Meningkatkan farm Layanan Federasi Direktori Aktif yang ada dengan menggunakan Database Internal Windows

Penting

Alih-alih memutakhirkan ke versi terbaru Layanan Federasi Direktori Aktif, Microsoft sangat menyarankan untuk bermigrasi ke ID Microsoft Entra. Untuk informasi selengkapnya, lihat Sumber Daya untuk menonaktifkan Layanan Federasi Direktori Aktif

Dalam artikel ini, Anda mempelajari cara meningkatkan tingkat perilaku farm untuk Layanan Federasi Direktori Aktif (AD FS) dengan menggunakan Database Internal Windows (WID). Mulai Windows Server 2016, tingkat perilaku farm (FBL) diperkenalkan ke Layanan Federasi Direktori Aktif. FBL adalah pengaturan di seluruh farm yang menentukan fitur yang dapat digunakan farm Layanan Federasi Direktori Aktif.

Administrator dapat menambahkan server federasi baru ke farm Windows Server yang ada dalam "mode campuran." Mode campuran beroperasi pada tingkat perilaku farm yang sama dengan farm asli untuk memastikan perilaku yang konsisten. Fitur versi Layanan Federasi Direktori Aktif Windows Server yang lebih baru tidak dapat dikonfigurasi atau digunakan.

Prasyarat

Sebelum dapat meningkatkan tingkat perilaku farm, Anda harus memenuhi prasyarat berikut:

• Tentukan versi Windows Server mana yang akan dimutakhirkan.

• Sebarkan versi Windows Server target di komputer baru, terapkan semua Pembaruan Windows, dan instal peran server Layanan Federasi Direktori Aktif. Untuk informasi selengkapnya, lihat Menambahkan server federasi ke farm server federasi yang sudah ada.

• Jika Anda juga menggunakan Windows Server Web Proksi Aplikasi, sebarkan versi Windows Server target di komputer baru, terapkan semua Pembaruan Windows, dan instal peran server Akses Jarak Jauh dan layanan peran Web Proksi Aplikasi. Untuk informasi selengkapnya, lihat Bekerja dengan web Proksi Aplikasi.

• Jika Anda meningkatkan ke Layanan Federasi Direktori Aktif di Windows Server 2016 atau yang lebih baru, peningkatan farm mengharuskan skema AD setidaknya tingkat 85. Jika Anda memutakhirkan ke di Windows Server AD FS 2019 atau yang lebih baru, skema AD harus setidaknya 88. Untuk informasi selengkapnya tentang memutakhirkan domain Anda, lihat Meningkatkan pengontrol domain ke versi Windows Server yang lebih baru.

• Memiliki kerangka waktu yang ditentukan yang direncanakan untuk penyelesaian. Tidak disarankan untuk mengoperasikan status mode campuran untuk jangka waktu yang lama. Meninggalkan Layanan Federasi Direktori Aktif dalam status mode campuran dapat menyebabkan masalah dengan farm.

• Cadangkan konfigurasi LAYANAN Federasi Direktori Aktif dan server federasi Anda.

Tingkat perilaku farm

Secara default, FBL di farm Layanan Federasi Direktori Aktif baru cocok dengan nilai untuk versi Windows Server dari simpul farm pertama yang diinstal.

Anda dapat bergabung dengan server Layanan Federasi Direktori Aktif dari versi yang lebih baru ke farm dengan FBL yang lebih rendah. Farm beroperasi pada FBL yang sama dengan node yang ada. Ketika Anda memiliki beberapa versi Windows Server yang beroperasi di farm yang sama pada nilai FBL versi terendah, farm Anda adalah "campuran." Namun, Anda tidak dapat memanfaatkan fitur versi yang lebih baru sampai Anda menaikkan FBL. Jika organisasi Anda ingin menguji fitur baru sebelum menaikkan FBL, Anda perlu menyebarkan farm terpisah.

Tabel berikut ini mencantumkan kemungkinan nilai FBL dan nama database konfigurasi menurut versi Windows Server.

Versi Windows Server	Nilai FBL	Nama Database Konfigurasi Layanan Federasi Direktori Aktif
2012 R2	1	AdfsConfiguration
2016	3	AdfsConfigurationV3
2019 dan 2022	4	AdfsConfigurationV4

Catatan

Memutakhirkan FBL membuat database konfigurasi AD FS baru.

Sekarang setelah Anda memahami tujuan FBL dan telah menyelesaikan prasyarat, Anda siap untuk meninjau FBL Anda saat ini.

Untuk menemukan FBL Anda saat ini:

1. Masuk ke server federasi Anda dan buka sesi PowerShell yang ditingkatkan.

2. Jalankan perintah PowerShell berikut untuk mengembalikan informasi simpul FBL dan farm saat ini.

   Get-AdfsFarmInformation
   

3. CurrentFarmBehavior Tinjau dan FarmNodes.

Memigrasikan server federasi

Setelah mengumpulkan informasi farm federasi saat ini, Anda siap untuk memulai proses peningkatan. Untuk memulai peningkatan:

1. Tambahkan server federasi baru ke farm Anda yang sudah ada. Untuk informasi selengkapnya, lihat Menambahkan server federasi ke farm server federasi yang sudah ada.

2. Masuk ke server federasi baru Anda, lalu buka sesi PowerShell yang ditingkatkan. Jika Anda memiliki lebih dari satu server, hanya jalankan perintah ini pada satu server.

3. Atur properti sinkronisasi server federasi untuk mengambil peran komputer utama dengan menjalankan perintah berikut. Untuk informasi selengkapnya, lihat Set-AdfsSyncProperties.

