Bersiap untuk Memigrasikan Server Federasi Ad FS 2.0 ke Layanan Federasi Direktori Aktif di Windows Server 2012 R2
Dokumen ini menjelaskan cara memigrasikan farm server federasi Ad FS 2.0 atau Windows Server 2012 ke farm Layanan Federasi Direktori Aktif Windows Server 2012 R2. Langkah-langkah dapat digunakan dengan farm Layanan Federasi Direktori Aktif yang menggunakan WID atau SQL Server sebagai database yang mendasarinya.
Fungsionalitas Layanan Federasi Direktori Aktif baru di Windows Server 2012 R2
Persyaratan Layanan Federasi Direktori Aktif di Windows Server 2012 R2
Kerangka Proses Migrasi
Untuk menyelesaikan migrasi farm server federasi Layanan Federasi Direktori Aktif Anda ke Windows Server 2012 R2, Anda harus menyelesaikan tugas-tugas berikut:
- Ekspor, rekam, dan cadangkan data konfigurasi berikut di farm Layanan Federasi Direktori Aktif yang ada. Untuk instruksi terperinci tentang cara menyelesaikan tugas-tugas ini, lihat Memigrasikan Server Federasi Layanan Federasi Direktori Aktif.
Pengaturan berikut dimigrasikan dengan skrip yang terletak di folder \support\adfs pada CD penginstalan Windows Server 2012 R2:
Kepercayaan penyedia klaim, dengan pengecualian aturan klaim kustom pada kepercayaan penyedia Klaim Direktori Aktif. Untuk informasi selengkapnya, lihat Memigrasikan Server Federasi Layanan Federasi Direktori Aktif.
Mengandalkan kepercayaan pihak.
Ad FS dibuat secara internal, penandatanganan token yang ditandatangani sendiri dan sertifikat dekripsi token.
Salah satu pengaturan kustom berikut harus dimigrasikan secara manual:
Pengaturan layanan:
Sertifikat penandatanganan token non-default dan dekripsi token yang dikeluarkan oleh perusahaan atau otoritas sertifikasi publik.
Sertifikat autentikasi server SSL yang digunakan oleh Layanan Federasi Direktori Aktif.
Sertifikat komunikasi layanan yang digunakan oleh Layanan Federasi Direktori Aktif (secara default, ini adalah sertifikat yang sama dengan sertifikat SSL.
Nilai non-default untuk properti layanan federasi apa pun, seperti AutoCertificateRollover atau masa pakai SSO.
Pengaturan titik akhir AD FS non-default dan deskripsi klaim.
Aturan klaim kustom pada kepercayaan penyedia klaim Direktori Aktif.
- Kustomisasi halaman masuk Layanan Federasi Direktori Aktif
Untuk informasi selengkapnya, lihat Memigrasikan Server Federasi Layanan Federasi Direktori Aktif.
Buat farm server federasi Windows Server 2012 R2.
Impor data konfigurasi asli ke farm Layanan Federasi Direktori Aktif Windows Server 2012 R2 yang baru ini.
Konfigurasikan dan sesuaikan halaman masuk Layanan Federasi Direktori Aktif.
Fungsionalitas Layanan Federasi Direktori Aktif baru di Windows Server 2012 R2
Perubahan fungsionalitas Layanan Federasi Direktori Aktif berikut di Windows Server 2012 R2 memengaruhi migrasi dari Layanan Federasi Direktori Aktif 2.0 atau Layanan Federasi Direktori Aktif di Windows Server 2012:
Dependensi IIS
- Layanan Federasi Direktori Aktif di Windows Server 2012 R2 dihost sendiri dan tidak memerlukan penginstalan IIS. Pastikan Anda mencatat hal berikut sebagai akibat dari perubahan ini:
- Manajemen sertifikat SSL untuk server federasi dan komputer proksi di farm Layanan Federasi Direktori Aktif Anda sekarang harus dilakukan melalui Windows PowerShell.
