Bagikan melalui

Tingkatkan ke Layanan Federasi Direktori Aktif di Windows Server 2016 dengan SQL Server

Penting

Alih-alih memutakhirkan ke versi terbaru Layanan Federasi Direktori Aktif, Microsoft sangat menyarankan untuk bermigrasi ke ID Microsoft Entra. Untuk informasi selengkapnya, lihat Sumber Daya untuk menonaktifkan Layanan Federasi Direktori Aktif

Catatan

Hanya mulai peningkatan dengan kerangka waktu definitif yang direncanakan untuk penyelesaian. Tidak disarankan untuk menyimpan Layanan Federasi Direktori Aktif dalam status mode campuran untuk jangka waktu yang lama, karena meninggalkan Layanan Federasi Direktori Aktif dalam status mode campuran dapat menyebabkan masalah dengan farm.

Memindahkan farm Layanan Federasi Direktori Aktif Windows Server 2012 R2 ke farm Layanan Federasi Direktori Aktif Windows Server 2016

Artikel ini menjelaskan cara memutakhirkan farm AD FS Windows Server 2012 R2 Anda ke Layanan Federasi Direktori Aktif di Windows Server 2016. Langkah-langkah ini berlaku saat Anda menggunakan SQL Server untuk database Layanan Federasi Direktori Aktif.

Meningkatkan Layanan Federasi Direktori Aktif ke Windows Server 2016 FBL

Baru di Layanan Federasi Direktori Aktif untuk Windows Server 2016 adalah fitur tingkat perilaku farm (FBL). Fitur ini berukuran luas dan menentukan fitur yang dapat digunakan farm LAYANAN Federasi Direktori Aktif. Secara default, FBL di farm Layanan Federasi Direktori Aktif Windows Server 2012 R2 berada di FBL Windows Server 2012 R2.

Server Layanan Federasi Direktori Aktif Windows Server 2016 dapat ditambahkan ke farm Windows Server 2012 R2 dan beroperasi di FBL yang sama dengan Windows Server 2012 R2. Untuk server Layanan Federasi Direktori Aktif Windows Server 2016 yang beroperasi dengan cara ini, farm Anda dikatakan "campuran." Namun, fitur Windows Server 2016 baru tidak tersedia sampai FBL dinaikkan ke Windows Server 2016.

Berikut adalah beberapa fitur signifikan dari bekerja dengan farm campuran:

  • Administrator dapat menambahkan server federasi Windows Server 2016 baru ke farm Windows Server 2012 R2 yang sudah ada. Akibatnya, farm berada dalam "mode campuran" dan mengoperasikan tingkat perilaku farm Windows Server 2012 R2. Untuk memastikan perilaku yang konsisten di seluruh farm, fitur Windows Server 2016 baru tidak dapat dikonfigurasi atau digunakan dalam mode ini.

  • Administrator dapat menghapus semua server federasi Windows Server 2012 R2 dari farm mode campuran. Dalam skenario ini, salah satu server federasi Windows Serve 2016 baru dipromosikan ke peran simpul utama. Administrator kemudian dapat menaikkan FBL dari Windows Server 2012 R2 ke Windows Server 2016. Akibatnya, fitur Ad FS Windows Server 2016 baru kemudian dapat dikonfigurasi dan digunakan.

  • Organisasi AD FS Windows Server 2012 R2 yang ingin meningkatkan ke Windows Server 2016 tidak perlu menyebarkan farm yang sama sekali baru atau mengekspor dan mengimpor data konfigurasi. Sebagai gantinya, mereka dapat menambahkan simpul Windows Server 2016 ke farm yang ada saat online dan hanya menimbulkan waktu henti yang relatif singkat yang terlibat dalam peningkatan FBL.

