Aggiornamento ad AD FS in Windows Server 2016 con SQL Server

  • Articolo

Importante

Piuttosto di effettuare l'upgrade alla versione più recente di AD FS, Microsoft consiglia vivamente di eseguire la migrazione a Microsoft Entra ID. Per altre informazioni, vedere Risorse per la rimozione delle autorizzazioni di AD FS

Nota

Iniziare un aggiornamento solo con un intervallo di tempo definitivo pianificato per il completamento. Non è consigliabile mantenere AD FS in uno stato in modalità mista per un lungo periodo di tempo, perché l'uscita da AD FS in uno stato in modalità mista può causare problemi con la farm.

Lo spostamento da una farm di Windows Server 2012 R2 AD ADFS in una farm ADFS a Windows Server 2016

Il documento seguente viene descritto come eseguire l'aggiornamento della farm di Server Windows ADFS 2012 R2 ad ADFS in Windows Server 2016 quando si usa SQL Server per il database AD FS.

Aggiornamento di ADFS per Windows Server 2016 FBL

Novità di ADFS per Windows Server 2016 è la funzionalità di livello il comportamento di farm (FBL). Questa funzionalità è per l'intera farm e determina le funzionalità che consente la farm di ADFS. Per impostazione predefinita, il FBL in una farm di Windows Server 2012 R2 AD ADFS si trova il FBL di Windows Server 2012 R2.

Un server ADFS di Windows Server 2016 può essere aggiunto a una farm di Windows Server 2012 R2 e sarà attivo il FBL stesso come Windows Server 2012 R2. Quando si dispone di un server ADFS di Windows Server 2016 opera in questo modo, la farm viene detto "misto". Tuttavia, non sarà in grado di sfruttare le nuove funzionalità di Windows Server 2016 fino a quando non viene generato il FBL a Windows Server 2016. Con una farm mista:

  • Gli amministratori possono aggiungere nuovi server federativi di Windows Server 2016 a una farm di Windows Server 2012 R2 esistente. Di conseguenza, la farm in "modalità mista" e opera a livello di comportamento di farm di Windows Server 2012 R2. Per garantire un comportamento coerente nella farm, nuove funzionalità di Windows Server 2016 non può essere configurata o utilizzata in questa modalità.

  • Dopo che tutti i server federativi di Windows Server 2012 R2 sono stati rimossi dalla farm in modalità mista e dopo che uno dei nuovi server federativi di Windows Server 2016 è stato promosso al ruolo del nodo primario, l'amministratore può generare FBL da Windows Server 2012 R2 a Windows Server 2016. Di conseguenza, le nuove funzionalità di Windows Server ADFS 2016 può quindi essere configurata e utilizzata.

  • Di conseguenza della funzionalità di farm misto, AD FS Windows Server 2012 R2, le organizzazioni che desiderano eseguire l'aggiornamento a Windows Server 2016 non saranno necessario distribuire una farm completamente nuova, esportare e importare dati di configurazione. Invece, possono aggiungere Windows Server 2016 nodi a una farm esistente mentre è in linea e che solo il tempo di inattività relativamente breve coinvolti nella raise FBL.

In modalità mista farm, la farm di ADFS non è in grado di nuove funzionalità o funzionalità introdotta in ADFS in Windows Server 2016. Le organizzazioni che vogliono provare le nuove funzionalità non possono farlo finché non viene generata l'FBL. Pertanto, se l'organizzazione esegue la ricerca per testare le nuove funzionalità prima di FBL rasing, è necessario distribuire una farm separata.

Il resto del documento fornisce i passaggi per l'aggiunta di un server federativo di Windows Server 2016 in un ambiente Windows Server 2012 R2. Questi passaggi sono stati eseguiti in un ambiente di test descritto nel diagramma dell'architettura riportato di seguito.

Nota

Prima di poter passare ad ADFS in Windows Server 2016 FBL, è necessario rimuovere tutti i nodi di Windows 2012 R2. Non appena l'aggiornamento di un sistema operativo di Windows Server 2012 R2 a Windows Server 2016 ed è diventato un nodo 2016. È necessario rimuoverlo e sostituirlo con un nuovo nodo 2016.

Nota

Se i gruppi AlwaysOnAvailability o la replica di tipo merge sono configurati in AD FS, rimuovere tutte le repliche di tutti i database AD FS prima di aggiornare e puntare tutti i nodi al database SQL primario. Dopo aver eseguito questa operazione, eseguire l'aggiornamento della farm come documentato. Dopo l'aggiornamento, aggiungere gruppi AlwaysOnAvailability o eseguire il merge della replica nei nuovi database.

Il diagramma dell'architettura seguente illustra la configurazione usata per convalidare e registrare i passaggi seguenti.