Perubahan pada pengaturan dan kustomisasi halaman masuk Layanan Federasi Direktori Aktif
- Di Layanan Federasi Direktori Aktif di Windows Server 2012 R2, ada beberapa perubahan yang dimaksudkan untuk meningkatkan pengalaman masuk bagi administrator dan pengguna. Halaman web yang dihosting IIS yang ada di versi AD FS sebelumnya sekarang dihapus. Tampilan dan nuansa halaman web masuk Layanan Federasi Direktori Aktif dihost sendiri di Layanan Federasi Direktori Aktif dan sekarang dapat disesuaikan untuk menyesuaikan pengalaman pengguna. Perubahan tersebut meliputi:
- Menyesuaikan pengalaman masuk Layanan Federasi Direktori Aktif, termasuk penyesuaian nama perusahaan, logo, ilustrasi, dan deskripsi masuk.
- Menyesuaikan pesan kesalahan.
- Menyesuaikan pengalaman ADFS Home Realm Discovery, yang mencakup hal-hal berikut:
- Mengonfigurasi idP Anda untuk menggunakan akhiran email tertentu.
- Mengonfigurasi daftar penyedia identitas per pihak yang mengandalkan.
- Melewati Home Realm Discovery untuk intranet.
- Membuat tema web kustom.
Untuk petunjuk terperinci tentang mengonfigurasi tampilan dan nuansa halaman masuk Layanan Federasi Direktori Aktif, lihat Menyesuaikan Halaman Masuk Layanan Federasi Direktori Aktif.
Jika Anda memiliki kustomisasi halaman web di farm Layanan Federasi Direktori Aktif yang sudah ada yang ingin Anda migrasikan ke Windows Server 2012 R2, Anda dapat membuatnya kembali sebagai bagian dari proses migrasi menggunakan fitur kustomisasi baru di Windows Server 2012 R2.
Perubahan lain
Layanan Federasi Direktori Aktif di Windows Server 2012 R2 didasarkan pada Windows Identity Foundation (WIF) 3.5, bukan WIF 4.5. Oleh karena itu, beberapa fitur spesifik WIF 4.5 (misalnya, klaim Kerberos dan kontrol akses dinamis) tidak didukung di Layanan Federasi Direktori Aktif di Windows Server 2012 R2.
Device Registration Service (DRS) di Windows Server 2012 R2 beroperasi pada port 443; ClientTLS untuk autentikasi sertifikat pengguna beroperasi pada port 49443
Untuk klien aktif non-browser yang menggunakan autentikasi mode transportasi sertifikat yang secara khusus dikodekan secara permanen untuk menunjuk ke port 443, perubahan kode diperlukan untuk terus menggunakan autentikasi sertifikat pengguna pada port 49443.
Untuk aplikasi pasif, tidak diperlukan perubahan karena LAYANAN Federasi Direktori Aktif mengalihkan ke port yang benar untuk autentikasi sertifikat pengguna.
Port firewall antara klien dan proksi harus mengaktifkan lalu lintas port 49443 untuk diteruskan untuk autentikasi sertifikat pengguna.
Persyaratan Layanan Federasi Direktori Aktif di Windows Server 2012 R2
Agar berhasil memigrasikan farm Layanan Federasi Direktori Aktif Anda ke Windows Server 2012 R2, Anda harus memenuhi persyaratan berikut:
Agar LAYANAN Federasi Direktori Aktif berfungsi, setiap komputer yang Ingin Anda jadikan federasi harus digabungkan ke domain.
Agar Layanan Federasi Direktori Aktif yang berjalan di Windows Server 2012 R2 berfungsi, domain Direktori Aktif Anda harus menjalankan salah satu hal berikut:
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
Jika Anda berencana menggunakan Akun Layanan Terkelola grup (gMSA) sebagai akun layanan untuk Layanan Federasi Direktori Aktif, Anda harus memiliki setidaknya satu pengendali domain di lingkungan Anda yang berjalan pada sistem operasi Windows Server 2012 atau Windows Server 2012 R2.
