Preparar para migrar o Servidor de Federação do AD FS 2.0 para o AD FS no Windows Server 2012 R2
Este documento descreve como migrar um farm de servidores de federação do AD FS 2.0 ou Windows Server 2012 para um farm do AD FS do Windows Server 2012 R2. As etapas podem ser usadas com farms do AD FS que usam o WID ou o SQL Server como o banco de dados subjacente.
Estrutura de tópicos do processo de migração
Para concluir a migração de seu farm de servidores de federação do AD FS para o Windows Server 2012 R2, é preciso concluir as seguintes tarefas:
- Exportação, registro e backup dos seguintes dados de configuração no farm do AD FS existente. Para obter instruções detalhadas sobre como concluir essas tarefas, consulte Migração do Proxy do Servidor de Federação do AD FS.
As configurações a seguir são migradas com os scripts localizados na pasta\support\adfs do CD de instalação do Windows Server 2012 R2:
Objetos de confiança do provedor de declarações, com exceção das regras de declaração personalizadas no objeto de confiança do provedor declarações do Active Directory. Para obter mais informações, consulte Migração do Servidor de Federação do AD FS.
Objetos de confiança da terceira parte confiável.
Certificados de descriptografia de token e de assinatura de token autoassinados gerados internamente do AD FS.
Todas as configurações personalizadas a seguir devem ser migradas manualmente:
Configurações de serviço:
Certificados de descriptografia de token e de assinatura de token não padrão que foram emitidos por uma empresa ou autoridade de certificação pública.
O certificado de autenticação do servidor SSL usado pelo AD FS.
O certificado de comunicações de serviço usado pelo AD FS (por padrão, esse é o mesmo certificado do certificado SSL).
Valores não padrão para todas as propriedades do serviço de federação, como AutoCertificateRollover ou tempo de vida SSO.
Descrições de declarações e configurações de ponto de extremidade do AD FS não padrão.
Regras de declaração personalizada sobre o objeto de confiança do provedor de declarações do Active Directory.
- Personalizações de página de entrada do AD FS
Para obter mais informações, consulte Migração do Servidor de Federação do AD FS.
Criar um farm de servidor de federação do Windows Server 2012 R2.
Importar os dados de configuração original para o novo farm do AD FS do Windows Server 2012 R2
Configurar e personalizar as páginas de entrada do AD FS.
Novas funcionalidades do AD FS no Windows Server 2012 R2
As seguintes alterações de funcionalidade do AD FS no Windows Server 2012 R2 afetam uma migração do AD FS 2.0 ou do AD FS no Windows Server 2012:
Dependência do IIS
- O AD FS no Windows Server 2012 R2 é auto-hospedado e não requer a instalação do IIS. Observe o seguinte como resultado dessa alteração:
- O gerenciamento de certificados SSL para servidores de federação e computadores proxy no farm do AD FS deve agora ser realizado através do Windows PowerShell.
Alterações em configurações e personalizações das páginas de entrada do AD FS
- No AD FS do Windows Server 2012 R2, existem várias alterações destinadas a melhorar a experiência de entrada para administradores e usuários. As páginas da Web hospedadas no IIS que existiam na versão anterior do AD FS agora foram removidas. A aparência das páginas da Web de entrada do AD FS são auto-hospedadas no AD FS e agora podem ser personalizadas de acordo com a experiência do usuário. As alterações incluem:
- Personalização da experiência de entrada do AD FS, incluindo a personalização do logotipo, da ilustração, da descrição de entrada e do nome da empresa.
- Personalização das mensagens de erro.
- Personalização da experiência de descoberta de realm da página inicial do AD FS, que inclui o seguinte:
- Configurar seu provedor de identidade para usar certos sufixos de email.
- Configurar uma lista de provedores de identidade por terceira parte confiável.
- Ignorar a descoberta de realm da página inicial para intranet.
- Criar temas da Web personalizados.
Para obter instruções detalhadas sobre como configurar a aparência das páginas de entrada do AD FS, consulte Customizing the AD FS Sign-in Pages.
Se você tiver alguma personalização de página da Web no farm do AD FS existente que deseje migrar para o Windows Server 2012 R2, poderá recriá-los como parte do processo de migração usando os novos recursos de personalização do Windows Server 2012 R2.
Outras alterações
O AD FS no Windows Server 2012 R2 é baseado no WIF (Windows Identity Foundation) 3.5, não no WIF 4.5. Portanto, alguns recursos específicos do WIF 4.5 (por exemplo, declarações Kerberos e controle de acesso dinâmico) não são permitidos no AD FS no Windows Server 2012 R2.
O DRS (Device Registration Service) no Windows Server 2012 R2 opera na porta 443; o ClientTLS para a autenticação de certificado de usuário opera na porta 49443
Para clientes ativos e sem navegador usando autenticação de modo de transporte de certificado que são especificamente embutidos em código para apontar para a porta 443, é necessária uma alteração do código para a autenticação de certificado do usuário continuar a ser usada na porta 49443.
