Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
По состоянию на октябрь 2016 г. все обновления всех компонентов Windows Server выпускаются только через центр обновления Windows (WU). Нет дополнительных исправлений или отдельных загрузок. Это относится к Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 и Windows Server 2008 R2 с пакетом обновления 1 (SP1).
На этой странице перечислены накопительные обновления, предназначенные для AD FS и WAP, а также исторический список обновлений и исправлений, рекомендуемых для AD FS и WAP.
Обновления AD FS и WAP в Windows Server 2016
Обновления для Windows Server 2016 предоставляются ежемесячно через Центр обновления Windows и являются накопительными. Пакет обновления, указанный ниже, рекомендуется для всех серверов AD FS и WAP 2016 и включает все ранее необходимые обновления, а также последние исправления.
| БЗ # | Описание | Дата выпуска |
|---|---|---|
| 4534271 | Устраняет потенциальный сбой AD FS в браузере Chrome из-за поддержки новых политик cookie SameSite по умолчанию в версии 80 Google Chrome. Дополнительные сведения см. здесь. | Январь 2020 г. |
| CVE-2019-1126 | Это обновление безопасности устраняет уязвимость в службах федерации Active Directory (AD FS), которая может позволить злоумышленнику обойти политику блокировки экстрасети. | Июль 2019 г. |
| 4489889 (сборка ОС 14393.2879) | Устраняет проблему в службах федерации Active Directory (AD FS), которая приводит к отображению дубликата доверия проверяющей стороны в консоли управления AD FS. Это происходит при создании или просмотре доверия проверяющей стороны с помощью консоли управления AD FS.
Устраняет проблему с высоким уровнем задержки в проксировании веб-приложений служб федерации Active Directory (AD FS) (более 10 000 мс), которая возникает при включении функции блокировки в эксайтранете (ESL) в AD FS 2016. Это обновление безопасности устраняет уязвимость, описанную в CVE-2018-16794. |
Март 2019 г. |
| 4487006 (сборка ОС 14393.2828) | Устраняет проблему, которая приводит к сбою обновлений доверия проверяющей стороны при использовании PowerShell или консоли управления служб федерации Active Directory (AD FS). Эта проблема возникает, если вы настраиваете доверительную сторону для использования онлайн-URL метаданных, который публикует более одного PassiveRequestorEndpoint. Ошибка: "MSIS7615: доверенные конечные точки, указанные в доверии проверяющей стороны, должны быть уникальными для этого доверия". Устраняет проблему, из-за которой отображается определенное сообщение об ошибке при изменении внешнего пароля с учетом сложных требований, связанных с политиками защиты паролей Azure. |
Февраль 2019 г. |
| 4462928 (сборка ОС 14393.2580) | Устраняет проблемы взаимодействия между службами федерации Active Directory (AD FS) Экстрасети Smart Lockout (ESL) и альтернативным идентификатором входа. Если включен альтернативный идентификатор входа, то при вызове командлетов AD FS PowerShell, таких как Get-AdfsAccountActivity и Reset-AdfsAccountLockout, возникают ошибки "Учетная запись не найдена". При вызове Set-AdfsAccountActivity добавляется новая запись вместо редактирования существующей. | Октябрь 2018 г. |
| 4343884 (сборка ОС 14393.2457) | Устраняет проблему служб федерации Active Directory (AD FS), в которой многофакторная проверка подлинности не работает правильно с мобильными устройствами, используюющими пользовательские определения языка и региональных параметров.
Устраняет проблему в Windows Hello для бизнеса, которая приводит к значительной задержке (15 секунд) в регистрации новых пользователей. Эта проблема возникает, когда аппаратный модуль безопасности используется для хранения сертификата центра регистрации AD FS (RA). |
Август 2018 г. |
| 4338822 (сборка ОС 14393.2395) | Устраняет проблему в AD FS, которая приводит к появлению дубликата доверия доверяющей стороны в консоли управления AD FS при создании или просмотре таких доверий. Устраняет проблему в AD FS, которая вызывает сбой Windows Hello для бизнеса. Проблема возникает при наличии двух поставщиков данных утверждений. Регистрация ПИН-кода завершится ошибкой :"Ошибка внутреннего сервера 400: не удалось получить идентификатор устройства". Устраняет проблему WAP, связанную с неактивными подключениями, которые никогда не заканчиваются. Это приводит к утечкам системных ресурсов (например, утечке памяти) и к службе WAP, которая больше не реагирует. Устраняет проблему AD FS, которая запрещает пользователям выбирать другой вариант входа. Это происходит, когда пользователи выбирают вход с помощью проверки подлинности на основе сертификатов, но она не была настроена. Это также происходит, если пользователи выбирают проверку подлинности на основе сертификатов, а затем пытаются выбрать другой параметр входа. В этом случае пользователи будут перенаправлены на страницу проверки подлинности на основе сертификатов, пока не закроют браузер. |
Июль 2018 г. |
| 4103720 (сборка ОС 14393.2273) | Устраняет проблему с AD FS, которая вызывает сбой входа, инициированного поставщиком удостоверений (IdP), на сторону, полагающуюся на SAML, при включенной функции PreventTokenReplays.
