SQL Server を使用した Windows Server 2016 の AD FS へのアップグレード

  • [アーティクル]

重要

マイクロソフトでは、最新バージョンの AD FS にアップグレードするのではなく、Microsoft Entra ID へ移行することを強くお勧めしています。 詳細については、AD FS の使用停止に関するリソースの記事を参照してください

注意

アップグレードは、完了までの最終的な期間が計画されている場合のみ開始してください。 AD FS を混在モード状態のままにするとファームで問題が発生する可能性があるため、長時間にわたって AD FS を混在モード状態にしておくことはお勧めしません。

Windows Server 2012 R2 AD FS ファームから Windows Server 2016 AD FS ファームに移行する

以下のドキュメントでは、AD FS データベースに SQL Server を使用している場合に、AD FS Windows Server 2012 R2 ファームを Windows Server 2016 の AD FS にアップグレードする方法について説明します。

AD FS を Windows Server 2016 FBL にアップグレードする

Windows Server 2016 の AD FS の新機能として、ファーム動作レベル (FBL) 機能があります。 この機能は、ファーム全体に作用し、AD FS ファームで使用できる機能を決定します。 既定では、Windows Server 2012 R2 AD FS ファームの FBL は、Windows Server 2012 R2 FBL です。

Windows Server 2016 AD FS サーバーは、Windows Server 2012 R2 ファームに追加でき、Windows Server 2012 R2 と同じ FBL で動作します。 この方法で動作する Windows Server 2016 AD FS サーバーがある場合、そのファームは "混在" と呼ばれます。 ただし、FBL が Windows Server 2016 に引き上げられるまで、Windows Server 2016 の新しい機能を利用することはできません。 混在ファームでは、以下のようになります。

  • 管理者は、既存の Windows Server 2012 R2 ファームに新しい Windows Server 2016 フェデレーション サーバーを追加できます。 その結果、そのファームは "混在モード" になり、Windows Server 2012 R2 のファーム動作レベルで動作します。 ファーム全体で一貫した動作を確保するために、Windows Server 2016 の新機能をこのモードで構成したり使用したりすることはできません。

  • すべての Windows Server 2012 R2 フェデレーション サーバーが混在モードのファームから削除された後、新しい Windows Server 2016 フェデレーション サーバーの 1 つがプライマリ ノードの役割に昇格されると、管理者は Windows Server 2012 R2 から Windows Server 2016 に FBL を引き上げることができます。 その結果、AD FS Windows Server 2016 のすべての新しい機能を構成および使用できるようになります。

  • ファーム機能が混在しているため、Windows Server 2016 へのアップグレードを検討している AD FS Windows Server 2012 R2 組織では、まったく新しいファームを展開して、構成データをエクスポートおよびインポートする必要はありません。 その代わりに、オンライン中に既存のファームに Windows Server 2016 ノードを追加することで、FBL の引き上げに伴うダウンタイムを比較的短くすることができます。

混在ファーム モードの間、AD FS ファームでは、Windows Server 2016 の AD FS に導入された新しい機能を利用できません。 組織は、新しい機能を試そうとしても、FBL が引き上げられるまではこれを行えません。 そのため、FBL の引き上げ前に新しい機能をテストすることを組織で検討している場合、別のファームを展開することが必要になります。

このドキュメントの残りの部分では、Windows Server 2016 フェデレーション サーバーを Windows Server 2012 R2 環境に追加する手順について説明します。 これらの手順は、下のアーキテクチャ図に示されているテスト環境で実行されています。

注意

Windows Server 2016 FBL の AD FS に移行するには、その前に Windows Server 2012 R2 ノードをすべて削除しておく必要があります。 単に Windows Server 2012 R2 の OS を Windows Server 2016 にアップグレードして、それを 2016 ノードにすることはできません。 それを一旦削除してから、新しい 2016 ノードに置き換える必要があります。

注意

AlwaysOnAvailability グループやマージ レプリケーションが AD FS で構成されている場合は、アップグレードの前にすべての AD FS データベースのすべてのレプリケーションを削除し、すべてのノードがプライマリ SQL データベースをポイントするようにします。 これを実行してから、ドキュメントに従ってファームのアップグレードを実行します。 アップグレード後、新しいデータベースに AlwaysOnAvailability グループやマージ レプリケーションを追加します。

次のアーキテクチャ図は、以下の手順を検証して記録するために使用されたセットアップを示しています。

Architecture

Windows 2016 AD FS サーバーを AD FS ファームに参加させる

  1. サーバー マネージャーを使用して、Windows Server 2016 に Active Directory フェデレーション サービス (AD FS) の役割をインストールします。

  2. AD FS 構成ウィザードを使用して、新しい Windows Server 2016 サーバーを既存の AD FS ファームに参加させます。 [ようこそ] 画面で、 [次へ] をクリックします。 Screenshot that shows the Welcome screen in the AD FS Configuration wizard.

