Actualizaciones necesarias para Servicios de federación de Active Directory (AD FS) y Proxy de aplicación web (WAP)
Desde octubre de 2016, todas las actualizaciones de todos los componentes de Windows Server solo se publican desde Windows Update (WU). Ya no hay más revisiones ni descargas individuales. Esto se aplica a Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 y Windows Server 2008 R2 SP1.
En esta página se enumeran los paquetes acumulativos de especial interés para AD FS y WAP, así como la lista histórica de actualizaciones de revisiones recomendadas para AD FS y WAP.
Actualizaciones para AD FS y WAP en Windows Server 2016
Las actualizaciones para Windows Server 2016 se entregan mensualmente mediante Windows Update y son acumulativas. El paquete de actualización que se muestra a continuación se recomienda para todos los servidores de AD FS y WAP 2016, e incluye todas las actualizaciones necesarias anteriormente, así como las correcciones más recientes.
| Nº KB | Descripción | Fecha de publicación |
|---|---|---|
| 4534271 | Soluciona un posible error de cromo de AD FS debido a la compatibilidad de nuevas directivas de cookies SameSite de forma predeterminada para la versión 80 de Google Chrome. Para más información, vea esto. | Enero de 2020 |
| CVE-2019-1126 | Esta actualización de seguridad soluciona una vulnerabilidad en Servicios de federación de Active Directory (AD FS) que podría permitir que un atacante omita la directiva de bloqueo de extranet. | Julio de 2019 |
| 4489889 (Compilación del sistema operativo 14393.2879) | Soluciona un problema en Servicios de federación de Active Directory (AD FS) que hace que aparezca una relación de confianza de usuario autenticado duplicada en la consola de administración de AD FS. Esto ocurre cuando se crean o ven las relaciones de confianza para usuario autenticado mediante la consola de administración de AD FS. Soluciona un problema de latencia alta (más de 10 000 ms) de Proxy de aplicación web (WAP) de Servicios de federación de Active Directory (AD FS) que se produce mientras el bloqueo inteligente de extranet (ESL) está habilitado en AD FS 2016. Esta actualización de seguridad soluciona la vulnerabilidad descrita en CVE-2018-16794. |
Marzo de 2019 |
| 4487006 (Compilación del sistema operativo 14393.2828) | Soluciona un problema que provoca un error en las actualizaciones de una relación de confianza para usuario autenticado al utilizar PowerShell o la consola de administración de Servicios de federación de Active Directory (AD FS). Este problema se produce si configura una relación de confianza para usuario autenticado para usar una dirección URL de metadatos en línea que publica más de un elemento PassiveRequestorEndpoint. El error es "MSIS7615: Los puntos de conexión de confianza especificados en una relación de confianza para usuario autenticado deben ser únicos para esa relación de confianza para usuario autenticado". Soluciona un problema que muestra un mensaje de error específico para los cambios de contraseña de complejidad externa debido a las directivas de Protección con contraseña de Azure. |
Febrero de 2019 |
| 4462928 (Compilación del sistema operativo 14393.2580) | Soluciona los problemas de interoperación entre Servicios de federación de Active Directory (AD FS), Bloqueo inteligente de extranet (ESL) y el identificador de inicio de sesión alternativo. Cuando el identificador de inicio de sesión alternativo está habilitado, las llamadas a los cmdlets Get-AdfsAccountActivity y Reset-AdfsAccountLockout de PowerShell de AD FS devuelven errores de "Cuenta no encontrada". Cuando se llama a Set-AdfsAccountActivity, se agrega una nueva entrada en lugar de editar una existente. | Octubre de 2018 |
| 4343884 (Compilación del sistema operativo 14393.2457) | Soluciona un problema de Servicios de federación de Active Directory (AD FS) en el que la autenticación multifactor no funciona correctamente con dispositivos móviles que usan definiciones de referencia cultural personalizadas. Soluciona un problema en Windows Hello para empresas que provoca un retraso significativo (15 segundos) en la inscripción de usuarios nuevos. Este problema se produce cuando se usa un módulo de seguridad de hardware para almacenar un certificado de entidad de registro (RA) de AD FS. |
Agosto de 2018 |