Устраняет проблему AD FS, возникающую при проверке подлинности OAUTH из приложения устройства или браузера. Изменение пароля пользователя создает сбой и требует от пользователя выйти из приложения или браузера для входа. Устранена проблема, из-за которой включение системы Extranet Smart Lockout в зонах UTC +1 и выше (Европа и Азия) не работало. Кроме того, это приводит к сбою обычной блокировки доступа к экстрасети со следующей ошибкой: Get-AdfsAccountActivity: значения DateTime, которые больше чем DateTime.MaxValue или меньше, чем DateTime.MinValue при преобразовании в UTC, не могут быть сериализованы в JSON. Устраняет проблему с Windows Hello для бизнеса в AD FS, при которой новые пользователи не могут создать свой PIN-код. Это происходит, если поставщик MFA не настроен. |
Май-2018 |
| 4093120 (сборка ОС 14393.2214) | Устраняет необработанные проблемы проверки маркера обновления. Он создает следующую ошибку: "Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthInvalidRefreshTokenException: MSIS9312: получено недопустимое маркер обновления OAuth. Маркер обновления был получен ранее, чем разрешенное время в маркере". | Апрель 2018 г. |
| 4077525 (сборка ОС 14393.2097) | Устранена проблема, из-за которой возникает ошибка HTTP 500, когда ферма серверов AD FS имеет как минимум два сервера, использующие внутреннюю базу данных Windows (WID). В этом сценарии базовая HTTP предварительная аутентификация на сервере прокси веб-приложения (WAP) не удается для некоторых пользователей. При возникновении ошибки в журнале событий WAP также может появиться предупреждение прокси-сервера веб-приложения Microsoft Windows 13039. Описание считывает сообщение "Прокси веб-приложения не удалось пройти проверку подлинности пользователя. Предварительная проверка подлинности — AD FS для богатых клиентов. Указанный пользователь не имеет права доступа к данной проверяющей стороне. Необходимо изменить правила авторизации целевой проверяющей стороны или проверяющей стороны WAP". Устранена проблема, из-за которой AD FS больше не может игнорировать запрос=login во время проверки подлинности. Параметр "Отключено" добавлен для сценариев поддержки, в которых проверка подлинности паролей не используется. Дополнительные сведения см. в статье о том, как AD FS игнорирует параметр "prompt=login" во время проверки подлинности в Windows Server 2016 RTM. Устраняется проблема в AD FS, где авторизованные клиенты (и проверяющие стороны), которые выбирают сертификат в качестве варианта проверки подлинности, не смогут подключиться. Сбой возникает при использовании prompt=login, если включена Интегрированная проверка подлинности Windows (WIA) и если запрос может использовать WIA. Устраняет проблему, при которой AD FS некорректно отображает страницу Home Realm Discovery (HRD), когда поставщик удостоверений (IDP) ассоциирован с доверяющей стороной (RP) в OAuth-группе. Если несколько поставщиков удостоверений не связаны с RP в группе OAuth, пользователь не будет отображать страницу HRD. Вместо этого пользователь перейдет непосредственно к связанному поставщику удостоверений для проверки подлинности. |
февраль 2018 г. |
| 4041688 (сборка ОС 14393.1794) | Это исправление устраняет проблему, которая периодически неправильно направляет запросы к службе Active Directory к неверному поставщику удостоверений из-за некорректного поведения кэширования. Это может повлиять на функции проверки подлинности, такие как Многофакторная идентификация.
