Aktualisieren einer vorhandenen AD FS-Farm mithilfe der internen Windows-Datenbank

Von Bedeutung

Anstelle eines Upgrades auf die neueste Version von AD FS empfiehlt Microsoft dringend die Migration zu Microsoft Entra ID. Weitere Informationen finden Sie unter Ressourcen für die Außerbetriebnahme von AD FS.

In diesem Artikel erfahren Sie, wie Sie die Verhaltensebene der Farm für Active Directory-Verbunddienste (AD FS) mithilfe der Windows-Internen Datenbank (WID) aktualisieren. Ab Windows Server 2016 wurde die Farmverhaltensebene (FBL) in AD FS eingeführt. Die FBL ist eine farmweite Einstellung, die die Features bestimmt, welche die AD FS-Farm verwenden kann.

Administratoren können einer vorhandenen Windows Server-Farm im gemischten Modus neue Verbundserver hinzufügen. Der gemischte Modus wird auf derselben Farmverhaltensebene wie die ursprüngliche Farm ausgeführt, um ein konsistentes Verhalten sicherzustellen. Features der neueren Windows Server AD FS-Versionen können nicht konfiguriert oder verwendet werden.

Voraussetzungen

Bevor Sie die Verhaltensstufe der Farm aktualisieren können, müssen Sie die folgenden Voraussetzungen erfüllen:

• Ermitteln Sie , auf welche Version von Windows Server ein Upgrade durchgeführt werden soll.

• Stellen Sie die Windows Server-Zielversion auf einem neuen Computer bereit, wenden Sie alle Windows-Updates an, und installieren Sie die Active Directory-Verbunddienst-Serverrolle. Weitere Informationen finden Sie unter Hinzufügen eines Verbundservers zu einer vorhandenen Verbundserverfarm.

• Wenn Sie auch den Windows Server Webanwendungsproxy verwenden, stellen Sie die Zielversion von Windows Server auf einem neuen Computer bereit, führen alle Windows-Updates durch und installieren die Serverrolle Fernzugriff und den Rollendienst Webanwendungsproxy. Weitere Informationen finden Sie unter Arbeiten mit Webanwendungsproxy.

• Wenn Sie ein Upgrade auf AD FS in Windows Server 2016 oder höher durchführen, erfordert das Farmupgrade, dass das AD-Schema mindestens auf Ebene 85 ist. Wenn Sie ein Upgrade auf Windows Server AD FS 2019 oder höher durchführen, muss das AD-Schema mindestens 88 sein. Weitere Informationen zum Aktualisieren Ihrer Domäne finden Sie unter Aktualisieren von Domänencontrollern auf eine neuere Version von Windows Server.

• Haben Sie einen definierten Zeitrahmen, der für den Abschluss geplant ist. Es wird nicht empfohlen, einen gemischten Modusstatus für einen längeren Zeitraum zu verwenden. Wenn Sie AD FS in einem gemischten Modus belassen, kann dies zu Problemen mit der Farm führen.

• Sichern Sie Ihre AD FS-Konfiguration und Verbundserver.

Ebenen des Farmverhaltens

Standardmäßig entspricht die FBL in einer neuen AD FS-Farm dem Wert für die Windows Server-Version des ersten installierten Farmknotens.

Sie können einen AD FS-Server einer späteren Version zu einer Farm mit einer niedrigeren FBL hinzufügen. Die Farm arbeitet mit demselben FBL wie die bestehenden Knotenpunkte. Wenn mehrere Windows Server-Versionen in derselben Farm mit dem FBL-Wert der niedrigsten Version betrieben werden, ist Ihre Farm als "gemischt" gekennzeichnet. Sie können jedoch die Funktionen der späteren Versionen erst nutzen, bis Sie den FBL-Wert erhöhen. Wenn Ihre Organisation die neuen Funktionen testen möchte, bevor die FBL erhöht wird, müssen Sie eine separate Farm bereitstellen.

In der folgenden Tabelle sind die möglichen FBL-Werte und Konfigurationsdatenbanknamen nach Windows Server-Version aufgeführt.