Dalam mode farm campuran, farm LAYANAN Federasi Direktori Aktif tidak mampu melakukan fitur atau fungsionalitas baru apa pun yang diperkenalkan dalam Layanan Federasi Direktori Aktif di Windows Server 2016. Organisasi yang ingin mencoba fitur baru dapat melakukannya setelah FBL dinaikkan. Jika organisasi Anda ingin menguji fitur baru sebelum menaikkan FBL, Anda perlu menyebarkan farm terpisah.

Sisa artikel ini menyediakan langkah-langkah untuk menambahkan server federasi Windows Server 2016 ke lingkungan Windows Server 2012 R2. Langkah-langkah ini dilakukan di lingkungan pengujian yang diuraikan oleh diagram arsitektur berikut.

Catatan

Sebelum Anda dapat pindah ke Layanan Federasi Direktori Aktif di Windows Server 2016 FBL, Anda harus menghapus semua simpul Windows 2012 R2. Anda tidak dapat memutakhirkan OS Windows Server 2012 R2 ke Windows Server 2016 dan membuatnya secara otomatis menjadi simpul 2016. Anda perlu menghapusnya dan menggantinya dengan simpul 2016 baru.

Jika grup AlwaysOnAvailability atau replikasi penggabungan dikonfigurasi di Layanan Federasi Direktori Aktif, hapus semua replikasi database Layanan Federasi Direktori Aktif apa pun sebelum Anda meningkatkan dan mengarahkan semua simpul ke database SQL Utama. Setelah Anda menyelesaikan tugas-tugas ini, lakukan peningkatan farm seperti yang dijelaskan. Setelah Anda menyelesaikan peningkatan, tambahkan grup AlwaysOnAvailability atau gabungkan replikasi ke database baru.

Diagram arsitektur berikut menunjukkan penyiapan yang digunakan untuk memvalidasi dan merekam langkah-langkah berikut.

Diagram yang memperlihatkan arsitektur yang disiapkan untuk prosedur yang dijelaskan dalam artikel ini.

Menggabungkan Server Layanan Federasi Direktori Aktif Windows 2016 ke farm Layanan Federasi Direktori Aktif

  1. Di Manajer Server, instal Peran Layanan Federasi Direktori Aktif di Windows Server 2016.

  2. Dalam wizard Konfigurasi Layanan Federasi Direktori Aktif, gabungkan server Windows Server 2016 baru ke farm Layanan Federasi Direktori Aktif yang ada.

  3. Pada layar Selamat Datang, pilih Tambahkan server federasi ke farm server federasi, lalu pilih Berikutnya.

  4. Pada layar Koneksi ke Active Directory Domain Services, tentukan akun administrator dengan izin untuk melakukan konfigurasi layanan federasi, dan pilih Berikutnya.

  5. Pada layar Tentukan Farm, masukkan nama server dan instans SQL lalu pilih Berikutnya.

    Cuplikan layar yang memperlihatkan layar Tentukan Farm di wizard Konfigurasi Layanan Federasi Direktori Aktif.

  6. Pada layar Tentukan Sertifikat SSL, tentukan sertifikat, dan pilih Berikutnya.

    Cuplikan layar yang memperlihatkan cara menentukan sertifikat untuk bergabung dengan farm.

  7. Pada layar Tentukan Akun Layanan, tentukan akun layanan, dan pilih Berikutnya.

  8. Pada layar Tinjau Opsi, tinjau opsi dan pilih Berikutnya.

  9. Pada layar Pemeriksaan Prasyarat, pastikan semua pemeriksaan prasyarat diteruskan, lalu pilih Konfigurasikan.

  10. Pada layar Hasil, pastikan server berhasil dikonfigurasi, lalu pilih Tutup.

Menghapus server Layanan Federasi Direktori Aktif Windows Server 2012 R2

Langkah-langkah berikut menghapus server Layanan Federasi Direktori Aktif Windows Server 2012 R2.

Catatan

Anda tidak perlu mengatur server LAYANAN Federasi Direktori Aktif utama dengan Set-AdfsSyncProperties -Role perintah saat Anda menggunakan SQL sebagai database. Semua simpul dianggap utama dalam konfigurasi ini.

