Migrieren des AD FS 2.0-Verbundservers zu AD FS unter Windows Server 2012 R2

Um einen AD FS-Verbundserver, der zu einer AD FS-Farm mit einem Knoten, einer WIF-Farm oder einer SQL Server-Farm gehört, zu Windows Server 2012 R2 zu migrieren, müssen Sie die folgenden Aufgaben ausführen:

1. Exportieren und Sichern der AD FS-Konfigurationsdaten

2. Erstellen einer Windows Server 2012 R2-Verbundserverfarm

3. Importieren der ursprünglichen Konfigurationsdaten in die AD FS-Farm mit Windows Server 2012 R2

Exportieren und Sichern der AD FS-Konfigurationsdaten

Führen Sie zum Exportieren der AD FS-Konfigurationseinstellungen die folgenden Schritte aus:

So exportieren Sie Diensteinstellungen

1. Stellen Sie sicher, dass Sie über Zugriff auf die folgenden Zertifikate und ihre privaten Schlüssel in einer PFX-Datei verfügen:

   • Das SSL-Zertifikat, das von der zu migrierenden Verbundserverfarm verwendet wird

   • Das Dienstkommunikationszertifikat (falls es sich vom SSL-Zertifikat unterscheidet), das von der zu migrierenden Verbundserverfarm verwendet wird

   • Alle Tokensignaturzertifikate oder Tokenverschlüsselungs-/Tokenentschlüsselungszertifikate von Drittanbietern, die von der zu migrierenden Verbundserverfarm verwendet werden

Öffnen Sie zum Aufrufen des SSL-Zertifikats die IIS (Internetinformationsdienste)-Verwaltungskonsole, wählen Sie im linken Bereich Standardwebsite aus, und klicken Sie im Bereich Aktion auf Bindungen…. Navigieren Sie zur HTTPS-Bindung, wählen Sie sie aus, und klicken Sie auf Bearbeiten und anschließend auf Anzeigen.

Sie müssen das vom Verbunddienst verwendete SSL-Zertifikat und seinen privaten Schlüssel in eine PFX-Datei exportieren. Weitere Informationen finden Sie unter Export the Private Key Portion of a Server Authentication Certificate.

Hinweis

Wenn Sie vorhaben, den Geräteregistrierungsdienst im Rahmen der Ausführung von AD FS in Windows Server 2012 R2 bereitzustellen, müssen Sie ein neues SSL-Zertifikat abrufen. Weitere Informationen finden Sie unter Registrieren eines SSL-Zertifikats für AD FS und Konfigurieren eines Verbundservers mit dem Geräteregistrierungsdienst.

Führen Sie zum Anzeigen der verwendeten Tokensignatur-, Tokenentschlüsselungs- und Dienstkommunikationszertifikate den folgenden Windows PowerShell-Befehl aus, um eine Liste aller verwendeten Zertifikate in einer Datei zu erstellen:

Get-ADFSCertificate | Out-File “.\certificates.txt”

2. Exportieren Sie AD FS-Verbunddiensteigenschaften wie etwa den Verbunddienstnamen, den Anzeigenamen des Verbunddiensts und den Bezeichner des Verbunddiensts in eine Datei.

Öffnen Sie zum Exportieren der Verbunddiensteigenschaften Windows PowerShell und führen Sie den folgenden Befehl aus:

Get-ADFSProperties | Out-File “.\properties.txt”`.

Die Ausgabedatei enthält die folgenden wichtigen Konfigurationswerte:

Den Namen der Verbunddiensteigenschaft, wie von %%amp;quot;Get-ADFSProperties%%amp;quot; angegeben	Den Namen der Verbunddiensteigenschaft in der AD FS-Verwaltungskonsole
HostName	Verbunddienstname
Bezeichner	Bezeichner des Verbunddiensts
DisplayName	Anzeigename des Verbunddiensts

3. Sichern Sie die Anwendungskonfigurationsdatei. Neben anderen Einstellungen enthält diese Datei die Verbindungszeichenfolge der Richtliniendatenbank.

