Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
A partir de octubre de 2016, todas las actualizaciones de todos los componentes de Windows Server solo se publican a través de Windows Update (WU). No hay más parches rápidos ni descargas individuales. Esto se aplica a Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 y Windows Server 2008 R2 SP1.
En esta página se enumeran los paquetes acumulativos de especial interés para AD FS y WAP, así como la lista histórica de actualizaciones de revisiones recomendadas para AD FS y WAP.
Actualizaciones de AD FS y WAP en Windows Server 2016
Las actualizaciones de Windows Server 2016 se entregan mensualmente a través de Windows Update y son acumulativas. El paquete de actualización que se muestra a continuación se recomienda para todos los servidores de AD FS y WAP 2016 e incluye todas las actualizaciones necesarias anteriormente, así como las correcciones más recientes.
| KB # | Descripción | Fecha de publicación |
|---|---|---|
| 4534271 | Soluciona un posible error de cromo de AD FS debido a la compatibilidad de nuevas directivas de cookies SameSite de forma predeterminada para la versión 80 de Google Chrome. Para obtener más información, consulte aquí. | Enero de 2020 |
| CVE-2019-1126 | Esta actualización de seguridad aborda una vulnerabilidad en los Servicios de federación de Active Directory (AD FS), lo que podría permitir que un atacante omita la directiva de bloqueo de extranet. | Julio de 2019 |
| 4489889 (compilación del sistema operativo 14393.2879) | Soluciona un problema en los Servicios de federación de Active Directory (AD FS) que hace que aparezca una relación de confianza de terceros duplicada en la consola de administración de AD FS. Esto ocurre cuando se crean o ven las relaciones de confianza para usuario autenticado mediante la consola de administración de AD FS. Soluciona un problema de alta latencia en el Proxy de Aplicación Web (WAP) de los Servicios de Federación de Active Directory (AD FS) (más de 10,000 ms), que ocurre cuando el Bloqueo Inteligente de Extranet (ESL) está habilitado en AD FS 2016. Esta actualización de seguridad aborda la vulnerabilidad descrita en CVE-2018-16794. |
Marzo de 2019 |
| 4487006 (compilación del sistema operativo 14393.2828) | Soluciona un problema que provoca un error en las actualizaciones de una relación de confianza para usuario autenticado al utilizar PowerShell o la consola de administración de Servicios de federación de Active Directory (AD FS). Este problema se produce si configura una relación de confianza para usuario autenticado para usar una dirección URL de metadatos en línea que publica más de un elemento PassiveRequestorEndpoint. El error es "MSIS7615: Los puntos de conexión de confianza especificados en una relación de confianza para usuario autenticado deben ser únicos para esa relación de confianza para usuario autenticado". Soluciona un problema que muestra un mensaje de error específico para los cambios de contraseña de complejidad externa debido a las directivas de Protección con contraseña de Azure. |
Febrero de 2019 |
| 4462928 (compilación del sistema operativo 14393.2580) | Soluciona problemas de interoperación entre el bloqueo inteligente de extranet (ESL) de Servicios de federación de Active Directory (AD FS) y el identificador de inicio de sesión alternativo. Cuando el identificador de inicio de sesión alternativo está habilitado, las llamadas a los cmdlets Get-AdfsAccountActivity y Reset-AdfsAccountLockout de PowerShell de AD FS devuelven errores de "Cuenta no encontrada". Cuando se llama a Set-AdfsAccountActivity, se agrega una nueva entrada en lugar de editar una existente. | Octubre de 2018 |
| 4343884 (compilación del sistema operativo 14393.2457) | Soluciona un problema de Servicios de federación de Active Directory (AD FS) en el que la Autenticación Multifactor no funciona correctamente con dispositivos móviles que usan definiciones de cultura personalizadas. Soluciona un problema en Windows Hello para empresas que provoca un retraso significativo (15 segundos) en la inscripción de nuevo usuario. Este problema se produce cuando se usa un módulo de seguridad de hardware para almacenar un certificado de entidad de registro de AD FS (RA). |
Agosto de 2018 |
