Vorbereiten der Migration des AD FS 2.0-Verbundservers zu AD FS unter Windows Server 2012 R2

Artikel
02/13/2024

In diesem Dokument wird beschrieben, wie Sie eine AD FS 2.0- oder Windows Server 2012-Verbundserverfarm zu einer AD FS-Farm unter Windows Server 2012 R2 migrieren. Die Schritte können mit AD FS-Farmen verwendet werden, die entweder WID oder SQL Server als zugrunde liegende Datenbank verwenden.

Überblick über den Migrationsprozess

Führen Sie zum Abschließen der Migration der AD FS-Verbundserverfarm zu Windows Server 2012 R2 die folgenden Aufgaben aus:

Exportieren, Aufzeichnen und Sichern der folgenden Konfigurationsdaten in der vorhandenen AD FS-Farm. Ausführliche Anweisungen zum Ausführen dieser Aufgaben finden Sie unter Migrieren des AD FS-Verbundservers.

Die folgenden Einstellungen werden zusammen mit den Skripts im Ordner „\support\adfs“ auf der Windows Server 2012 R2-Installations-CD migriert:

Anspruchsanbieter-Vertrauensstellungen mit Ausnahme benutzerdefinierter Anspruchsregeln für die Active Directory-Anspruchsanbieter-Vertrauensstellung. Weitere Informationen finden Sie unter Migrieren des AD FS-Verbundservers.
Vertrauensstellungen der vertrauenden Seite
Von AD FS wurden intern selbstsignierte Tokensignatur- und Tokenverschlüsselungszertifikate erstellt.

Die folgenden benutzerdefinierten Einstellungen müssen manuell migriert werden:

Diensteinstellungen:
- Nicht standardmäßige Tokensignatur- und Tokenentschlüsselungszertifikate, die von einem Unternehmen oder einer öffentlichen Zertifizierungsstelle ausgestellt wurden
- Das von AD FS verwendete SSL-Serverauthentifizierungszertifikat
- Das von AD FS verwendete Dienstkommunikationszertifikat (standardmäßig dasselbe Zertifikat wie das SSL-Zertifikat)
  - Nicht standardmäßige Werte für mögliche Verbunddiensteigenschaften wie %%amp;quot;AutoCertificateRollover%%amp;quot; oder SSO-Lebensdauer
  - Nicht standardmäßige AD FS-Endpunkteinstellungen und Anspruchbeschreibungen
Benutzerdefinierte Anspruchregeln für die Active Directory-Anspruchsanbieter-Vertrauensstellung
- Anpassungen der AD FS-Anmeldeseite

Weitere Informationen finden Sie unter Migrieren des AD FS-Verbundservers.

Erstellen einer Windows Server 2012 R2-Verbundserverfarm
Importieren der ursprünglichen Konfigurationsdaten in diese neue AD FS-Farm mit Windows Server 2012 R2
Konfigurieren und Anpassen der AD FS-Anmeldeseiten

Neue AD FS-Funktionen unter Windows Server 2012 R2

Die folgenden Änderungen bei AD FS-Funktionen unter Windows Server 2012 R2 wirken sich auf eine Migration von AD FS 2.0 oder AD FS unter Windows Server 2012 aus:

IIS-Abhängigkeit

AD FS in Windows Server 2012 R2 ist selbst gehostet und erfordert keine IIS-Installation. Infolge dieser Änderung muss Folgendes beachtet werden:
Die SSL-Zertifikatverwaltung für Verbundserver und Proxycomputer in der AD FS-Farm muss nun über Windows PowerShell ausgeführt werden.

Änderungen an den Einstellungen und Anpassungen der AD FS-Anmeldeseiten

In AD FS unter Windows Server 2012 R2 wurden einige Änderungen zur Verbesserung des Anmeldevorgangs für Administratoren und Benutzer vorgenommen. Die von IIS gehosteten Webseiten, die in der vorherigen Version von AD FS vorhanden waren, wurden entfernt. Die Benutzeroberfläche der AD FS-Anmeldewebseiten ist in AD FS selbst gehostet und kann nun zum Erhöhen der Benutzerfreundlichkeit angepasst werden. Zu den Änderungen zählt Folgendes:
- Anpassen des AD FS-Anmeldevorgangs, einschließlich Anpassung des Unternehmensnamens und -logos, des Bildmaterials und der Anmeldebeschreibung
- Anpassen der Fehlermeldungen
- Anpassen der AD FS-Startbereichsermittlung. Dazu gehört Folgendes:
  - Konfigurieren des Identitätsanbieters für die Verwendung bestimmter E-Mail-Suffixe
  - Konfigurieren einer Identitätsanbieterliste pro vertrauende Seite
  - Umgehen der Startbereichsermittlung für das Intranet
  - Erstellen benutzerdefinierter Webdesigns

Ausführliche Anweisungen zum Konfigurieren des Look and Feel der AD FS-Anmeldeseiten finden Sie unter Anpassen der AD FS-Anmeldeseiten.

Wenn Sie in Ihrer vorhandenen AD FS-Farm Anpassungen an der Webseite vorgenommen haben, die zu Windows Server 2012 R2 migriert werden soll, können Sie sie im Rahmen des Migrationsprozesses mithilfe des neuen Anpassungsfeatures in Windows Server 2012 R2 neu erstellen.

Weitere Änderungen
- AD FS unter Windows Server 2012 R2 basiert auf Windows Identity Foundation (WIF) 3.5, nicht auf WIF 4.5. Daher werden einige spezielle Features von WIF 4.5 (z. B. Kerberos-Ansprüche und dynamische Zugriffssteuerung) in AD FS unter Windows Server 2012 R2 nicht unterstützt.
- Vom Geräteregistrierungsdienst (Device Registration Service, DRS) in Windows Server 2012 R2 wird Port 443 und von ClientTLS für die Benutzerzertifikatauthentifizierung Port 49443 verwendet.
  - Für aktive Clients ohne Browser mit Authentifizierung auf der Grundlage des Zertifikattransportmodus, die speziell für den Verweis auf Port 443 hartcodiert sind, ist eine Codeänderung erforderlich, damit für die Benutzerzertifikatauthentifizierung weiterhin Port 49443 verwendet werden kann.
  - Bei passiven Anwendungen ist keine Änderung erforderlich, da AD FS für die Benutzerzertifikatauthentifizierung die Weiterleitung an den richtigen Port übernimmt.
  - Von Firewallports zwischen dem Client und dem Proxy muss für die Benutzerzertifikatauthentifizierung der Datenverkehr über Port 49443 zugelassen werden.

AD FS-Anforderungen unter Windows Server 2012 R2

Damit Ihre AD FS-Farm erfolgreich zu Windows Server 2012 R2 migriert werden kann, müssen die folgenden Anforderungen erfüllt werden:

Damit AD FS funktioniert, muss jeder Computer, der als Verbund fungieren soll, einer Domäne hinzugefügt werden.

Damit AD FS, das unter Windows Server 2012 R2 ausgeführt wird, funktioniert, muss in Ihrer Active Directory-Domäne eins der folgenden Betriebssysteme ausgeführt werden:

Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
WindowsServer 2008

Wenn Sie als Dienstkonto für AD FS ein gruppenverwaltetes Dienstkonto (group-Managed Service Account, gMSA) verwenden möchten, muss in Ihrer Umgebung mindestens ein Domänencontroller mit dem Betriebssystem Windows Server 2012 oder Windows Server 2012 R2 vorhanden sein.

Wenn Sie den Geräteregistrierungsdienst (Device Registration Service, DRS) für den AD-Arbeitsplatzbeitritt im Rahmen der AD FS-Bereitstellung bereitstellen möchten, muss das AD DS-Schema auf die Windows Server 2012 R2-Ebene aktualisiert werden. Es gibt drei Möglichkeiten zum Aktualisieren des Schemas:

Führen Sie in einer vorhandenen Active Directory-Gesamtstruktur auf einem 64-Bit-Server unter Windows Server 2008 oder höher aus dem Ordner „\support\adprep“ der Windows Server 2012 R2-Betriebssystem-DVD den Befehl „adprep /forestprep“ aus. Hierzu muss kein zusätzlicher Domänencontroller installiert und kein Upgrade für vorhandene Domänencontroller durchgeführt werden.