  1. Di Manajer Server, buka server Layanan Federasi Direktori Aktif Windows Server 2012 R2. Di bawah Kelola, pilih Hapus Peran dan Fitur:

    Cuplikan layar yang memperlihatkan cara menghapus peran dan fitur.

  2. Pada layar Sebelum Anda Mulai, pilih Berikutnya, dan pada Layar Pemilihan Server, pilih Berikutnya.

  3. Pada layar Peran Server, hapus centang opsi Layanan Federasi Direktori Aktif, dan pilih Berikutnya.

    Cuplikan layar yang memperlihatkan cara menghapus server dengan membatalkan pilihan opsi Layanan Federasi Direktori Aktif.

  4. Pada Layar Fitur, pilih Berikutnya.

  5. Pada Layar Konfirmasi, pilih Hapus.

  6. Setelah penghapusan fitur selesai, mulai ulang server.

Tingkatkan Perilaku Farm (FBL)

Langkah-langkah berikut menaikkan FBL untuk server.

Penting

Sebelum Anda melanjutkan proses di bagian ini, tinjau prasyarat berikut:

  • Pastikan proses persiapan untuk forest dan domain selesai di lingkungan Direktori Aktif Anda dan Direktori Aktif memiliki skema Windows Server 2016. Prosedur yang dijelaskan dalam artikel ini didasarkan pada arsitektur yang dimulai dengan pengendali domain Windows 2016. Contoh arsitektur tidak memerlukan langkah-langkah di bagian ini karena tugas disertakan dengan proses penginstalan AD.

  • Pastikan Windows Server 2016 terkini dengan menjalankan Windows Update dari Pengaturan. Lanjutkan proses pembaruan hingga tidak ada pembaruan lebih lanjut yang diperlukan.

  • Pastikan akun layanan Layanan Federasi Direktori Aktif Anda memiliki izin administratif di server SQL dan setiap server di farm ADFS.

  1. Pada Windows Server 2016 Server, buka PowerShell dan jalankan perintah berikut:

    $cred = Get-Credential

  2. Masukkan kredensial dengan hak istimewa admin di SQL Server.

  3. Di PowerShell, masukkan perintah berikut:

    Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred

  4. Pada perintah, pilih Y (ya) untuk mulai menaikkan tingkat. Setelah operasi selesai, Anda berhasil menaikkan FBL.

    Cuplikan layar yang menunjukkan cara mulai menaikkan tingkat FBL dan menyelesaikan proses pembaruan.

    Jika Anda membuka Manajemen Layanan Federasi Direktori Aktif, Anda akan melihat simpul baru.

  5. Anda dapat menggunakan cmdlet Get-AdfsFarmInformation PowerShell untuk menunjukkan kepada Anda FBL saat ini:

    Cuplikan layar yang memperlihatkan cara menggunakan cmdlet Get-AdfsFarmInformation untuk menampilkan FBL Anda saat ini.

Meningkatkan versi konfigurasi server WAP yang ada

  1. Pada setiap Proksi Aplikasi Web, konfigurasi ulang WAP dengan menjalankan perintah PowerShell berikut di jendela yang ditingkatkan:

    $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred

  2. Jalankan perintah berikut untuk menghapus server lama dari kluster dan hanya menyimpan server WAP yang menjalankan versi server terbaru (dikonfigurasi ulang sebelumnya):

    Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2

  3. Jalankan perintah berikut untuk memeriksa konfigurasi WAP. Nilai ConnectedServersName mencerminkan server yang dijalankan dari perintah sebelumnya:

    Get-WebApplicationProxyConfiguration

  4. Untuk memutakhirkan ConfigurationVersion server WAP, jalankan perintah PowerShell berikut ini:

    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion

  5. Jalankan Get-WebApplicationProxyConfiguration perintah lagi dan verifikasi telah ditingkatkan ConfigurationVersion .