Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Vanaf oktober 2016 worden alle updates voor alle onderdelen van Windows Server alleen uitgebracht via Windows Update (WU). Er zijn geen hotfixes of afzonderlijke downloads meer. Dit geldt voor Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 en Windows Server 2008 R2 SP1.
Deze pagina bevat roll-up pakketten die van bijzonder belang zijn voor AD FS en WAP, evenals de historische lijst met hotfix-updates die worden aanbevolen voor AD FS en WAP.
Updates voor AD FS en WAP in Windows Server 2016
Updates voor Windows Server 2016 worden maandelijks geleverd via Windows Update en zijn cumulatief. Het onderstaande updatepakket wordt aanbevolen voor alle AD FS- en WAP 2016-servers en bevat alle eerder vereiste updates en de meest recente oplossingen.
| KB # | Beschrijving | Releasedatum |
|---|---|---|
| 4534271 | Hiermee wordt een mogelijke AD FS Chrome-fout opgelost vanwege de ondersteuning van nieuwe SameSite-cookiebeleidsregels standaard voor release 80 van Google Chrome. Raadpleeg hier voor meer informatie. | Januari 2020 |
| CVE-2019-1126 | Deze beveiligingsupdate heeft betrekking op een beveiligingsprobleem in Active Directory Federation Services (AD FS), waardoor een aanvaller het extranetvergrendelingsbeleid kan omzeilen. | Juli 2019 |
| 4489889 (os build 14393.2879) | Hiermee wordt een probleem opgelost in Active Directory Federation Services (AD FS) waardoor een dubbele relying party-vertrouwensrelatie wordt weergegeven in de AD FS-beheerconsole. Dit gebeurt wanneer u relying party-vertrouwensrelaties maakt of bekijkt met behulp van de AD FS-beheerconsole.
Hiermee wordt een hoge latentie met de Active Directory Federation Services (AD FS) Web Application Proxy (WAP) (meer dan 10.000 ms) opgelost die optreedt wanneer Extranet Smart Lockout (ESL) is ingeschakeld op AD FS 2016. Met deze beveiligingsupdate wordt het beveiligingsprobleem opgelost dat wordt beschreven in CVE-2018-16794. |
maart 2019 |
| 4487006 (os build 14393.2828) | Hiermee wordt een probleem opgelost waardoor updates voor een relying party-vertrouwensrelatie mislukken wanneer u PowerShell of de AD FS-beheerconsole (Active Directory Federation Services) gebruikt. Dit probleem treedt op als u een relying party-vertrouwensrelatie configureert voor het gebruik van een onlinemetagegevens-URL die meer dan één PassiveRequestorEndpoint publiceert. De fout is: 'MSIS7615: de vertrouwde eindpunten die zijn opgegeven in een relying party-vertrouwensrelatie, moeten uniek zijn voor die relying party-vertrouwensrelatie. 'Hiermee wordt een probleem opgelost dat een specifiek foutbericht weergeeft voor wijzigingen in het wachtwoord voor externe complexiteit vanwege Azure Password Protection-beleid. |
Februari 2019 |
| 4462928 (os build 14393.2580) | Hiermee worden interoperatieproblemen opgelost tussen Active Directory Federation Services (AD FS) Extranet Smart Lockout (ESL) en alternatieve aanmeldings-id. Als alternatieve aanmeldings-id is ingeschakeld, resulteren aanroepen naar AD FS PowerShell-cmdlets, Get-AdfsAccountActivity en Reset-AdfsAccountLockout in 'Account niet gevonden'-fouten. Wanneer Set-AdfsAccountActivity wordt aangeroepen, wordt er een nieuwe vermelding toegevoegd in plaats van een bestaande vermelding te bewerken. | Oktober 2018 |
| 4343884 (os build 14393.2457) | Hiermee wordt een probleem opgelost met Active Directory Federation Services (AD FS), waarbij Multi-Factor Authentication niet correct werkt met mobiele apparaten die gebruikmaken van aangepaste cultuurdefinities.