   Set-AdfsSyncProperties -Role PrimaryComputer
   

4. Masuk ke server federasi lain di farm, buka sesi PowerShell yang ditingkatkan.

5. Atur peran menjadi komputer sekunder dengan menjalankan perintah berikut.

   Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName "<primary-server-FQDN>"
   

6. Perbarui load balancer, DNS, atau konfigurasi jaringan apa pun untuk menggunakan server federasi baru, memverifikasi bahwa server beroperasi. Untuk informasi selengkapnya, lihat Memverifikasi Server Federasi Windows Server 2012 R2 Anda Beroperasi.

7. Hapus instalan peran server Layanan Federasi Direktori Aktif dari server sebelumnya, lalu jalankan perintah berikut untuk menghapus entri usang.

   Set-AdfsFarmInformation -RemoveNode "<old-server-FQDN>"
   

Sekarang setelah Anda memiliki server federasi baru Anda untuk farm dan menghapus yang sebelumnya, Anda siap untuk meningkatkan FBL. Untuk informasi selengkapnya tentang penonaktifan, lihat Langkah-langkah untuk menonaktifkan Server Layanan Federasi Direktori Aktif Anda.

Tingkatkan Tingkat Perilaku Farm

Setelah mengumpulkan informasi farm federasi saat ini, Anda siap untuk memulai proses peningkatan. Untuk memulai peningkatan:

1. Masuk ke server federasi utama Anda, lalu buka sesi PowerShell yang ditingkatkan.

2. Jalankan perintah berikut untuk menguji apakah Anda dapat meningkatkan tingkat perilaku farm.

   Test-AdfsFarmBehaviorLevelRaise
   

3. Setelah Anda meninjau output, untuk meningkatkan tingkat perilaku farm, jalankan perintah berikut. Anda akan diminta jika ingin melanjutkan.

   Invoke-AdfsFarmBehaviorLevelRaise
   

4. Tinjau output perintah untuk mengonfirmasi bahwa operasi berhasil. Untuk memverifikasi tingkat perilaku farm baru, jalankan perintah PowerShell berikut untuk mengembalikan informasi simpul FBL dan farm saat ini.

   Get-AdfsFarmInformation
   

Anda sekarang telah memutakhirkan FBL agar sesuai dengan versi Windows Server target Anda. Jika Anda juga menggunakan layanan peran Windows Server Web Proksi Aplikasi, lanjutkan ke bagian berikutnya.

Memutakhirkan Proksi Aplikasi Web

Setelah memperbarui FBL, Anda perlu memutakhirkan Web Proksi Aplikasi (WAP) ke tingkat terbaru.

1. Masuk ke server Web Proksi Aplikasi yang baru disebarkan dan buka sesi PowerShell yang ditingkatkan.

2. Impor sertifikat yang digunakan oleh sertifikat federasi, dan catat thumbprint sertifikat.

3. Untuk mengonfigurasi WAP, jalankan perintah PowerShell berikut, ganti tempat penampung <value> dengan nilai Anda sendiri. Ulangi langkah ini untuk server Proksi Aplikasi Web lainnya.

   $trustcred = Get-Credential -Message "<Enter Domain Administrator credentials>"
   Install-WebApplicationProxy -CertificateThumbprint "<SSLCertThumbprint>" -FederationServiceName "<FScomputername>" -FederationServiceTrustCredential $trustcred
   

4. Untuk meninjau server Proksi Aplikasi Web yang tersambung saat ini, jalankan perintah berikut, perhatikan ConnectedServerName nilai dan ConfigurationVersion .

   Get-WebApplicationProxyConfiguration
   

   Catatan

   Lewati langkah berikutnya jika ConfigurationVersion adalah Windows Server 2016. Ini adalah nilai yang benar untuk Web Proksi Aplikasi pada Windows Server 2016 dan yang lebih baru.

5. Hapus server web Proksi Aplikasi lama, hanya menyimpan server baru yang dikonfigurasi di langkah-langkah sebelumnya dengan menjalankan cmdlet PowerShell berikut:

   Set-WebApplicationProxyConfiguration -ConnectedServersName "WAPServerName1", "WAPServerName2"
   

6. Untuk meningkatkan ConfigurationVersion server WAP, jalankan perintah PowerShell berikut:

   Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
   

Anda sekarang telah menyelesaikan pemutakhiran Proksi Aplikasi Web.

Model kepercayaan sertifikat dengan Windows Hello untuk Bisnis

Jika Anda menggunakan Layanan Federasi Direktori Aktif di Windows Server 2019 atau yang lebih baru, dan Windows Hello untuk Bisnis dalam model kepercayaan sertifikat, Anda mungkin mengalami pesan kesalahan log peristiwa berikut.

Received invalid Oauth request. The client 'NAME' is forbidden to access the resource with scope 'ugs'.

Untuk memperbaiki kesalahan ini:

1. Buka konsol manajemen Layanan Federasi Direktori Aktif. Buka Deskripsi Cakupan Layanan>.

2. Klik kanan Deskripsi Cakupan dan pilih Tambahkan Deskripsi Cakupan.

3. Di bawah nama, masukkan ugs, lalu pilih Terapkan > OK.

4. Luncurkan PowerShell sebagai Administrator dan jalankan perintah berikut.

   $id = (Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
   Set-AdfsApplicationPermission -TargetIdentifier $id -AddScope 'ugs'
   

5. Mulai ulang layanan AD FS.

6. Mulai ulang klien. Pengguna harus diminta untuk mengonfigurasi Windows Hello untuk Bisnis.

Langkah berikutnya

Sekarang setelah Anda meningkatkan penyebaran Layanan Federasi Direktori Aktif, berikut adalah beberapa artikel yang mungkin berguna bagi Anda.

• Verifikasi bahwa Server Federasi Beroperasi
• Verifikasi bahwa Proksi Server Federasi Beroperasi
• Operasi Layanan Federasi Direktori Aktif