Upgrade auf AD FS in Windows Server 2016 mit SQL Server

Von Bedeutung

Anstelle eines Upgrades auf die neueste Version von AD FS empfiehlt Microsoft dringend die Migration zu Microsoft Entra ID. Weitere Informationen finden Sie unter Ressourcen zum Außerbetriebsetzen von AD FS

Hinweis

Beginnen Sie nur ein Upgrade mit einem endgültigen Zeitrahmen, der für den Abschluss geplant ist. Es wird nicht empfohlen, AD FS über einen längeren Zeitraum im gemischten Modus zu belassen, da AD FS in einem gemischten Modus zu Problemen mit der Farm führen kann.

Verschieben der Windows Server 2012 R2 AD FS-Farm auf eine Windows Server 2016 AD FS-Farm

In diesem Artikel wird beschrieben, wie Sie Ihre AD FS Windows Server 2012 R2-Farm auf AD FS in Windows Server 2016 aktualisieren. Die Schritte gelten, wenn Sie einen SQL Server für die AD FS-Datenbank verwenden.

Upgrade von AD FS auf Windows Server 2016 FBL

Neu in AD FS für Windows Server 2016 ist das Feature der Farmverhaltensebene (Farm Behavior Level, FBL). Dieses Feature ist farmweit und bestimmt die Features, die die AD FS-Farm verwenden kann. Standardmäßig befindet sich die Farmverhaltensebene in einer AD FS-Farm unter Windows Server 2012 R2 auf der Windows Server 2012 R2-Farmverhaltensebene.

Ein Windows Server 2016 AD FS-Server kann einer Windows Server 2012 R2-Farm hinzugefügt werden und arbeitet mit derselben FBL wie ein Windows Server 2012 R2. Für einen Windows Server 2016 AD FS-Server, der auf diese Weise betrieben wird, wird Ihre Farm als "gemischt" bezeichnet. Die neuen Windows Server 2016-Features sind jedoch erst verfügbar, wenn die FBL auf Windows Server 2016 angehoben wird.

Hier sind einige der wichtigsten Features der Arbeit mit einer gemischten Farm:

• Administratoren können einer vorhandenen Windows Server 2012 R2-Farm neue Windows Server 2016-Verbundserver hinzufügen. Infolgedessen befindet sich die Farm im „gemischten Modus“ und wird auf der Windows Server 2012 R2-Farmverhaltensebene betrieben. Um ein einheitliches Verhalten in der gesamten Farm sicherzustellen, können neue Windows Server 2016-Features in diesem Modus nicht konfiguriert oder verwendet werden.

• Administratoren können alle Windows Server 2012 R2-Verbundserver aus der Farm mit gemischten Modus entfernen. In diesem Szenario wird einer der neuen Windows Serve 2016-Verbundserver zur Rolle des primären Knotens heraufgestuft. Der Administrator kann dann die FBL von Windows Server 2012 R2 auf Windows Server 2016 auslösen. Daher können alle neuen AD FS Windows Server 2016-Features konfiguriert und verwendet werden.

• AD FS Windows Server 2012 R2-Organisationen, die auf Windows Server 2016 upgraden möchten, müssen keine völlig neue Farm bereitstellen oder Konfigurationsdaten exportieren und importieren. Stattdessen können sie einer vorhandenen Farm Windows Server 2016-Knoten hinzufügen, während die Farm online ist, und es entsteht nur die relativ kurze Ausfallzeit zur Erhöhung der Farmverhaltensebene.

Im gemischten Farmmodus ist die AD FS-Farm nicht in der Lage, neue Features oder Funktionen, die in AD FS in Windows Server 2016 eingeführt wurden, einzuführen. Organisationen, die neue Features ausprobieren möchten, können dies tun, nachdem die FBL ausgelöst wurde. Wenn Ihre Organisation die neuen Features testen möchte, bevor Sie die FBL erhöhen, müssen Sie eine separate Farm bereitstellen.

