SQL Server を使用した Windows Server 2016 の AD FS へのアップグレード

重要

マイクロソフトでは、最新バージョンの AD FS にアップグレードするのではなく、Microsoft Entra ID へ移行することを強くお勧めしています。 詳細については、AD FS の使用停止に関するリソースの記事を参照してください

注意

完了を計画した明確な時間枠でのみアップグレードを開始します。 AD FS を混合モード状態のままにするとファームで問題が発生する可能性があるため、AD FS を長時間混合モードに保つことはお勧めしません。

Windows Server 2012 R2 AD FS ファームを Windows Server 2016 AD FS ファームに移動する

この記事では、WINDOWS Server 2016 で AD FS Windows Server 2012 R2 ファームを AD FS にアップグレードする方法について説明します。 この手順は、AD FS データベースに SQL Server を使用する場合に適用されます。

AD FS を Windows Server 2016 FBL にアップグレードする

Ad FS for Windows Server 2016 の新機能は、ファーム動作レベル機能 (FBL) です。 この機能はファーム全体で、AD FS ファームで使用できる機能を決定します。 既定では、Windows Server 2012 R2 AD FS ファームの FBL は Windows Server 2012 R2 FBL にあります。

Windows Server 2016 AD FS サーバーは Windows Server 2012 R2 ファームに追加でき、Windows Server 2012 R2 と同じ FBL で動作します。 この方法で動作する Windows Server 2016 AD FS サーバーの場合、ファームは "混在" と言われます。ただし、Windows Server 2016 の新しい機能は、FBL が Windows Server 2016 に提供されるまで使用できません。

混合ファームを操作する重要な機能の一部を次に示します。

• 管理者は、既存の Windows Server 2012 R2 ファームに新しい Windows Server 2016 フェデレーション サーバーを追加できます。 その結果、ファームは "混合モード" になり、Windows Server 2012 R2 ファームの動作レベルが動作します。 ファーム全体で一貫した動作を保証するために、新しい Windows Server 2016 機能を構成したり、このモードで使用したりすることはできません。

• 管理者は、混合モード ファームからすべての Windows Server 2012 R2 フェデレーション サーバーを削除できます。 このシナリオでは、新しい Windows Serve 2016 フェデレーション サーバーの 1 つがプライマリ ノードの役割に昇格されます。 管理者は、Windows Server 2012 R2 から Windows Server 2016 に FBL を発生させることができます。 その結果、AD FS Windows Server 2016 の新しい機能を構成して使用できます。

• Windows Server 2016 にアップグレードする AD FS Windows Server 2012 R2 組織は、まったく新しいファームを展開したり、構成データをエクスポートおよびインポートしたりする必要はありません。 代わりに、Windows Server 2016 ノードをオンライン状態で既存のサーバーファームに追加でき、FBL 上げに関連する比較的短いダウンタイムのみが発生します。

混合ファーム モードでは、AD FS ファームは、Windows Server 2016 の AD FS で導入された新機能を使用できません。 新しい機能を試したい組織は、FBL が発生した後にこれを行うことができます。 組織が FBL を上げる前に新しい機能をテストする場合は、別のファームをデプロイする必要があります。

この記事の残りの部分では、Windows Server 2012 R2 環境に Windows Server 2016 フェデレーション サーバーを追加する手順について説明します。 これらの手順は、次のアーキテクチャ図で概説されているテスト環境で実行されました。

注意

Windows Server 2016 FBL で AD FS に移行するには、すべての Windows 2012 R2 ノードを削除する必要があります。 Windows Server 2012 R2 OS を Windows Server 2016 にアップグレードして、自動的に 2016 ノードにすることはできません。 これを削除し、新しい 2016 ノードに置き換える必要があります。

AlwaysOnAvailability グループまたはマージ レプリケーションが AD FS で構成されている場合は、アップグレードする前に AD FS データベースのすべてのレプリケーションを削除し、すべてのノードをプライマリ SQL データベースにポイントします。 これらのタスクを完了したら、説明に従ってファームのアップグレードを実行します。 アップグレードが完了したら、AlwaysOnAvailability グループを追加するか、新しいデータベースにレプリケーションをマージします。

次のアーキテクチャ図は、次の手順を検証して記録するために使用されたセットアップを示しています。

Windows 2016 AD FS サーバーを AD FS ファームに参加させる

1. サーバー マネージャーで、Windows Server 2016 に Active Directory フェデレーション サービスの役割をインストールします。

