Bagikan melalui

Memigrasikan server federasi AD FS 2.0 ke Layanan Federasi Direktori Aktif di Windows Server 2012 R2

  • Artikel

Untuk memigrasikan server federasi Layanan Federasi Direktori Aktif milik farm AD FS simpul tunggal, farm WIF, atau farm SQL Server ke Windows Server 2012 R2, Anda harus melakukan tugas berikut:

  1. Mengekspor dan mencadangkan data konfigurasi LAYANAN Federasi Direktori Aktif

  2. Membuat farm server federasi Windows Server 2012 R2

  3. Mengimpor data konfigurasi asli ke farm Layanan Federasi Direktori Aktif Windows Server 2012 R2

Mengekspor dan mencadangkan data konfigurasi LAYANAN Federasi Direktori Aktif

Untuk mengekspor pengaturan konfigurasi Layanan Federasi Direktori Aktif, lakukan prosedur berikut:

Untuk mengekspor pengaturan layanan

  1. Pastikan Anda memiliki akses ke sertifikat berikut dan kunci privatnya dalam file .pfx:

    • Sertifikat SSL yang digunakan oleh farm server federasi yang ingin Anda migrasikan

    • Sertifikat komunikasi layanan (jika berbeda dari sertifikat SSL) yang digunakan oleh farm server federasi yang ingin Anda migrasikan

    • Semua sertifikat penandatanganan token atau enkripsi/dekripsi token pihak ketiga yang digunakan oleh farm server federasi yang ingin Anda migrasikan

Untuk menemukan sertifikat SSL, buka konsol manajemen Layanan Informasi Internet (IIS), Pilih Situs Web Default di panel kiri, klik Pengikatan... di panel Tindakan, temukan dan pilih pengikatan https, klik Edit, lalu klik Tampilkan.

Anda harus mengekspor sertifikat SSL yang digunakan oleh layanan federasi dan kunci privatnya ke file .pfx. Untuk informasi selengkapnya, lihat Mengekspor Bagian Kunci Privat dari Sertifikat Autentikasi Server.

Catatan

Jika Anda berencana untuk menyebarkan Layanan Pendaftaran Perangkat sebagai bagian dari menjalankan Layanan Federasi Direktori Aktif Anda di Windows Server 2012 R2, Anda harus mendapatkan sertifikasi SSL baru. Untuk informasi selengkapnya, lihat Mendaftarkan Sertifikat SSL untuk Layanan Federasi Direktori Aktif dan Mengonfigurasi server federasi dengan Layanan Pendaftaran Perangkat.

Untuk melihat penandatanganan token, dekripsi token, dan sertifikat komunikasi layanan yang digunakan, jalankan perintah Windows PowerShell berikut untuk membuat daftar semua sertifikat yang digunakan dalam file:

Get-ADFSCertificate | Out-File “.\certificates.txt”
  1. Ekspor properti layanan federasi Layanan Federasi Direktori Aktif, seperti nama layanan federasi, nama tampilan layanan federasi, dan pengidentifikasi server federasi ke file.

Untuk mengekspor properti layanan federasi, buka Windows PowerShell dan jalankan perintah berikut:

Get-ADFSProperties | Out-File “.\properties.txt”`.

File output akan berisi nilai konfigurasi penting berikut:

Nama Properti Layanan Federasi seperti yang dilaporkan oleh Get-ADFSProperties Nama Properti Layanan Federasi di konsol manajemen LAYANAN Federasi Direktori Aktif
HostName Nama Layanan Federasi
pengidentifikasi Pengidentifikasi Layanan Federasi
DisplayName Nama tampilan Layanan Federasi
  1. Cadangkan file konfigurasi aplikasi. Di antara pengaturan lainnya, file ini berisi string koneksi database kebijakan.

Untuk mencadangkan file konfigurasi aplikasi, Anda harus menyalin %programfiles%\Active Directory Federation Services 2.0\Microsoft.IdentityServer.Servicehost.exe.config file secara manual ke lokasi aman di server cadangan.

Catatan

Catat string koneksi database dalam file ini, yang terletak segera setelah "policystore connectionstring=". Jika string koneksi menentukan database SQL Server, nilai diperlukan saat memulihkan konfigurasi LAYANAN Federasi Direktori Aktif asli di server federasi.