Der rest des Artikels enthält die Schritte zum Hinzufügen eines Windows Server 2016-Verbundservers zu einer Windows Server 2012 R2-Umgebung. Diese Schritte wurden in einer Testumgebung durchgeführt, die im folgenden Architekturdiagramm beschrieben wurde.

Hinweis

Bevor Sie in Windows Server 2016 FBL zu AD FS wechseln können, müssen Sie alle Windows 2012 R2-Knoten entfernen. Sie können ein Windows Server 2012 R2-Betriebssystem nicht auf Windows Server 2016 aktualisieren und es automatisch zu einem Knoten von 2016 machen. Sie müssen ihn entfernen und durch einen neuen Knoten aus dem Jahr 2016 ersetzen.

Wenn AlwaysOnAvailability-Gruppen oder zusammengeführte Replikation in AD FS konfiguriert sind, entfernen Sie vor dem Upgrade alle Replikate aller AD FS-Datenbanken, und verweisen Sie alle Knoten auf die primäre SQL-Datenbank. Nachdem Sie diese Aufgaben abgeschlossen haben, führen Sie das Farmupgrade wie beschrieben aus. Nachdem Sie das Upgrade abgeschlossen haben, fügen Sie AlwaysOnAvailability-Gruppen hinzu, oder führen Sie die Replikation zu den neuen Datenbanken zusammen.

Das folgende Architekturdiagramm zeigt das Setup, das zum Überprüfen und Aufzeichnen der folgenden Schritte verwendet wurde.

Hinzufügen des Windows 2016 AD FS-Servers zur AD FS-Farm

1. Installieren Sie im Server-Manager die Active Directory-Verbunddiensterolle auf Windows Server 2016.

2. Verknüpfen Sie im AD FS-Konfigurations-Assistenten den neuen Windows Server 2016-Server mit der vorhandenen AD FS-Farm.

3. Wählen Sie auf der Willkommensseite"Partnerverbundserver zu einer Verbundserverfarm hinzufügen" und dann "Weiter" aus.

4. Geben Sie auf dem Bildschirm "Mit Active Directory-Domänendienste verbinden " ein Administratorkonto mit Berechtigungen zum Ausführen der Verbunddienstekonfiguration an, und wählen Sie "Weiter" aus.

5. Geben Sie auf dem Bildschirm " Farm angeben " den Namen des SQL-Servers und der Instanz ein, und wählen Sie dann "Weiter" aus.

   

6. Geben Sie auf dem Bildschirm " SSL-Zertifikat angeben " das Zertifikat an, und wählen Sie "Weiter" aus.

   

7. Geben Sie auf dem Bildschirm " Dienstkonto angeben " das Dienstkonto an, und wählen Sie "Weiter" aus.

8. Überprüfen Sie auf dem Bildschirm " Überprüfungsoptionen " die Optionen, und wählen Sie "Weiter" aus.

9. Stellen Sie auf dem Bildschirm " Voraussetzungen überprüfen " sicher, dass alle erforderlichen Prüfungen bestanden wurden, und wählen Sie dann "Konfigurieren" aus.

10. Stellen Sie auf dem Bildschirm "Ergebnisse " sicher, dass der Server erfolgreich konfiguriert ist, und wählen Sie dann "Schließen" aus.

Entfernen des Windows Server 2012 R2 AD FS-Servers

Die folgenden Schritte entfernen den Windows Server 2012 R2 AD FS-Server.

Hinweis

Sie müssen den primären AD FS-Server nicht mit dem Set-AdfsSyncProperties -Role Befehl festlegen, wenn Sie SQL als Datenbank verwenden. Alle Knoten werden in dieser Konfiguration als primär betrachtet.