Zum Sichern der Anwendungskonfigurationsdatei muss die Datei %programfiles%\Active Directory Federation Services 2.0\Microsoft.IdentityServer.Servicehost.exe.config manuell an einen sicheren Speicherort auf einem Sicherungsserver kopiert werden.

Hinweis

Notieren Sie sich die Datenbankverbindungszeichenfolge in dieser Datei. Sie befindet sich direkt hinter "policystore connectionstring=". Gibt die Verbindungszeichenfolge eine SQL Server-Datenbank an, ist der Wert beim Wiederherstellen der ursprünglichen AD FS-Konfiguration auf dem Verbundserver erforderlich.

Im Folgenden sehen Sie ein Beispiel für eine WID-Verbindungszeichenfolge: “Data Source=\\.\pipe\mssql$microsoft##ssee\sql\query;Initial Catalog=AdfsConfiguration;Integrated Security=True". Im Folgenden sehen Sie ein Beispiel für eine SQL Server-Verbindungszeichenfolge: "Data Source=databasehostname;Integrated Security=True".

4. Notieren Sie die Identität des AD FS-Verbunddienstkontos und das Kennwort für dieses Konto.

Der Identitätswert befindet sich in der Konsole Dienste in der Spalte Anmelden als unter AD FS 2.0-Windows-Dienst . Zeichnen Sie diesen Wert manuell auf.

Hinweis

Für einen eigenständigen Verbunddienst wird das integrierte Konto NETZWERKDIENST verwendet. In diesem Fall benötigen Sie kein Kennwort.

5. Exportieren Sie die Liste aktivierter AD FS-Endpunkte in eine Datei.

Öffnen Sie dazu Windows PowerShell, und führen Sie den folgenden Befehl aus:

Get-ADFSEndpoint | Out-File “.\endpoints.txt”`.

6. Exportieren Sie alle benutzerdefinierten Anspruchbeschreibungen in eine Datei.

Öffnen Sie dazu Windows PowerShell, und führen Sie den folgenden Befehl aus:

Get-ADFSClaimDescription | Out-File “.\claimtypes.txt”`.

7. Falls in der Datei %%amp;quot;web.config%%amp;quot; benutzerdefinierte Einstellungen wie etwa %%amp;quot;useRelayStateForIdpInitiatedSignOn%%amp;quot; konfiguriert sind, muss die Datei %%amp;quot;web.config%%amp;quot; zu Referenzzwecken gesichert werden. Sie können die Datei aus dem Verzeichnis kopieren, das dem virtuellen Pfad %%amp;quot;/adfs/ls%%amp;quot; in IIS zuwiesen ist. Standardmäßig befindet sie sich im Verzeichnis %systemdrive%\inetpub\adfs\ls.

So exportieren Sie Anspruchsanbieter-Vertrauensstellungen und Vertrauensstellungen der vertrauenden Seite

1. Wenn Sie AD FS-Anspruchsanbieter-Vertrauensstellungen und AD FS-Vertrauensstellungen der vertrauenden Seite exportieren möchten, müssen Sie sich bei Ihrem Verbundserver als Administrator (jedoch nicht als Domänenadministrator) anmelden und das folgende Windows PowerShell-Skript ausführen. Dieses Skript befindet sich auf der Windows Server 2012 R2-Installations-CD im Ordner media/server_support/adfs: export-federationconfiguration.ps1.