| 4338822 (Compilación del sistema operativo 14393.2395) | Soluciona un problema en AD FS que muestra una relación de confianza de usuario autenticado duplicada en la consola de administración de AD FS al crear o ver confianzas de usuario autenticado desde la consola. Soluciona un problema en AD FS que provoca un error de Windows Hello para empresas. El problema se produce cuando hay dos proveedores de notificaciones. Se producirá un error en el registro del PIN, "Error 400 interno del servidor: No se puede obtener el identificador del dispositivo". Soluciona un problema de WAP relacionado con conexiones inactivas que nunca terminan. Esto conduce a pérdidas de recursos del sistema (por ejemplo, una fuga de memoria) y a un servicio WAP que ya no responde. Soluciona un problema de AD FS que impide que los usuarios seleccionen una opción de inicio de sesión diferente. Esto ocurre cuando los usuarios eligen iniciar sesión con la autenticación basada en certificados, pero no se ha configurado. Esto también ocurre si los usuarios seleccionan la autenticación basada en certificados y, después, intentan seleccionar otra opción de inicio de sesión. En este caso, a los usuarios se les redirigirá a la página Autenticación basada en certificados hasta que cierren el explorador. |
Julio de 2018 |
| 4103720 (Compilación del sistema operativo 14393.2273) | Soluciona un problema con AD FS que provoca un inicio de sesión iniciado por IdP en un usuario de confianza de SAML al habilitar PreventTokenReplays. Soluciona un problema de AD FS que se produce cuando OAUTH se autentica desde una aplicación de dispositivo o explorador. Un cambio de contraseña de usuario genera un error y requiere que el usuario salga de la aplicación o el explorador para iniciar sesión. Soluciona un problema por el que la habilitación del bloqueo inteligente de extranet en UTC +1 y superior (Europa y Asia) no funcionaba. Además, hace que se produzca el error siguiente del bloqueo de extranet normal: Get-AdfsAccountActivity: Los valores DateTime que son mayores que DateTime.MaxValue o menores que DateTime.MinValue cuando se convierten en UTC no se pueden serializar en JSON. Soluciona un problema de Windows Hello para empresas de AD FS en el que los nuevos usuarios no pueden aprovisionar su PIN. Esto ocurre cuando no se configura ningún proveedor de MFA. |
Mayo de 2018 |
| 4093120 (Compilación del sistema operativo 14393.2214) | Soluciona un problema de validación de tokens de actualización no controlada. Genera el error siguiente: "Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthInvalidRefreshTokenException: MSIS9312: Token de actualización de OAuth no válido recibido. El token de actualización se ha recibido antes del tiempo permitido en el token". | Abril de 2018 |
| 4077525 (Compilación del sistema operativo 14393.2097) | Soluciona un problema por el que se produce un error HTTP 500 cuando una granja de AD FS tiene al menos dos servidores en los que se usa Windows Internal Database (WID). En este escenario, la autenticación previa HTTP básica en el servidor Proxy de aplicación web (WAP) no puede autenticar a algunos usuarios. Cuando se produce el error, es posible que también vea el identificador de evento de advertencia 13039 de Proxy de aplicación web de Microsoft Windows en el registro de eventos WAP. En la descripción se indica: "Proxy de aplicación web no ha podido autenticar al usuario. La autenticación previa es "AD FS para clientes enriquecidos". El usuario especificado no está autorizado para acceder al usuario de confianza especificado. Las reglas de autorización del usuario de confianza de destino o del usuario de confianza de WAP se deben modificar". Soluciona el problema por el que AD FS ya no puede omitir prompt=login durante la autenticación. Se ha agregado una opción Deshabilitada para admitir escenarios en los que no se usa la autenticación de contraseña. Para más información, va AD FS omite el parámetro "prompt=login" durante una autenticación en Windows Server 2016 RTM. Soluciona el problema de AD FS en el que los clientes autorizados (y los usuarios de confianza) que seleccionan Certificado como opción de autenticación no pueden conectarse. El error se produce cuando se usa prompt=login si la autenticación integrada de Windows (WIA) está habilitada y la solicitud puede realizar WIA. Soluciona un problema por el que AD FS muestra incorrectamente la página Detección de dominio principal (HRD) cuando un proveedor de identidades (IDP) está asociado a un usuario de confianza (RP) en un grupo de OAuth. A menos que se asocien varios IDP al RP en el grupo de OAuth, al usuario no se le mostrará la página HRD. En su lugar, el usuario irá directamente al IDP asociado para la autenticación. |