1. Wechseln Sie im Server-Manager zum Windows Server 2012 R2 AD FS-Server. Wählen Sie unter "Verwalten" die Option "Rollen und Features entfernen" aus:

   

2. Wählen Sie auf dem Bildschirm "Vor Beginn " die Option "Weiter" aus, und wählen Sie auf dem Bildschirm "Serverauswahl " die Option "Weiter" aus.

3. Deaktivieren Sie auf dem Bildschirm "Serverrollen " die Option "Active Directory-Verbunddienste ", und wählen Sie "Weiter" aus.

   

4. Wählen Sie auf dem Bildschirm "Features " die Option "Weiter" aus.

5. Wählen Sie auf dem Bestätigungsbildschirm"Entfernen" aus.

6. Starten Sie den Server neu, nachdem das Feature entfernt wurde.

Erhöhen der Farmverhaltensebene (Farm Behavior Level, FBL)

Mit den folgenden Schritten wird die FBL für den Server erhöht.

Von Bedeutung

Bevor Sie mit dem Prozess in diesem Abschnitt fortfahren, überprüfen Sie die folgenden Voraussetzungen:

• Stellen Sie sicher, dass die Vorbereitungsprozesse für die Gesamtstruktur und Domäne in Ihrer Active Directory-Umgebung abgeschlossen sind und dass Active Directory über das Windows Server 2016-Schema verfügt. Das in diesem Artikel beschriebene Verfahren basiert auf einer Architektur, die mit einem Windows 2016-Domänencontroller begonnen hat. Für die Beispielarchitektur sind die Schritte in diesem Abschnitt nicht erforderlich, da die Aufgaben im AD-Installationsprozess enthalten sind.

• Stellen Sie sicher, dass Windows Server 2016 aktuell ist, indem Sie Windows Update über "Einstellungen" ausführen. Setzen Sie den Updatevorgang fort, bis keine weiteren Updates erforderlich sind.

• Stellen Sie sicher, dass Ihr AD FS-Dienstkonto über die Administratorberechtigungen auf dem SQL-Server und jedem Server in der ADFS-Farm verfügt.

1. Öffnen Sie auf dem Windows Server 2016 Server PowerShell, und führen Sie den folgenden Befehl aus:

   $cred = Get-Credential
   

2. Geben Sie Anmeldeinformationen mit Administratorrechten auf dem SQL Server ein.

3. Geben Sie in PowerShell den folgenden Befehl ein:

   Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred
   

4. Wählen Sie an der Eingabeaufforderung Y (ja) aus, um mit dem Erhöhen der Ebene zu beginnen. Nach Abschluss der Operation haben Sie die FBL erfolgreich angehoben.

   

   Wenn Sie zur AD FS-Verwaltung wechseln, werden die neuen Knoten angezeigt.

5. Sie können das PowerShell-Cmdlet Get-AdfsFarmInformation verwenden, um die aktuelle FBL anzuzeigen:

   

Aktualisierung der Konfigurationsversion von vorhandenen WAP-Servern

1. Konfigurieren Sie auf jedem Webanwendungsproxy den WAP neu, indem Sie den folgenden PowerShell-Befehl in einem Fenster mit erhöhten Rechten ausführen:

   $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
   Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred
   

2. Führen Sie den folgenden Befehl aus, um alte Server aus dem Cluster zu entfernen, und behalten Sie nur die WAP-Server mit der neuesten Serverversion (zuvor neu konfiguriert):

   Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2
   

3. Führen Sie den folgenden Befehl aus, um die WAP-Konfiguration zu überprüfen. Der ConnectedServersName-Wert gibt den Server an, der vom vorherigen Befehl ausgeführt wird:

   Get-WebApplicationProxyConfiguration
   

4. Führen Sie zum Aktualisieren der ConfigurationVersion WAP-Server den folgenden PowerShell-Befehl aus:

   Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
   

5. Führen Sie den Get-WebApplicationProxyConfiguration Befehl erneut aus, und überprüfen Sie, ob das ConfigurationVersion Upgrade durchgeführt wurde.