Wichtig

Das Exportskript enthält die folgenden Parameter:

• Export-FederationConfiguration.ps1 -Path <string> [-ComputerName <string>] [-Credential <pscredential>] [-Force] [-CertificatePassword <securestring>]

  • Export-FederationConfiguration.ps1 -Path <string> [-ComputerName <string>] [-Credential <pscredential>] [-Force] [-CertificatePassword <securestring>] [-RelyingPartyTrustIdentifier <string[]>] [-ClaimsProviderTrustIdentifier <string[]>]
  • Export-FederationConfiguration.ps1 -Path <string> [-ComputerName <string>] [-Credential <pscredential>] [-Force] [-CertificatePassword <securestring>] [-RelyingPartyTrustName <string[]>] [-ClaimsProviderTrustName <string[]>]

  -RelyingPartyTrustIdentifier <string[]>: Von diesem Cmdlet werden nur Vertrauensstellungen der vertrauenden Seite exportiert, deren Bezeichner im Zeichenfolgenarray angegeben sind. Standardmäßig werden KEINE Vertrauensstellungen der vertrauenden Seite exportiert. Wenn weder %%amp;quot;RelyingPartyTrustIdentifier%%amp;quot;, %%amp;quot;ClaimsProviderTrustIdentifier%%amp;quot;, %%amp;quot;RelyingPartyTrustName%%amp;quot; noch %%amp;quot;ClaimsProviderTrustName%%amp;quot; angegeben ist, werden vom Skript alle Vertrauensstellungen der vertrauenden Seite und Anspruchsanbieter-Vertrauensstellungen exportiert.

  -ClaimsProviderTrustIdentifier <string[]>: Von diesem Cmdlet werden nur Anspruchsanbieter-Vertrauensstellungen exportiert, deren Bezeichner im Zeichenfolgenarray angegeben sind. Standardmäßig werden KEINE Anspruchsanbieter-Vertrauensstellungen exportiert.

  -RelyingPartyTrustName <string[]>: Von diesem Cmdlet werden nur Vertrauensstellungen der vertrauenden Seite exportiert, deren Namen im Zeichenfolgenarray angegeben sind. Standardmäßig werden KEINE Vertrauensstellungen der vertrauenden Seite exportiert.

  -ClaimsProviderTrustName <string[]>: Von diesem Cmdlet werden nur Anspruchsanbieter-Vertrauensstellungen exportiert, deren Namen im Zeichenfolgenarray angegeben sind. Standardmäßig werden KEINE Anspruchsanbieter-Vertrauensstellungen exportiert.

  -Path <string>: Der Pfad zu einem Ordner, der die exportierten Dateien enthält.

  -ComputerName <string>: Gibt den STS-Serverhostnamen an. Die Standardeinstellung ist der lokale Computer. Bei der Migration von AD FS 2.0 oder AD FS unter Windows Server 2012 zu AD FS unter Windows Server 2012 R2 ist dies der Hostname des AD FS-Legacyservers.

  -Credential <PSCredential>: Gibt ein Benutzerkonto an, das über die Berechtigung zum Ausführen dieser Aktion verfügt. Der Standardwert ist der aktuelle Benutzer.

  -Force – Gibt an, dass keine Benutzerbestätigung angefordert wird.

  -CertificatePassword <SecureString>: Gibt ein Kennwort zum Exportieren der privaten Schlüssel von AD FS-Zertifikaten an. Wird dieser Parameter nicht angegeben, wird vom Skript ein Kennwort angefordert, wenn ein AD FS-Zertifikat mit privatem Schlüssel exportiert werden muss.

  Inputs: Keine

  Zeichenfolge Outputs: – Dieses Cmdlet gibt den Ordnerpfad für den Export an. Sie können das zurückgegebene Objekt über die Pipeline an %%amp;quot;Import-FederationConfiguration%%amp;quot; übergeben.

So sichern Sie benutzerdefinierte Attributspeicher

1. Alle benutzerdefinierten Attributspeicher, die Sie in der neuen AD FS-Farm unter Windows Server 2012 R2 beibehalten möchten, müssen manuell exportiert werden.

Hinweis

Unter Windows Server 2012 R2 sind für AD FS benutzerdefinierte Attributspeicher erforderlich, die auf .NET Framework 4.0 oder höher basieren. Folgen Sie zum Installieren und Einrichten von .Net Framework 4.5 den Anweisungen unter Microsoft .NET Framework 4.5 .

