Preparar para migrar um servidor de federação AD FS autônomo ou um farm de AD FS de nó único
Para preparar a migração (mesma migração de servidor) de um servidor de federação autônomo do AD FS 2.0 ou um farm do AD FS de nó único para o Windows Server 2012, você deve exportar e fazer backup dos dados de configuração do AD FS deste servidor.
Para exportar os dados de configuração do AD FS, realize as seguintes tarefas:
Etapa 2: Exportar relações de confiança do provedor de declarações
Etapa 3: Exportar objetos de confiança de terceira parte confiável
Etapa 4: Fazer backup de repositórios de atributos personalizados
Etapa 1: Exportar configurações do serviço
Para exportar configurações de serviço, realize o seguinte procedimento:
Para exportar as configurações de serviço
- Registre o nome da entidade do certificado e o valor de impressão digital do certificado SSL usado pelo serviço de federação. Para localizar o certificado SSL, abra o console de gerenciamento do IIS (Serviços de Informações da Internet), selecione Site Padrão no painel esquerdo, clique em Ligações… no painel Ação, encontre e selecione a ligação https, clique em Editar e em Exibir.
Observação
Você pode também exportar o certificado SSL usado pelo serviço de federação e sua chave privada para um arquivo .pfx. Para obter mais informações, consulte Exportar a parte da chave privada de um Certificado de Autenticação de Servidor.
A exportação do certificado SSL é opcional, pois esse certificado é armazenado no repositório de certificados pessoais do computador local e é preservado na atualização do sistema operacional.
- Registre a configuração dos certificados de comunicações, descriptografia de token e autenticação de token do Serviço AD FS. Para exibir todos os certificados usados, abra o Windows PowerShell e execute o seguinte comando para adicionar os cmdlets do AD FS à sessão do Windows PowerShell:
PSH:>add-pssnapin “Microsoft.adfs.powershell”. Em seguida, execute o seguinte comando para criar uma lista de todos os certificados em uso em um arquivoPSH:>Get-ADFSCertificate | Out-File “.\certificates.txt”
Observação
Você também pode exportar todos os certificados de autenticação de token, criptografia de token ou comunicações de serviço e chaves que não são gerados internamente, além de todos os certificados autoassinados. Você pode exibir todos os certificados que estão em uso no seu servidor usando o Windows PowerShell. Abra o Windows PowerShell e execute o seguinte comando para adicionar os cmdlets do AD FS à sessão do Windows PowerShell: PSH:>add-pssnapin “Microsoft.adfs.powershell. Em seguida, execute o seguinte comando para exibir todos os certificados que estão em uso no servidor PSH:>Get-ADFSCertificate. A saída deste comando inclui os valores StoreLocation e StoreName que especificam o local de armazenamento de cada certificado. Você pode, então, usar as orientações em Exportar a parte da chave privada de um certificado de autenticação de servidor para exportar cada certificado e sua chave privada para um arquivo .pfx.
A exportação desses certificados é opcional, porque todos os certificados externos são preservados durante a atualização do sistema operacional.
- Exporte as propriedades do serviço de federação do AD FS 2.0, como o nome do serviço de federação, o nome de exibição do serviço de federação e o identificador do servidor de federação para um arquivo.
Para exportar as propriedades do serviço de federação, abra o Windows PowerShell e execute o seguinte comando para adicionar os cmdlets do AD FS à sessão do Windows PowerShell: PSH:>add-pssnapin “Microsoft.adfs.powershell”. Em seguida, execute o seguinte comando para exportar as propriedades do serviço de federação: PSH:> Get-ADFSProperties | Out-File “.\properties.txt”.
O arquivo de saída conterá os valores de configuração importantes a seguir:
| Nome da Propriedade do Serviço de Federação relatado por Get-ADFSProperties | Nome da Propriedade do Serviço de Federação no console de gerenciamento do AD FS |
|---|---|
| HostName | Nome do Serviço de Federação |
| Identificador | Identificador do Serviço de Federação |
| DisplayName | Nome de exibição do Serviço de Federação |
- Faça backup do arquivo de configuração do aplicativo. Entre outras configurações, esse arquivo contém a cadeia de conexão do banco de dados da política.
Para fazer backup do arquivo de configuração do aplicativo, é preciso copiar manualmente o arquivo %programfiles%\Active Directory Federation Services 2.0\Microsoft.IdentityServer.Servicehost.exe.config para um local seguro em um servidor de backup.
