截至 2016 年 10 月,所有 Windows Server 组件的更新仅通过 Windows 更新(WU)发布。 不再提供修补程序或单个下载。 这适用于 Windows Server 2016、Windows Server 2012 R2、Windows Server 2012 和 Windows Server 2008 R2 SP1。
此页列出了特别值得关注的适用于 AD FS 和 WAP 的汇总更新包,以及 AD FS 和 WAP 推荐的修补程序更新的历史列表。
Windows Server 2016 中 AD FS 和 WAP 的更新
Windows Server 2016 的更新每月通过 Windows 更新提供,并且是累积更新。 建议对所有 AD FS 和 WAP 2016 服务器使用下面列出的更新包,并包括以前所需的所有更新以及最新的修补程序。
| KB# | DESCRIPTION | 发布日期 |
|---|---|---|
| 4534271 | 应对可能由于 Google Chrome 80 版默认支持新的 SameSite Cookie 策略而导致的 AD FS Chrome 故障。 有关详细信息,请参阅 此处。 | 2020 年 1 月 |
| CVE-2019-1126 | 此安全更新解决了 Active Directory 联合身份验证服务(AD FS)中的漏洞,该漏洞可能允许攻击者绕过 Extranet 锁定策略。 | 2019 年 7 月 |
| 4489889 (OS 内部版本 14393.2879) | 解决了 Active Directory 联合身份验证服务(AD FS)中导致重复信赖方信任出现在 AD FS 管理控制台中的问题。 使用 AD FS 管理控制台创建或查看信赖方信任时,会出现这种情况。
解决了在 AD FS 2016 上启用 Extranet 智能锁定时出现的高 Active Directory 联合身份验证服务(AD FS)Web 应用程序代理(WAP)延迟问题(超过 10,000 毫秒)。 此安全更新解决了 CVE-2018-16794 中所述的漏洞。 |
2019 年 3 月 |
| 4487006 (OS 内部版本 14393.2828) | 解决了在使用 PowerShell 或 Active Directory 联合身份验证服务(AD FS)管理控制台时导致信赖方信任更新失败的问题。 如果将信赖方信任配置为使用发布多个 PassiveRequestorEndpoint 的联机元数据 URL,则会出现此问题。 错误为“MSIS7615:信赖方信任中指定的受信任终结点对于该信赖方信任必须是唯一的。 解决了由于 Azure 密码保护策略导致显示特定错误消息的问题,该错误消息涉及外部复杂度密码更改。 |
2019 年 2 月 |
| 4462928 (OS 内部版本 14393.2580) | 解决 Active Directory 联合身份验证服务(AD FS)Extranet 智能锁定(ESL)和备用登录 ID 之间的互作问题。 启用备用登录 ID 后,调用 AD FS PowerShell cmdlet、Get-AdfsAccountActivity 和 Reset-AdfsAccountLockout 返回“找不到帐户”错误。 调用 Set-AdfsAccountActivity 时,将添加一个新条目,而不是编辑现有条目。 | 2018 年 10 月 |
| 4343884 (OS 内部版本 14393.2457) | 解决多重身份验证在使用自定义区域性定义的移动设备上无法正常工作的 Active Directory 联合身份验证服务 (AD FS) 问题。
解决了 Windows Hello 企业版中导致新用户注册出现重大延迟(15 秒)的问题。 当硬件安全模块用于存储 AD FS 注册机构 (RA) 证书时,会出现此问题。 |
2018 年 8 月 |
| 4338822 (OS 内部版本 14393.2395) | 解决了在 AD FS 中创建或查看来自控制台的信赖方信任时,AD FS 管理控制台中显示重复信赖方信任的问题。 解决了 AD FS 中导致 Windows Hello 企业版失败的问题。 存在两个声明提供程序时,会出现此问题。 PIN 注册将失败,出现“400 内部服务器错误:无法获取设备标识符”。 解决了与永不结束的非活动连接相关的 WAP 问题。 这会导致系统资源泄漏(例如内存泄漏)和不再响应的 WAP 服务。 解决了阻止用户选择其他登录选项的 AD FS 问题。 如果用户选择使用基于证书的身份验证登录,但尚未配置,则会发生此情况。 如果用户选择“基于证书的身份验证”,然后尝试选择另一个登录选项,也会发生这种情况。 如果发生这种情况,用户将被重定向到“基于证书的身份验证”页,直到他们关闭浏览器。 |