Informationen zu von AD FS verwendeten benutzerdefinierten Attributspeichern erhalten Sie durch Ausführen des folgenden Windows PowerShell-Befehls:

Get-ADFSAttributeStore

Die Schritte zum Aktualisieren oder Migrieren von Attributspeichern variieren.

2. Alle DLL-Dateien der benutzerdefinierten Attributspeicher, die Sie in der neuen AD FS-Farm unter Windows Server 2012 R2 beibehalten möchten, müssen ebenfalls manuell exportiert werden. Die Schritte zum Aktualisieren oder Migrieren von DLL-Dateien benutzerdefinierter Attributspeicher variieren.

Erstellen einer Windows Server 2012 R2-Verbundserverfarm

1. Installieren Sie das Betriebssystem Windows Server 2012 R2 auf einem Computer, der als Verbundserver fungieren soll, und fügen Sie anschließend die AD FS-Serverrolle hinzu. Weitere Informationen finden Sie unter Installieren des AD FS-Rollendiensts. Konfigurieren Sie anschließend den neuen Verbunddienst entweder mithilfe des Konfigurations-Assistenten für Active Directory-Verbunddienste oder der Windows PowerShell. Weitere Informationen finden Sie unter Konfigurieren eines Verbundservers im Thema %%amp;quot;Konfigurieren des ersten Verbundservers in einer neuen Verbundserverfarm%%amp;quot;.

Beachten Sie beim Ausführen dieses Schritts die folgenden Anweisungen:

• Zum Konfigurieren des Verbunddiensts sind Domänenadministratorberechtigungen erforderlich.

• Sie müssen denselben Verbunddienstnamen (Farmnamen) angeben wie in AD FS 2.0 oder AD FS unter Windows Server 2012. Wenn Sie nicht denselben Verbunddienstnamen verwenden, funktionieren die gesicherten Zertifikate nicht im Windows Server 2012 R2-Verbunddienst, den Sie konfigurieren möchten.

• Geben Sie an, ob es sich um eine WID- oder SQL Server-Verbundserverfarm handelt. Geben Sie im Falle einer SQL-Farm den Speicherort und den Instanznamen der SQL Server-Datenbank an.

• Sie müssen eine PFX-Datei mit dem SSL-Serverauthentifizierungszertifikat angeben, das Sie bei der Vorbereitung für die AD FS-Migration gesichert haben.

• Geben Sie dieselbe Dienstkontoidentität wie in der AD FS 2.0-Farm oder der Farm mit AD FS unter Windows Server 2012 an.

2. Wenn der erste Knoten konfiguriert ist, können Sie der neuen Farm weitere Knoten hinzufügen. Weitere Informationen finden Sie unter Konfigurieren eines Verbundservers im Thema %%amp;quot;Hinzufügen eines Verbundservers zu einer vorhandenen Verbundserverfarm%%amp;quot;.

Importieren der ursprünglichen Konfigurationsdaten in die AD FS-Farm mit Windows Server 2012 R2

Unter Windows Server 2012 R2 wird nun eine AD FS-Verbundserverfarm ausgeführt, und Sie können die ursprünglichen AD FS-Konfigurationsdaten in die Farm importieren.

1. Importieren und konfigurieren Sie weitere benutzerdefinierte AD FS-Zertifikate, u. a. extern registrierte Tokensignaturzertifikate und Tokenverschlüsselungs-/Tokenentschlüsselungszertifikate, und das Dienstkommunikationszertifikat, falls es vom SSL-Zertifikat abweicht.

Wählen Sie in der AD FS-Verwaltungskonsole Zertifikate aus. Überprüfen Sie die Dienstkommunikations-, Tokenverschlüsselungs-/Tokenentschlüsselungs- und Tokensignaturzertifikate. Vergleichen Sie dazu die einzelnen Zertifikate mit den Werten, die Sie bei der Vorbereitung der Migration in die Datei %%amp;quot;certificates.txt%%amp;quot; exportiert haben.