Jika Anda berencana untuk menyebarkan Device Registration Service (DRS) untuk Ad Workplace Join sebagai bagian dari penyebaran AD FS Anda, skema AD DS perlu diperbarui ke tingkat Windows Server 2012 R2. Ada tiga cara untuk memperbarui skema:
- Di forest Direktori Aktif yang ada, jalankan adprep /forestprep dari folder \support\adprep dari DVD sistem operasi Windows Server 2012 R2 pada server 64-bit apa pun yang menjalankan Windows Server 2008 atau yang lebih baru. Dalam hal ini, tidak ada pengontrol domain tambahan yang perlu diinstal, dan tidak ada pengontrol domain yang ada yang perlu ditingkatkan.
Untuk menjalankan adprep/forestprep, Anda harus menjadi anggota grup Admin Skema, grup Admin Perusahaan, dan grup Admin Domain domain yang menghosting master skema.
- Di forest Direktori Aktif yang ada, instal pengendali domain yang menjalankan Windows Server 2012 R2. Dalam hal ini, adprep /forestprep berjalan secara otomatis sebagai bagian dari penginstalan pengendali domain.
Selama penginstalan pengendali domain, Anda mungkin perlu menentukan kredensial tambahan untuk menjalankan adprep /forestprep.
- Buat forest Direktori Aktif baru dengan menginstal AD DS di server yang menjalankan Windows Server 2012 R2. Dalam hal ini, adprep /forestprep tidak perlu dijalankan karena skema awalnya akan dibuat dengan semua kontainer dan objek yang diperlukan untuk mendukung DRS.
Dukungan SQL Server untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2
Jika Anda ingin membuat farm Layanan Federasi Direktori Aktif dan menggunakan SQL Server untuk menyimpan data konfigurasi, Anda dapat menggunakan SQL Server 2008 dan versi yang lebih baru, termasuk SQL Server 2012.
Meningkatkan batas Windows PowerShell Anda
Jika Anda memiliki lebih dari 1000 kepercayaan penyedia klaim dan mengandalkan kepercayaan pihak di farm Layanan Federasi Direktori Aktif Anda, atau jika Anda melihat kesalahan berikut saat mencoba menjalankan alat ekspor/impor migrasi Layanan Federasi Direktori Aktif, Anda harus meningkatkan batas Windows PowerShell Anda:
'Exception of type 'System.OutOfMemoryException' was thrown. At E:\dev\ds\security\ADFSv2\Product\Migration\Export-FederationConfiguration.ps1:176 char:21 + $configData = Invoke-Command -ScriptBlock $GetConfig -Argume ...
Kesalahan ini dilemparkan karena batas memori default sesi Windows PowerShell terlalu rendah. Di Windows PowerShell 2.0, memori default sesi adalah 150MB. Di Windows PowerShell 3.0, memori default sesi adalah 1024MB. Anda dapat memverifikasi batas memori sesi jarak jauh Windows PowerShell menggunakan perintah berikut: Get-Item wsman:localhost\Shell\MaxMemoryPerShellMB. Anda dapat meningkatkan batas dengan menjalankan perintah berikut: Set-Item wsman:localhost\Shell\MaxMemoryPerShellMB 512.
Tugas dan pertimbangan migrasi lainnya
Agar berhasil memigrasikan farm Layanan Federasi Direktori Aktif Anda ke Windows Server 2012 R2, pastikan Anda mengetahui hal berikut:
Skrip migrasi yang terletak di folder \support\adfs pada CD penginstalan Windows Server 2012 R2 mengharuskan Anda mempertahankan nama farm server federasi yang sama dan nama identitas akun layanan yang Anda gunakan di farm AD FS warisan Anda saat Anda memigrasikannya ke Windows Server 2012 R2.
Jika Anda ingin memigrasikan farm Layanan Federasi Direktori Aktif SQL Server, perhatikan bahwa proses migrasi melibatkan pembuatan instans database SQL baru tempat Anda harus mengimpor data konfigurasi asli.
Langkah berikutnya
Memigrasikan Layanan Peran Layanan Federasi Direktori Aktif ke Windows Server 2012 R2Memigrasikan ServerFederasi Layanan Federasi Direktori Aktif yang Memigrasikan ProksiServer Federasi Layanan Federasi Direktori Aktif Memverifikasi Migrasi Layanan Federasi Direktori Aktif ke Windows Server 2012 R2
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk