Mettre à niveau une batterie de serveurs AD FS existante à l’aide de la base de données interne Windows

Important

Plutôt que d'effectuer une mise à niveau vers la dernière version des services AD FS, Microsoft recommande vivement la migration vers Microsoft Entra ID. Pour plus d’informations, consultez Ressources pour la désactivation des services AD FS

Dans cet article, vous apprenez à mettre à niveau le niveau de comportement de la batterie de serveurs pour les services de fédération Active Directory (AD FS) à l’aide de la base de données interne Windows (WID). À compter de Windows Server 2016, le niveau de comportement de la batterie de serveurs (FBL) a été introduit dans AD FS. Le FBL est un paramètre à l’échelle de la batterie de serveurs qui détermine les fonctionnalités que la batterie AD FS peut utiliser.

Les administrateurs peuvent ajouter de nouveaux serveurs de fédération à une batterie de serveurs Windows Server existante en « mode mixte ». Le mode mixte fonctionne au même niveau de comportement de la batterie de serveurs que celui de la batterie de serveurs d’origine afin de garantir un comportement homogène. Les fonctionnalités des versions Windows Server AD FS plus récentes ne sont pas configurables ni utilisables.

Prérequis

Avant de pouvoir mettre à niveau le niveau de comportement de la batterie de serveurs, vous devez remplir les conditions préalables suivantes :

• Déterminez la version de Windows Server vers laquelle effectuer la mise à niveau.

• Déployez la version cible de Windows Server sur un nouvel ordinateur, appliquez toutes les mises à jour Windows et installez le rôle serveur Service ADFS (Active Directory Federation Service). Pour plus d’informations, voir Ajouter un serveur de fédération à une batterie de serveurs de fédération existante.

• Si vous utilisez également le proxy d’application web de Windows Server, déployez la version cible de Windows Server sur un nouvel ordinateur, appliquez tous les mises à jour Windows et installez le rôle serveur d’accès à distance et le service de rôle Proxy d’application web. Pour plus d’informations, voir Utilisation du proxy d’application web.

• Si vous effectuez une mise à niveau vers AD FS dans Windows Server 2016 ou une version ultérieure, la mise à niveau de la batterie de serveurs nécessite que le schéma AD soit au moins de niveau 85. Si vous effectuez une mise à niveau vers AD FS dans Windows Server 2019 ou une version ultérieure, le schéma AD doit être au moins de 88. Pour plus d’informations sur la mise à niveau de votre domaine, consultez l’article Mettre à niveau des contrôleurs de domaine vers une version plus récente de Windows Server.

• Fixez un laps de temps défini pour l’achèvement. Il est déconseillé d’utiliser un état en mode mixte sur une longue période. Le fait de laisser AD FS en mode mixte peut entraîner des problèmes avec la batterie de serveurs.

• Sauvegardez votre configuration AD FS et vos serveurs de fédération.

Niveaux de comportement de la batterie de serveurs

Par défaut, le niveau de comportement de la batterie de serveurs (FBL) dans une nouvelle batterie AD FS correspond à la valeur pour la version Windows Server du premier nœud de batterie de serveurs installé.

Vous pouvez joindre un serveur AD FS d’une version ultérieure à une batterie de serveurs avec un niveau FBL inférieur. La batterie de serveurs fonctionne sur le même niveau FBL que le ou les nœuds existants. Si plusieurs versions de Windows Server fonctionnent dans la même batterie de serveurs à la valeur FBL de la version la plus basse, votre batterie de serveurs est « mixte ». Toutefois, vous ne pouvez tirer parti des fonctionnalités des versions ultérieures que si vous augmentez le niveau FBL. Si votre organisation cherche à tester les nouvelles fonctionnalités avant d’élever le FBL, vous devez déployer une batterie de serveurs distincte.

Le tableau suivant répertorie les valeurs FBL possibles et les noms de base de données de configuration par version de Windows Server.

Version de Windows Server	Valeur FBL	Nom de base de données de configuration AD FS
2012 R2	1	AdfsConfiguration
2016	3	AdfsConfigurationV3
2019 et 2022	4	AdfsConfigurationV4

Notes

La mise à niveau du FBL crée une base de données de configuration AD FS.

Maintenant que vous comprenez la finalité du FBL et que vous avez satisfait aux conditions préalables, vous êtes prêt à examiner de plus près votre niveau FBL actuel.

Pour trouver votre FBL actif :

1. Connectez-vous à votre serveur de fédération et ouvrez une session PowerShell avec élévation de privilèges.

2. Exécutez la commande PowerShell suivante pour retourner les informations actuelles sur le FBL et les nœuds de la batterie de serveurs.

   Get-AdfsFarmInformation
   

3. Regardez CurrentFarmBehavior et FarmNodes.

Migration des serveurs de fédération

Une fois que vous avez collecté les informations actuelles de la batterie de serveurs de fédération, vous êtes prêt à commencer le processus de mise à niveau. Pour commencer la mise à niveau :

1. Ajoutez le ou les nouveaux serveurs de fédération à votre batterie de serveurs existante. Pour plus d’informations, voir Ajouter un serveur de fédération à une batterie de serveurs de fédération existante.

2. Connectez-vous à votre nouveau serveur de fédération, puis ouvrez une session PowerShell avec élévation de privilèges. Si vous avez plusieurs serveurs, exécutez cette commande sur un seul serveur.

3. Définissez la propriété de synchronisation du serveur de fédération pour qu’il prenne le rôle d’ordinateur principal en exécutant la commande suivante. Pour plus d’informations, consultez l’article Set-AdfsSyncProperties.