Wenn Sie die Tokenverschlüsselungs- oder Tokensignaturzertifikate von den standardmäßigen selbstsignierten Zertifikaten in externe Zertifikate ändern möchten, müssen Sie zuerst das standardmäßig aktivierte Feature für das automatische Zertifikatrollover deaktivieren. Hierzu können Sie den folgenden Windows PowerShell-Befehl verwenden:

Set-ADFSProperties –AutoCertificateRollover $false

2. Konfigurieren Sie mithilfe des Cmdlets %%amp;quot;Set-AdfsProperties%%amp;quot; beliebige benutzerdefinierte AD FS-Diensteinstellungen, z. B. %%amp;quot;AutoCertificateRollover%%amp;quot; oder SSO-Lebensdauer.

3. Wenn Sie AD FS-Vertrauensstellungen der vertrauenden Seite und AD FS-Anspruchsanbieter-Vertrauensstellungen importieren möchten, müssen Sie bei Ihrem Verbundserver als Administrator (jedoch nicht als Domänenadministrator) angemeldet sein und das folgende Windows PowerShell-Skript (auf der Windows Server 2012 R2-Installations-CD im Ordner „\support\adfs“) ausführen:

   import-federationconfiguration.ps1
   

Wichtig

Das Importskript enthält die folgenden Parameter:

• Import-FederationConfiguration.ps1 -Path <string> [-ComputerName <string>] [-Credential <pscredential>] [-Force] [-LogPath <string>] [-CertificatePassword <securestring>]
• Import-FederationConfiguration.ps1 -Path <string> [-ComputerName <string>] [-Credential <pscredential>] [-Force] [-LogPath <string>] [-CertificatePassword <securestring>] [-RelyingPartyTrustIdentifier <string[]>] [-ClaimsProviderTrustIdentifier <string[]>
• Import-FederationConfiguration.ps1 -Path <string> [-ComputerName <string>] [-Credential <pscredential>] [-Force] [-LogPath <string>] [-CertificatePassword <securestring>] [-RelyingPartyTrustName <string[]>] [-ClaimsProviderTrustName <string[]>]

-RelyingPartyTrustIdentifier <string[]>: Von diesem Cmdlet werden nur Vertrauensstellungen der vertrauenden Seite importiert, deren Bezeichner im Zeichenfolgenarray angegeben sind. Standardmäßig werden KEINE Vertrauensstellungen der vertrauenden Seite importiert. Wenn weder %%amp;quot;RelyingPartyTrustIdentifier%%amp;quot;, %%amp;quot;ClaimsProviderTrustIdentifier%%amp;quot;, %%amp;quot;RelyingPartyTrustName%%amp;quot; noch %%amp;quot;ClaimsProviderTrustName%%amp;quot; angegeben ist, werden vom Skript alle Vertrauensstellungen der vertrauenden Seite und Anspruchsanbieter-Vertrauensstellungen importiert.

-ClaimsProviderTrustIdentifier <string[]>: Von diesem Cmdlet werden nur Anspruchsanbieter-Vertrauensstellungen importiert, deren Bezeichner im Zeichenfolgenarray angegeben sind. Standardmäßig werden KEINE Anspruchsanbieter-Vertrauensstellungen importiert.

-RelyingPartyTrustName <string[]>: Von diesem Cmdlet werden nur Vertrauensstellungen der vertrauenden Seite importiert, deren Namen im Zeichenfolgenarray angegeben sind. Standardmäßig werden KEINE Vertrauensstellungen der vertrauenden Seite importiert.

-ClaimsProviderTrustName <string[]>: Von diesem Cmdlet werden nur Anspruchsanbieter-Vertrauensstellungen importiert, deren Namen im Zeichenfolgenarray angegeben sind. Standardmäßig werden KEINE Anspruchsanbieter-Vertrauensstellungen importiert.

-Path <string>: Der Pfad zu einem Ordner, der die zu importierenden Konfigurationsdateien enthält.

-LogPath <string>: Der Pfad zu einem Ordner mit der Importprotokolldatei. In diesem Ordner wird eine Protokolldatei mit dem Namen %%amp;quot;import.log%%amp;quot; erstellt.

-ComputerName <string>: Gibt den Hostnamen des STS-Servers an. Die Standardeinstellung ist der lokale Computer. Bei der Migration von AD FS 2.0 oder AD FS unter Windows Server 2012 zu AD FS unter Windows Server 2012 R2 muss für diesen Parameter der Hostname des AD FS-Legacyservers angegeben werden.

-Credential <PSCredential>: Gibt ein Benutzerkonto an, das über die Berechtigung zum Ausführen dieser Aktion verfügt. Der Standardwert ist der aktuelle Benutzer.

-Force – Gibt an, dass keine Benutzerbestätigung angefordert wird.

-CertificatePassword <SecureString>: Gibt ein Kennwort zum Importieren der privaten Schlüssel von AD FS-Zertifikaten an. Wird dieser Parameter nicht angegeben, wird vom Skript ein Kennwort angefordert, wenn ein AD FS-Zertifikat mit privatem Schlüssel importiert werden muss.

Zeichenfolge Inputs: – Dieser Befehl verwendet den Importordnerpfad als Eingabe. Sie können %%amp;quot;Export-FederationConfiguration%%amp;quot; über die Pipeline an diesen Befehl übergeben.

Ausgaben: Keine.

Nachgestellte Leerzeichen in der WSFedEndpoint-Eigenschaft einer Vertrauensstellung der vertrauenden Seite können Fehler im Importskript verursachen. Entfernen Sie in diesem Fall vor dem Import die Leerzeichen manuell aus der Datei. Die folgenden Einträge können beispielsweise Fehler verursachen:

<URI N="WSFedEndpoint">https://127.0.0.1:444 /</URI>

<URI N="WSFedEndpoint">https://myapp.cloudapp.net:83 /</URI>

Diese müssen folgendermaßen geändert werden:

<URI N="WSFedEndpoint">https://127.0.0.1:444/</URI>

<URI N="WSFedEndpoint">https://myapp.cloudapp.net:83/</URI>

Wichtig

Falls die Active Directory-Anspruchsanbieter-Vertrauensstellung im Quellsystem benutzerdefinierte Anspruchsregeln (also nicht die AD FS-Standardregeln) enthält, werden diese von den Skripts nicht migriert. Dies liegt daran, dass Windows Server 2012 R2 neue Standardwerte aufweist. Benutzerdefinierte Regeln müssen zusammengeführt werden, indem sie der Active Directory-Anspruchsanbieter-Vertrauensstellung in der neuen Windows Server 2012 R2-Farm manuell hinzugefügt werden.

1. Konfigurieren Sie alle benutzerdefinierten AD FS-Endpunkteinstellungen. Wählen Sie in der AD FS-Verwaltungskonsole Endpunkte aus. Vergleichen Sie die aktivierten AD FS-Endpunkte mit der Liste der aktivierten AD FS-Endpunkte, die Sie beim Vorbereiten der AD FS-Migration in eine Datei exportiert haben.

   - und -

   Konfigurieren Sie alle benutzerdefinierten Anspruchbeschreibungen. Wählen Sie in der AD FS-Verwaltungskonsole Anspruchsbeschreibungen aus. Vergleichen Sie die Liste der AD FS-Anspruchsbeschreibungen mit der Liste der Anspruchsbeschreibungen, die Sie beim Vorbereiten der AD FS-Migration in eine Datei exportiert haben. Fügen Sie alle benutzerdefinierten Anspruchbeschreibungen hinzu, die in der Datei, aber nicht in der Standardliste in AD FS enthalten sind. Der Claim-Bezeichner in der Verwaltungskonsole ist %%amp;quot;ClaimType%%amp;quot; in der Datei zugeordnet.