Architecture

Aggiungere il server AD FS di Windows 2016 alla farm AD FS

  1. Utilizzando Server Manager installa il ruolo di Active Directory Federation Services in Windows Server 2016

  2. Utilizzando la procedura guidata configurazione di ADFS, aggiungere il nuovo server di Windows Server 2016 alla farm ADFS esistente. Nella schermata iniziale fare clic su Avanti. Screenshot that shows the Welcome screen in the AD FS Configuration wizard.

  3. Nella schermata Connessione ad Active Directory Domain Servicesspecificare un account amministratore con autorizzazioni per eseguire la configurazione dei servizi federativi e fare clic su Avanti.

  4. Nella schermata Specifica farm immettere il nome del server SQL e dell'istanza e quindi fare clic su Avanti. Screenshot that shows the Specify Farm screen in the AD FS Configuration wizard.

  5. Nella schermata Specifica certificato SSL specificare il certificato e fare clic su Avanti. Join farm

  6. Nella schermata Specificare l'account del servizio specificare l'account del servizio e fare clic su Avanti.

  7. Nella schermata Opzioni di revisione esaminare le opzioni e fare clic su Avanti.

  8. Nella schermata Controlli prerequisiti verificare che tutti i controlli dei prerequisiti siano stati superati e fare clic su Configura.

  9. Nella schermata Risultati verificare che il server sia stato configurato correttamente e fare clic su Chiudi.

Rimuovere l'adattatore AD FS di Windows Server 2012 R2

Nota

Non è necessario impostare il server AD FS primario usando Set-AdfsSyncProperties -Role quando si usa SQL come database. Ciò è dovuto al fatto che tutti i nodi sono considerati primari in questa configurazione.

  1. Nel server AD FS di Windows Server 2012 R2 in Server Manager usare Rimuovere ruoli e funzionalità in Gestisci. Screenshot that highlights the Remove Roles and Features menu option.
  2. Nella schermata Prima di iniziare fare clic su Avanti.
  3. Nella schermata Selezione server, fare clic su Avanti.
  4. Nella schermata Ruoli del server, rimuovere il segno di spunta accanto a Active Directory Federation Services e fare clic su Avanti. Remove server
  5. Nella schermata Funzionalità, fare clic su Avanti.
  6. Nella schermata Conferma, fare clic su Rimuovi.
  7. Al termine della rimozione delle funzionalità, riavviare il server.

Aumentare il livello di comportamento della farm (FBL)

Prima di questo passaggio è necessario assicurarsi che la preparazione della foresta e la preparazione del dominio siano state eseguite nell'ambiente Active Directory e che Active Directory abbia lo schema di Windows Server 2016. Questo documento è stato avviato con un controller di dominio Windows 2016 e non ha richiesto la loro esecuzione perché sono stati eseguiti durante l'installazione di Active Directory.

Nota

Prima di avviare il processo seguente, verificare che Windows Server 2016 sia aggiornato eseguendo Windows Update da Impostazioni. Continuare questo processo fino a quando non sono necessari altri aggiornamenti. Assicurarsi inoltre che l'account dell'account del servizio AD FS disponga delle autorizzazioni amministrative per il server SQL e per ogni server nella farm AD FS.

  1. A questo punto aprire PowerShell nel Server di Windows Server 2016 ed eseguire $cred = Get-Credential, quindi premere INVIO.
  2. Immettere le credenziali con privilegi di amministratore in SQL Server.
  3. Ora in PowerShell immettere quanto segue: Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred
  4. Quando richiesto, digitare Y. Verrà avviato l'aumento del livello. AL termine, si è generata correttamente l'FBL. Finish Update
  5. A questo punto, se si passa a Gestione AD FS, verranno visualizzati i nuovi nodi.
  6. Analogamente, è possibile utilizzare il cmdlet PowerShell: Get-AdfsFarmInformation per mostrarvi FBL corrente. Screenshot that shows how to use the Get-AdfsFarmInformation cmdlet to show your current F B L.

Aggiornare la versione di configurazione dei server WAP esistenti

  1. In ogni proxy applicazione Web riconfigurare WAP eseguendo il comando di PowerShell seguente in una finestra con privilegi elevati: 
    $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred
  2. Rimuovere i server precedenti dal cluster e mantenere solo i server WAP che eseguono la versione più recente del server, riconfigurati in precedenza, eseguendo il comando di PowerShell seguente. 
    Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2
  3. Controllare la configurazione di WAP eseguendo il comando Get-WebApplicationProxyConfiguration. ConnectedServersName rifletterà il server eseguito dal comando precedente. 
    Get-WebApplicationProxyConfiguration
  4. Per aggiornare ConfigurationVersion dei server WAP, eseguire il comando di PowerShell seguente. 
    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
  5. Verificare che ConfigurationVersion sia stato aggiornato con il comando PowerShell Get-WebApplicationProxyConfiguration.