Upgrade auf AD FS in Windows Server 2016 mit SQL Server

  • Artikel

Wichtig

Anstelle eines Upgrades auf die neueste Version von AD FS empfiehlt Microsoft dringend die Migration zu Microsoft Entra ID. Weitere Informationen finden Sie unter Ressourcen für die Außerbetriebnahme von AD FS.

Hinweis

Beginnen Sie ein Upgrade nur mit einem klar umrissenen Zeitrahmen, der auf die Fertigstellung ausgelegt ist. Es wird davon abgeraten, AD FS für einen längeren Zeitraum in einem gemischten Modus zu betreiben, da AD FS im gemischten Modus zu Problemen mit der Farm führen kann.

Wechseln von einer AD FS-Farm unter Windows Server 2012 R2 zu einer AD FS-Farm unter Windows Server 2016

Im folgenden Dokument wird beschrieben, wie Sie ein Upgrade Ihrer AD FS-Farm unter Windows Server 2012 R2 auf AD FS unter Windows Server 2016 durchführen, wenn Sie eine SQL Server-Instanz für die AD FS-Datenbank verwenden.

Durchführen eines Upgrades von AD FS auf die Windows Server 2016-Farmverhaltensebene

Neu in AD FS für Windows Server 2016 ist das Feature der Farmverhaltensebene (Farm Behavior Level, FBL). Dieses Feature gilt für die gesamte Farm und legt die Features fest, die die AD FS-Farm verwenden kann. Standardmäßig befindet sich die Farmverhaltensebene in einer AD FS-Farm unter Windows Server 2012 R2 auf der Windows Server 2012 R2-Farmverhaltensebene.

Ein Windows Server 2016 AD FS-Server kann einer Windows Server 2012 R2-Farm hinzugefügt werden und wird mit derselben Farmverhaltensebene wie ein Server unter Windows Server 2012 R2 ausgeführt. Wenn Sie über einen Windows Server 2016 AD FS-Server verfügen, der auf diese Weise arbeitet, wird Ihre Farm als „gemischt“ bezeichnet. Sie können die neuen Windows Server 2016-Features jedoch erst nutzen, wenn die Farmverhaltensebene auf Windows Server 2016 erhöht wird. Bei einer gemischten Farm gilt Folgendes:

  • Administratoren können einer vorhandenen Windows Server 2012 R2-Farm neue Windows Server 2016-Verbundserver hinzufügen. Infolgedessen befindet sich die Farm im „gemischten Modus“ und wird auf der Windows Server 2012 R2-Farmverhaltensebene betrieben. Um ein konsistentes Verhalten in der gesamten Farm sicherzustellen, können neue Windows Server 2016-Features nicht in diesem Modus konfiguriert oder verwendet werden.

  • Nachdem alle Windows Server 2012 R2-Verbundserver aus der Farm im gemischten Modus entfernt wurden und einer der neuen Windows Serve 2016-Verbundserver auf die Rolle des primären Knotens höhergestuft wurde, kann der Administrator die Farmverhaltensebene von Windows Server 2012 R2 auf Windows Server 2016 erhöhen. Daraufhin können alle neuen Windows Server 2016-Features von AD FS konfiguriert und verwendet werden.

  • Aufgrund des Features der gemischten Farm müssen AD FS-Organisationen unter Windows Server 2012 R2, die ein Upgrade auf Windows Server 2016 durchführen möchten, keine völlig neue Farm bereitstellen und Konfigurationsdaten exportieren und importieren. Stattdessen können sie einer vorhandenen Farm Windows Server 2016-Knoten hinzufügen, während die Farm online ist, und es entsteht nur die relativ kurze Ausfallzeit zur Erhöhung der Farmverhaltensebene.

Im gemischten Farmmodus kann die AD FS-Farm keine neuen Features oder Funktionen nutzen, die in AD FS in Windows Server 2016 eingeführt wurden. Organisationen können neue Features erst dann ausprobieren, wenn die Farmverhaltensebene erhöht wurde. Wenn Ihre Organisation also die neuen Features vor dem Erhöhen der Farmverhaltensebene testen möchte, müssen Sie eine separate Farm bereitstellen.

Das restliche Dokument enthält die Schritte zum Hinzufügen eines Windows Server 2016-Verbundservers zu einer Windows Server 2012 R2-Umgebung. Diese Schritte wurden in einer Testumgebung ausgeführt, die im folgenden Architekturdiagramm beschrieben ist.

Hinweis

Bevor Sie zu AD FS in der Windows Server 2016-Farmverhaltensebene wechseln können, müssen Sie alle Windows 2012 R2-Knoten entfernen. Sie können nicht einfach ein Windows Server 2012 R2-Betriebssystem auf Windows Server 2016 aktualisieren und es als 2016-Knoten festlegen. Sie müssen es entfernen und durch einen neuen 2016-Knoten ersetzen.

Hinweis

Wenn AlwaysOnAvailability-Gruppen oder die Mergereplikation in AD FS konfiguriert sind, entfernen Sie die gesamte Replikation aller AD FS-Datenbanken vor dem Upgrade und verweisen Sie alle Knoten auf die primäre SQL-Datenbank. Führen Sie anschließend das Farmupgrade wie dokumentiert aus. Fügen Sie nach dem Upgrade AlwaysOnAvailability-Gruppen hinzu oder führen Sie die Replikation mit den neuen Datenbanken zusammen.

Das folgende Architekturdiagramm zeigt das Setup, das zum Überprüfen und Aufzeichnen der folgenden Schritte verwendet wurde.

Architecture

Hinzufügen des Windows 2016 AD FS-Servers zur AD FS-Farm

  1. Installieren Sie über den Server-Manager die Rolle „Active Directory-Verbunddienste (AD FS)“ auf dem Windows Server 2016.

  2. Fügen Sie den neuen Server unter Windows Server 2016 mithilfe des AD FS-Konfigurations-Assistenten der vorhandenen AD FS-Farm hinzu. Klicken Sie auf dem Bildschirm Willkommen auf Weiter. Screenshot that shows the Welcome screen in the AD FS Configuration wizard.

  3. Geben Sie im Bildschirm Mit Active Directory Domain Services verbinden ein Administratorkonto mit Berechtigungen zum Ausführen der Verbunddienstkonfiguration an, und klicken Sie auf Weiter.

  4. Geben Sie im Bildschirm Farm angeben den SQL Server-Namen und die Instanz ein, und klicken Sie dann auf Weiter. Screenshot that shows the Specify Farm screen in the AD FS Configuration wizard.

  5. Geben Sie im Bildschirm SSL-Zertifikat angeben das Zertifikat an, und klicken Sie auf Weiter. Join farm

  6. Geben Sie im Bildschirm Dienstkonto angeben das Dienstkonto an, und klicken Sie auf Weiter.

  7. Überprüfen Sie die Optionen im Bildschirm Optionen überprüfen, und klicken Sie auf Weiter.

  8. Stellen Sie im Bildschirm Voraussetzungsprüfungen sicher, dass alle erforderlichen Voraussetzungsprüfungen bestanden wurden, und klicken Sie auf Konfigurieren.

  9. Stellen Sie im Bildschirm Ergebnisse sicher, dass der Server erfolgreich konfiguriert wurde, und klicken Sie auf Schließen.

Entfernen des Windows Server 2012 R2 AD FS-Servers

Hinweis

Der primäre AD FS-Server muss nicht mithilfe von „Set-AdfsSyncProperties -Role“ festgelegt werden, wenn Sie SQL als Datenbank verwenden. Dies liegt daran, dass in dieser Konfiguration alle Knoten als primär betrachtet werden.