2. AD FS 構成ウィザードで、新しい Windows Server 2016 サーバーを既存の AD FS ファームに参加させます。

3. [ようこそ] 画面で、[フェデレーション サーバー ファームにフェデレーション サーバーを追加する] を選択し、[次へ] を選択します。

4. [ Active Directory Domain Services への接続 ] 画面で、フェデレーション サービスの構成を実行するアクセス許可を持つ 管理者アカウントを指定 し、[ 次へ] を選択します。

5. [ ファームの指定 ] 画面で、SQL サーバーとインスタンスの名前を入力し、[ 次へ] を選択します。

   

6. [ SSL 証明書の指定 ] 画面で、証明書を指定し、[ 次へ] を選択します。

   

7. [ サービス アカウントの指定] 画面で、サービス アカウントを指定し、[ 次へ] を選択します。

8. [ オプションの確認] 画面で、オプションを確認し、[ 次へ] を選択します。

9. 前提条件チェック画面 で 、すべての前提条件チェックに合格したことを確認し、[ 構成] を選択します。

10. [ 結果 ] 画面で、サーバーが正常に構成されていることを確認し、[ 閉じる] を選択します。

Windows Server 2012 R2 AD FS サーバーを削除する

次の手順では、Windows Server 2012 R2 AD FS サーバーを削除します。

注意

SQL をデータベースとして使用する場合は、 Set-AdfsSyncProperties -Role コマンドを使用してプライマリ AD FS サーバーを設定する必要はありません。 この構成では、すべてのノードがプライマリと見なされます。

1. サーバー マネージャーで、Windows Server 2012 R2 AD FS サーバーに移動します。 [ 管理] で、[ ロールと機能の削除] を選択します。

   

2. [ 開始する前 に] 画面で [ 次へ] を選択し、[ サーバーの選択 ] 画面で [ 次へ] を選択します。

3. [ サーバーの役割] 画面で、[ Active Directory フェデレーション サービス ] オプションをオフにして、[ 次へ] を選択します。

   

4. [ 機能 ] 画面で、[ 次へ] を選択します。

5. 確認画面で、[削除] を選択します。

6. 機能の削除が完了したら、サーバーを再起動します。

ファーム動作レベル (FBL) を引き上げる

次の手順では、サーバーの FBL を引き上げます。

重要

このセクションのプロセスを続行する前に、次の前提条件を確認してください。

• Active Directory 環境でフォレストとドメインの準備プロセスが完了していること、および Active Directory に Windows Server 2016 スキーマがあることを確認します。 この記事で説明する手順は、Windows 2016 ドメイン コントローラーで開始されたアーキテクチャに基づいています。 このアーキテクチャ例では、タスクは AD インストール プロセスに含まれているため、このセクションの手順は必要ありません。

• [設定] から Windows Update を実行して、Windows Server 2016 が最新であることを確認します。 それ以上の更新が必要なくなるまで、更新プロセスを続行します。

• AD FS サービス アカウントに、SQL サーバーと ADFS ファーム内の各サーバーに対する管理アクセス許可があることを確認します。

1. Windows Server 2016 Server で PowerShell を開き、次のコマンドを実行します。

   $cred = Get-Credential
   

2. SQL Server で管理者特権を持つ資格情報を入力します。

3. PowerShell で、次のコマンドを入力します。

   Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred
   

4. プロンプトで Y (はい) を選択して、レベルの引き上げを開始します。 操作が完了した後、あなたは FBL を正常に引き上げました。

   

   AD FS 管理に移動すると、新しいノードが表示されます。

5. PowerShell コマンドレット Get-AdfsFarmInformation を使用して、現在の FBL を表示できます。

   

既存の WAP サーバーの構成バージョンをアップグレードする

1. 各 Web アプリケーション プロキシで、管理者特権ウィンドウで次の PowerShell コマンドを実行して WAP を再構成します。

   $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
   Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred
   

2. 次のコマンドを実行して、クラスターから古いサーバーを削除し、最新のサーバー バージョン (以前に再構成) を実行している WAP サーバーのみを保持します。

   Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2
   

3. 次のコマンドを実行して、WAP の構成を確認します。 ConnectedServersName値は、前のコマンドからのサーバーの実行を反映します。

   Get-WebApplicationProxyConfiguration
   

4. WAP サーバーの ConfigurationVersion をアップグレードするには、次の PowerShell コマンドを実行します。

   Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
   

5. Get-WebApplicationProxyConfiguration コマンドをもう一度実行し、ConfigurationVersionがアップグレードされていることを確認します。