Hiermee wordt een probleem opgelost in Windows Hello voor Bedrijven dat een aanzienlijke vertraging (15 seconden) veroorzaakt in de nieuwe gebruikersinschrijving. Dit probleem treedt op wanneer een hardwarebeveiligingsmodule wordt gebruikt om een RA-certificaat (AD FS Registration Authority) op te slaan. |
Augustus 2018 |
| 4338822 (os build 14393.2395) | Hiermee wordt een probleem opgelost in AD FS met een dubbele Relying Party-vertrouwensrelatie in de AD FS-beheerconsole bij het maken of weergeven van Relying Party-vertrouwensrelaties vanuit de console. Hiermee wordt een probleem opgelost in AD FS waardoor Windows Hello voor Bedrijven mislukt. Het probleem treedt op wanneer er twee claimproviders zijn. De pincoderegistratie mislukt met '400 Interne serverfout: Kan apparaat-id niet verkrijgen'. Hiermee wordt een WAP-probleem opgelost met betrekking tot inactieve verbindingen die nooit eindigen. Dit leidt tot systeemresourcelekken (bijvoorbeeld een geheugenlek) en een WAP-service die niet meer reageert. Hiermee wordt een AD FS-probleem opgelost waardoor gebruikers geen andere aanmeldingsoptie kunnen selecteren. Dit gebeurt wanneer gebruikers zich aanmelden met verificatie op basis van certificaten, maar deze niet zijn geconfigureerd. Dit gebeurt ook als gebruikers verificatie op basis van certificaten selecteren en vervolgens een andere aanmeldingsoptie proberen te selecteren. Als dit gebeurt, worden gebruikers omgeleid naar de pagina Verificatie op basis van certificaten totdat ze de browser sluiten. |
Juli 2018 |
| 4103720 (os build 14393.2273) | Hiermee wordt een probleem opgelost met AD FS waardoor een door IdP geïnitieerde aanmelding bij een SAML-relying party mislukt wanneer PreventTokenReplays is ingeschakeld.
Hiermee wordt een AD FS-probleem opgelost dat optreedt wanneer OAUTH wordt geverifieerd vanaf een apparaat of browsertoepassing. Een wijziging van een gebruikerswachtwoord genereert een fout en vereist dat de gebruiker de app of browser verlaat om zich aan te melden. Hiermee wordt een probleem opgelost waarbij het inschakelen van Extranet Smart Lockout in UTC +1 en hoger (Europa en Azië) niet werkte. Daarnaast mislukt de normale extranetvergrendeling met de volgende fout: Get-AdfsAccountActivity: DateTime-waarden die groter zijn dan DateTime.MaxValue of kleiner dan DateTime.MinValue wanneer deze worden geconverteerd naar UTC, kunnen niet worden geserialiseerd naar JSON. Hiermee wordt een probleem met AD FS Windows Hello voor bedrijven opgelost waarbij nieuwe gebruikers hun pincode niet kunnen inrichten. Dit gebeurt wanneer er geen MFA-provider is geconfigureerd. |
Mei 2018 |
| 4093120 (os build 14393.2214) | Hiermee wordt een probleem met een ongehandelede validatie van vernieuwingsstokens opgelost. Er wordt de volgende fout gegenereerd: "Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthInvalidRefreshTokenException: MSIS9312: Ongeldige OAuth-verversingstoken ontvangen." Het vernieuwde token is eerder ontvangen dan de toegestane tijdsperiode vermeld in het token. | April 2018 |
| 4077525 (os build 14393.2097) | Hiermee wordt een probleem opgelost waarbij een HTTP 500-fout optreedt wanneer een AD FS-farm ten minste twee servers heeft met Windows Internal Database (WID). In dit scenario kan http-basisverificatie op de WAP-server (Web Application Proxy) sommige gebruikers niet verifiëren. Wanneer de fout optreedt, ziet u mogelijk ook de waarschuwings-id van de Microsoft Windows-webtoepassingsproxy 13039 in het WAP-gebeurtenislogboek. De beschrijving leest: 'Webtoepassingsproxy kan de gebruiker niet verifiëren. Verificatie vooraf is 'AD FS voor rijke clients'. De opgegeven gebruiker is niet gemachtigd om