Berikut ini adalah contoh wid string koneksi: “Data Source=\\.\pipe\mssql$microsoft##ssee\sql\query;Initial Catalog=AdfsConfiguration;Integrated Security=True". Berikut ini adalah contoh SQL Server string koneksi: "Data Source=databasehostname;Integrated Security=True".

  1. Catat identitas akun layanan federasi Layanan Federasi Direktori Aktif dan kata sandi akun ini.

Untuk menemukan nilai identitas, periksa kolom Masuk Sebagai Layanan Windows Ad FS 2.0 di konsol Layanan dan rekam nilai ini secara manual.

Catatan

Untuk layanan federasi yang berdiri sendiri, akun NETWORK SERVICE bawaan digunakan. Dalam hal ini, Anda tidak perlu memiliki kata sandi.

  1. Ekspor daftar titik akhir LAYANAN Federasi Direktori Aktif yang diaktifkan ke file.

Untuk melakukan ini, buka Windows PowerShell dan jalankan perintah berikut:

Get-ADFSEndpoint | Out-File “.\endpoints.txt”`.
  1. Ekspor deskripsi klaim kustom apa pun ke file.

Untuk melakukan ini, buka Windows PowerShell dan jalankan perintah berikut:

Get-ADFSClaimDescription | Out-File “.\claimtypes.txt”`.
  1. Jika Anda memiliki pengaturan kustom seperti useRelayStateForIdpInitiatedSignOn yang dikonfigurasi dalam file web.config, pastikan Anda mencadangkan file web.config untuk referensi. Anda dapat menyalin file dari direktori yang dipetakan ke jalur virtual "/adfs/ls" di IIS. Secara default, ada di direktori %systemdrive%\inetpub\adfs\ls .

Untuk mengekspor kepercayaan penyedia klaim dan mengandalkan kepercayaan pihak

  1. Untuk mengekspor kepercayaan penyedia klaim Layanan Federasi Direktori Aktif dan mengandalkan kepercayaan pihak, Anda harus masuk sebagai Administrator (namun, bukan sebagai Administrator Domain) ke server federasi Anda dan menjalankan skrip Windows PowerShell berikut yang terletak di folder media/server_support/adfs dari CD penginstalan Windows Server 2012 R2: export-federationconfiguration.ps1.

Penting

Skrip ekspor mengambil parameter berikut:

  • Export-FederationConfiguration.ps1 -Path <string> [-ComputerName <string>] [-Credential <pscredential>] [-Force] [-CertificatePassword <securestring>]

    • Export-FederationConfiguration.ps1 -String jalur <> [-ComputerName <string>] [-Credential <pscredential>] [-Force] [-CertificatePassword <securestring>] [-RelyingPartyTrustIdentifier <string[]>] [-ClaimsProviderTrustIdentifier <string[]>]
    • Export-FederationConfiguration.ps1 -String jalur <> [-ComputerName <string>] [-Credential <pscredential>] [-Force] [-CertificatePassword <securestring>] [-RelyingPartyTrustName <string[]>] [-ClaimsProviderTrustName <string[]>]

    -RelyingPartyTrustIdentifier <string[]> - cmdlet hanya mengekspor kepercayaan pihak yang mengandalkan yang pengidentifikasinya ditentukan dalam array string. Defaultnya adalah mengekspor NONE dari kepercayaan pihak yang mengandalkan. Jika tidak ada RelyingPartyTrustIdentifier, ClaimsProviderTrustIdentifier, RelyingPartyTrustName, dan ClaimsProviderTrustName yang ditentukan, skrip akan mengekspor semua kepercayaan pihak yang mengandalkan dan mengklaim kepercayaan penyedia.

    -ClaimsProviderTrustIdentifier <string[]> - cmdlet hanya mengekspor kepercayaan penyedia klaim yang pengidentifikasinya ditentukan dalam array string. Defaultnya adalah mengekspor NONE dari kepercayaan penyedia klaim.

    -RelyingPartyTrustName <string[]> - cmdlet hanya mengekspor kepercayaan pihak yang mengandalkan yang namanya ditentukan dalam array string. Defaultnya adalah mengekspor NONE dari kepercayaan pihak yang mengandalkan.

    -ClaimsProviderTrustName <string[]> - cmdlet hanya mengekspor kepercayaan penyedia klaim yang namanya ditentukan dalam array string. Defaultnya adalah mengekspor NONE dari kepercayaan penyedia klaim.

    -Path <string> - jalur ke folder yang akan berisi file yang diekspor.

    -ComputerName <string> - menentukan nama host server STS. Defaultnya adalah komputer lokal. Jika Anda memigrasikan Layanan Federasi Direktori Aktif 2.0 atau Layanan Federasi Direktori Aktif di Windows Server 2012 R2, ini adalah nama host server AD FS warisan.

    -Credential <PSCredential> - menentukan akun pengguna yang memiliki izin untuk melakukan tindakan ini. Defaultnya adalah pengguna saat ini.

    -Force – menentukan untuk tidak meminta konfirmasi pengguna.

    -CertificatePassword <SecureString> - menentukan kata sandi untuk mengekspor kunci privat sertifikat Layanan Federasi Direktori Aktif. Jika tidak ditentukan, skrip akan meminta kata sandi jika sertifikat LAYANAN Federasi Direktori Aktif dengan kunci privat perlu diekspor.

    Input: Tidak ada

    Output: string - cmdlet ini mengembalikan jalur folder ekspor. Anda dapat menyalurkan objek yang dikembalikan ke Import-FederationConfiguration.

Untuk mencadangkan penyimpanan atribut kustom

  1. Anda harus mengekspor semua penyimpanan atribut kustom secara manual yang ingin Anda simpan di farm AD FS baru Anda di Windows Server 2012 R2.

Catatan

Di Windows Server 2012 R2, Layanan Federasi Direktori Aktif memerlukan penyimpanan atribut kustom yang didasarkan pada .NET Framework 4.0 atau lebih tinggi. Ikuti instruksi di Microsoft .NET Framework 4.5 untuk menginstal dan menyiapkan .Net Framework 4.5.

Anda dapat menemukan informasi tentang penyimpanan atribut kustom yang digunakan oleh Layanan Federasi Direktori Aktif dengan menjalankan perintah Windows PowerShell berikut:

Get-ADFSAttributeStore

Langkah-langkah untuk meningkatkan atau memigrasikan penyimpanan atribut kustom bervariasi.

  1. Anda juga harus mengekspor semua file .dll secara manual dari penyimpanan atribut kustom yang ingin Anda simpan di farm LAYANAN Federasi Direktori Aktif baru Anda di Windows Server 2012 R2. Langkah-langkah untuk meningkatkan atau memigrasikan file .dll dari penyimpanan atribut kustom bervariasi.

Membuat farm server federasi Windows Server 2012 R2

  1. Instal sistem operasi Windows Server 2012 R2 di komputer yang ingin Anda fungsikan sebagai server federasi lalu tambahkan peran server LAYANAN Federasi Direktori Aktif. Untuk informasi selengkapnya, lihat Menginstal Layanan Peran Layanan Federasi Direktori Aktif. Kemudian konfigurasikan layanan federasi baru Anda baik melalui Wizard Konfigurasi Layanan Federasi Direktori Aktif atau melalui Windows PowerShell. Untuk informasi selengkapnya, lihat "Mengonfigurasi server federasi pertama di farm server federasi baru" di Mengonfigurasi Server Federasi.

Saat menyelesaikan langkah ini, Anda harus mengikuti instruksi berikut:

  • Anda harus memiliki hak istimewa Administrator Domain untuk mengonfigurasi layanan federasi Anda.

  • Anda harus menggunakan nama layanan federasi yang sama (nama farm) seperti yang digunakan dalam Layanan Federasi Direktori Aktif 2.0 atau Layanan Federasi Direktori Aktif di Windows Server 2012. Jika Anda tidak menggunakan nama layanan federasi yang sama, sertifikat yang Anda cadangkan tidak akan berfungsi di layanan federasi Windows Server 2012 R2 yang coba Anda konfigurasi.