Zum Ausführen von adprep/forestprep müssen Sie Mitglied der Gruppen Schema-Admins, Organsisations-Admins und Domänen-Admins der Domäne sein, die den Schemamaster hostet.

Installieren Sie in einer vorhandenen Active Directory-Gesamtstruktur einen Domänencontroller, auf dem Windows Server 2012 R2 ausgeführt wird. In diesem Fall wird %%amp;quot;adprep /forestprep%%amp;quot; automatisch im Rahmen der Installation des Domänencontrollers ausgeführt.

Während der Installation des Domänencontrollers müssen Sie zusätzliche Anmeldeinformationen angeben, um %%amp;quot;adprep /forestprep%%amp;quot; auszuführen.

Erstellen Sie eine neue Active Directory-Gesamtstruktur, indem Sie AD DS auf einem Server installieren, auf dem Windows Server 2012 R2 ausgeführt wird. In diesem Fall muss adprep /forestprep nicht ausgeführt werden, da das Schema mit allen erforderlichen Containern und Objekten für die Unterstützung von DRS neu erstellt wird.

SQL Server-Unterstützung für AD FS unter Windows Server 2012 R2

Wenn Sie eine AD FS-Farm erstellen und Ihre Konfigurationsdaten mithilfe von SQL Server speichern möchten, können Sie SQL Server 2008 und höhere Versionen, einschließlich SQL Server 2012, verwenden.

Erhöhen der Windows PowerShell-Limits

Wenn in Ihrer AD FS-Farm mehr als 1.000 Anspruchsanbieter-Vertrauensstellungen und Vertrauensstellungen der vertrauenden Seite vorhanden sind oder beim Ausführen des Export-/Importtools für die AD FS-Migration der folgende Fehler angezeigt wird, müssen Sie die Windows PowerShell-Limits erhöhen:

'Exception of type 'System.OutOfMemoryException' was thrown. At E:\dev\ds\security\ADFSv2\Product\Migration\Export-FederationConfiguration.ps1:176 char:21 + $configData = Invoke-Command -ScriptBlock $GetConfig -Argume ...

Dieser Fehler wird ausgelöst, weil das Standardarbeitsspeicherlimit für die Windows PowerShell-Sitzung zu niedrig ist. In Windows PowerShell 2.0 beträgt der standardmäßige Sitzungsarbeitsspeicher 150 MB. In Windows PowerShell 3.0 beträgt der standardmäßige Sitzungsarbeitsspeicher 1024 MB. Sie können das Arbeitsspeicherlimit für die Windows PowerShell-Remotesitzung mithilfe des folgenden Befehls überprüfen: Get-Item wsman:localhost\Shell\MaxMemoryPerShellMB. Das Limit kann mithilfe des folgenden Befehls erhöht werden: Set-Item wsman:localhost\Shell\MaxMemoryPerShellMB 512.

Weitere Aufgaben und Überlegungen bei der Migration

Damit die AD FS-Farm erfolgreich zu Windows Server 2012 R2 migriert werden kann, muss Folgendes beachtet werden:

Die Migrationsskripts im Ordner \support\adfs auf der Windows Server 2012 R2-Installations-CD erfordern, dass bei der Migration zu Windows Server 2012 R2 dieselben Namen für Verbundserverfarm und Dienstkontoidentität beibehalten werden, die in der älteren AD FS-Farm verwendet wurden.
Beachten Sie, dass bei der Migration einer SQL Server-AD FS-Farm eine neue SQL-Datenbankinstanz erstellt werden muss, in die die ursprünglichen Konfigurationsdaten importiert werden müssen.

Nächste Schritte

Migrieren von Active Directory-Verbunddienst (AD FS)-Rollendiensten zu Windows Server 2012 R2 Migrieren des AD FS-Verbundservers Migrieren des AD FS-Verbundserverproxys Überprüfen der AD FS-Migration zu Windows Server 2012 R2

Teilen über