Febrero de 2018 |
| 4041688 (Compilación del sistema operativo 14393.1794) | Esta corrección soluciona un problema que direcciona de forma intermitente las solicitudes de la autoridad de AD al proveedor de identidades incorrecto debido al comportamiento incorrecto del almacenamiento en caché. Esto puede afectar a características de autenticación como la autenticación multifactor. Se ha agregado la capacidad de Microsoft Entra Connect Health para notificar el estado del servidor de AD FS con fidelidad correcta (mediante auditoría detallada) en granjas de servidores de AD FS mixtas de WS2012R2 y WS2016. Se ha corregido un problema por el que, durante la actualización de la granja de AD FS de 2012 R2 a AD FS 2016, el cmdlet de PowerShell para elevar el nivel de comportamiento de la granja de servidores genera un error con un tiempo de espera cuando hay muchos usuarios de confianza de confianza para usuario autenticado. Se ha corregido un problema por el que AD FS provoca errores de autenticación al modificar el valor del parámetro wct al federar las solicitudes a otro servidor de tokens de seguridad (STS). |
Octubre de 2017 |
| 4038801 (Compilación del sistema operativo 14393.1737) | Se ha agregado compatibilidad con el cierre de sesión de OIDC mediante LDP federados. Esto permitirá "Escenarios de pantalla completa" en los que varios usuarios puedan iniciar sesión en serie en un único dispositivo donde haya federación con un LDP. Se ha corregido un problema de WinHello por el que los certificados basados en CEP/CES no funcionan con cuentas de gMSA. Corrige un problema por el que el Windows Internal Database (WID) en servidores de AD FS de Windows Server 2016 no puede sincronizar algunos valores, como las columnas ApplicationGroupId de las tablas IdentityServerPolicy.Scopes e IdentityServerPolicy.Clients) debido a una restricción de clave externa. Estos errores de sincronización pueden provocar diferentes experiencias de notificación, proveedor de notificaciones y aplicación entre los servidores de AD FS principales y secundarios. Además, si el rol principal de WID se mueve a un nodo secundario, los grupos de aplicaciones ya no se podrán administrar en la experiencia de usuario de administración de AD FS. Esta actualización corrige un problema por el que la autenticación multifactor no funciona correctamente con dispositivos móviles que usan definiciones de referencia cultural personalizadas |
Septiembre de 2017 |
| 4034661 (Compilación del sistema operativo 14393.1613) | Corrige un problema por el que los eventos 411 registran la dirección IP del autor de la llamada en el registro de eventos de seguridad de servidores de AD FS 4.0 \ AD FS Windows Server 2016 RS1 incluso después de habilitar "auditorías correctas" y "auditorías de errores". Esta corrección soluciona un problema con Azure Multi-Factor Authentication (MFA) cuando un servidor ADFX está configurado para usar un proxy HTTP. "Se ha corregido un problema por el que la presentación de un certificado expirado o revocado al servidor proxy de AD FS no devuelve un error al usuario". |
Agosto de 2017 |
| 4034658 (Compilación del sistema operativo 14393.1593) | Corrección para el servidor AD FS 2016 a fin de admitir la inscripción de certificados MFA para Windows Hello para empresas para implementaciones locales | Agosto de 2017 |
| 4025334 (Compilación del sistema operativo 14393.1532) | Se ha corregido un problema por el que el controlador de tokens PkeyAuth podía generar un error en una autenticación si la solicitud pkeyauth contiene datos incorrectos. La autenticación todavía debe continuar sin realizar la autenticación del dispositivo | Julio de 2017 |
| 4022723 (Compilación del sistema operativo 14393.1378) | [Proxy de aplicación web] El valor de la propiedad de configuración DisableHttpOnlyCookieProtection no la selecciona WAP 2016 en la implementación mixta de 2012R2/2016 [Proxy de aplicación web] No se puede obtener el token de acceso de usuario de AD FS en escenarios de autenticación previa de EAS. AD FS 2016: el cierre de sesión de WSFED provoca una excepción |
Junio de 2017 |
| 3213986 | Actualización acumulativa para Windows Server 2016 en sistemas basados en x64 (KB3213986) | Enero de 2017 |
Actualizaciones para AD FS y WAP en Windows Server 2012 R2
A continuación se muestra la lista de revisiones y paquetes acumulativos de actualizaciones que se han publicado para Servicios de federación de Active Directory (AD FS) en Windows Server 2012 R2.