Windows Server-Version	FBL-Wert	AD FS-Konfigurationsdatenbankname
2012 R2	1	Adfs-Konfiguration
2016	3	AdfsConfigurationV3
2019 und 2022	4	AdfsConfigurationV4

Hinweis

Durch das Upgrade der FBL wird eine neue AD FS-Konfigurationsdatenbank erstellt.

Nachdem Sie nun den Zweck der FBL verstanden haben und die Voraussetzungen erfüllt haben, können Sie Ihre aktuelle FBL überprüfen.

So ermitteln Sie Ihre aktuelle FBL:

1. Melden Sie sich beim Verbundserver an, und öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten.

2. Führen Sie den folgenden PowerShell-Befehl aus, um die aktuellen FBL- und Farmknoteninformationen zurückzugeben.

   Get-AdfsFarmInformation
   

3. Überprüfen Sie CurrentFarmBehavior und FarmNodes.

Migrieren von Verbundservern

Nachdem Sie die aktuellen Verbundfarminformationen gesammelt haben, können Sie den Upgradevorgang starten. So beginnen Sie das Upgrade:

1. Fügen Sie der vorhandenen Farm den neuen Verbundserver hinzu. Weitere Informationen finden Sie unter Hinzufügen eines Verbundservers zu einer vorhandenen Verbundserverfarm.

2. Melden Sie sich beim neuen Verbundserver an, und öffnen Sie dann eine PowerShell-Sitzung mit erhöhten Rechten. Wenn Sie über mehrere Server verfügen, führen Sie diesen Befehl nur auf einem Server aus.

3. Setzen Sie die Synchronisierungseigenschaft des Verbundservers so, dass er die primäre Computerrolle übernimmt, indem Sie den folgenden Befehl ausführen. Weitere Informationen finden Sie unter Set-AdfsSyncProperties.

   Set-AdfsSyncProperties -Role PrimaryComputer
   

4. Melden Sie sich bei allen anderen Verbundservern in der Farm an, öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten.

5. Legen Sie die Rolle auf den sekundären Computer fest, indem Sie den folgenden Befehl ausführen.

   Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName "<primary-server-FQDN>"
   

6. Aktualisieren Sie alle Lastenausgleichs-, DNS- oder Netzwerkkonfigurationen, um die neuen Verbundserver zu verwenden, um sicherzustellen, dass der Server betriebsbereit ist. Weitere Informationen finden Sie unter Überprüfen, ob Der Windows Server 2012 R2-Verbundserver betriebsbereit ist.

7. Deinstallieren Sie die Active Directory-Verbunddienst-Serverrolle von den vorherigen Servern, und führen Sie dann den folgenden Befehl aus, um die veralteten Einträge zu entfernen.

   Set-AdfsFarmInformation -RemoveNode "<old-server-FQDN>"
   

Nachdem Sie nun Ihren neuen Verbundserver zur Farm hinzugefügt und die vorherigen Server entfernt haben, können Sie das FBL-Upgrade durchführen. Weitere Informationen zum Außerbetriebsetzen finden Sie unter "Schritte zum Außerbetriebsetzen Ihrer AD FS-Server".

Durchführen eines Upgrades der Farmverhaltensebene (Farm Behavior Level, FBL)

Nachdem Sie die aktuellen Verbundfarminformationen gesammelt haben, können Sie den Upgradevorgang starten. So beginnen Sie das Upgrade:

1. Melden Sie sich bei Ihrem primären Verbundserver an, und öffnen Sie dann eine PowerShell-Sitzung mit erhöhten Rechten.

2. Führen Sie den folgenden Befehl aus, um zu testen, ob Sie die Verhaltensebene einer Farm erhöhen können.

   Test-AdfsFarmBehaviorLevelRaise
   

3. Nachdem Sie die Ausgabe überprüft haben, führen Sie den folgenden Befehl aus, um das Farmverhalten zu aktualisieren. Sie werden aufgefordert, wenn Sie den Vorgang fortsetzen möchten.

   Invoke-AdfsFarmBehaviorLevelRaise
   

4. Überprüfen Sie die Befehlsausgabe, um zu bestätigen, dass der Vorgang erfolgreich war. Um die neue Farmverhaltensebene zu überprüfen, führen Sie den folgenden PowerShell-Befehl aus, um die aktuellen FBL- und Farmknoteninformationen zurückzugeben.