  • Tentukan apakah ini adalah farm server federasi WID atau SQL Server. Jika ini adalah farm SQL, tentukan lokasi database SQL Server dan nama instans.

  • Anda harus menyediakan file pfx yang berisi sertifikat autentikasi server SSL yang Anda cadangkan sebagai bagian dari persiapan untuk proses migrasi Layanan Federasi Direktori Aktif.

  • Anda harus menentukan identitas akun layanan yang sama yang digunakan di Layanan Federasi Direktori Aktif 2.0 atau Layanan Federasi Direktori Aktif di farm Windows Server 2012.

  1. Setelah simpul awal dikonfigurasi, Anda dapat menambahkan simpul tambahan ke farm baru Anda. Untuk informasi selengkapnya, lihat "Menambahkan server federasi ke farm server federasi yang ada" di Mengonfigurasi Server Federasi.

Mengimpor data konfigurasi asli ke farm Layanan Federasi Direktori Aktif Windows Server 2012 R2

Sekarang setelah Anda memiliki farm server federasi Layanan Federasi Direktori Aktif yang berjalan di Windows Server 2012 R2, Anda dapat mengimpor data konfigurasi LAYANAN Federasi Direktori Aktif asli ke dalamnya.

  1. Impor dan konfigurasikan sertifikat AD FS kustom lainnya, termasuk sertifikat penandatanganan token dan token- dekripsi/enkripsi yang terdaftar secara eksternal, dan sertifikat komunikasi layanan jika berbeda dari sertifikat SSL.

Di konsol manajemen Layanan Federasi Direktori Aktif, pilih Sertifikat. Verifikasi komunikasi layanan, token-enkripsi/dekripsi, dan sertifikat penandatanganan token dengan memeriksa masing-masing terhadap nilai yang Anda ekspor ke dalam file certificates.txt saat mempersiapkan migrasi.

Untuk mengubah sertifikat pendekripsi token atau penandatanganan token dari sertifikat default yang ditandatangani sendiri ke sertifikat eksternal, Anda harus terlebih dahulu menonaktifkan fitur rollover sertifikat otomatis yang diaktifkan secara default. Untuk melakukan ini, Anda bisa menggunakan perintah Windows PowerShell berikut ini:

Set-ADFSProperties –AutoCertificateRollover $false

  1. Konfigurasikan pengaturan layanan Layanan Federasi Direktori Aktif kustom seperti AutoCertificateRollover atau masa pakai SSO menggunakan cmdlet Set-AdfsProperties.

  2. Untuk mengimpor kepercayaan pihak dan kepercayaan penyedia klaim yang mengandalkan Layanan Federasi Direktori Aktif, Anda harus masuk sebagai Administrator (namun, bukan sebagai Administrator Domain) ke server federasi Anda dan jalankan skrip Windows PowerShell berikut yang terletak di folder \support\adfs CD penginstalan Windows Server 2012 R2:

    import-federationconfiguration.ps1

Penting

Skrip impor mengambil parameter berikut:

  • Import-FederationConfiguration.ps1 -String jalur><[-ComputerName <string>] [-Credential <pscredential>] [-Force] [-LogPath <string>] [-CertificatePassword <securestring>]
  • Import-FederationConfiguration.ps1 -String jalur <> [-ComputerName <string>] [-Credential <pscredential>] [-Force] [-LogPath <string>] [-CertificatePassword <securestring] [-RelyingPartyTrustIdentifier <>string[]>] [-ClaimsProviderTrustIdentifier <string[]>
  • Import-FederationConfiguration.ps1 -String jalur><[-ComputerName <string>] [-Credential <pscredential>] [-Force] [-LogPath <string>] [-CertificatePassword <securestring>] [-RelyingPartyTrustName <string[]>] [-ClaimsProviderTrustName <string[]>]

-RelyingPartyTrustIdentifier <string[]> - cmdlet hanya mengimpor kepercayaan pihak yang mengandalkan yang pengidentifikasinya ditentukan dalam array string. Defaultnya adalah mengimpor NONE dari kepercayaan pihak yang mengandalkan. Jika tidak ada RelyingPartyTrustIdentifier, ClaimsProviderTrustIdentifier, RelyingPartyTrustName, dan ClaimsProviderTrustName yang ditentukan, skrip akan mengimpor semua kepercayaan pihak yang mengandalkan dan mengklaim kepercayaan penyedia.

