共用方式為


Active Directory 同盟服務 (AD FS) 和 Web 應用程式 Proxy (WAP) 的必要更新

自 2016 年 10 月起,所有 Windows Server 元件的更新只會透過 Windows Update (WU) 發行。 沒有其他 Hotfix 或個別下載。 適用於:Windows Server 2016、Windows Server 2012 R2、Windows Server 2012 和 Windows Server 2008 R2 SP1。

此頁面列出針對 AD FS 和 WAP 特別感興趣的彙總套件,以及針對 AD FS 和 WAP 建議的 Hotfix 更新歷程記錄清單。

Windows Server 2016 中 AD FS 和 WAP 的更新

Windows Server 2016 的更新會透過 Windows Update 每月傳遞,而且是累計的。 針對所有 AD FS 和 WAP 2016 伺服器,建議使用下列更新程式封裝,並包含所有先前的必要更新以及最新的修正程式。

KB # 描述 發行日期
4534271 解決由於 Google Chrome 版本 80 預設支援新的 SameSite Cookie 原則而導致潛在的 AD FS Chrome 失敗。 如需詳細資訊,請參閱此處 2020 年 1 月
CVE-2019-1126 此安全性更新可解決 Active Directory 同盟服務 (AD FS) 中的弱點,這可讓攻擊者略過外部網路鎖定原則。 2019 年 7 月
4489889 (作業系統組建 14393.2879) 解決 Active Directory 同盟服務 (AD FS) 中導致重複信賴憑證者信任出現在 AD FS 管理主控台中的問題。 當您使用 AD FS 管理主控台建立或檢視信賴憑證者信任時,就會發生這種情況。

解決在 AD FS 2016 上啟用外部網路智慧鎖定 (ESL) 時,發生的高 Active Directory 同盟服務 (AD FS) Web 應用程式 Proxy (WAP) 延遲問題 (超過 10,000 毫秒)。 此安全性更新可解決 CVE-2018-16794 中所述的弱點。
2019 年 3 月
4487006 (作業系統組建 14393.2828) 解決使用 PowerShell 或 Active Directory 同盟服務 (AD FS) 管理主控台時,導致信賴憑證者信任更新失敗的問題。 如果您將信賴憑證者信任設定為使用發佈多個 PassiveRequestorEndpoint 的線上中繼資料 URL,就會發生此問題。 錯誤為「MSIS7615:信賴憑證者信任中指定的受信任端點對於該信賴憑證者信任而言必須是唯一的。」

解決因 Azure 密碼保護原則而顯示外部複雜性密碼變更的特定錯誤訊息的問題。
2019 年 2 月
4462928 (作業系統組建 14393.2580) 解決 Active Directory 同盟服務 (AD FS) 外部網路智慧鎖定 (ESL) 與替代登入識別碼之間的互通問題。 啟用替代登入識別碼時,呼叫 AD FS PowerShell Cmdlet、Get-AdfsAccountActivity 和 Reset-AdfsAccountLockout,傳回「找不到帳戶」錯誤。 呼叫 Set-AdfsAccountActivity 時,會新增新的項目,而不是編輯現有的項目。 2018 年 10 月
4343884 (作業系統組建 14393.2457) 解決 Active Directory 同盟服務 (AD FS) 問題,其中 Multi-Factor Authentication 無法與使用自訂文化特性定義的行動裝置正確配合運作。

解決 Windows Hello 企業版中會導致新使用者註冊出現重大延遲 (15 秒) 的問題。 當硬體安全性模組用來儲存 AD FS 登錄授權單位 (RA) 憑證時,就會發生此問題。
2018 年 8 月
4338822 (作業系統組建 14393.2395) 解決 AD FS 中從主控台建立或檢視信賴憑證者信任時,在 AD FS 管理主控台中顯示重複信賴憑證者信任的問題。

解決 AD FS 中導致 Windows Hello 企業版失敗的問題。 當有兩個宣告提供者時,就會發生此問題。 PIN 註冊將會失敗,並出現「400 內部伺服器錯誤:無法取得裝置識別碼。」

解決與永不結束之非使用中連線相關的 WAP 問題。 這會導致系統資源流失 (例如記憶體流失) 和不再回應的 WAP 服務。 解決防止使用者選取不同登入選項的 AD FS 問題。 當使用者選擇使用「憑證型驗證」登入,但是尚未設定時,就會發生這種情況。 如果使用者選取「憑證型驗證」,然後嘗試選取另一個登入選項,也會發生這種情況。 如果發生這種情況,系統會將使用者重新導向至 [憑證型驗證] 頁面,直到他們關閉瀏覽器為止。
2018 年 7 月
4103720 (作業系統組建 14393.2273) 解決 AD FS 會導致 IdP 起始的 SAML 信賴憑證者登入在啟用 PreventTokenReplays 時失敗的問題。

解決從裝置或瀏覽器應用程式進行 OAUTH 驗證時所發生的 AD FS 問題。 使用者密碼變更會產生失敗,並要求使用者結束登入的應用程式或瀏覽器。

解決在 UTC +1 以上 (歐洲和亞洲) 區域中啟用外部網路智慧鎖定未運作的問題。 此外,會導致一般外部網路鎖定失敗,並出現下列錯誤:Get-AdfsAccountActivity:當轉換成 UTC 時,大於 DateTime.MaxValue 或小於 DateTime.MinValue 的 DateTime 值無法序列化為 JSON。

解決新使用者無法佈建其 PIN 的 AD FS Windows Hello 企業版問題。 未設定 MFA 提供者時,就會發生這種情況。
2018 年 5 月
4093120 (作業系統組建 14393.2214) 解決未處理的重新整理權杖驗證問題。 會產生下列錯誤:「Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthInvalidRefreshTokenException:MSIS9312:收到無效 OAuth 重新整理權杖。 重新整理權杖的接收時間早於權杖中允許的時間。」 2018 年 4 月
4077525 (作業系統組建 14393.2097) 解決當 AD FS 伺服器陣列至少有兩部使用 Windows 內部資料庫 (WID) 的伺服器時,發生 HTTP 500 錯誤的問題。 在此案例中,Web 應用程式 Proxy (WAP) 伺服器上的 HTTP 基本預先驗證無法驗證某些使用者。 發生錯誤時,您可能也會在 WAP 事件記錄檔中看到 Microsoft Windows Web 應用程式 Proxy 警告事件識別碼 13039。 描述會顯示「Web 應用程式 Proxy 無法驗證使用者。 預先驗證是「適用於豐富型用戶端的 AD FS」。 指定的使用者無權存取指定的信賴憑證者。 需要修改目標信賴憑證者或 WAP 信賴憑證者的授權規則。」

解決 AD FS 在驗證期間無法再忽略 prompt=login 的問題。 已新增 [已停用] 選項,以支援未使用密碼驗證的案例。 如需詳細資訊,請參閱 AD FS 會在 Windows Server 2016 RTM 的驗證期間忽略 "prompt=login" 參數。

解決 AD FS 中已授權客戶 (和信賴憑證者) 選取憑證作為驗證選項將無法連線的問題。 如果已啟用 Windows 整合式驗證 (WIA),且要求可以執行 WIA,則使用 prompt=login 時會發生失敗。

解決當識別提供者 (IDP) 與 OAuth 群組中的信賴憑證者 (RP) 相關聯時,AD FS 不正確地顯示主領域探索 (HRD) 頁面的問題。 除非多個 IDP 與 OAuth 群組中的 RP 相關聯,否則不會向使用者顯示 HRD 頁面。 使用者會直接移至相關聯的 IDP 進行驗證。
2018 年 2 月
4041688 (作業系統組建 14393.1794) 此修正程式可解決因為快取行為不正確,致使間歇性錯誤地將 AD 授權單位要求導向至錯誤識別提供者的問題。 這會影響 Multi Factor Authentication 等驗證功能。

為 Microsoft Entra Connect Health 新增在 WS2012R2 和 WS2016 AD FS 混合陣列上以正確精確度報告 AD FS 伺服器健康情況 (使用詳細稽核) 的功能。

修正以下問題:在將 2012 R2 AD FS 陣列升級為 AD FS 2016 期間,如果有多個信賴憑證者信任,用於提升陣列行為層級的 PowerShell Cmdlet 因逾時而失敗。

解決 AD FS 在將要求同盟至其他 Security Token Server (STS) 時修改 wct 參數值,導致驗證失敗的問題。
2017 年 10 月
4038801 (作業系統組建 14393.1737) 已針對使用同盟 LDP 的 OIDC 登出新增支援。 這可允許「Kiosk 案例」,其中多個使用者可能會循序登入與 LDP 同盟的單一裝置。

修正了 CEP/CES 型憑證不適用於 gMSA 帳戶的 WinHello 問題。

修正 Windows Server 2016 AD FS 伺服器上的 Windows 內部資料庫 (WID) 因外部索引鍵條件約束而無法同步處理某些設定的問題,例如 IdentityServerPolicy.Scopes 和 IdentityServerPolicy.Clients 資料表中的 ApplicationGroupId 資料行。 這類同步處理失敗可能會導致主要與次要 AD FS 伺服器之間的宣告、宣告提供者和應用程式體驗不同。 此外,如果 WID 主要角色移至次要節點,應用程式群組將無法再於 AD FS 管理 UX 中進行管理。

此更新修正了 Multi Factor Authentication 無法與使用自訂文化特性定義的行動裝置正確搭配運作的問題
2017 年 9 月
4034661 (作業系統組建 14393.1613) 修正了呼叫端 IP 位址在 AD FS 4.0 \ Windows Server 2016 RS1 AD FS 伺服器的安全性事件記錄檔中記錄 411 個事件的問題,即使啟用「成功稽核」和「失敗稽核」之後也一樣。

此修正程式解決當 ADFX 伺服器設定為使用 HTTP Proxy 時,Azure Multi Factor Authentication (MFA) 的問題。

「解決將已過期或已撤銷憑證呈現給 AD FS Proxy 伺服器的問題,不會將錯誤傳回給使用者」。
2017 年 8 月
4034658 (作業系統組建 14393.1593) 修正 2016 AD FS 伺服器,以支援 Windows Hello 企業版內部部署的 MFA 憑證註冊 2017 年 8 月
4025334 (作業系統組建 14393.1532) 解決如果 pkeyAuth 要求包含不正確的資料,PkeyAuth 權杖處理常式驗證可能會失敗的問題。 驗證應該仍在繼續,而不需要執行裝置驗證 2017 年 7 月
4022723 (作業系統組建 14393.1378) [Web 應用程式 Proxy] 2012R2/2016 混合部署中的 WAP 2016 未挑選 DisableHttpOnlyCookieProtection 組態屬性的值

[Web 應用程式 Proxy] 無法從 EAS 預先驗證案例中的 AD FS 取得使用者存取權杖。

AD FS 2016:WSFED 登出會導致例外狀況
2017 年 6 月
3213986 適用於 x64 型系統的 Windows Server 2016 累積更新 (KB3213986) 2017 年 1 月

Windows Server 2012 R2 中 AD FS 和 WAP 的更新

以下是針對 Windows Server 2012 R2 中 Active Directory 同盟服務 (AD FS) 發行的 Hotfix 和更新彙總套件清單。

KB # 描述 發行日期
4534309 解決由於 Google Chrome 版本 80 預設支援新的 SameSite Cookie 原則而導致潛在的 AD FS Chrome 失敗。 如需詳細資訊,請參閱此處 2020 年 1 月
4507448 此安全性更新可解決 Active Directory 同盟服務 (AD FS) 中的弱點,這可讓攻擊者略過外部網路鎖定原則。 2019 年 7 月
4041685 解決 AD FS 問題,要求標頭中的 MSISConext Cookie 最終可能會溢位標頭大小限制,並導致無法驗證,HTTP 狀態碼 400「不正確的要求 - 標頭太長」。

修正了 AD FS 在驗證期間無法再忽略 "prompt=login" 的問題。 已新增 [已停用] 選項,以還原使用非密碼驗證的案例。
2017 年 10 月更新彙總套件預覽
4019217 使用 Server 2012 R2 AD FS Server 時,使用權杖代理程式的工作資料夾用戶端無法運作 2017 年 5 月更新彙總套件預覽
4015550 已修正 AD FS 未驗證外部使用者且 AD FS WAP 隨機無法轉寄要求的問題 2017 年 4 月更新彙總套件
4015547 已修正 AD FS 未驗證外部使用者且 AD FS WAP 隨機無法轉寄要求的問題 2017 年 4 月安全性更新
4012216 MS17-019 此安全性更新可解決 Active Directory 同盟服務 (AD FS) 中的弱點。 如果攻擊者將特製的要求傳送給 AD FS 伺服器,讓攻擊者能夠讀取目標系統的敏感性資訊,此弱點可能會允許資訊揭露。 2017 年 3 月更新彙總套件
3179574 已修正 AD FS 外部網路密碼更新的問題。 2016 年 8 月更新彙總套件
3172614 引進 prompt=login 支援,已修正 AD FS 管理主控台和 AlwaysRequireAuthentication 設定的問題。 2016 年 7 月更新彙總套件
Active Directory 同盟服務 (AD FS) 3.0 無法連線到已設定為在連接字串中使用安全通訊端層 (SSL) 連接埠 636 或 3269 的輕量型目錄存取通訊協定 (LDAP) 屬性存放區。 2016 年 6 月更新彙總套件
3148533 MFA 後援驗證無法通過 Windows Server 2012 R2 中的 AD FS Proxy 2016 年 5 月
3134787 AD FS 記錄不包含 Windows Server 2012 R2 中帳戶鎖定案例的用戶端 IP 位址 2016 年 2 月
3134222 MS16-020:Active Directory 同盟服務的安全性更新,以解決拒絕服務:2016 年 2 月 9 日 2016 年 2 月
3105881 在 Windows Server 2012 R2 型 AD FS 伺服器中啟用裝置驗證時,無法存取應用程式 2015 年 10 月
3092003 當使用者在 Windows Server 2012 R2 AD FS 中使用 MFA 時,頁面會重複載入且驗證失敗 2015 年 8 月
3080778 當 MFA 配接器在 Windows Server 2012 R2 中擲回例外狀況時,AD FS 不會呼叫 OnError 2015 年 7 月
3075610 在 Windows Server 2012 R2 中新增或移除宣告提供者之後,次要 AD FS 伺服器上會遺失信任關係 2015 年 7 月
3070080 主領域探索無法針對非宣告感知信賴憑證者信任正確運作 2015 年 6 月
3052122 更新會新增對 Windows Server 2012 R2 中 AD FS 權杖中複合識別碼宣告的支援 2015 年 5 月
3045711 MS15-040:Active Directory 同盟服務中的弱點可能會允許資訊揭露 2015 年 4 月
3042127 當您在 Windows Server 2012 R2 中透過 WAP 開啟共用信箱時發生「HTTP 400 - 不正確的要求」錯誤 2015 年 3 月
3042121 Windows Server 2012 R2 中 Web 應用程式 Proxy 驗證權杖的 AD FS 權杖重新執行保護 2015 年 3 月
3035025 更新密碼功能的 Hotfix,讓使用者不需要在 Windows Server 2012 R2 中使用已註冊的裝置 2015 年 1 月
3033917 AD FS 無法在 Windows Server 2012 R2 中處理 SAML 回應 2015 年 1 月
3025080 當您嘗試透過 Windows Server 2012 R2 中的 Web 應用程式 Proxy 儲存 Office 檔案時,作業會失敗 2015 年 1 月
3025078 當您使用不正確的使用者名稱登入 Windows Server 2012 R2 時,系統不會再次提示您輸入使用者名稱 2015 年 1 月
3020813 當您在 Windows Server 2012 R2 AD FS 中執行 Web 應用程式時,系統會提示您進行驗證 2015 年 1 月
3020773 在 Windows Server 2012 R2 中初始部署裝置註冊服務之後發生逾時失敗 2015 年 1 月
3018886 當您從內部網路存取 Windows Server 2012 R2 AD FS 伺服器時,系統會提示您輸入使用者名稱和密碼兩次 2015 年 1 月
3013769 Windows Server 2012 R2 更新彙總套件 2014 年 12 月
3000850 Windows Server 2012 R2 更新彙總套件 2014 年 11 月
2975719 Windows Server 2012 R2 更新彙總套件 2014 年 8 月
2967917 Windows Server 2012 R2 更新彙總套件 2014 年 7 月
2962409 Windows Server 2012 R2 更新彙總套件 2014 年 6 月
2955164 Windows Server 2012 R2 更新彙總套件 2014 年 5 月
2919355 Windows Server 2012 R2 更新彙總套件 2014 年 4 月

Windows Server 2012 (AD FS 2.1) 和 AD FS 2.0 中的 AD FS 更新

以下是已針對 AD FS 2.0 和 2.1 發行的 Hotfix 和更新彙總套件清單。

KB # 描述 發行日期 適用於:
3197878 Windows Server 2012 中透過 Proxy 驗證失敗 (這是 Hotfix 3094446 的一般版本) 2016 年 11 月品質彙總套件 AD FS 2.1
3197869 Windows Server 2008 R2 SP1 中透過 Proxy 驗證失敗 (這是 Hotfix 3094446 的一般版本) 2016 年 11 月品質彙總套件 AD FS 2.0
3094446 Windows Server 2012 或 Windows Server 2008 R2 SP1 中透過 Proxy 驗證失敗 2015 年 9 月 AD FS 2.0 和 2.1
3070078 當您針對 Windows Server 2012 中的加密憑證進行驗證時,AD FS 2.1 會擲回例外狀況 2015 年 7 月 AD FS 2.1
3062577 MS15-062:Active Directory Federation Services 中的弱點可能遭到提高權限攻擊 2015 年 6 月 AD FS 2.0 / 2.1
3003381 MS14-077:Active Directory 同盟服務中的弱點可能會允許資訊揭露:2015 年 4 月 14 日 2014 年 11 月 AD FS 2.0 / 2.1
2987843 當許多使用者在 Windows Server 2012 中登入 Web 應用程式時,AD FS 同盟伺服器的記憶體使用量會持續增加 2014 年 7 月 AD FS 2.1
2957619 對 AD FS 提出委派權杖的要求時,AD FS 中的信賴憑證者信任會停止 2014 年 5 月 AD FS 2.1
2926658 如果您沒有 SQL 權限,AD FS SQL 伺服器陣列部署就會失敗 2014 年 10 月 AD FS 2.1
28967132989956 更新可在您於 AD FS 伺服器上安裝安全性更新 2843638 之後修正數個問題 2013 年 11 月

2014 年 9 月
AD FS 2.0 / 2.1
2877424 更新可讓您針對 AD FS 2.1 伺服器陣列中的多個信賴憑證者信任使用一個憑證 2013 年 10 月 AD FS 2.1
2873168 修正:當您使用第三方 CSP 和 HSM,然後在 Windows Server 2008 R2 Service Pack 1 上 AD FS 2.0 的更新彙總套件 3 中設定宣告提供者信任時發生的錯誤 2013 年 9 月 AD FS 2.0
加密憑證主體名稱中的逗號會導致 Windows Server 2008 R2 SP1 發生例外狀況 2013 年 8 月 AD FS 2.0
2843639 [安全性] Active Directory 同盟服務中的弱點可能會允許資訊揭露 2013 年 11 月 AD FS 2.1
2843638 MS13-066:Active Directory 同盟服務 2.0 的安全性更新描述:2013 年 8 月 13 日 2013 年 8 月 AD FS 2.0
2827748 Federationmetadata.xml 檔案不包含 Windows Server 2012 中 WS-Trust 和 WS-同盟端點的 MEX 端點資訊 2013 年 5 月 AD FS 2.1
2790338 Active Directory 同盟服務 (AD FS) 2.0 更新彙總套件 3 描述 2013 年 3 月 AD FS 2.0