| Nº KB | Descripción | Fecha de publicación |
|---|---|---|
| 4534309 | Soluciona un posible error de cromo de AD FS debido a la compatibilidad de nuevas directivas de cookies SameSite de forma predeterminada para la versión 80 de Google Chrome. Para más información, vea esto. | Enero de 2020 |
| 4507448 | Esta actualización de seguridad soluciona una vulnerabilidad en Servicios de federación de Active Directory (AD FS) que podría permitir que un atacante omita la directiva de bloqueo de extranet. | Julio de 2019 |
| 4041685 | Se ha corregido un problema de AD FS por el que las cookies MSISConext en los encabezados de solicitud podían desbordar, en última instancia, el límite de tamaño de los encabezados y provocar un error al autenticarse con el código de estado HTTP 400 "Solicitud incorrecta: encabezado demasiado largo". Se ha corregido un problema por el que AD FS ya no puede omitir "prompt=login" durante la autenticación. Se ha agregado una opción "Deshabilitada" para restaurar escenarios en los que se usa la autenticación sin contraseña. |
Versión preliminar del paquete acumulativo de actualizaciones de octubre de 2017 |
| 4019217 | Los clientes de Carpetas de trabajo que usan el agente de tokens no funcionan cuando se usa un servidor AD FS de Server 2012 R2 | Versión preliminar del paquete acumulativo de actualizaciones de mayo de 2017 |
| 4015550 | Se ha corregido un problema que provocaba que AD FS no autenticase a usuarios externos y AD FS WAP no reenviaba aleatoriamente la solicitud | Paquete acumulativo de actualizaciones de abril de 2017 |
| 4015547 | Se ha corregido un problema que provocaba que AD FS no autenticase a usuarios externos y AD FS WAP no reenviaba aleatoriamente la solicitud | Actualización de seguridad de abril de 2017 |
| 4012216 | MS17-019 Esta actualización de seguridad resuelve una vulnerabilidad en Servicios de federación de Active Directory (AD FS). La vulnerabilidad podría permitir la divulgación de información si un atacante envía una solicitud especialmente diseñada a un servidor de AD FS, lo que le permite leer información confidencial sobre el sistema de destino. | Paquete acumulativo de actualizaciones de marzo de 2017 |
| 3179574 | Se ha corregido un problema con la actualización de contraseñas de extranet de AD FS. | Paquete acumulativo de actualizaciones de agosto de 2016 |
| 3172614 | Se ha introducido la compatibilidad con prompt=login, se ha corregido un problema con la consola de administración de AD FS y el valor AlwaysRequireAuthentication. | Paquete acumulativo de actualizaciones de julio de 2016 |
| Servicios de federación de Active Directory (AD FS) 3.0 no se puede conectar a almacenes de atributos del Protocolo ligero de acceso a directorios (LDAP) configurados para usar el puerto 636 o 3269 de Capa de sockets seguros (SSL) en la cadena de conexión. | Paquete acumulativo de actualizaciones de junio de 2016 | |
| 3148533 | Se produce un error en la autenticación de reserva de MFA mediante el proxy de AD FS en Windows Server 2012 R2 | Mayo de 2016 |
| 3134787 | Los registros de AD FS no contienen la dirección IP de cliente para escenarios de bloqueo de cuentas en Windows Server 2012 R2 | Febrero de 2016 |
| 3134222 | MS16-020: Actualización de seguridad de Servicios de federación de Active Directory (AD FS) para abordar la denegación de servicio: 9 de febrero de 2016 | Febrero de 2016 |