2018 年 7 月 |
| 4103720 (OS 内部版本 14393.2273) | 解决在启用 PreventTokenReplays 时导致 IdP 发起的登录 SAML 信赖方失败的 AD FS 问题。
解决了从设备或浏览器应用程序进行 OAUTH 身份验证时发生的 AD FS 问题。 用户密码更改将生成失败,并要求用户退出应用或浏览器登录。 解决了在 UTC +1 及更高时区(欧洲和亚洲)中启用外联网智能锁定不起作用的问题。 此外,它会导致正常的 Extranet 锁定失败,并出现以下错误:Get-AdfsAccountActivity:在转换为 UTC 时大于 DateTime.MaxValue 或小于 DateTime.MinValue 的 DateTime 值无法序列化为 JSON。 解决新用户无法预配其 PIN 的 AD FS Windows Hello 企业版问题。 如果未配置 MFA 提供程序,则会发生此情况。 |
2018 年 5 月 |
| 4093120 (OS 内部版本 14393.2214) | 解决了未处理的刷新令牌验证问题。 它生成以下错误:“Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthInvalidRefreshTokenException: MSIS9312:收到无效的 OAuth 刷新令牌。 刷新令牌的接收时间早于令牌中允许的时间。” | 2018 年 4 月 |
| 4077525 (OS 内部版本 14393.2097) | 解决了当 AD FS 场至少有两台使用 Windows 内部数据库(WID)的服务器时出现 HTTP 500 错误的问题。 在此方案中,Web 应用程序代理 (WAP) 服务器上的 HTTP 基本预身份验证无法对某些用户进行身份验证。 发生错误时,你可能还会在 WAP 事件日志中看到Microsoft Windows Web 应用程序代理警告事件 ID 13039。 说明显示“Web 应用程序代理无法对用户进行身份验证。 预身份验证是‘适用于富客户端的 AD FS’。 给定用户无权访问给定信赖方。 需要修改目标信赖方或 WAP 信赖方的授权规则。 解决了 AD FS 在身份验证期间无法再忽略 prompt=login 的问题。 添加了“禁用”选项以支持不使用密码身份验证的方案。 有关详细信息,请参阅 AD FS 在 Windows Server 2016 RTM 中的身份验证过程中忽略“prompt=login”参数。 解决了 AD FS 中授权客户(和信赖方)选择“证书”作为身份验证选项将无法连接的问题。 如果启用了 Windows 集成身份验证 (WIA) 并且请求可以执行 WIA,则使用 prompt=login 时将失败。 解决当标识提供者 (IDP) 与 OAuth 组中的信赖方 (RP) 相关联时,AD FS 错误地显示主领域发现 (HRD) 页的问题。 除非多个 IDP 与 OAuth 组中的 RP 相关联,否则用户将不会看到 HRD 页面。 相反,用户将直接转到关联的 IDP 进行身份验证。 |
2018 年 2 月 |
| 4041688 (OS 内部版本 14393.1794) | 此修补程序解决了由于缓存行为不正确,间歇性地错误地将 AD 颁发机构请求定向到错误的标识提供者的问题。 这可能会影响多重身份验证等身份验证功能。
添加了 Microsoft Entra Connect Health 报告 AD FS 服务器运行状况的功能,以合适的保真度(使用详细审核)反映了 WS2012R2 和 WS2016 AD FS 混合场。 修复了以下问题:在将 2012 R2 AD FS 场升级到 AD FS 2016 期间,当存在许多信赖方信任时,用于提高场行为级别的 powershell cmdlet 失败并超时。 解决了以下问题:在与其他安全令牌服务器 (STS) 对请求进行联合身份验证时,AD FS 因修改 wct 参数值导致身份验证失败。 |
2017 年 10 月 |