| 4338822 (compilación del sistema operativo 14393.2395) | Soluciona un problema en AD FS que muestra una relación de confianza de usuario autenticado duplicada en la consola de administración de AD FS al crear o ver confianzas de usuario autenticado desde la consola. Soluciona un problema en AD FS que provoca un error de Windows Hello para empresas. El problema se produce cuando hay dos proveedores de reclamaciones. Se producirá un error en el registro del PIN: "Error interno del servidor 400: No se puede obtener el identificador del dispositivo". Soluciona un problema de WAP relacionado con las conexiones inactivas que nunca terminan. Esto conduce a pérdidas de recursos del sistema (por ejemplo, una fuga de memoria) y a un servicio WAP que ya no responde. Soluciona un problema de AD FS que impide que los usuarios seleccionen una opción de inicio de sesión diferente. Esto ocurre cuando los usuarios eligen iniciar sesión con la autenticación basada en certificados, pero no se ha configurado. Esto también ocurre si los usuarios seleccionan Autenticación basada en certificados e intentan seleccionar otra opción de inicio de sesión. Si esto sucede, los usuarios se redirigirán a la página Autenticación basada en certificados hasta que cierren el explorador. |
Julio de 2018 |
| 4103720 (compilación del sistema operativo 14393.2273) | Soluciona un problema con AD FS que provoca un inicio de sesión iniciado por IdP en un usuario de confianza de SAML al habilitar PreventTokenReplays. Soluciona un problema de AD FS que se produce cuando OAUTH se autentica desde un dispositivo o una aplicación del explorador. Un cambio de contraseña de usuario genera un error y requiere que el usuario salga de la aplicación o el explorador para iniciar sesión. Se ha corregido un problema por el que la habilitación del bloqueo inteligente de extranet en UTC +1 y versiones posteriores (Europa y Asia) no funcionaba. Además, hace que se produzca el error siguiente del bloqueo de extranet normal: Get-AdfsAccountActivity: Los valores DateTime que son mayores que DateTime.MaxValue o menores que DateTime.MinValue cuando se convierten en UTC no se pueden serializar en JSON. Soluciona un problema de Windows Hello para empresas de AD FS en el que los nuevos usuarios no pueden aprovisionar su PIN. Esto ocurre cuando no se configura ningún proveedor de MFA. |
Mayo de 2018 |
| 4093120 (compilación del sistema operativo 14393.2214) | Soluciona un problema de validación de tokens de actualización no controlada. Genera el siguiente error: "Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthInvalidRefreshTokenException: MSIS9312: token de actualización de OAuth no válido recibido. El token de actualización se recibió antes del tiempo permitido en el token". | Abril de 2018 |
| 4077525 (compilación del sistema operativo 14393.2097) | Se ha corregido un problema por el que se produce un error HTTP 500 cuando una granja de AD FS tiene al menos dos servidores con Windows Internal Database (WID). En este escenario, la autenticación previa http básica en el servidor proxy de aplicación web (WAP) no puede autenticar a algunos usuarios. Cuando se produce el error, es posible que también vea el identificador de evento de advertencia 13039 de Proxy de aplicación web de Microsoft Windows en el registro de eventos WAP. La descripción lee: "El proxy de aplicación web no pudo autenticar al usuario. La autenticación previa es "AD FS para clientes enriquecidos". El usuario dado no está autorizado para acceder a la parte confiable determinada. Las reglas de autorización del usuario de confianza de destino o del usuario de confianza de WAP se deben modificar". Soluciona el problema por el que AD FS ya no puede omitir prompt=login durante la autenticación. Se agregó una opción Deshabilitada para admitir escenarios en los que no se usa la autenticación de contraseña. Para más información, va AD FS omite el parámetro "prompt=login" durante una autenticación en Windows Server 2016 RTM. Soluciona el problema de AD FS en el que los clientes autorizados (y los usuarios de confianza) que seleccionan Certificado como opción de autenticación no pueden conectarse. El error se produce cuando se usa prompt=login si la autenticación integrada de Windows (WIA) está habilitada y la solicitud puede realizar WIA. Se ha corregido el problema por el que AD FS muestra incorrectamente la página Detección de dominio principal (HRD) cuando un proveedor de identidades (IDP) está asociado a un usuario de confianza (RP) en un grupo de OAuth. A menos que se asocien varios IDP al RP en el grupo de OAuth, al usuario no se le mostrará la página HRD. En su lugar, el usuario irá directamente al IDP asociado para la autenticación. |
Febrero de 2018 |