-ClaimsProviderTrustIdentifier <string[]> - cmdlet hanya mengimpor kepercayaan penyedia klaim yang pengidentifikasinya ditentukan dalam array string. Defaultnya adalah mengimpor NONE dari kepercayaan penyedia klaim.

-RelyingPartyTrustName <string[]> - cmdlet hanya mengimpor kepercayaan pihak yang mengandalkan yang namanya ditentukan dalam array string. Defaultnya adalah mengimpor NONE dari kepercayaan pihak yang mengandalkan.

-ClaimsProviderTrustName <string[]> - cmdlet hanya mengimpor kepercayaan penyedia klaim yang namanya ditentukan dalam array string. Defaultnya adalah mengimpor NONE dari kepercayaan penyedia klaim.

-Path <string> - jalur ke folder yang berisi file konfigurasi yang akan diimpor.

String -LogPath <> - jalur ke folder yang akan berisi file log impor. File log bernama "import.log" akan dibuat di folder ini.

-ComputerName <string> - menentukan nama host server STS. Defaultnya adalah komputer lokal. Jika Anda memigrasikan Layanan Federasi Direktori Aktif 2.0 atau Layanan Federasi Direktori Aktif di Windows Server 2012 R2, parameter ini harus diatur ke nama host server AD FS warisan.

-Credential <PSCredential>- menentukan akun pengguna yang memiliki izin untuk melakukan tindakan ini. Defaultnya adalah pengguna saat ini.

-Force – menentukan untuk tidak meminta konfirmasi pengguna.

-CertificatePassword <SecureString> - menentukan kata sandi untuk mengimpor kunci privat sertifikat Layanan Federasi Direktori Aktif. Jika tidak ditentukan, skrip akan meminta kata sandi jika sertifikat LAYANAN Federasi Direktori Aktif dengan kunci privat perlu diimpor.

Input: string - perintah ini mengambil jalur folder impor sebagai input. Anda dapat menyalurkan Export-FederationConfiguration ke perintah ini.

Output: Tidak Ada.

Setiap spasi berikutnya di properti WSFedEndpoint dari kepercayaan pihak yang mengandalkan dapat menyebabkan kesalahan skrip impor. Dalam hal ini, hapus spasi secara manual dari file sebelum mengimpor. Misalnya, entri ini menyebabkan kesalahan:

<URI N="WSFedEndpoint">https://127.0.0.1:444 /</URI>

<URI N="WSFedEndpoint">https://myapp.cloudapp.net:83 /</URI>

Mereka harus diedit ke:

<URI N="WSFedEndpoint">https://127.0.0.1:444/</URI>

<URI N="WSFedEndpoint">https://myapp.cloudapp.net:83/</URI>

Penting

Jika Anda memiliki aturan klaim kustom (aturan selain aturan default Layanan Federasi Direktori Aktif) pada kepercayaan penyedia klaim Direktori Aktif dalam sistem sumber, ini tidak akan dimigrasikan oleh skrip. Ini karena Windows Server 2012 R2 memiliki default baru. Aturan kustom apa pun harus digabungkan dengan menambahkannya secara manual ke kepercayaan penyedia klaim Direktori Aktif di farm Windows Server 2012 R2 baru.

  1. Mengonfigurasi semua pengaturan titik akhir AD FS kustom. Di konsol Manajemen Layanan Federasi Direktori Aktif, pilih Titik Akhir. Periksa titik akhir Layanan Federasi Direktori Aktif yang diaktifkan terhadap daftar titik akhir Ad FS yang diaktifkan yang Anda ekspor ke file saat mempersiapkan migrasi Layanan Federasi Direktori Aktif.

    -Dan-

    Konfigurasikan deskripsi klaim kustom apa pun. Di konsol Manajemen Layanan Federasi Direktori Aktif, pilih Deskripsi Klaim. Periksa daftar deskripsi klaim Layanan Federasi Direktori Aktif terhadap daftar deskripsi klaim yang Anda ekspor ke file saat mempersiapkan migrasi Layanan Federasi Direktori Aktif. Tambahkan deskripsi klaim kustom yang disertakan dalam file Anda tetapi tidak disertakan dalam daftar default di Layanan Federasi Direktori Aktif. Perhatikan bahwa Pengidentifikasi klaim di konsol manajemen memetakan ke ClaimType dalam file.