toegang te krijgen tot de opgegeven vertrouwende partij. De autorisatieregels van zowel de doelrelying party als de WAP-relying party moeten worden gewijzigd. Dit lost een probleem op waarbij AD FS niet langer "prompt=login" kan negeren tijdens authenticatie. Er is een uitgeschakelde optie toegevoegd voor ondersteuningsscenario's waarin wachtwoordverificatie niet wordt gebruikt. Zie AD FS negeert de parameter prompt=login tijdens een verificatie in Windows Server 2016 RTM voor meer informatie. Hiermee wordt een probleem opgelost in AD FS waarbij geautoriseerde klanten (en relying party's) die certificaat als verificatieoptie selecteren, geen verbinding maken. De fout treedt op wanneer u prompt=login gebruikt als WiA (Windows Integrated Authentication) is ingeschakeld en de aanvraag WIA kan uitvoeren. Hiermee wordt een probleem opgelost waarbij AD FS de pagina Home Realm Discovery (HRD) onjuist weergeeft wanneer een id-provider (IDP) is gekoppeld aan een relying party (RP) in een OAuth-groep. Tenzij er meerdere IDP's zijn gekoppeld aan de RP in de OAuth-groep, wordt de HRD-pagina niet aan de gebruiker getoond. In plaats daarvan gaat de gebruiker rechtstreeks naar de bijbehorende IDP voor verificatie. |
Februari 2018 |
| 4041688 (os build 14393.1794) | Deze oplossing verhelpt een probleem waarbij AD Authority-verzoeken soms naar de verkeerde identiteitsprovider worden gestuurd vanwege een fout in het cachinggedrag. Dit kan invloed hebben op verificatiefuncties zoals multi-factor authenticatie.
De mogelijkheid toegevoegd voor Microsoft Entra Connect Health om de AD FS-serverstatus te rapporteren met de juiste nauwkeurigheid (met behulp van uitgebreide auditing) op gemengde WS2012R2- en WS2016-AD FS-farms. Er is een probleem opgelost waarbij tijdens de upgrade van 2012 R2 AD FS-farm naar AD FS 2016 de PowerShell-cmdlet om het gedragsniveau van de farm te verhogen mislukt met een time-out wanneer er veel relying party vertrouwensrelaties zijn. Er is een probleem opgelost waarbij AD FS verificatiefouten veroorzaakt door de wct-parameterwaarde te wijzigen terwijl het federeren van verzoeken naar andere beveiligingstokenservers (STS). |
Oktober 2017 |
| 4038801 (os build 14393.1737) | Ondersteuning toegevoegd voor OIDC-afmelding met federatieve LDPs. Hierdoor kunnen 'kioskscenario's' worden toegestaan waarbij meerdere gebruikers mogelijk serieel worden aangemeld bij één apparaat waar federatie met een LDP is. Er is een WinHello-probleem opgelost waarbij op CEP/CES gebaseerde certificaten niet werken met gMSA-accounts. Lost een probleem op waarbij de Windows Internal Database (WID) op Windows Server 2016 AD FS-servers bepaalde instellingen niet kunnen synchroniseren, zoals de applicationGroupId-kolommen van IdentityServerPolicy.Scopes en IdentityServerPolicy.Clients tabellen) vanwege een beperking voor refererende sleutels. Dergelijke synchronisatiefouten kunnen verschillende ervaringen met claims, claimproviders en toepassingen veroorzaken tussen de primaire en secundaire AD FS-servers. Als de primaire WID-rol wordt verplaatst naar een secundair knooppunt, kunnen toepassingsgroepen niet meer worden beheerd in de AD FS-beheer-UX. Met deze update worden problemen opgelost waarbij Multi Factor Authentication niet correct werkt met mobiele apparaten die gebruikmaken van aangepaste cultuurdefinities |
september 2017 |