  3. [Active Directory ドメイン サービスへの接続] 画面で、フェデレーション サービスの構成を実行するためのアクセス許可を使用して管理者アカウントを指定して、[次へ] をクリックします。

  4. [ファームの指定] 画面で、SQL サーバーとインスタンスの名前を入力してから、[次へ] をクリックします。 Screenshot that shows the Specify Farm screen in the AD FS Configuration wizard.

  5. [SSL 証明書の指定] 画面で、証明書を指定して、[次へ] をクリックします。 Join farm

  6. [サービス アカウントの指定] 画面で、サービス アカウントを指定して、[次へ] をクリックします。

  7. [オプションの確認] 画面で、オプションを確認して、[次へ] をクリックします。

  8. [Pre-requisites Checks] (前提条件チェック) 画面で、すべての前提条件チェックに合格したことを確認し、[構成] をクリックします。

  9. [結果] 画面で、サーバーが正常に構成されていることを確認し、[閉じる] をクリックします。

Windows Server 2012 R2 AD FS サーバーを削除する

注意

SQL をデータベースとして使用している場合、Set-AdfsSyncProperties -Role を使用してプライマリ AD FS サーバーを設定する必要はありません。 これは、この構成ではすべてのノードがプライマリと見なされるためです。

  1. Windows Server 2012 R2 AD FS サーバーのサーバーマ ネージャーで [管理] の下の[役割と機能の削除] を使用します。 Screenshot that highlights the Remove Roles and Features menu option.
  2. [開始する前に] 画面で、[次へ] をクリックします。
  3. [サーバーの選択] 画面で、[次へ] をクリックします。
  4. [サーバーの役割] 画面で、[Active Directory フェデレーション サービス] の横にあるチェックをオフにして [次へ] をクリックします。 Remove server
  5. [機能] 画面で、[次へ] をクリックします。
  6. [確認] 画面で、[削除] をクリックします。
  7. 機能の削除が完了したら、サーバーを再起動します。

ファーム動作レベル (FBL) を引き上げる

この手順の前に、ご使用の Active Directory 環境でフォレストの準備とドメインの準備が実行されていること、および Active Directory に Windows Server 2016 スキーマが存在することを確認する必要があります。 このドキュメントは、Windows 2016 ドメイン コントローラーから開始されており、AD のインストール時にこれらは実行されたため、実行の必要はありませんでした。

注意

以下のプロセスを開始する前に、[設定] から Windows Update を実行して Windows Server 2016 が最新であることを確認してください。 更新の必要がなくなるまで、このプロセスを続けます。 また、SQL サーバーと ADFS ファーム内の各サーバーに対する管理権限が AD FS サービス アカウントのアカウントにあることも確認します。

  1. ここで、Windows Server 2016 サーバーで PowerShell を開き、$cred = Get-Credential を実行して、Enter キーを押します。
  2. SQL Server に対する管理特権を持つ資格情報を入力します。
  3. ここで、PowerShell で、「Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred」と入力します。
  4. プロンプトが表示されたら、「Y」と入力します。これにより、レベルの引き上げが開始されます。 これが完了すると、FBL は正常に引き上げられています。 Finish Update
  5. これで、AD FS 管理にアクセスすると、新しいノードが表示されます。
  6. 同様に、PowerShell コマンドレットの Get-AdfsFarmInformation を使用して、現在の FBL を表示できます。 Screenshot that shows how to use the Get-AdfsFarmInformation cmdlet to show your current F B L.

既存の WAP サーバーの構成バージョンをアップグレードする

  1. 各 Web アプリケーション プロキシで、次の PowerShell コマンドを管理者特権のウィンドウで実行して、WAP を再構成します。
    $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred
  2. クラスターから以前のサーバーを削除し、次の PowerShell コマンドを実行して、上で再構成した、最新のサーバー バージョンを実行している WAP サーバーのみ維持します。 
    Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2
  3. Get-WebApplicationProxyConfiguration コマンドを実行して、WAP の構成を確認します。 ConnectedServersName には、前のコマンドで実行されたサーバーが反映されます。 
    Get-WebApplicationProxyConfiguration
  4. WAP サーバーの ConfigurationVersion をアップグレードするために、次の PowerShell コマンドを実行します。 
    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
  5. Get-WebApplicationProxyConfiguration PowerShell コマンドを使用して、ConfigurationVersion がアップグレードされていることを確認します。