| 4041688 (compilación del sistema operativo 14393.1794) | Esta corrección soluciona un problema que direcciona de forma intermitente las solicitudes de autoridad de AD al proveedor de identidades incorrecto debido al comportamiento incorrecto del almacenamiento en caché. Esto puede afectar a las características de autenticación como Multi Factor Authentication. Se ha agregado la capacidad de Microsoft Entra Connect Health para notificar el estado del servidor de AD FS con fidelidad correcta (mediante auditoría detallada) en granjas de servidores de AD FS mixtas de WS2012R2 y WS2016. Se ha corregido un problema por el que, durante la actualización de la granja de AD FS de 2012 R2 a AD FS 2016, el cmdlet de PowerShell para elevar el nivel de comportamiento de la granja de servidores genera un error con un tiempo de espera cuando hay muchos usuarios de confianza de confianza para usuario autenticado. Se ha corregido un problema por el que AD FS provoca errores de autenticación al modificar el valor del parámetro wct al federar las solicitudes a otro servidor de tokens de seguridad (STS). |
Octubre de 2017 |
| 4038801 (compilación del sistema operativo 14393.1737) | Se ha agregado compatibilidad con el cierre de sesión de OIDC mediante LDP federados. Esto permitirá "Escenarios de quiosco" en los que varios usuarios puedan iniciar sesión en serie en un único dispositivo en el que haya federación con un LDP. Se ha corregido un problema de WinHello por el que los certificados basados en CEP/CES no funcionan con cuentas de gMSA. Corrige un problema por el que los servidores de Windows Internal Database (WID) de Windows Server 2016 AD FS no pueden sincronizar algunas opciones de configuración, como las columnas ApplicationGroupId de las tablas IdentityServerPolicy.Scopes y IdentityServerPolicy.Clients) debido a una restricción de clave externa. Estos errores de sincronización pueden provocar diferentes experiencias de notificación, proveedor de notificaciones y aplicaciones entre los servidores de AD FS principales a los secundarios. Además, si el rol principal de WID se mueve a un nodo secundario, los grupos de aplicaciones ya no se podrán administrar en la experiencia de usuario de administración de AD FS. Esta actualización corrige un problema que provocaba que Multi Factor Authentication no funcionara correctamente con dispositivos móviles que usan definiciones de referencia cultural personalizadas. |
Septiembre de 2017 |
| 4034661 (compilación del sistema operativo 14393.1613) | Corrige un problema por el que los eventos 411 registran la dirección IP del autor de la llamada en el registro de eventos de seguridad de servidores de AD FS 4.0 \ AD FS Windows Server 2016 RS1 incluso después de habilitar "auditorías correctas" y "auditorías de errores". Esta corrección soluciona un problema con Azure Multi-Factor Authentication (MFA) cuando un servidor ADFX está configurado para usar un proxy HTTP. "Se ha corregido un problema por el que la presentación de un certificado expirado o revocado al servidor proxy de AD FS no devuelve un error al usuario". |
Agosto de 2017 |
| 4034658 (compilación del sistema operativo 14393.1593) | Corrección para el servidor de AD FS de 2016 para admitir la inscripción de certificados MFA para implementaciones locales de Windows Hello para empresas | Agosto de 2017 |
| 4025334 (compilación del sistema operativo 14393.1532) | Se ha corregido un problema por el que el controlador de tokens PkeyAuth podía producir un error en una autenticación si la solicitud pkeyauth contiene datos incorrectos. La autenticación todavía debe continuar sin realizar la autenticación del dispositivo. | Julio de 2017 |
| 4022723 (compilación del sistema operativo 14393.1378) | [Proxy de aplicación web] El valor de la propiedad de configuración DisableHttpOnlyCookieProtection no la selecciona WAP 2016 en la implementación mixta de 2012R2/2016 [Proxy de aplicación web] No se puede obtener el token de acceso de usuario de AD FS en escenarios de autenticación previa de EAS. AD FS 2016: el cierre de sesión de WSFED provoca una excepción |
Junio de 2017 |
| 3213986 | Actualización acumulativa de Windows Server 2016 para sistemas basados en x64 (KB3213986) | Enero de 2017 |
Actualizaciones de AD FS y WAP en Windows Server 2012 R2
A continuación se muestra la lista de revisiones y paquetes acumulativos de actualizaciones que se han publicado para Servicios de federación de Active Directory (AD FS) en Windows Server 2012 R2.