Para aplicações passivas, nenhuma mudança é necessária, porque o AD FS redireciona para a porta correta para a autenticação de certificado do usuário.
As portas de firewall entre o cliente e o proxy devem permitir tráfego na porta 49443 para passar pela autenticação de certificado do usuário.
Requisitos do AD FS no Windows Server 2012 R2
Para migrar com sucesso seu farm do AD FS para o Windows Server 2012 R2, é preciso atender aos seguintes requisitos:
Para o AD FS funcionar, cada computador que você deseja que seja uma federação deverá ser associado a um domínio.
Para que o AD FS em execução no Windows Server 2012 R2 funcione, seu domínio do Active Directory deve executar um destes sistemas:
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
Se você planeja usar uma gMSA (Conta de Serviço Gerenciado de grupo) como o serviço de conta para o AD FS, é preciso ter pelo menos um controlador de domínio em seu ambiente que esteja sendo executado no sistema operacional Windows Server 2012 ou Windows Server 2012 R2.
Se você planeja implantar o DRS (Serviço de Registro de Dispositivos) para AD Workplace Join como parte da implantação do AD FS, o esquema do AD DS precisa ser atualizado para o nível do Windows Server 2012 R2. Existem três maneiras de atualizar o esquema:
- Em uma floresta existente do Active Directory, execute adprep /forestprep na pasta \support\adprep do DVD do sistema operacional Windows Server 2012 R2 em qualquer servidor de 64 bits que execute o Windows Server 2008 ou posterior. Nesse caso, nenhum controlador de domínio adicional precisa ser instalado e nenhum controlador de domínio existente precisa ser atualizado.
Para executar adprep /forestprep, é necessário ser membro do grupo Administradores de Esquema, do grupo Administradores de Empresa e do grupo Admins. do Domínio do domínio que hospeda o mestre de esquema.
- Em uma floresta do Active Directory existente, instale um controlador de domínio que execute o Windows Server 2012 R2. Nesse caso, adprep /forestprep é executado automaticamente como parte da instalação do controlador de domínio.
Durante a instalação do controlador de domínio, talvez seja necessário especificar credenciais adicionais a fim de executar adprep /forestprep.
- Crie uma nova floresta do Active Directory instalando o AD DS em um servidor que execute o Windows Server 2012 R2. Nesse caso, adprep /forestprep não precisa ser executado, porque o esquema será criado inicialmente com todos os objetos e contêineres necessários para suportar o DRS.
Suporte do SQL Server para o AD FS no Windows Server 2012 R2
Se você deseja criar um farm do AD FS e usar o SQL Server para armazenar seus dados de configuração, pode usar o SQL Server 2008 e versões mais recentes, incluindo o SQL Server 2012.
Aumentando os limites do Windows PowerShell
Se você tiver mais de 1000 objetos de confiança do provedor de declarações e objetos de confiança da terceira parte confiável em seu farm do AD FS, ou se vir o seguinte erro ao tentar executar a ferramenta de importação/exportação de migração do AD FS, será preciso aumentar os limites do Windows PowerShell:
'Exception of type 'System.OutOfMemoryException' was thrown. At E:\dev\ds\security\ADFSv2\Product\Migration\Export-FederationConfiguration.ps1:176 char:21 + $configData = Invoke-Command -ScriptBlock $GetConfig -Argume ...
Este erro foi lançado porque o limite de memória padrão de sessão do Windows PowerShell é muito baixo. No Windows PowerShell 2.0, a memória padrão de sessão é de 150 MB. No Windows PowerShell 3.0, a memória padrão de sessão é de 1024 MB. É possível verificar o limite de memória de sessão remota do Windows PowerShell usando o seguinte comando: Get-Item wsman:localhost\Shell\MaxMemoryPerShellMB. Você pode aumentar o limite executando o seguinte comando: Set-Item wsman:localhost\Shell\MaxMemoryPerShellMB 512.
Outras considerações e tarefas de migração
Para migrar com sucesso seu farm do AD FS para o Windows Server 2012 R2, esteja ciente do seguinte:
Os scripts de migração localizados na pasta \support\adfs no CD de instalação do Windows Server 2012 R2 requerem que seja mantido o mesmo nome do farm de servidores de federação e o nome de identidade de conta de serviço que você usou em seu farm do AD FS herdado quando migra para Windows Server 2012 R2.
Se você deseja migrar um farm do AD FS do SQL Server, observe que o processo de migração envolve a criação de uma nova instância de banco de dados do SQL para a qual é preciso importar os dados de configuração originais.
Próximas etapas
Migrar os serviços de função dos Serviços de Federação do Active Directory para o Windows Server 2012 R2Migrar o servidor de federação do AD FSMigrar o proxy do servidor de federação do AD FSVerificar a migração do AD FS para o Windows Server 2012 R2