Observação
Anote a cadeia de conexão do banco de dados deste arquivo, localizada imediatamente após “policystore connectionstring=”). Se a cadeia de conexão especificar um banco de dados do SQL Server, o valor será necessário ao restaurar a configuração original do AD FS no servidor de federação.
Veja a seguir um exemplo de uma cadeia de conexão de WID: “Data Source=\\.\pipe\mssql$microsoft##ssee\sql\query;Initial Catalog=AdfsConfiguration;Integrated Security=True". Veja a seguir um exemplo de uma cadeia de conexão de SQL Server: "Data Source=databasehostname;Integrated Security=True".
- Registre a identidade da conta de serviço de federação do AD FS 2.0 e a senha dessa conta.
Para encontrar o valor da identidade, examine a coluna Fazer logon como do Windows Service do AD FS 2.0 no console Serviços e registre manualmente esse valor.
Observação
Para um serviço de federação autônomo, a conta SERVIÇO DE REDE interna é usada. Nesse caso, não é necessário ter uma senha.
- Exporte a lista de pontos de extremidade do AD FS habilitados para um arquivo.
Para isso, abra o Windows PowerShell e execute o seguinte comando para adicionar os cmdlets do AD FS à sessão do Windows PowerShell: PSH:>add-pssnapin “Microsoft.adfs.powershell”. Em seguida, execute o seguinte comando para exportar a lista de pontos habilitados de extremidade do AD FS para um arquivo: PSH:> Get-ADFSEndpoint | Out-File “.\endpoints.txt”.
- Exporte todas as descrições de declarações personalizadas para um arquivo.
Para isso, abra o Windows PowerShell e execute o seguinte comando para adicionar os cmdlets do AD FS à sessão do Windows PowerShell: PSH:>add-pssnapin “Microsoft.adfs.powershell”. Depois, execute o seguinte comando para exportar todas as descrições de declaração personalizadas para um arquivo: Get-ADFSClaimDescription | Out-File “.\claimtypes.txt”.
Etapa 2: Exportar relações de confiança do provedor de declarações
Para exportar objetos de confiança do provedor de declarações, execute o seguinte procedimento:
Para exportar os objetos de confiança do provedor de declarações
- Você pode usar o Windows PowerShell para exportar todos os objetos de confiança do provedor de declarações. Abra o Windows PowerShell e execute o seguinte comando para adicionar os cmdlets do AD FS à sessão do Windows PowerShell:
PSH:>add-pssnapin “Microsoft.adfs.powershell”. Em seguida, execute o seguinte comando para exportar todos os objetos de confiança do provedor de declarações:PSH:>Get-ADFSClaimsProviderTrust | Out-File “.\cptrusts.txt”.
Etapa 3: Exportar objetos de confiança de terceira parte confiável
Para exportar objetos de confiança da terceira parte confiável, execute o seguinte procedimento:
Para exportar os objetos de confiança da terceira parte confiável
- Para exportar todos os objetos de confiança da terceira parte confiável, abra o Windows PowerShell e execute o seguinte comando para adicionar os cmdlets do AD FS à sessão do Windows PowerShell:
PSH:>add-pssnapin “Microsoft.adfs.powershell”. Em seguida, execute o seguinte comando para exportar todos os objetos de confiança do provedor de declarações:PSH:>Get-ADFSRelyingPartyTrust | Out-File “.\rptrusts.txt”.
Etapa 4: Fazer backup de repositórios de atributos personalizados
É possível encontrar informações sobre repositórios de atributos personalizados em uso pelo AD FS usando o Windows PowerShell. Abra o Windows PowerShell e execute o seguinte comando para adicionar os cmdlets do AD FS à sessão do Windows PowerShell: PSH:>add-pssnapin “Microsoft.adfs.powershell”. Em seguida, execute o seguinte comando para encontrar informações sobre repositórios de atributos personalizados: PSH:>Get-ADFSAttributeStore. As etapas para atualização ou migração de repositórios de atributos personalizados variam.
Etapa 5: Fazer backup de personalizações de página da Web
Para fazer backup de todas as personalizações de página da Web, copie as páginas da Web do AD FS e o arquivo web.config do diretório mapeado para o caminho virtual “/adfs/ls” no IIS. Por padrão, ele fica no diretório %systemdrive%\inetpub\adfs\ls.
Próximas etapas
Preparar a migração do Servidor de Federação do AD FS 2.0
Preparar a migração do Proxy do Servidor de Federação do AD FS 2.0
Migrar o Servidor de Federação do AD FS 2.0
Migrar o Proxy do Servidor de Federação do AD FS 2.0
Migrar os Agentes Web do AD FS 1.1