| KB # | Descripción | Fecha de publicación |
|---|---|---|
| 4534309 | Soluciona un posible error de cromo de AD FS debido a la compatibilidad de nuevas directivas de cookies SameSite de forma predeterminada para la versión 80 de Google Chrome. Para obtener más información, consulte aquí. | Enero de 2020 |
| 4507448 | Esta actualización de seguridad aborda una vulnerabilidad en los Servicios de federación de Active Directory (AD FS), lo que podría permitir que un atacante omita la directiva de bloqueo de extranet. | Julio de 2019 |
| 4041685 | Se ha corregido un problema de AD FS por el que las cookies MSISConext en los encabezados de solicitud pueden desbordar finalmente el límite de tamaño de los encabezados y provocar un error al autenticarse con el código de estado HTTP 400 "Solicitud incorrecta: encabezado demasiado largo". Se ha corregido un problema por el que AD FS ya no puede omitir "prompt=login" durante la autenticación. Se agregó una opción "Deshabilitada" para restaurar escenarios en los que se usa la autenticación sin contraseña. |
Versión preliminar de octubre de 2017 del paquete acumulativo de actualizaciones |
| 4019217 | Los clientes de Carpetas de trabajo que usan el agente de tokens no funcionan cuando se usa un servidor AD FS de Server 2012 R2 | Paquete acumulativo de actualizaciones de la versión preliminar de mayo de 2017 |
| 4015550 | Se ha corregido un problema con AD FS que no autenticaba a los usuarios externos y donde AD FS WAP fallaba aleatoriamente al reenviar la solicitud. | Paquete acumulativo de actualizaciones de abril de 2017 |
| 4015547 | Se ha corregido un problema con AD FS que no autenticaba a los usuarios externos y donde AD FS WAP fallaba aleatoriamente al reenviar la solicitud. | Actualización de seguridad de abril de 2017 |
| 4012216 | MS17-019 Esta actualización de seguridad resuelve una vulnerabilidad en los Servicios de federación de Active Directory (AD FS). La vulnerabilidad podría permitir la divulgación de información si un atacante envía una solicitud especialmente diseñada a un servidor de AD FS, lo que permite al atacante leer información confidencial sobre el sistema de destino. | Paquete acumulativo de actualizaciones de marzo de 2017 |
| 3179574 | Se ha corregido un problema con la actualización de contraseña de extranet de AD FS. | Paquete acumulativo de actualizaciones de agosto de 2016 |
| 3172614 | Se introdujo la compatibilidad con prompt=login, se ha corregido un problema con la consola de administración de AD FS y la configuración AlwaysRequireAuthentication. | Paquete acumulativo de actualizaciones de julio de 2016 |
| Servicios de federación de Active Directory (AD FS) 3.0 no se puede conectar a almacenes de atributos del Protocolo ligero de acceso a directorios (LDAP) configurados para usar el puerto 636 o 3269 de Capa de sockets seguros (SSL) en la cadena de conexión. | Paquete acumulativo de actualizaciones de junio de 2016 | |
| 3148533 | Error de autenticación alternativa de MFA a través del Proxy de AD FS en Windows Server 2012 R2 | Mayo de 2016 |
| 3134787 | Los registros de AD FS no contienen la dirección IP del cliente para escenarios de bloqueo de cuentas en Windows Server 2012 R2 | Febrero de 2016 |
| 3134222 | MS16-020: actualización de seguridad de los servicios de federación de Active Directory para abordar la denegación de servicio: 9 de febrero de 2016 | Febrero de 2016 |
| 3105881 | No se puede acceder a las aplicaciones cuando la autenticación de dispositivos está habilitada en el servidor de AD FS basado en Windows Server 2012 R2 | Octubre de 2015 |
| 3092003 | La página se carga repetidamente y se produce un error en la autenticación cuando los usuarios usan MFA en Windows Server 2012 R2 AD FS | Agosto de 2015 |
| 3080778 | AD FS no llama a OnError cuando el adaptador de MFA produce una excepción en Windows Server 2012 R2 | Julio de 2015 |
| 3075610 | Las relaciones de confianza se pierden en el servidor de AD FS secundario después de agregar o quitar el proveedor de notificaciones en Windows Server 2012 R2 | Julio de 2015 |
| 3070080 | Detección de dominio principal no funciona correctamente para la relación de confianza de usuario autenticado no compatible con notificaciones | Junio de 2015 |
| 3052122 | La actualización agrega compatibilidad con las notificaciones de identificador compuesto en tokens de AD FS en Windows Server 2012 R2 | Mayo de 2015 |
| 3045711 | MS15-040: la vulnerabilidad en los Servicios de federación de Active Directory podría permitir la divulgación de información | Abril de 2015 |
| 3042127 | Error "HTTP 400 - Solicitud incorrecta" al abrir un buzón compartido a través de WAP en Windows Server 2012 R2 | Marzo de 2015 |
| 3042121 | Protección de reproducción de tokens de AD FS para tokens de autenticación de Proxy de aplicación web en Windows Server 2012 R2 | Marzo de 2015 |
| 3035025 | Corrección urgente para la función de actualización de contraseña, de modo que los usuarios no tengan que usar el dispositivo registrado en Windows Server 2012 R2. | Enero de 2015 |
| 3033917 | AD FS no puede procesar la respuesta SAML en Windows Server 2012 R2 | Enero de 2015 |
| 3025080 | Se produce un error en la operación al intentar guardar un archivo de Office a través del proxy de aplicación web en Windows Server 2012 R2 | Enero de 2015 |
| 3025078 | No se le pedirá de nuevo el nombre de usuario cuando use un nombre de usuario incorrecto para iniciar sesión en Windows Server 2012 R2 | Enero de 2015 |
| 3020813 | Se le pedirá autenticación al ejecutar una aplicación web en Windows Server 2012 R2 AD FS. | Enero de 2015 |
| 3020773 | Errores de tiempo de espera después de la implementación inicial del servicio de registro de dispositivos en Windows Server 2012 R2 | Enero de 2015 |
| 3018886 | Se le pedirá un nombre de usuario y una contraseña dos veces al acceder al servidor de Windows Server 2012 R2 AD FS desde la intranet. | Enero de 2015 |
| 3013769 | Paquete acumulativo de actualizaciones de Windows Server 2012 R2 | Diciembre de 2014 |
| 3000850 | Paquete acumulativo de actualizaciones de Windows Server 2012 R2 | Noviembre de 2014 |
| 2975719 | Paquete acumulativo de actualizaciones de Windows Server 2012 R2 | Agosto de 2014 |
| 2967917 | Paquete acumulativo de actualizaciones de Windows Server 2012 R2 | Julio de 2014 |
| 2962409 | Paquete acumulativo de actualizaciones de Windows Server 2012 R2 | Junio de 2014 |
| 2955164 | Paquete acumulativo de actualizaciones de Windows Server 2012 R2 | Mayo de 2014 |
| 2919355 | Paquete acumulativo de actualizaciones de Windows Server 2012 R2 | Abril de 2014 |
Actualizaciones de AD FS en Windows Server 2012 (AD FS 2.1) y AD FS 2.0
A continuación se muestra la lista de revisiones y paquetes acumulativos de actualizaciones que se han publicado para AD FS 2.0 y 2.1.
| KB # | Descripción | Fecha de publicación | Se aplica a: |
|---|---|---|---|
| 3197878 | Se produce un error de autenticación a través del proxy en Windows Server 2012 (esta es la versión general de la revisión 3094446) | Paquete acumulativo de calidad de noviembre de 2016 | AD FS 2.1 |
| 3197869 | Error de autenticación mediante proxy en Windows Server 2008 R2 SP1 (esta es la versión general de la revisión 3094446) | Paquete acumulativo de calidad de noviembre de 2016 | AD FS 2.0 |
| 3094446 | Error de autenticación mediante proxy en Windows Server 2012 o Windows Server 2008 R2 SP1 | Septiembre de 2015 | AD FS 2.0 y 2.1 |
| 3070078 | AD FS 2.1 produce una excepción al autenticarse en un certificado de cifrado en Windows Server 2012 | Julio de 2015 | AD FS 2.1 |
| 3062577 | MS15-062: La vulnerabilidad en los Servicios de federación de Active Directory podría permitir la elevación de privilegios | Junio de 2015 | AD FS 2.0 / 2.1 |
| 3003381 | MS14-077: Vulnerabilidad en los Servicios de federación de Active Directory podría permitir la divulgación de información: 14 de abril de 2015 | Noviembre de 2014 | AD FS 2.0 / 2.1 |
| 2987843 | El uso de memoria del servidor de federación de AD FS sigue aumentando cuando muchos usuarios inician sesión en una aplicación web en Windows Server 2012 | Julio de 2014 | AD FS 2.1 |
| 2957619 | La relación de confianza para usuario autenticado en AD FS se detiene cuando se realiza una solicitud a AD FS de un token delegado | Mayo de 2014 | AD FS 2.1 |
| 2926658 | Se produce un error en el despliegue de la granja de SQL de AD FS si no tienes permisos de SQL. | Octubre de 2014 | AD FS 2.1 |
| 2896713 o 2989956 | La actualización está disponible para corregir varios problemas después de instalar la actualización de seguridad 2843638 en un servidor de AD FS | Noviembre de 2013 septiembre de 2014 |
AD FS 2.0 / 2.1 |
| 2877424 | La actualización le permite usar un certificado para varias relaciones de confianza para usuario autenticado en una granja de servidores de AD FS 2.1 | Octubre de 2013 | AD FS 2.1 |
| 2873168 | CORRECCIÓN: Se produce un error al usar un CSP de terceros y HSM y, después, configurar una confianza de proveedor de notificaciones en el paquete acumulativo de actualizaciones 3 para AD FS 2.0 en Windows Server 2008 R2 Service Pack 1 | Septiembre de 2013 | AD FS 2.0 |
| Una coma en el nombre del firmante de un certificado de cifrado provoca una excepción en Windows Server 2008 R2 SP1 | Agosto de 2013 | AD FS 2.0 | |
| 2843639 | [Seguridad] Vulnerabilidad en los servicios de federación de Active Directory podría permitir la divulgación de información | Noviembre de 2013 | AD FS 2.1 |
| 2843638 | MS13-066: descripción de la actualización de seguridad de Active Directory Federation Services 2.0: 13 de agosto de 2013 | Agosto de 2013 | AD FS 2.0 |
| 2827748 | El archivo Federationmetadata.xml no contiene la información del punto de conexión MEX para los endpoints WS-Trust y WS-Federation en Windows Server 2012. | Mayo de 2013 | AD FS 2.1 |
| 2790338 | Descripción del paquete acumulativo de actualizaciones 3 para Servicios de federación de Active Directory (AD FS) 2.0 | Marzo de 2013 | AD FS 2.0 |