| 4034661 (os build 14393.1613) | Lost een probleem op waarbij het IP-adres van de beller nog steeds niet wordt geregistreerd door 411-evenementen in het logboek van beveiligingsgebeurtenissen van AD FS 4.0 \ Windows Server 2016 RS1 AD FS-servers, zelfs na het inschakelen van "geslaagde audits" en "mislukte audits". Met deze oplossing wordt een probleem opgelost met Azure Multi Factor Authentication (MFA) wanneer een ADFX-server is geconfigureerd voor het gebruik van een HTTP-proxy. Er is een probleem opgelost waarbij bij het presenteren van een verlopen of ingetrokken certificaat aan de AD FS-proxyserver geen fout aan de gebruiker wordt geretourneerd. |
augustus 2017 |
| 4034658 (os build 14393.1593) | Oplossing voor 2016 AD FS-server ter ondersteuning van MFA-certificaatinschrijving voor Windows Hello voor Bedrijven voor on-premises implementaties | augustus 2017 |
| 4025334 (os build 14393.1532) | Er is een probleem opgelost waarbij de PkeyAuth-tokenhandler een verificatie kan mislukken als de pkeyauth-aanvraag onjuiste gegevens bevat. De verificatie moet nog steeds worden voortgezet zonder apparaatverificatie uit te voeren | Juli 2017 |
| 4022723 (os build 14393.1378) | [Webtoepassingsproxy] De waarde van de configuratie-eigenschap DisableHttpOnlyCookieProtection wordt niet opgehaald door WAP 2016 in 2012R2/2016 gemengde implementatie [Webtoepassingsproxy] Kan geen gebruikertoegangstoken verkrijgen van AD FS in scenario's voor pre-verificatie van EAS. AD FS 2016 : WSFED-afmelding leidt tot een exceptie |
2017 juni |
| 3213986 | Cumulatieve update voor Windows Server 2016 voor x64-systemen (KB3213986) | Januari 2017 |
Updates voor AD FS en WAP in Windows Server 2012 R2
Hieronder ziet u de lijst met hotfixes en updatepakketten die zijn uitgebracht voor Active Directory Federation Services (AD FS) in Windows Server 2012 R2.
| KB # | Beschrijving | Datum van uitgave |
|---|---|---|
| 4534309 | Hiermee wordt een mogelijke AD FS-fout in Google Chrome aangepakt, vanwege de standaardondersteuning van nieuwe SameSite-cookiebeleidsregels in versie 80 van Google Chrome. Raadpleeg hier voor meer informatie. | Januari 2020 |
| 4507448 | Deze beveiligingsupdate heeft betrekking op een beveiligingsprobleem in Active Directory Federation Services (AD FS), waardoor een aanvaller het extranetvergrendelingsbeleid kan omzeilen. | Juli 2019 |
| 4041685 | Er is een AD FS-probleem opgelost waarbij MSISConext-cookies in aanvraagheaders uiteindelijk de limiet voor headers kunnen overlopen en een fout veroorzaken bij verificatie met HTTP-statuscode 400 'Ongeldige aanvraag - header te lang'. Er is een probleem opgelost waarbij AD FS 'prompt=login' niet meer kan negeren tijdens de verificatie. Er is een uitgeschakelde optie toegevoegd om scenario's te herstellen waarin niet-wachtwoordverificatie wordt gebruikt. |
Preview van updatepakket oktober 2017 |
| 4019217 | Werkmappen-clients die tokenbroker gebruiken, werken niet wanneer u een Server 2012 R2 AD FS-server gebruikt | Preview-updatepakket van mei 2017 |
| 4015550 | Er is een probleem opgelost waarbij AD FS externe gebruikers niet kan verifiëren en AD FS WAP willekeurig niet kan aanvragen doorsturen | Updatepakket van april 2017 |
| 4015547 | Er is een probleem opgelost waarbij AD FS externe gebruikers niet kan verifiëren en AD FS WAP willekeurig niet kan aanvragen doorsturen | Beveiligingsupdate van april 2017 |
| 4012216 | MS17-019 Deze beveiligingsupdate lost een beveiligingsprobleem op in Active Directory Federation Services (AD FS). Het beveiligingsprobleem kan openbaarmaking van informatie toestaan als een aanvaller een speciaal gemaakte aanvraag naar een AD FS-server verzendt, zodat de aanvaller gevoelige informatie over het doelsysteem kan lezen. | Updatepakket van maart 2017 |
| 3179574 | Er is een probleem opgelost met het bijwerken van het extranetwachtwoord van AD FS. | Updatepakket van augustus 2016 |
| 3172614 | Prompt=login support geïntroduceerd, probleem met de AD FS-managementconsole en AlwaysRequireAuthentication-instelling opgelost. | Updatepakket van juli 2016 |