| 4038801(OS 内部版本 14393.1737) | 添加了对使用联合 LDP 注销 OIDC 的支持。 这将允许“自助服务终端场景”,其中多个用户可能会顺序登录到与 LDP 联合的单个设备。 修复了一个 Windows Hello 问题,即基于 CEP/CES 的证书不适用于 gMSA 帐户。 修复了一个问题:Windows Server 2016 AD FS 服务器上的 Windows 内部数据库(WID)由于外键约束,无法同步某些设置,例如 IdentityServerPolicy.Scopes 和 IdentityServerPolicy.Clients 表中的 ApplicationGroupId 列。 此类同步失败可能会导致主服务器与辅助 AD FS 服务器之间的声明、声明提供程序和应用程序体验不同。 此外,如果将 WID 主角色移动到备用节点,则在 AD FS 管理用户体验中将无法再管理应用程序组。 此更新修复了多重身份验证在使用自定义文化定义的移动设备上无法正确工作的问题。 |
2017 年 9 月 |
| 4034661 (OS 内部版本 14393.1613) | 修复了以下问题:即使在启用“成功审核”和“失败审核”后,调用方 IP 地址也会在 AD FS 4.0 \ Windows Server 2016 RS1 AD FS 服务器的安全事件日志中记录 411 个事件。 此修补程序解决了 ADFX 服务器配置为使用 HTTP 代理时 Azure 多重身份验证(MFA)的问题。 解决了向 AD FS 代理服务器显示过期或吊销证书不会向用户返回错误的问题。 |
2017 年 8 月 |
| 4034658 (OS 内部版本 14393.1593) | 修复 2016 AD FS 服务器,以支持本地部署的 Windows Hello 企业版的 MFA 证书注册。 | 2017 年 8 月 |
| 4025334 (OS 内部版本 14393.1532) | 解决了如果 pkeyAuth 请求包含不正确的数据,PkeyAuth 令牌处理程序可能会失败身份验证的问题。 身份验证仍应继续,而无需执行设备身份验证 | 2017 年 7 月 |
| 4022723 (OS 内部版本 14393.1378) | [Web 应用程序代理] 在 2012R2/2016 混合部署中,WAP 2016 未识别 DisableHttpOnlyCookieProtection 配置属性的值。 [Web 应用程序代理] 在 EAS 预身份验证场景中,无法从 AD FS 获取用户访问令牌。 AD FS 2016:WSFED 注销导致异常。 | 2017 年 6 月 |
| 3213986 | 基于 x64 的系统的 Windows Server 2016 累积更新(KB3213986) | 2017 年 1 月 |
Windows Server 2012 R2 中 AD FS 和 WAP 的更新
下面是 Windows Server 2012 R2 中为 Active Directory 联合身份验证服务(AD FS)发布的修补程序和更新汇总列表。
| KB# | DESCRIPTION | 发布日期 |
|---|---|---|
| 4534309 | 应对可能由于 Google Chrome 80 版默认支持新的 SameSite Cookie 策略而导致的 AD FS Chrome 故障。 有关详细信息,请参阅 此处。 | 2020 年 1 月 |
| 4507448 | 此安全更新解决了 Active Directory 联合身份验证服务(AD FS)中的漏洞,该漏洞可能允许攻击者绕过 Extranet 锁定策略。 | 2019 年 7 月 |
| 4041685 | 解决了请求标头中的 MSISConext Cookie 最终会溢出标头大小限制并导致无法通过 HTTP 状态代码 400“错误请求 - 标头过长”进行身份验证的 AD FS 问题。 修复了 AD FS 在身份验证期间无法再忽略“prompt=login”的问题。 添加了“已禁用”选项,用于还原使用非密码身份验证的方案。 |
2017 年 10 月更新汇总预览 |
| 4019217 | 使用 Server 2012 R2 AD FS 服务器时,使用令牌代理的工作文件夹客户端不工作 | 2017 年 5 月预览版更新汇总 |
| 4015550 | 修复了 AD FS 不对外部用户进行身份验证和 AD FS WAP 随机无法转发请求的问题 | 2017 年 4 月更新汇总 |
| 4015547 | 修复了 AD FS 不对外部用户进行身份验证和 AD FS WAP 随机无法转发请求的问题 | 2017 年 4 月安全更新 |
| 4012216 | MS17-019 此安全更新可解决 Active Directory 联合身份验证服务(AD FS)中的漏洞。 如果攻击者向 AD FS 服务器发送特制请求,则漏洞可能会允许信息泄露,从而允许攻击者读取有关目标系统的敏感信息。 | 2017 年 3 月更新汇总 |