  1. Verwenden Sie auf dem Windows Server 2012 R2 AD FS-Server im Server-Manager die Option Rollen und Features entfernen unter Verwalten. Screenshot that highlights the Remove Roles and Features menu option.
  2. Klicken Sie auf dem Bildschirm Vorbemerkungen auf Weiter.
  3. Klicken Sie im Bildschirm Serverauswahl auf Weiter.
  4. Entfernen Sie im Bildschirm Serverrollen das Häkchen neben Active Directory-Verbunddienste (AD FS), und klicken Sie auf Weiter. Remove server
  5. Klicken Sie im Bildschirm Features auf Weiter.
  6. Klicken Sie im Bildschirm Bestätigung auf Entfernen.
  7. Starten Sie den Server nach Entfernung der Features neu.

Erhöhen der Farmverhaltensebene (Farm Behavior Level, FBL)

Vor diesem Schritt müssen Sie sicherstellen, dass „forest prep“ und „domain prep“ in Ihrer Active Directory-Umgebung ausgeführt wurden und dass Active Directory das Windows Server 2016-Schema aufweist. Dieses Dokument begann mit einem Windows 2016-Domänencontroller, sodass die Ausführung dieser Tools nicht erforderlich war, weil sie bei der Installation von AD ausgeführt wurden.

Hinweis

Bevor Sie mit dem folgenden Prozess beginnen, stellen Sie sicher, dass Windows Server 2016 auf dem neuesten Stand ist, indem Sie Windows Update über die Einstellungen ausführen. Fahren Sie mit diesem Vorgang fort, bis keine weiteren Updates erforderlich sind. Stellen Sie außerdem sicher, dass das AD FS-Dienstkonto über die Administratorberechtigungen für die SQL Server-Instanz und die einzelnen Server in der AD FS-Farm verfügt.

  1. Öffnen Sie nun PowerShell auf dem Server unter Windows Server 2016, und führen Sie Folgendes aus: $cred = Get-Credential. Drücken Sie dann die EINGABETASTE.
  2. Geben Sie Anmeldeinformationen mit Administratorrechten für SQL Server ein.
  3. Geben Sie nun in PowerShell Folgendes ein: Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred
  4. Wenn Sie dazu aufgefordert werden, geben Sie Y ein. Dadurch wird die Ebene erhöht. Sobald dieser Vorgang abgeschlossen ist, haben Sie die Farmverhaltensebene erfolgreich erhöht. Finish Update
  5. Wenn Sie nun zur AD FS-Verwaltung wechseln, werden die neuen Knoten angezeigt.
  6. Ebenso können Sie das PowerShell-Cmdlet „Get-AdfsFarmInformation“ verwenden, um die aktuelle Farmverhaltensebene anzuzeigen. Screenshot that shows how to use the Get-AdfsFarmInformation cmdlet to show your current F B L.

Durchführen eines Upgrades der Konfigurationsversion vorhandener WAP-Server

  1. Konfigurieren Sie das WAP auf den einzelnen Webanwendungsproxys neu, indem Sie den folgenden PowerShell-Befehl in einem Fenster mit erhöhten Rechten ausführen: 
    $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred
  2. Entfernen Sie alte Server aus dem Cluster, und behalten Sie nur die oben neu konfigurierten WAP-Server mit der neuesten Serverversion bei, indem Sie den folgenden PowerShell-Befehl ausführen. 
    Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2
  3. Überprüfen Sie die WAP-Konfiguration, indem Sie den Befehl „Get-WebApplicationProxyConfiguration“ ausführen. ConnectedServersName spiegelt die Serverausführung des vorherigen Befehls wider. 
    Get-WebApplicationProxyConfiguration
  4. Führen Sie den folgenden PowerShell-Befehl aus, um ein ConfigurationVersion-Upgrade der WAP-Server durchzuführen. 
    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
  5. Überprüfen Sie, ob ConfigurationVersion mit dem PowerShell-Befehl „Get-WebApplicationProxyConfiguration“ aktualisiert wurde.