Добавлена возможность Microsoft Entra Connect Health сообщать о работоспособности сервера AD FS с правильной точностью (с помощью подробного аудита) на смешанных фермах серверов WS2012R2 и WS2016 AD FS. Исправлена проблема, из-за которой во время обновления фермы AD FS 2012 R2 до AD FS 2016 командлет PowerShell для повышения уровня функциональности фермы завершается неудачей из-за таймаута, когда имеется много доверий доверяющей стороны. Устранена проблема, из-за которой AD FS приводила к сбоям проверки подлинности путем изменения значения параметра wct при федеративных запросах на другой сервер маркеров безопасности (STS). |
Октябрь 2017 г. |
| 4038801 (сборка ОС 14393.1737) | Добавлена поддержка выхода OIDC с помощью федеративных LDP. Это позволит "киоск-сценарии", где несколько пользователей могут последовательно входить в одно устройство, где есть федерация с LDP. Исправлена проблема WinHello, из-за которой сертификаты на основе CEP/CES не работают с учетными записями gMSA. Устранена проблема, из-за которой внутренние базы данных Windows (WID) на серверах AD FS Windows Server 2016 не удается синхронизировать некоторые параметры, такие как столбцы ApplicationGroupId из IdentityServerPolicy.Scopes и IdentityServerPolicy.Clients, из-за ограничения внешнего ключа. Такие сбои синхронизации могут привести к различным опытам работы с утверждениями, поставщиками утверждений и приложениями между основными и вторичными серверами AD FS. Кроме того, если основная роль WID перемещается на дополнительный узел, группы приложений больше не будут поддаваться управлению через пользовательский интерфейс управления AD FS. Это обновление решает проблемы, из-за которых многофакторная аутентификация некорректно работает с мобильными устройствами, использующими пользовательские определения языка и региональных параметров. |
Сентябрь 2017 г. |
| 4034661 (сборка ОС 14393.1613) | Устранена проблема, из-за которой IP-адрес вызывающего абонента не регистрировался 411 событиями в журнале событий безопасности AD FS 4.0 \ Windows Server 2016 RS1 AD FS, даже после включения "аудита успешности" и "аудита сбоев". Это устраняет проблему с Многофакторной проверкой подлинности Azure (MFA), когда сервер ADFX настроен на использование прокси-сервера HTTP". Устранена проблема, из-за которой срок действия или отзыв сертификата на прокси-сервер AD FS не возвращает пользователю ошибку". |
Август 2017 г. |
| 4034658 (сборка ОС 14393.1593) | Исправление для сервера AD FS 2016 для поддержки регистрации сертификатов MFA для Windows Hello for Business для локальных развертываний | Август 2017 г. |
| 4025334 (сборка ОС 14393.1532) | Устранена проблема, из-за которой обработчик маркера PkeyAuth мог завершить проверку подлинности, если запрос pkeyauth содержит неверные данные. Проверка подлинности по-прежнему должна продолжаться без проверки подлинности устройства | Июль 2017 |
| 4022723 (сборка ОС 14393.1378) | [Прокси веб-приложения] Значение свойства конфигурации DisableHttpOnlyCookieProtection не распознается WAP 2016 в 2012R2/2016 смешанном развертывании [Прокси веб-приложения] Не удалось получить токен доступа пользователям из AD FS в сценариях предварительной аутентификации EAS. AD FS 2016: выход WSFED приводит к возникновению ошибки |
2017 июня |
| 3213986 | Накопительное обновление для Windows Server 2016 для систем на основе x64 (KB3213986) | Январь 2017 г. |
Обновления AD FS и WAP в Windows Server 2012 R2
Ниже приведен список исправлений и обновлений, выпущенных для служб федерации Active Directory (AD FS) в Windows Server 2012 R2.
| БЗ # | Описание | Дата выпуска |
|---|---|---|
| 4534309 | Устраняет потенциальный сбой AD FS в браузере Chrome из-за поддержки новых политик cookie SameSite по умолчанию в версии 80 Google Chrome. Дополнительные сведения см. здесь. | Январь 2020 г. |
| 4507448 | Это обновление безопасности устраняет уязвимость в службах федерации Active Directory (AD FS), которая может позволить злоумышленнику обойти политику блокировки экстрасети. | Июль 2019 г. |
| 4041685 | Устранена проблема AD FS, из-за которой файлы cookie MSISConext в заголовках запросов в конечном итоге могут переполнение предела размера заголовков и привести к сбою проверки подлинности с кодом состояния HTTP 400 "Недопустимый запрос — заголовок слишком длинный". Исправлена проблема, из-за которой AD FS больше не может игнорировать "prompt=login" во время проверки подлинности. Параметр "Отключено" добавлен для сценариев восстановления, в которых используется проверка подлинности без пароля. |
Предварительная версия пакета обновления за октябрь 2017 г. |
| 4019217 | Клиенты рабочих папок, использующие брокер маркеров, не работают при использовании сервера AD FS Server 2012 R2 | Накопительный пакет обновления предварительной версии за май 2017 г. |
| 4015550 | Исправлена проблема, из-за которой AD FS не выполняет аутентификацию внешних пользователей, а AD FS WAP случайно не передавал запрос. | Апрельский накопительный пакет обновлений 2017 года |
| 4015547 | Исправлена проблема, из-за которой AD FS не выполняет аутентификацию внешних пользователей, а AD FS WAP случайно не передавал запрос. | Обновление системы безопасности за апрель 2017 г. |
| 4012216 | MS17-019 Это обновление безопасности устраняет уязвимость в службах федерации Active Directory (AD FS). Уязвимость может разрешить раскрытие информации, если злоумышленник отправляет специально созданный запрос на сервер AD FS, что позволяет злоумышленнику читать конфиденциальную информацию о целевой системе. | Накопительный пакет обновления за март 2017 г. |
| 3179574 | Исправлена проблема с обновлением пароля экстрасети AD FS. | Накопительный пакет обновления за август 2016 г. |
| 3172614 | Внедрена поддержка для запроса prompt=login, исправлена проблема с консолью управления AD FS и параметром AlwaysRequireAuthentication. | Накопительное обновление за июль 2016 года |
| Службы федерации Active Directory (AD FS) 3.0 не могут подключаться к хранилищам атрибутов протокола LDAP, настроенным для использования порта SSL 636 или 3269 в строке подключения. | Накопительный пакет обновления за июнь 2016 г. | |
| 3148533 | Сбой резервной проверки подлинности MFA через прокси-сервер AD FS в Windows Server 2012 R2 | 2016 мая |
| 3134787 | Журналы AD FS не содержат IP-адрес клиента для сценариев блокировки учетных записей в Windows Server 2012 R2 | 2016 февраля |
| 3134222 | MS16-020: обновление безопасности для служб федерации Active Directory с целью устранения уязвимости, связанной с атакой типа "отказ в обслуживании": 9 февраля 2016 г. | 2016 февраля |
| 3105881 | Не удается получить доступ к приложениям, если проверка подлинности устройства включена на сервере AD FS на основе Windows Server 2012 R2 | Октябрь 2015 г. |
| 3092003 | Страница загружается многократно и проверка подлинности завершается ошибкой, если пользователи используют MFA в Windows Server 2012 R2 AD FS | Август 2015 г. |
| 3080778 | AD FS не вызывает OnError, когда адаптер MFA создает исключение в Windows Server 2012 R2 | Июль 2015 г. |
| 3075610 | Отношения доверия теряются на вторичном сервере AD FS после добавления или удаления поставщика утверждений в Windows Server 2012 R2 | Июль 2015 г. |
| 3070080 | Обнаружение домашней области не работает правильно для доверия проверяющей стороны без утверждений | Июнь 2015 г. |
| 3052122 | Обновление добавляет поддержку составных утверждений идентификаторов в токенах AD FS в Windows Server 2012 R2 | Май 2015 г. |
| 3045711 | MS15-040: уязвимость в службах федерации Active Directory может привести к раскрытию информации | Апрель 2015 г. |
| 3042127 | Ошибка HTTP 400 — недопустимый запрос при открытии общего почтового ящика через WAP в Windows Server 2012 R2 | Март 2015 г. |
| 3042121 | Защита от воспроизведения токенов AD FS для токенов аутентификации Прокси для веб-приложения в Windows Server 2012 R2 | Март 2015 г. |
| 3035025 | Исправление для функции обновления пароля, позволяющее пользователям не быть привязанными к использованию зарегистрированного устройства в Windows Server 2012 R2. | Январь 2015 г. |
| 3033917 | AD FS не может обрабатывать ответ SAML в Windows Server 2012 R2 | Январь 2015 г. |
| 3025080 | Операция завершается ошибкой при попытке сохранить файл Office через прокси веб-приложения в Windows Server 2012 R2 | Январь 2015 г. |
| 3025078 | При использовании неправильного имени пользователя для входа в Windows Server 2012 R2 вам не будет предложено повторно использовать имя пользователя. | Январь 2015 г. |
| 3020813 | При запуске веб-приложения в Windows Server 2012 R2 AD FS вам будет предложено выполнить проверку подлинности. | Январь 2015 г. |
| 3020773 | Ошибки тайм-аута после первоначального внедрения службы регистрации устройств в Windows Server 2012 R2 | Январь 2015 г. |
| 3018886 | При доступе к серверу Windows Server 2012 R2 AD FS из интрасети вам будет предложено указать имя пользователя и пароль. | Январь 2015 г. |
| 3013769 | Пакет обновлений для Windows Server 2012 R2 | Декабрь 2014 г. |
| 3000850 | Пакет обновлений для Windows Server 2012 R2 | Ноябрь 2014 г. |
| 2975719 | Пакет обновлений для Windows Server 2012 R2 | Август 2014 г. |
| 2967917 | Пакет обновлений для Windows Server 2012 R2 | Июль 2014 г. |
| 2962409 | Пакет обновлений для Windows Server 2012 R2 | Июнь 2014 г. |
| 2955164 | Пакет обновлений для Windows Server 2012 R2 | Май 2014 |
| 2919355 | Пакет обновлений для Windows Server 2012 R2 | апрель 2014 г. |
Обновления AD FS в Windows Server 2012 (AD FS 2.1) и AD FS 2.0
Ниже приведен список исправлений и обновлений, выпущенных для AD FS 2.0 и 2.1.
| БЗ # | Описание | Дата выпуска | Применимо к: |
|---|---|---|---|
| 3197878 | Проверка подлинности через прокси-сервер завершается ошибкой в Windows Server 2012 (это общий выпуск исправлений 3094446) | Накопительный пакет исправлений за ноябрь 2016 г. | AD FS 2.1 |
| 3197869 | Проверка подлинности через прокси-сервер завершается неудачей в Windows Server 2008 R2 с пакетом обновления 1 (SP1) (это общий выпуск хотфикса 3094446) | Накопительный пакет исправлений за ноябрь 2016 г. | AD FS 2.0 |
| 3094446 | Проверка подлинности через прокси-сервер завершается ошибкой в Windows Server 2012 или Windows Server 2008 R2 с пакетом обновления 1 (SP1) | Сентябрь 2015 г. | AD FS 2.0 и 2.1 |
| 3070078 | AD FS 2.1 выдает исключение при аутентификации с использованием сертификата шифрования в Windows Server 2012 | Июль 2015 г. | AD FS 2.1 |
| 3062577 | MS15-062: уязвимость в службах федерации Active Directory позволяет повышение привилегий | Июнь 2015 г. | AD FS 2.0 / 2.1 |
| 3003381 | MS14-077: уязвимость в Active Directory Federation Services может позволить раскрытие информации: 14 апреля 2015 г. | Ноябрь 2014 г. | AD FS 2.0 / 2.1 |
| 2987843 | Использование памяти сервера федерации AD FS увеличивается, когда множество пользователей одновременно входят в веб-приложение в Windows Server 2012. | Июль 2014 г. | AD FS 2.1 |
| 2957619 | Доверие доверяющей стороны в AD FS останавливается, когда отправляется запрос на делегированный токен через AD FS. | Май 2014 | AD FS 2.1 |
| 2926658 | Развертывание фермы SQL AD FS завершается сбоем, если у вас нет разрешений SQL | Октябрь 2014 г. | AD FS 2.1 |
| 2896713 или 2989956 | Обновление доступно для устранения нескольких проблем после установки обновления безопасности 2843638 на сервере AD FS | Ноябрь 2013 г. сентябрь 2014 г. |
AD FS 2.0 / 2.1 |
| 2877424 | Обновление позволяет использовать один сертификат для нескольких доверенных сторон фермы AD FS 2.1. | Октябрь 2013 г. | AD FS 2.1 |
| 2873168 | ИСПРАВЛЕНИЕ: Ошибка возникает при использовании стороннего поставщика криптографических услуг (CSP) и аппаратного модуля безопасности (HSM), а затем при настройке доверия поставщика утверждений в накопительном обновлении 3 для AD FS 2.0 на Windows Server 2008 R2 с пакетом обновления 1 (SP1). | Сентябрь 2013 г. | AD FS 2.0 |
| Запятая в имени субъекта сертификата шифрования вызывает исключение в Windows Server 2008 R2 SP1. | Август 2013 г. | AD FS 2.0 | |
| 2843639 | [Безопасность] Уязвимость в службах федерации Active Directory может привести к раскрытию информации | Ноябрь 2013 г. | AD FS 2.1 |
| 2843638 | MS13-066: описание обновления безопасности для служб федерации Active Directory 2.0: 13 августа 2013 г. | Август 2013 г. | AD FS 2.0 |
| 2827748 | Federationmetadata.xml файл не содержит сведения о конечной точке MEX для конечных точек WS-Trust и WS-Federation в Windows Server 2012 | Май 2013 г. | AD FS 2.1 |
| 2790338 | Описание накопительного пакета обновления 3 для служб федерации Active Directory (AD FS) 2.0 | Март 2013 г. | AD FS 2.0 |