| 3179574 | 修复了 AD FS Extranet 密码更新的问题。 | 2016 年 8 月更新汇总 |
| 3172614 | 引入了 prompt=login support,修复了 AD FS 管理控制台和 AlwaysRequireAuthentication 设置的问题。 | 2016 年 7 月更新汇总 |
| Active Directory 联合身份验证服务 (AD FS) 3.0 无法连接到配置为在连接字符串中使用安全套接字层 (SSL) 端口 636 或 3269 的轻型目录访问协议 (LDAP) 属性存储。 | 2016 年 6 月更新汇总 | |
| 3148533 | 通过 Windows Server 2012 R2 中的 AD FS 代理进行的 MFA 回退身份验证失败 | 2016 年 5 月 |
| 3134787 | AD FS 日志不包含 Windows Server 2012 R2 中帐户锁定方案的客户端 IP 地址 | 2016 年 2 月 |
| 3134222 | MS16-020:Active Directory 联合身份验证服务的安全更新,以解决拒绝服务问题:2016 年 2 月 9 日 | 2016 年 2 月 |
| 3105881 | 在基于 Windows Server 2012 R2 的 AD FS 服务器中启用设备身份验证时无法访问应用程序 | 2015 年 10 月 |
| 3092003 | 当用户在 Windows Server 2012 R2 AD FS 中使用 MFA 时,页面加载会反复加载,身份验证失败 | 2015 年 8 月 |
| 3080778 | 当 MFA 适配器在 Windows Server 2012 R2 中引发异常时,AD FS 不会调用 OnError | 2015 年 7 月 |
| 3075610 | 在 Windows Server 2012 R2 中添加或删除声明提供程序后,辅助 AD FS 服务器上会丢失信任关系 | 2015 年 7 月 |
| 3070080 | 主领域发现无法正常用于非声明感知信赖方信任 | 2015 年 6 月 |
| 3052122 | 更新添加了对 Windows Server 2012 R2 中 AD FS 令牌中的复合 ID 声明的支持 | 2015 年 5 月 |
| 3045711 | MS15-040:Active Directory 联合身份验证服务中的漏洞可能允许信息泄露 | 2015 年 4 月 |
| 3042127 | 在 Windows Server 2012 R2 中通过 WAP 打开共享邮箱时出现“HTTP 400 - 错误请求”错误 | 2015 年 3 月 |
| 3042121 | Windows Server 2012 R2 中 Web 应用程序代理身份验证令牌的 AD FS 令牌重播保护 | 2015 年 3 月 |
| 3035025 | 修补更新密码功能,以便用户无需在 Windows Server 2012 R2 中使用注册的设备 | 2015 年 1 月 |
| 3033917 | AD FS 无法在 Windows Server 2012 R2 中处理 SAML 响应 | 2015 年 1 月 |
| 3025080 | 尝试通过 Windows Server 2012 R2 中的 Web 应用程序代理保存 Office 文件时,操作失败。 | 2015 年 1 月 |
| 3025078 | 使用不正确的用户名登录到 Windows Server 2012 R2 时,系统不会再次提示输入用户名 | 2015 年 1 月 |
| 3020813 | 在 Windows Server 2012 R2 AD FS 中运行 Web 应用程序时,系统会提示进行身份验证 | 2015 年 1 月 |
| 3020773 | 在 Windows Server 2012 R2 中初次部署设备注册服务后超时失败 | 2015 年 1 月 |
| 3018886 | 从 Intranet 访问 Windows Server 2012 R2 AD FS 服务器时,系统会提示输入用户名和密码两次 | 2015 年 1 月 |
| 3013769 | Windows Server 2012 R2 更新汇总 | 2014 年 12 月 |
| 3000850 | Windows Server 2012 R2 更新汇总 | 2014 年 11 月 |
| 2975719 | Windows Server 2012 R2 更新汇总 | 2014 年 8 月 |