| 3105881 | No se puede acceder a las aplicaciones cuando la autenticación de dispositivos está habilitada en el servidor de AD FS basado en Windows Server 2012 R2 | Octubre de 2015 |
| 3092003 | La página se carga repetidamente y se produce un error de autenticación cuando los usuarios usan MFA en AD FS con Windows Server 2012 R2 | Agosto de 2015 |
| 3080778 | AD FS no llama a OnError cuando el adaptador de MFA inicia una excepción en Windows Server 2012 R2 | Julio de 2015 |
| 3075610 | Las relaciones de confianza se pierden en el servidor de AD FS secundario después de agregar o quitar el proveedor de notificaciones en Windows Server 2012 R2 | Julio de 2015 |
| 3070080 | Detección de dominio principal no funciona correctamente para la relación de confianza de usuario autenticado no compatible con notificaciones | Junio de 2015 |
| 3052122 | La actualización agrega compatibilidad con las notificaciones de identificador compuesto en tokens de AD FS en Windows Server 2012 R2 | Mayo de 2015 |
| 3045711 | MS15-040: Una vulnerabilidad en Servicios de federación de Active Directory (AD FS) podría permitir la divulgación de información | Abril de 2015 |
| 3042127 | Error "HTTP 400: Solicitud incorrecta" al abrir un buzón compartido mediante WAP en Windows Server 2012 R2 | Marzo de 2015 |
| 3042121 | Protección de reproducción de tokens de AD FS para tokens de autenticación de Proxy de aplicación web en Windows Server 2012 R2 | Marzo de 2015 |
| 3035025 | Revisión para la característica de actualización de contraseña a fin de que los usuarios no tengan que usar el dispositivo registrado en Windows Server 2012 R2 | enero de 2015 |
| 3033917 | AD FS no puede procesar la respuesta SAML en Windows Server 2012 R2 | enero de 2015 |
| 3025080 | Se produce un error en la operación al intentar guardar un archivo de Office mediante Proxy de aplicación web en Windows Server 2012 R2 | enero de 2015 |
| 3025078 | No se le volverá a pedir el nombre de usuario cuando use uno incorrecto para iniciar sesión en Windows Server 2012 R2 | enero de 2015 |
| 3020813 | Se le pedirá autenticación al ejecutar una aplicación web en AD FS de Windows Server 2012 R2 | enero de 2015 |
| 3020773 | Errores de tiempo de espera después de la implementación inicial del servicio de registro de dispositivos en Windows Server 2012 R2 | enero de 2015 |
| 3018886 | Se le pedirá un nombre de usuario y una contraseña dos veces al acceder al servidor AD FS de Windows Server 2012 R2 desde la intranet | enero de 2015 |
| 3013769 | Paquete acumulativo de actualizaciones de Windows Server 2012 R2 | Diciembre de 2014 |
| 3000850 | Paquete acumulativo de actualizaciones de Windows Server 2012 R2 | Noviembre de 2014 |
| 2975719 | Paquete acumulativo de actualizaciones de Windows Server 2012 R2 | Agosto de 2014 |
| 2967917 | Paquete acumulativo de actualizaciones de Windows Server 2012 R2 | Julio de 2014 |
| 2962409 | Paquete acumulativo de actualizaciones de Windows Server 2012 R2 | Junio de 2014 |
| 2955164 | Paquete acumulativo de actualizaciones de Windows Server 2012 R2 | May. 2014 |
| 2919355 | Paquete acumulativo de actualizaciones de Windows Server 2012 R2 | Abril de 2014 |
Novedades para AD FS en Windows Server 2012 (AD FS 2.1) y AD FS 2.0
A continuación se muestra la lista de revisiones y paquetes acumulativos de actualizaciones que se han publicado para AD FS 2.0 y 2.1.