  2. Instal dan konfigurasikan semua penyimpanan atribut kustom yang dicadangkan. Sebagai administrator, pastikan biner penyimpanan atribut kustom ditingkatkan ke .NET Framework 4.0 atau yang lebih tinggi sebelum memperbarui konfigurasi LAYANAN Federasi Direktori Aktif untuk mengarahkannya.

  3. Konfigurasikan properti layanan yang memetakan ke parameter file web.config warisan.

    • Jika useRelayStateForIdpInitiatedSignOn ditambahkan ke file web.config di LAYANAN Federasi Direktori Aktif 2.0 atau Layanan Federasi Direktori Aktif di farm Windows Server 2012, maka Anda harus mengonfigurasi properti layanan berikut di Layanan Federasi Direktori Aktif Anda di farm Windows Server 2012 R2:

      • Layanan Federasi Direktori Aktif di Windows Server 2012 R2 menyertakan file %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config . Buat elemen dengan sintaks yang sama dengan elemen file web.config : <useRelayStateForIdpInitiatedSignOn enabled="true" />. Sertakan elemen ini sebagai bagian dari bagian microsoft.identityserver.web> dari file Microsoft.IdentityServer.Servicehost.exe.config.<

    • Jika <persistIdentityProviderInformation enabled="true|false" lifetimeInDays="90" enablewhrPersistence="true|false" /> ditambahkan ke file web.config di Layanan Federasi Direktori Aktif 2.0 atau Layanan Federasi Direktori Aktif di farm Windows Server 2012, maka Anda harus mengonfigurasi properti layanan berikut di Layanan Federasi Direktori Aktif Anda di farm Windows Server 2012 R2:

      1. Di Layanan Federasi Direktori Aktif di Windows Server 2012 R2, jalankan perintah Windows PowerShell berikut: Set-AdfsWebConfig –HRDCookieEnabled –HRDCookieLifetime.

    • Jika <singleSignOn enabled="true|false" /> ditambahkan ke file web.config di LAYANAN Federasi Direktori Aktif 2.0 atau Layanan Federasi Direktori Aktif di farm Windows Server 2012, Anda tidak perlu mengatur properti layanan tambahan apa pun di Layanan Federasi Direktori Aktif Anda di farm Windows Server 2012 R2. Akses menyeluruh diaktifkan secara default di Layanan Federasi Direktori Aktif di farm Windows Server 2012 R2.

    • Jika pengaturan localAuthenticationTypes ditambahkan ke file web.config di layanan federasi direktori aktif 2.0 atau LAYANAN Federasi Direktori Aktif di farm Windows Server 2012, maka Anda harus mengonfigurasi properti layanan berikut di Layanan Federasi Direktori Aktif Anda di farm Windows Server 2012 R2:

      • Daftar Terintegrasi, Formulir, TlsClient, Transformasi Dasar menjadi Layanan Federasi Direktori Aktif yang setara di Windows Server 2012 R2 memiliki pengaturan kebijakan autentikasi global untuk mendukung layanan federasi dan jenis autentikasi proksi. Pengaturan ini dapat dikonfigurasi di Layanan Federasi Direktori Aktif di Snap-in Manajemen di bawah Kebijakan Autentikasi.

    Setelah mengimpor data konfigurasi asli, Anda dapat menyesuaikan halaman masuk Layanan Federasi Direktori Aktif sesuai kebutuhan. Untuk informasi selengkapnya, lihat Mengkustomisasi Halaman Masuk ADFS.

Langkah berikutnya

Memigrasikan Layanan Peran Layanan Federasi Direktori Aktif ke Windows Server 2012 R2Bersiap untuk Memigrasikan ServerFederasi Layanan Federasi Direktori Aktif yang Memigrasikan ProksiServer Federasi Layanan Federasi Direktori Aktif Memverifikasi Migrasi Layanan Federasi Direktori Aktif ke Windows Server 2012 R2