   Get-AdfsFarmInformation
   

Sie haben jetzt Ihr FBL aktualisiert, um Ihrer Windows Server-Zielversion zu entsprechen. Wenn Sie auch den Windows Server-Webanwendungsproxy-Rollendienst verwenden, fahren Sie mit dem nächsten Abschnitt fort.

Aktualisieren des Webanwendungsproxys

Nachdem Sie Ihre FBL aktualisiert haben, müssen Sie den Web Application Proxy (WAP) auf die neueste Version aktualisieren.

1. Melden Sie sich beim neu bereitgestellten Webanwendungsproxyserver an, und öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten.

2. Importieren Sie das vom Verbundzertifikat verwendete Zertifikat, und notieren Sie sich den Zertifikatfingerabdruck.

3. Um WAP zu konfigurieren, führen Sie den folgenden PowerShell-Befehl aus, und ersetzen Sie den Platzhalter <value> durch Ihre eigenen Werte. Wiederholen Sie diesen Schritt ggf. für weitere Webanwendungsproxy-Server.

   $trustcred = Get-Credential -Message "<Enter Domain Administrator credentials>"
   Install-WebApplicationProxy -CertificateThumbprint "<SSLCertThumbprint>" -FederationServiceName "<FScomputername>" -FederationServiceTrustCredential $trustcred
   

4. Um die aktuellen verbundenen Webanwendungsproxy-Server zu überprüfen, führen Sie den folgenden Befehl aus, und notieren Sie sich die Werte ConnectedServerName und ConfigurationVersion.

   Get-WebApplicationProxyConfiguration
   

   Hinweis

   Überspringen Sie den nächsten Schritt, wenn die ConfigurationVersion Windows Server 2016 ist. Dies ist der richtige Wert für den Webanwendungsproxy unter Windows Server 2016 und höher.

5. Entfernen Sie alte Webanwendungsproxyserver, indem Sie nur die neuen Server beibehalten, die in den vorherigen Schritten konfiguriert sind, indem Sie das folgende PowerShell-Cmdlet ausführen:

   Set-WebApplicationProxyConfiguration -ConnectedServersName "WAPServerName1", "WAPServerName2"
   

6. Führen Sie den folgenden PowerShell-Befehl aus, um die ConfigurationVersion der WAP-Server zu aktualisieren:

   Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
   

Sie haben nun das Upgrade des Webanwendungsproxys abgeschlossen.

Zertifikatvertrauensmodell mit Windows Hello for Business

Wenn Sie AD FS unter Windows Server 2019 oder höher verwenden und Windows Hello for Business in einem Zertifikatvertrauensmodell verwenden, tritt möglicherweise die folgende Ereignisprotokollfehlermeldung auf.

Received invalid Oauth request. The client 'NAME' is forbidden to access the resource with scope 'ugs'.

So beheben Sie diesen Fehler:

1. Öffnen Sie die AD FS-Verwaltungskonsole. Wechseln Sie zu Dienstbereichsbeschreibungen>.

2. Klicken Sie mit der rechten Maustaste auf "Bereichsbeschreibungen ", und wählen Sie "Bereichsbeschreibung hinzufügen" aus.

3. Geben Sie unter „Name“ ugs ein und wählen Sie dann Anwenden > OK aus.

4. Starten Sie PowerShell als Administrator, und führen Sie die folgenden Befehle aus.

   $id = (Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
   Set-AdfsApplicationPermission -TargetIdentifier $id -AddScope 'ugs'
   

5. Starten Sie den AD FS-Dienst neu.

6. Starten Sie den Client neu. Der Benutzer sollte aufgefordert werden, Windows Hello for Business zu konfigurieren.

Nächste Schritte

Nachdem Sie nun ein Upgrade ihrer AD FS-Bereitstellung durchgeführt haben, finden Sie hier einige Artikel, die Sie möglicherweise hilfreich finden.

• Überprüfen, ob ein Verbundserver betriebsbereit ist
• Überprüfen, ob ein Verbundserverproxy betriebsbereit ist
• AD FS-Vorgänge