2012 R2 中 Web 应用程序代理身份验证令牌的 AD FS 令牌重播保护 | 2015 年 3 月 |
| 3035025 | 修补更新密码功能,以便用户无需在 Windows Server 2012 R2 中使用注册的设备 | 2015 年 1 月 |
| 3033917 | AD FS 无法在 Windows Server 2012 R2 中处理 SAML 响应 | 2015 年 1 月 |
| 3025080 | 尝试通过 Windows Server 2012 R2 中的 Web 应用程序代理保存 Office 文件时操作失败 | 2015 年 1 月 |
| 3025078 | 使用不正确的用户名登录 Windows Server 2012 R2 时,系统不会再次提示你输入用户名 | 2015 年 1 月 |
| 3020813 | 在 Windows Server 2012 R2 AD FS 中运行 Web 应用程序时,系统会提示你进行身份验证 | 2015 年 1 月 |
| 3020773 | 在 Windows Server 2012 R2 中初次部署设备注册服务后超时失败 | 2015 年 1 月 |
| 3018886 | 从 Intranet 访问 Windows Server 2012 R2 AD FS 服务器时,系统会两次提示输入用户名和密码 | 2015 年 1 月 |
| 3013769 | Windows Server 2012 R2 更新汇总 | 2014 年 12 月 |
| 3000850 | Windows Server 2012 R2 更新汇总 | 2014 年 11 月 |
| 2975719 | Windows Server 2012 R2 更新汇总 | 2014 年 8 月 |
| 2967917 | Windows Server 2012 R2 更新汇总 | 2014 年 7 月 |
| 2962409 | Windows Server 2012 R2 更新汇总 | 2014 年 6 月 |
| 2955164 | Windows Server 2012 R2 更新汇总 | May 2014 |
| 2919355 | Windows Server 2012 R2 更新汇总 | 2014 年 4 月 |
Windows Server 2012 (AD FS 2.1) 和 AD FS 2.0 中的 AD FS 的更新
下面是针对 AD FS 2.0 和 2.1 发布的修补程序和更新汇总列表。
| KB # | 说明 | 发布日期 | 适用于: |
|---|---|---|---|
| 3197878 | 在 Windows Server 2012 中通过代理进行的身份验证失败(这是修补程序的常规版本 3094446) | 2016 年 11 月质量汇总 | AD FS 2.1 |
| 3197869 | 在 Windows Server 2008 R2 SP1 中通过代理进行的身份验证失败(这是修补程序的常规版本 3094446) | 2016 年 11 月质量汇总 | AD FS 2.0 |
| 3094446 | 在 Windows Server 2012 或 Windows Server 2008 R2 SP1 中通过代理进行的身份验证失败 | 2015 年 9 月 | AD FS 2.0 和 2.1 |
| 3070078 | 当你在 Windows Server 2012 中针对加密证书进行身份验证时,AD FS 2.1 引发异常 | July 2015 | AD FS 2.1 |
| 3062577 | MS15-062:Active Directory 联合身份验证服务中的漏洞可能导致特权提升 | 2015 年 6 月 | AD FS 2.0/2.1 |
| 3003381 | MS14-077:Active Directory 联合身份验证服务中的漏洞可能导致信息泄露:2015 年 4 月 14 日 | 2014 年 11 月 | AD FS 2.0/2.1 |
| 2987843 | 当许多用户在 Windows Server 2012 中登录 Web 应用程序时,AD FS 联合服务器的内存使用量不断增加 | 2014 年 7 月 | AD FS 2.1 |
| 2957619 | 向 AD FS 请求委托令牌时,AD FS 中的信赖方信任将停止 | May 2014 | AD FS 2.1 |
| 2926658 | 如果没有 SQL 权限,AD FS SQL 场部署将失败 | 2014 年 10 月 | AD FS 2.1 |
| 2896713 或 2989956 | 在 AD FS 服务器上安装安全更新 2843638 后,更新可用于修复几个问题 | 2013 年 11 月2014 年 9 月 | AD FS 2.0/2.1 |
| 2877424 | 通过更新能够将一个证书用于 AD FS 2.1 场中的多个信赖方信任 | 2013 年 10 月 | AD FS 2.1 |
| 2873168 | 修复:使用第三方 CSP 和 HSM,然后在 Windows Server 2008 R2 Service Pack 1 上配置 AD FS 2.0 更新汇总 3 中的声明提供程序信任时出错 | 2013 年 9 月 | AD FS 2.0 |
| 加密证书使用者名称中的逗号会导致 Windows Server 2008 R2 SP1 中出现异常 | 2013 年 8 月 | AD FS 2.0 | |
| 2843639 | [安全] Active Directory 联合身份验证服务中的漏洞可能导致信息泄露 | 2013 年 11 月 | AD FS 2.1 |
| 2843638 | MS13-066:Active Directory 联合身份验证服务 2.0 的安全更新说明:2013 年 8 月 13 日 | 2013 年 8 月 | AD FS 2.0 |
| 2827748 | Federationmetadata.xml 文件不包含 Windows Server 2012 中 WS-Trust 和 WS-Federation 终结点的 MEX 终结点信息 | 2013 年 5 月 | AD FS 2.1 |
| 2790338 | Active Directory 联合身份验证服务 (AD FS) 2.0 更新汇总 3 说明 | 2013 年 3 月 | AD FS 2.0 |