| 2967917 | Windows Server 2012 R2 更新汇总 | 2014 年 7 月 |
| 2962409 | Windows Server 2012 R2 更新汇总 | 2014 年 6 月 |
| 2955164 | Windows Server 2012 R2 更新汇总 | 2014 年 5 月 |
| 2919355 | Windows Server 2012 R2 更新汇总 | 2014 年 4 月 |
Windows Server 2012 (AD FS 2.1) 和 AD FS 2.0 中的 AD FS 的更新
下面是已针对 AD FS 2.0 和 2.1 发布的修补程序和更新汇总列表。
| KB# | DESCRIPTION | 发布日期 | 适用于: |
|---|---|---|---|
| 3197878 | 通过代理进行身份验证在 Windows Server 2012 中失败(这是修补程序3094446的常规版本) | 2016 年 11 月质量汇总 | AD FS 2.1 |
| 3197869 | 在 Windows Server 2008 R2 SP1 中通过代理进行身份验证失败(这是修补程序3094446的常规版本) | 2016 年 11 月质量汇总 | AD FS 2.0 |
| 3094446 | 在 Windows Server 2012 或 Windows Server 2008 R2 SP1 中通过代理进行身份验证失败 | 2015 年 9 月 | AD FS 2.0 和 2.1 |
| 3070078 | 当你在 Windows Server 2012 中针对加密证书进行身份验证时,AD FS 2.1 将引发异常 | 2015 年 7 月 | AD FS 2.1 |
| 3062577 | MS15-062:Active Directory 联合身份验证服务中的漏洞可能允许提升权限 | 2015 年 6 月 | AD FS 2.0 / 2.1 |
| 3003381 | MS14-077:Active Directory 联合身份验证服务中的漏洞可能允许信息泄露:2015 年 4 月 14 日 | 2014 年 11 月 | AD FS 2.0 / 2.1 |
| 2987843 | 当许多用户在 Windows Server 2012 中登录 Web 应用程序时,AD FS 联合服务器的内存使用量不断增加 | 2014 年 7 月 | AD FS 2.1 |
| 2957619 | 向 AD FS 请求委托令牌时,AD FS 中的信赖方信任将停止 | 2014 年 5 月 | AD FS 2.1 |
| 2926658 | 如果没有 SQL 权限,AD FS SQL 场部署将失败 | 2014 年 10 月 | AD FS 2.1 |
| 2896713 或 2989956 | 在 AD FS 服务器上安装安全更新2843638后,更新可用于修复多个问题 | 2013 年 9 月 2014 年 11 月 |
AD FS 2.0 / 2.1 |
| 2877424 | 更新使你能够对 AD FS 2.1 场中的多个依赖方信任关系使用单个证书 | 2013 年 10 月 | AD FS 2.1 |
| 2873168 | 修复:使用第三方 CSP 和 HSM,然后在 Windows Server 2008 R2 Service Pack 1 上配置 AD FS 2.0 更新汇总 3 中的声明提供程序信任时出错 | 2013 年 9 月 | AD FS 2.0 |
| 加密证书所属者名称中的逗号会导致 Windows Server 2008 R2 SP1 中出现异常 | 2013 年 8 月 | AD FS 2.0 | |
| 2843639 | [安全性]Active Directory 联合身份验证服务中的漏洞可能导致信息泄露 | 2013 年 11 月 | AD FS 2.1 |
| 2843638 | MS13-066:Active Directory 联合身份验证服务 2.0 的安全更新说明:2013 年 8 月 13 日 | 2013 年 8 月 | AD FS 2.0 |
| 2827748 | Federationmetadata.xml 文件不包含 Windows Server 2012 中 WS-Trust 和 WS-Federation 终结点的 MEX 终结点信息 | 2013 年 5 月 | AD FS 2.1 |
| 2790338 | Active Directory 联合身份验证服务 (AD FS) 2.0 更新汇总 3 说明 | 2013 年 3 月 | AD FS 2.0 |