| Nº KB | Descripción | Fecha de publicación | Se aplica a: |
|---|---|---|---|
| 3197878 | Se produce un error en la autenticación mediante el proxy en Windows Server 2012 (es la versión general de la revisión 3094446) | Paquete acumulativo de calidad de noviembre de 2016 | AD FS 2.1 |
| 3197869 | Se produce un error de autenticación mediante proxy en Windows Server 2008 R2 SP1 (es la versión general de la revisión 3094446) | Paquete acumulativo de calidad de noviembre de 2016 | AD FS 2.0 |
| 3094446 | Se produce un error en la autenticación mediante proxy en Windows Server 2012 o Windows Server 2008 R2 SP1 | Septiembre de 2015 | AD FS 2.0 y 2.1 |
| 3070078 | AD FS 2.1 inicia una excepción al autenticarse en un certificado de cifrado en Windows Server 2012 | Julio de 2015 | AD FS 2.1 |
| 3062577 | MS15-062: Una vulnerabilidad en Servicios de federación de Active Directory podría permitir la elevación de privilegios | Junio de 2015 | AD FS 2.0 / 2.1 |
| 3003381 | MS14-077: Una vulnerabilidad en Servicios de federación de Active Directory (AD FS) y podría permitir la divulgación de información: 14 de abril de 2015 | Noviembre de 2014 | AD FS 2.0 / 2.1 |
| 2987843 | El uso de memoria del servidor de federación de AD FS sigue aumentando cuando muchos usuarios inician sesión en una aplicación web en Windows Server 2012 | Julio de 2014 | AD FS 2.1 |
| 2957619 | La relación de confianza para usuario autenticado en AD FS se detiene cuando se realiza una solicitud a AD FS de un token delegado | May. 2014 | AD FS 2.1 |
| 2926658 | Se produce un error en la implementación de la granja de servidores SQL de AD FS si no tiene permisos de SQL | Octubre de 2014 | AD FS 2.1 |
| 2896713 o 2989956 | La actualización está disponible para corregir varios problemas después de instalar la actualización de seguridad 2843638 en un servidor de AD FS | Noviembre de 2013 Septiembre de 2014 |
AD FS 2.0 / 2.1 |
| 2877424 | La actualización le permite usar un certificado para varias relaciones de confianza para usuario autenticado en una granja de servidores de AD FS 2.1 | Octubre de 2013 | AD FS 2.1 |
| 2873168 | CORRECCIÓN: Se produce un error al usar un CSP de terceros y HSM y, después, configurar una confianza de proveedor de notificaciones en el paquete acumulativo de actualizaciones 3 para AD FS 2.0 en Windows Server 2008 R2 Service Pack 1 | Septiembre de 2013 | AD FS 2.0 |
| Una coma en el nombre del firmante de un certificado de cifrado provoca una excepción en Windows Server 2008 R2 SP1 | Agosto 2013 | AD FS 2.0 | |
| 2843639 | [Seguridad] Una vulnerabilidad en Servicios de federación de Active Directory (AD FS) podría permitir la divulgación de información | noviembre de 2013 | AD FS 2.1 |
| 2843638 | MS13-066: Descripción de la actualización de seguridad de Servicios de federación de Active Directory (AD FS) 2.0: 13 de agosto de 2013 | Agosto 2013 | AD FS 2.0 |
| 2827748 | El archivo federationmetadata.xml no contiene la información del punto de conexión MEX para los puntos de conexión WS-Trust y WS-Federation en Windows Server 2012 | Mayo de 2013 | AD FS 2.1 |
| 2790338 | Descripción del paquete acumulativo de actualizaciones 3 para Servicios de federación de Active Directory (AD FS) 2.0 | Marzo de 2013 | AD FS 2.0 |