   Set-AdfsSyncProperties -Role PrimaryComputer
   

4. Connectez-vous aux autres serveurs de fédération de la batterie de serveurs, ouvrez une session PowerShell avec élévation de privilèges.

5. Définissez le rôle d’ordinateur secondaire en exécutant la commande suivante.

   Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName "<primary-server-FQDN>"
   

6. Mettez à jour l’équilibreur de charge, le DNS ou les configurations réseau pour utiliser les nouveaux serveurs de fédération, en vérifiant que le serveur est opérationnel. Pour plus d’informations, consultez l’article Vérifier que votre serveur de fédération Windows Server 2012 R2 est opérationnel.

7. Désinstallez le rôle serveur Active Directory Federation Service des précédents serveurs, puis exécutez la commande suivante pour supprimer les entrées obsolètes.

   Set-AdfsFarmInformation -RemoveNode "<old-server-FQDN>"
   

Maintenant que vous disposez d’un nouveau serveur de fédération dans votre batterie de serveurs et que vous avez supprimé les serveurs précédents, vous êtes prêt à mettre à niveau le FBL. Pour en savoir plus sur la désactivation, consultez la section Étapes pour désactiver vos serveurs AD FS.

Mettre à niveau le comportement de la batterie de serveurs

Une fois que vous avez collecté les informations actuelles de la batterie de serveurs de fédération, vous êtes prêt à commencer le processus de mise à niveau. Pour commencer la mise à niveau :

1. Connectez-vous à votre serveur de fédération principal, puis ouvrez une session PowerShell avec élévation de privilèges.

2. Exécutez la commande suivante pour tester si vous pouvez élever le niveau de comportement d’une batterie de serveurs.

   Test-AdfsFarmBehaviorLevelRaise
   

3. Après avoir vérifié les résultats, mettez à niveau le niveau de comportement de la batterie de serveurs en exécutant la commande suivante. Vous êtes invité à continuer.

   Invoke-AdfsFarmBehaviorLevelRaise
   

4. Contrôlez la sortie de la commande pour vérifier que l’opération a réussi. Pour vérifier le nouveau niveau de comportement de la batterie de serveurs, exécutez la commande PowerShell suivante qui retourne les informations actuelles sur le FBL et le nœud de la batterie de serveurs.

   Get-AdfsFarmInformation
   

Vous venez de mettre à niveau votre FBL pour qu’il corresponde à votre version cible de Windows Server. Si vous utilisez également le service de rôle Proxy d’application web de Windows Server, passez à la section suivante.

Mettre à niveau le proxy d’application web

À présent que vous avez mis à jour votre FBL, vous devez mettre à niveau le proxy d’application web (WAP) au niveau le plus récent.

1. Connectez-vous à votre serveur Proxy d’application web récemment déployé et ouvrez une session PowerShell avec élévation de privilèges.

2. Importez le certificat utilisé par le certificat de fédération et notez l’empreinte du certificat.

3. Pour configurer WAP, exécutez la commande PowerShell suivante en remplaçant l’espace réservé <value> par vos propres valeurs. Répétez cette étape pour les autres serveurs Proxy d’application web.

   $trustcred = Get-Credential -Message "<Enter Domain Administrator credentials>"
   Install-WebApplicationProxy -CertificateThumbprint "<SSLCertThumbprint>" -FederationServiceName "<FScomputername>" -FederationServiceTrustCredential $trustcred
   

4. Pour connaître les serveurs Proxy d’application web connectés en cours, exécutez la commande suivante et regardez les valeurs ConnectedServerName et ConfigurationVersion.

   Get-WebApplicationProxyConfiguration
   

   Notes

   Ignorez l’étape suivante si ConfigurationVersion est Windows Server 2016. Il s’agit de la valeur correcte du Proxy d’application web sur Windows Server 2016 et versions ultérieures.

5. Supprimez les anciens serveurs Proxy d’application web et conservez uniquement les nouveaux serveurs configurés dans les étapes précédentes en exécutant l’applet de commande PowerShell suivante :

   Set-WebApplicationProxyConfiguration -ConnectedServersName "WAPServerName1, WAPServerName2"
   

6. Pour mettre à niveau ConfigurationVersion des serveurs WAP, exécutez la commande PowerShell suivante :

   Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
   

Vous venez de terminer la mise à niveau du Proxy d’application web.

Modèle d’approbation de certificat avec Windows Hello Entreprise

Si vous utilisez AD FS sur Windows Server 2019 ou une version ultérieure, et Windows Hello Entreprise dans un modèle d’approbation de certificat, vous pouvez rencontrer le message d’erreur du journal des événements suivant.

Received invalid Oauth request. The client 'NAME' is forbidden to access the resource with scope 'ugs'.

Pour résoudre ce problème :

1. Ouvrez la console de gestion AD FS. Accédez à Services > Descriptions d’étendue.

2. Cliquez avec le bouton droit sur Descriptions d’étendue, puis sélectionnez Ajouter une description d’étendue.

3. Sous Nom, entrez ugs, puis sélectionnez Appliquer > OK.

4. Lancez Windows PowerShell en tant qu’administrateur, puis exécutez les commandes ci-après.

   $id = (Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
   Set-AdfsApplicationPermission -TargetIdentifier $id -AddScope 'ugs'
   

5. Redémarrez le service AD FS.

6. Redémarrez le client. L’utilisateur devrait être invité à configurer Windows Hello Entreprise.

Étapes suivantes

Maintenant que vous avez mis à niveau votre déploiement AD FS, voici quelques articles qui peuvent vous être utiles.

• Vérifier qu’un serveur de fédération est opérationnel
• Vérifier qu’un serveur proxy de fédération est opérationnel
• Opérations d’AD FS