2. Installieren und konfigurieren Sie alle gesicherten benutzerdefinierten Attributspeicher. Stellen Sie als Administrator sicher, dass alle Binärdateien für benutzerdefinierte Attributspeicher auf .NET Framework 4.0 oder höher aktualisiert werden, bevor die AD FS-Konfiguration für den Verweis auf die Speicher aktualisiert wird.

3. Konfigurieren Sie Diensteigenschaften, die den Parametern der Legacydatei %%amp;quot;web.config%%amp;quot; zugeordnet sind.

   • Wenn useRelayStateForIdpInitiatedSignOn der Datei web.config in Ihrer AD FS 2.0-Farm oder Ihrer Farm mit AD FS unter Windows Server 2012 hinzugefügt wurde, müssen Sie die folgenden Diensteigenschaften in der Farm mit AD FS unter Windows Server 2012 R2 konfigurieren:

     • AD FS unter Windows Server 2012 R2 enthält die Datei %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config. Erstellen Sie ein Element mit derselben Syntax wie das Element für die Datei web.config: <useRelayStateForIdpInitiatedSignOn enabled="true" />. Nehmen Sie dieses Element als Teil des Abschnitts <microsoft.identityserver.web> der Datei Microsoft.IdentityServer.Servicehost.exe.config auf.

   • Wenn <persistIdentityProviderInformation enabled="true|false" lifetimeInDays="90" enablewhrPersistence=”true|false” /> der Datei web.config in Ihrer AD FS 2.0-Farm oder Ihrer Farm mit AD FS unter Windows Server 2012 R2 hinzugefügt wurde, müssen Sie die folgenden Diensteigenschaften in der Farm mit AD FS unter Windows Server 2012 R2 konfigurieren:

     1. Führen Sie in AD FS unter Windows Server 2012 R2 den folgenden Windows PowerShell-Befehl aus: Set-AdfsWebConfig –HRDCookieEnabled –HRDCookieLifetime.

   • Wenn <singleSignOn enabled="true|false" /> der Datei web.config in Ihrer AD FS 2.0-Farm oder Ihrer Farm mit AD FS unter Windows Server 2012 hinzugefügt wurde, müssen Sie keine zusätzlichen Diensteigenschaften in der Farm mit AD FS unter Windows Server 2012 R2 festlegen. Einmaliges Anmelden ist in der AD FS-Farm unter Windows Server 2012 R2 standardmäßig aktiviert.

   • Wenn der Datei web.config in Ihrer AD FS 2.0-Farm oder der Farm mit AD FS unter Windows Server 2012 „localAuthenticationTypes“-Einstellungen hinzugefügt wurden, müssen Sie die folgenden Diensteigenschaften in der Farm mit AD FS unter Windows Server 2012 R2 konfigurieren:

     • Die Liste für „Integriert“, „Formular“, „TLSClient“ und „Basistransformation“ in entsprechenden AD FS unter Windows Server 2012 R2 enthält globale Authentifizierungsrichtlinieneinstellungen, um sowohl die Verbunddienstauthentifizierung als auch die Proxyauthentifizierung zu unterstützen. Diese Einstellungen können im AD FS-Verwaltungs-Snap-In unter Authentifizierungsrichtlinien konfiguriert werden.

   Nach dem Importieren der ursprünglichen Konfigurationsdaten können Sie die AD FS-Anmeldeseiten nach Bedarf anpassen. Weitere Informationen finden Sie unter Anpassen der AD FS-Anmeldeseiten.

Nächste Schritte

Migrieren von Active Directory-Verbunddienst (AD FS)-Rollendiensten zu Windows Server 2012 R2Vorbereiten der Migration des AD FS-VerbundserversMigrieren des AD FS-VerbundserverproxysÜberprüfen der AD FS-Migration zu Windows Server 2012 R2