Mise à niveau vers AD FS dans Windows Server 2016 avec SQL Server

Important

Plutôt que d'effectuer une mise à niveau vers la dernière version des services AD FS, Microsoft recommande vivement la migration vers Microsoft Entra ID. Pour plus d’informations, consultez Ressources pour la désactivation des services AD FS

Remarque

Commencez uniquement une mise à niveau avec un délai d’exécution définitif prévu pour l’achèvement. Il n’est pas recommandé de conserver AD FS en mode mixte pendant une période prolongée, car le fait de laisser AD FS en mode mixte peut entraîner des problèmes avec la batterie de serveurs.

Passage d’une batterie de serveurs AD FS Windows Server 2012 R2 à une batterie de serveurs AD FS Windows Server 2016

Le document suivant décrit comment mettre à niveau votre batterie de serveurs AD FS Windows Server 2012 R2 vers AD FS dans Windows Server 2016 lorsque vous utilisez un SQL Server pour la base de données AD FS.

Mise à niveau d'AD FS vers le FBL de Windows Server 2016

La nouveauté d’AD FS pour Windows Server 2016 est la fonctionnalité de niveau de comportement de la batterie de serveurs (FBL). Cette fonctionnalité est sont à l’échelle de la batterie de serveurs et détermine les fonctionnalités que la batterie de serveurs AD FS peut utiliser. Par défaut, le FBL d’une batterie de serveurs AD FS Windows Server 2012 R2 se trouve au FBL de Windows Server 2012 R2.

Un serveur AD FS Windows Server 2016 peut être ajouté à une batterie de serveurs Windows Server 2012 R2 et il fonctionnera au même FBL que Windows Server 2012 R2. Quand un serveur AD FS Windows Server 2016 fonctionne de cette façon, votre batterie de serveurs est dite « mixte ». Toutefois, vous ne pourrez pas tirer parti des nouvelles fonctionnalités de Windows Server 2016 tant que le FBL n’est pas élevé à Windows Server 2016. Avec une batterie de serveurs mixtes :

• Les administrateurs peuvent ajouter de nouveaux serveurs de fédération Windows Server 2016 à une batterie de serveurs Windows Server 2012 R2 existante. Par conséquent, la batterie de serveurs est en « mode mixte » et fonctionne au niveau de comportement de la batterie de serveurs de Windows Server 2012 R2. Pour garantir un comportement cohérent au sein de la batterie de serveurs, les nouvelles fonctionnalités de Windows Server 2016 ne peuvent pas être configurées ou utilisées dans ce mode.

• Une fois que tous les serveurs de fédération Windows Server 2012 R2 ont été supprimés de la batterie de serveurs en mode mixte, l’un des nouveaux serveurs de fédération Windows Serve 2016 a été promu au rôle de nœud principal, l’administrateur peut alors élever le FBL de Windows Server 2012 R2 à Windows Server 2016. Par conséquent, toutes les nouvelles fonctionnalités d’AD FS Windows Server 2016 peuvent ensuite être configurées et utilisées.

• En raison de la fonctionnalité de batterie de serveurs mixtes, les organisations AD FS Windows Server 2012 R2 qui cherchent à effectuer une mise à niveau vers Windows Server 2016 n’auront pas besoin de déployer une toute nouvelle batterie de serveurs, d’exporter et d’importer des données de configuration. Au lieu de cela, elles peuvent ajouter des nœuds Windows Server 2016 à une batterie de serveurs existante pendant qu’elle est en ligne et n’encourir que le temps d’arrêt relativement bref impliqué dans l’augmentation de FBL.

En mode batterie de serveurs mixtes, la batterie de serveurs AD FS n’est pas capable de nouvelles fonctionnalités introduites dans AD FS dans Windows Server 2016. Les organisations qui souhaitent essayer de nouvelles fonctionnalités ne peuvent pas le faire tant que le FBL n’est pas élevé. Par conséquent, si votre organisation cherche à tester les nouvelles fonctionnalités avant d’élever le FBL, vous devez déployer une batterie de serveurs distincte.

Le reste du document fournit les étapes pour ajouter un serveur de fédération Windows Server 2016 à un environnement Windows Server 2012 R2. Ces étapes ont été effectuées dans un environnement de test décrit par le diagramme architectural ci-dessous.

Notes

Avant de pouvoir passer à AD FS dans le FBL de Windows Server 2016, vous devez supprimer tous les nœuds Windows 2012 R2. Vous ne pouvez pas simplement mettre à niveau un système d’exploitation Windows Server 2012 R2 vers Windows Server 2016 et le faire devenir un nœud 2016. Vous devez le supprimer et le remplacer par un nouveau nœud 2016.

Notes

Si les groupes AlwaysOnAvailability ou la réplication de fusion sont configurés dans AD FS, supprimez toute la réplication des bases de données AD FS avant la mise à niveau et pointez tous les nœuds vers la base de données SQL principale. Après avoir effectué cette opération, effectuez la mise à niveau de la batterie de serveurs comme indiqué. Après la mise à niveau, ajoutez des groupes AlwaysOnAvailability ou fusionnez la réplication vers les nouvelles bases de données.

Le diagramme d’architecture suivant montre la configuration utilisée pour valider et enregistrer les étapes ci-dessous.

Joindre le serveur AD FS Windows 2016 à la batterie de serveurs AD FS

1. À l’aide de Gestionnaire de serveur installez le rôle Services ADFS sur Windows Server 2016

2. À l’aide de l’Assistant Configuration AD FS, joignez le nouveau serveur Windows Server 2016 à la batterie de serveurs AD FS existante. Dans l’écran Bienvenue, cliquez sur Suivant.

3. Dans l’écran Se connecter aux services de domaine Active Directory,spécifiez un compte d’administrateur avec les autorisations nécessaires pour effectuer la configuration des services de fédération, puis cliquez sur Suivant.

4. Dans l’écran Spécifier la batterie de serveurs, entrez le nom du serveur SQL et de l’instance, puis cliquez sur Suivant.

5. Dans l’écran Spécifier un certificat SSL, spécifiez le certificat, puis cliquez sur Suivant.

6. Dans l’écran Spécifier le compte de service, spécifiez le compte de service, puis cliquez sur Suivant.

7. Dans l’écran Examiner les options, passez en revue les options, puis cliquez sur Suivant.

8. Dans l’écran Vérifications préalables, vérifiez que toutes les vérifications préalables ont été effectuées, puis cliquez sur Configurer.

9. Dans l’écran Résultats, vérifiez que le serveur a été configuré avec succès et cliquez sur Fermer.

Supprimer le serveur AD FS Windows Server 2012 R2

Notes

Vous n’avez pas besoin de définir le serveur AD FS principal à l’aide de Set-AdfsSyncProperties -Role lors de l’utilisation de SQL comme base de données. En effet, tous les nœuds sont considérés comme principaux dans cette configuration.

1. Sur le serveur AD FS Windows Server 2012 R2 dans Gestionnaire de serveur utilisez Supprimer des rôles et des fonctionnalités sous Gérer.
2. Dans l'écran Avant de commencer, cliquez sur Suivant.
3. Dans l’écran Sélection du serveur, cliquez sur Suivant.
4. Dans l’écran Roles du serveur, enlevez la coche à côté de Services ADFS et cliquez sur Suivant.
5. Dans l’écran Fonctionnalités, cliquez sur Suivant.
6. Dans l'écran Confirmation, cliquez sur Supprimer.
7. Une fois la suppression de la fonctionnalité terminée, redémarrez le serveur.

Augmenter le niveau de comportement de la batterie de serveurs (FBL)

Avant cette étape, vous devez vous assurer que forestprep et domainprep ont été exécutées sur votre environnement Active Directory et qu’Active Directory dispose du schéma Windows Server 2016. Ce document a démarré avec un contrôleur de domaine Windows 2016 et n’a pas besoin de les exécuter, car ils ont été exécutés lors de l’installation d’AD.

Notes

Avant de commencer le processus ci-dessous, vérifiez que Windows Server 2016 est à jour en exécutant Windows Update à partir de Paramètres. Poursuivez ce processus jusqu’à ce qu’aucune autre mise à jour ne soit nécessaire. En outre, vérifiez que le compte de service AD FS dispose des autorisations d’administration sur le serveur SQL et sur chaque serveur de la batterie de serveurs ADFS.

1. Maintenant, sur le serveur Windows Server 2016, ouvrez PowerShell et exécutez la commande suivante : $cred = Get-Credential et appuyez sur Entrée.
2. Entrez les identifiants qui disposent des privilèges d’administrateur sur le serveur SQL.
3. Maintenant, dans PowerShell, entrez les éléments suivants : Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred
4. Lorsque vous y êtes invité, tapez Y. Cela va permettre de commencer à élever le niveau. Une fois cette opération terminée, vous avez réussi à élever le FBL.
5. Maintenant, si vous allez dans AD FS Management, vous verrez les nouveaux nœuds.
6. De même, vous pouvez utiliser l’applet de commande PowerShell : Get-AdfsFarmInformation pour afficher le FBL actuel.

Mettre à niveau la version de configuration des serveurs WAP existants

1. Sur chaque Proxy d'application web, reconfigurez le WAP en exécutant la commande PowerShell suivante dans une fenêtre avec élévation de privilèges :

   $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
   Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred
   

2. Supprimez les anciens serveurs du cluster et conservez uniquement les serveurs WAP exécutant la dernière version du serveur, qui ont été reconfigurés ci-dessus, en exécutant la commande PowerShell suivante.

   Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2
   

3. Vérifiez la configuration WAP en exécutant la commande Get-WebApplicationProxyConfiguration. ConnectedServersName reflète l’exécution du serveur à partir de la commande précédente.

   Get-WebApplicationProxyConfiguration
   

4. Pour mettre à niveau ConfigurationVersion des serveurs WAP, exécutez la commande PowerShell suivante.

   Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
   

5. Vérifiez que ConfigurationVersion a été mis à niveau avec la commande PowerShell Get-WebApplicationProxyConfiguration.