Aggiornare una farm AD FS esistente tramite database interno di Windows
Importante
Piuttosto di effettuare l'upgrade alla versione più recente di AD FS, Microsoft consiglia vivamente di eseguire la migrazione a Microsoft Entra ID. Per altre informazioni, vedere Risorse per la rimozione delle autorizzazioni di AD FS
Questo articolo illustra come aggiornare il livello di comportamento della farm per Active Directory Federation Services (AD FS) tramite database interno di Windows (WID). A partire da Windows Server 2016, il livello di comportamento della farm è stato introdotto in AD FS. FBL è un'impostazione a livello di farm che determina le funzionalità che la farm AD FS può usare.
Gli amministratori possono aggiungere nuovi server federativi a una farm di Windows Server esistente in modalità mista. La modalità mista opera allo stesso livello di comportamento della farm originale per garantire un comportamento coerente. Le funzionalità delle versioni più recenti di Windows Server AD FS non possono essere configurate o usate.
Prerequisiti
Prima di poter aggiornare il livello di comportamento della farm, è necessario soddisfare i prerequisiti seguenti:
Determinare a quale versione di Windows Server eseguire l'aggiornamento.
Distribuire la versione di Windows Server di destinazione in un nuovo computer, applicare tutti gli aggiornamenti di Windows e installare il ruolo del server Active Directory Federation Service. Per altre informazioni, vedere Aggiungere un server federativo a una server farm federativa esistente.
Se si usa anche Windows Server Web Application Proxy, distribuire la versione di Windows Server di destinazione in un nuovo computer, applicare tutti gli aggiornamenti di Windows e installare il ruolo server accesso remoto e il servizio ruolo Proxy applicazione Web. Per altre informazioni, vedere Uso del proxy applicazione Web.
Se si esegue l'aggiornamento ad AD FS in Windows Server 2016 o versione successiva, l'aggiornamento della farm richiede che lo schema di AD sia almeno di livello 85. Se si esegue l'aggiornamento a Windows Server AD FS 2019 o versione successiva, lo schema di AD deve essere almeno 88. Per altre informazioni sull'aggiornamento del dominio, vedere Aggiornare i controller di dominio a una versione più recente di Windows Server.
Disporre di un intervallo di tempo definito pianificato per il completamento. Non è consigliabile usare uno stato in modalità mista per un lungo periodo di tempo. Lasciare AD FS in uno stato in modalità mista potrebbe causare problemi con la farm.
Eseguire il backup della configurazione di AD FS e dei server federativi.
Livelli di comportamento della farm
Per impostazione predefinita, l'FBL in una nuova farm AD FS corrisponde al valore per la versione di Windows Server del primo nodo della farm installata.
È possibile aggiungere un server AD FS di una versione successiva a una farm con un FBL inferiore. La farm opera allo stesso FBL dei nodi esistenti. Quando sono presenti più versioni di Windows Server che operano nella stessa farm con il valore FBL della versione più bassa, la farm è "mista". Tuttavia, non è possibile sfruttare le funzionalità delle versioni successive fino a quando non si genera l'FBL. Se l'organizzazione sta cercando di testare le nuove funzionalità prima di generare l'FBL, è necessario distribuire una farm separata.
Nella tabella seguente sono elencati i possibili valori FBL e i nomi dei database di configurazione in base alla versione di Windows Server.
| Versione di Windows Server | Valore FBL | Nome del database di configurazione di AD FS |
|---|---|---|
| 2012 R2 | 1 | AdfsConfiguration |
| 2016 | 3 | AdfsConfigurationV3 |
| 2019 e 2022 | 4 | AdfsConfigurationV4 |
Nota
L'aggiornamento dell'FBL crea un nuovo database di configurazione di AD FS.
Dopo aver compreso lo scopo dell'FBL e aver completato i prerequisiti, si è pronti per esaminare l'FBL corrente.
Per trovare l'FBL corrente:
Accedere al server federativo e aprire una sessione di PowerShell con privilegi elevati.
Eseguire il comando di PowerShell seguente per restituire le informazioni correnti su FBL e nodo della farm.
Get-AdfsFarmInformationEsaminare
CurrentFarmBehavioreFarmNodes.
Eseguire la migrazione dei server federativi
Dopo avere raccolto le informazioni della farm federativa corrente, è possibile avviare il processo di aggiornamento. Per iniziare l'aggiornamento:
Aggiungere il nuovo server federativo alla farm esistente. Per altre informazioni, vedere Aggiungere un server federativo a una server farm federativa esistente.
Accedere al nuovo server federativo, quindi aprire una sessione di PowerShell con privilegi elevati. Se sono presenti più server, eseguire questo comando solo in un server.
Impostare la proprietà di sincronizzazione server federativo per assumere il ruolo computer primario eseguendo il comando seguente. Per altre informazioni, vedere Set-AdfsSyncProperties.
Set-AdfsSyncProperties -Role PrimaryComputerAccedere a qualsiasi altro server federativo nella farm, aprire una sessione di PowerShell con privilegi elevati.
Impostare il ruolo come computer secondario eseguendo il comando seguente.
Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName "<primary-server-FQDN>"Aggiornare eventuali configurazioni di bilanciamento del carico, DNS o di rete per usare i nuovi server federativi, verificando che il server sia operativo. Per altre informazioni, vedere Verificare che Windows Server 2012 R2 Federation Server sia operativo.
Disinstallare il ruolo del server Active Directory Federation Service dai server precedenti, quindi eseguire il comando seguente per rimuovere le voci non aggiornate.
Set-AdfsFarmInformation -RemoveNode "<old-server-FQDN>"
Dopo aver creato il nuovo server federativo nella farm e avere rimosso quelli precedenti, è possibile aggiornare il file FBL. Per altre informazioni sulla rimozione delle autorizzazioni, vedere Passaggi per rimuovere le autorizzazioni dei server AD FS.
Aggiornare il livello di comportamento della farm
Dopo avere raccolto le informazioni della farm federativa corrente, è possibile avviare il processo di aggiornamento. Per iniziare l'aggiornamento:
Accedere al server federativo primario, quindi aprire una sessione di PowerShell con privilegi elevati.
Eseguire il comando seguente per verificare se è possibile aumentare il livello di comportamento di una farm.
Test-AdfsFarmBehaviorLevelRaiseDopo avere esaminato l'output, per aggiornare il livello di comportamento della farm, eseguire il comando seguente. Verrà chiesto se si desidera procedere.
Invoke-AdfsFarmBehaviorLevelRaiseEsaminare l'output del comando per verificare che l'operazione sia riuscita. Per verificare il nuovo livello di comportamento della farm, eseguire il comando di PowerShell seguente per restituire le informazioni correnti su FBL e nodo della farm.
Get-AdfsFarmInformation
L'FBL è stato aggiornato in modo che corrisponda alla versione di Windows Server di destinazione. Se si usa anche il servizio ruolo Proxy applicazione Web Windows Server, passare alla sezione successiva.
Aggiornare il proxy applicazione Web
Dopo aver aggiornato l'FBL, è necessario aggiornare il proxy applicazione Web (WAP) al livello più recente.
Accedere al server proxy applicazione Web appena distribuito e aprire una sessione di PowerShell con privilegi elevati.
Importare il certificato usato dal certificato federativo e prendere nota dell'identificazione personale del certificato.
Per configurare WAP, eseguire il comando di PowerShell seguente, sostituendo il segnaposto
<value>con i propri valori. Ripetere questo passaggio per altri server proxy applicazione Web.$trustcred = Get-Credential -Message "<Enter Domain Administrator credentials>" Install-WebApplicationProxy -CertificateThumbprint "<SSLCertThumbprint>" -FederationServiceName "<FScomputername>" -FederationServiceTrustCredential $trustcredPer esaminare i server proxy applicazione Web connessi correnti, eseguire il comando seguente e prendere nota dei valori
ConnectedServerNameeConfigurationVersion.Get-WebApplicationProxyConfigurationNota
Ignorare il passaggio successivo se ConfigurationVersion è
Windows Server 2016. Questo è il valore corretto per Proxy applicazione Web in Windows Server 2016 e versioni successive.Rimuovere i server proxy applicazione Web precedenti, mantenendo solo i nuovi server configurati nei passaggi precedenti eseguendo il cmdlet di PowerShell seguente:
Set-WebApplicationProxyConfiguration -ConnectedServersName "WAPServerName1", "WAPServerName2"Per aggiornare ConfigurationVersion dei server WAP, eseguire il comando di PowerShell seguente:
Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
L'aggiornamento del proxy applicazione Web è stato completato.
Modello di attendibilità dei certificati con Windows Hello for Business
Se si usa AD FS in Windows Server 2019 o versione successiva e Windows Hello for Business in un modello di attendibilità dei certificati, è possibile che venga visualizzato il seguente messaggio di errore del registro eventi.
Received invalid Oauth request. The client 'NAME' is forbidden to access the resource with scope 'ugs'.
Per correggere l'errore:
Aprire la console di gestione di AD FS. Passare a Servizi> Descrizioni ambito.
Fare clic con il pulsante destro del mouse su Descrizioni ambito e selezionare Aggiungi descrizione ambito.
Nel nome immettere ug e quindi selezionare Applica > OK.
Avviare PowerShell come amministratore ed eseguire i comandi seguenti.
$id = (Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier Set-AdfsApplicationPermission -TargetIdentifier $id -AddScope 'ugs'Riavviare il servizio AD FS.
riavvia il client. All'utente deve essere richiesto di configurare Windows Hello for Business.
Passaggi successivi
Dopo aver aggiornato la distribuzione di AD FS, ecco alcuni articoli che potrebbero risultare utili.