| Active Directory Federation Services (AD FS) 3.0 kan geen verbinding maken met LDAP-kenmerkarchieven (Lightweight Directory Access Protocol) die zijn geconfigureerd voor het gebruik van SSL-poort 636 of 3269 (Secure Sockets Layer) in de verbindingsreeks. | Updatepakket van juni 2016 | |
| 3148533 | MFA-terugvalverificatie mislukt via AD FS-proxy in Windows Server 2012 R2 | Mei 2016 |
| 3134787 | AD FS-logboeken bevatten geen client-IP-adres voor accountvergrendelingsscenario's in Windows Server 2012 R2 | 2016 februari |
| 3134222 | MS16-020: Beveiligingsupdate voor Active Directory Federation Services om denial of service aan te pakken: 9 februari 2016 | 2016 februari |
| 3105881 | Geen toegang tot toepassingen wanneer apparaatverificatie is ingeschakeld in Windows Server 2012 R2-server op basis van AD FS | Oktober 2015 |
| 3092003 | Pagina wordt herhaaldelijk geladen en verificatie mislukt wanneer gebruikers MFA gebruiken in Windows Server 2012 R2 AD FS | Augustus 2015 |
| 3080778 | AD FS roept OnError niet aan wanneer de MFA-adapter een uitzondering genereert in Windows Server 2012 R2 | juli 2015 |
| 3075610 | Vertrouwensrelaties gaan verloren op secundaire AD FS-server nadat u claimprovider in Windows Server 2012 R2 hebt toegevoegd of verwijderd | juli 2015 |
| 3070080 | Thuisrealm Detecteren werkt niet correct voor niet-claimbewuste Relying Party-vertrouwensrelatie | juni 2015 |
| 3052122 | Update voegt ondersteuning toe voor samengestelde id-claims in AD FS-tokens in Windows Server 2012 R2 | Mei 2015 |
| 3045711 | MS15-040: Beveiligingsprobleem in Active Directory Federation Services kan openbaarmaking van informatie toestaan | April 2015 |
| 3042127 | Fout 'HTTP 400 - Ongeldige aanvraag' wanneer u een gedeeld postvak opent via WAP in Windows Server 2012 R2 | Maart 2015 |
| 3042121 | AD FS-tokenherplaybeveiliging voor verificatietokens voor webtoepassingsproxy in Windows Server 2012 R2 | Maart 2015 |
| 3035025 | Hotfix voor de functie wachtwoord bijwerken, zodat gebruikers geen geregistreerd apparaat hoeven te gebruiken in Windows Server 2012 R2 | Januari 2015 |
| 3033917 | AD FS kan geen SAML-antwoord verwerken in Windows Server 2012 R2 | Januari 2015 |
| 3025080 | De bewerking mislukt wanneer u probeert een Office-bestand op te slaan via webtoepassingsproxy in Windows Server 2012 R2 | Januari 2015 |
| 3025078 | U wordt niet opnieuw om gebruikersnaam gevraagd wanneer u een onjuiste gebruikersnaam gebruikt om u aan te melden bij Windows Server 2012 R2 | Januari 2015 |
| 3020813 | U wordt gevraagd om verificatie wanneer u een webtoepassing uitvoert in Windows Server 2012 R2 AD FS | Januari 2015 |
| 3020773 | Time-outfouten na de eerste implementatie van de apparaatregistratieservice in Windows Server 2012 R2 | Januari 2015 |
| 3018886 | U wordt twee keer gevraagd om een gebruikersnaam en wachtwoord wanneer u toegang hebt tot Windows Server 2012 R2 AD FS-server vanaf intranet | Januari 2015 |
| 3013769 | Updatepakket voor Windows Server 2012 R2 | December 2014 |
| 3000850 | Updatepakket voor Windows Server 2012 R2 | November 2014 |
| 2975719 | Updatepakket voor Windows Server 2012 R2 | Augustus 2014 |
| 2967917 | Update Roll-up voor Windows Server 2012 R2 | Juli 2014 |
| 2962409 | Updatepakket voor Windows Server 2012 R2 | Juni 2014 |
| 2955164 | Cumulatieve Update voor Windows Server 2012 R2 | Mei 2014 |
| 2919355 | Updatepakket voor Windows Server 2012 R2 | April 2014 |
Updates voor AD FS in Windows Server 2012 (AD FS 2.1) en AD FS 2.0
Hieronder ziet u de lijst met hotfixes en updatepakketten die zijn uitgebracht voor AD FS 2.0 en 2.1.
| KB # | Beschrijving | Releasedatum | Van toepassing op: |
|---|---|---|---|
| 3197878 | Verificatie via proxy mislukt in Windows Server 2012 (dit is de algemene release van hotfix-3094446) | Kwaliteitsrollup november 2016 | AD FS 2.1 |
| 3197869 | Verificatie via proxy mislukt in Windows Server 2008 R2 SP1 (dit is de algemene release van hotfix-3094446) | Kwaliteitsrollup november 2016 | AD FS 2.0 |
| 3094446 | Verificatie via proxy faalt in Windows Server 2012 of Windows Server 2008 R2 SP1. | September 2015 | AD FS 2.0 en 2.1 |
| 3070078 | AD FS 2.1 genereert een uitzondering wanneer u zich verifieert tegen een versleutelingscertificaat in Windows Server 2012 | juli 2015 | AD FS 2.1 |
| 3062577 | MS15-062: Beveiligingsprobleem in Active Directory Federation Services kan uitbreiding van bevoegdheden toestaan | juni 2015 | AD FS 2.0 / 2.1 |
| 3003381 | MS14-077: Beveiligingsprobleem in Active Directory Federation Services kan openbaarmaking van informatie toestaan: 14 april 2015 | November 2014 | AD FS 2.0 / 2.1 |
| 2987843 | Geheugengebruik van AD FS-federatieserver blijft toenemen wanneer veel gebruikers zich aanmelden bij een webtoepassing in Windows Server 2012 | Juli 2014 | AD FS 2.1 |
| 2957619 | De vertrouwensrelatie van de relying party in AD FS wordt gestopt wanneer een aanvraag wordt ingediend bij AD FS voor een gedelegeerd token | Mei 2014 | AD FS 2.1 |
| 2926658 | AD FS SQL-farmimplementatie mislukt als u geen SQL-machtigingen hebt | Oktober 2014 | AD FS 2.1 |
| 2896713 of 2989956 | Update is beschikbaar om verschillende problemen op te lossen nadat u beveiligingsupdate 2843638 op een AD FS-server hebt geïnstalleerd | November 2013 september 2014 |
AD FS 2.0 / 2.1 |
| 2877424 | Met Update kunt u één certificaat gebruiken voor meerdere Relying Party-vertrouwensrelaties in een AD FS 2.1-farm | Oktober 2013 | AD FS 2.1 |
| 2873168 | FIX: Er treedt een fout op wanneer u een CSP en HSM van derden gebruikt en vervolgens een vertrouwensrelatie van een claimprovider configureert in Updatepakket 3 voor AD FS 2.0 op Windows Server 2008 R2 Service Pack 1 | September 2013 | AD FS 2.0 |
| Een komma in de onderwerpnaam van een versleutelingscertificaat veroorzaakt een uitzondering in Windows Server 2008 R2 SP1 | Augustus 2013 | AD FS 2.0 | |
| 2843639 | [Beveiliging] Beveiligingsprobleem in Active Directory Federation Services kan openbaarmaking van informatie toestaan | November 2013 | AD FS 2.1 |
| 2843638 | MS13-066: Beschrijving van de beveiligingsupdate voor Active Directory Federation Services 2.0: 13 augustus 2013 | Augustus 2013 | AD FS 2.0 |
| 2827748 | Federationmetadata.xml bestand bevat niet de MEX-eindpuntinformatie voor de WS-Trust- en WS-Federation-eindpunten in Windows Server 2012 | Mei 2013 | AD FS 2.1 |
| 2790338 | Beschrijving van updatepakket 3 voor Active Directory Federation Services (AD FS) 2.0 | Maart 2013 | AD FS 2.0 |