Atualizar para o AD FS no Windows Server 2016 com o SQL Server

  • Artigo

Importante

Em vez de atualizar para a versão mais recente do AD FS, a Microsoft recomenda migrar para o Microsoft Entra ID. Para obter mais informações, confira Recursos para desativar o AD FS

Observação

Comece apenas uma atualização com um período de tempo definitivo planejado para conclusão. Não é recomendável manter o AD FS em um estado de modo misto por um longo período, pois deixar o AD FS em um estado de modo misto poderá causar problemas com o farm.

Migrar de um Farm do AD FS do Windows Server 2012 R2 para um Farm do AD FS do Windows Server 2016

O documento a seguir descreverá como atualizar o Farm do AD FS do Windows Server 2012 R2 para o AD FS no Windows Server 2016 ao usar um SQL Server para o banco de dados do AD FS.

Como atualizar o AD FS para o Windows Server 2016 FBL

O novo no AD FS para o Windows Server 2016 é o FBL (recurso de nível de comportamento do Farm). Esse recurso é de todo o Farm e determina os recursos que o Farm do AD FS pode usar. Por padrão, o FBL em um Farm do AD FS do Windows Server 2012 R2 está no FBL do Windows Server 2012 R2.

Um servidor AD FS do Windows Server 2016 pode ser adicionado a um Farm do Windows Server 2012 R2 e funcionará no mesmo FBL que um Windows Server 2012 R2. Ao ter um servidor do AD FS do Windows Server 2016 operando dessa forma, o Farm é considerado "misto". No entanto, você não poderá aproveitar os novos recursos do Windows Server 2016 até que o FBL seja gerado para o Windows Server 2016. Com um Farm misto:

  • Os administradores podem adicionar novos servidores de federação do Windows Server 2016 a um Farm do Windows Server 2012 R2 existente. Como resultado, o Farm está no "modo misto" e opera o nível de comportamento do Farm do Windows Server 2012 R2. Para garantir um comportamento consistente em todo o Farm, novos recursos de Windows Server 2016 não podem ser configurados ou usados nesse modo.

  • Depois que todos os servidores de federação do Windows Server 2012 R2 tiverem sido removidos do Farm de modo misto, um dos novos servidores de federação do Windows Serve 2016 tiver sido promovido para a função de nó primário, o administrador poderá gerar o FBL de Windows Server 2012 R2 para Windows Server 2016. Como resultado, todos os novos recursos do AD FS do Windows Server 2016 podem ser configurados e usados.

  • Como resultado do recurso de Farm misto, as organizações do AD FS do Windows Server 2012 R2 que buscam atualizar para o Windows Server 2016 não precisarão implantar um Farm totalmente novo, exportar e importar dados de configuração. Em vez disso, eles podem adicionar nós Windows Server 2016 a um Farm existente enquanto ele estiver online e apenas incorrer no tempo de inatividade relativamente breve envolvido no aumento do FBL.

Enquanto estiver no modo de farm misto, o farm do AD FS não será compatível com novos recursos ou funcionalidades introduzidos no AD FS no Windows Server 2016. As organizações que queiram experimentar os novos recursos não poderão fazer isso até que o FBL seja aumentado. Portanto, se a organização estiver procurando testar os novos recursos antes de aumentar o FBL, será necessário implantar um farm separado.

O restante do documento é que fornece as etapas para adicionar um servidor de federação do Windows Server 2016 a um ambiente do Windows Server 2012 R2. Essas etapas foram executadas em um ambiente de teste descrito pelo diagrama de arquitetura abaixo.

Observação

Antes de migrar para o AD FS no Windows Server 2016 FBL, remova todos os nós do Windows 2012 R2. Não é possível apenas atualizar um sistema operacional do Windows Server 2012 R2 para o Windows Server 2016 e fazer com que ele se torne um nó de 2016. Você precisará removê-lo e substituí-lo por um novo nó de 2016.

Observação

Se os grupos de AlwaysOnAvailability ou a replicação de mesclagem estiverem configurados no AD FS, remova toda a replicação de todos os bancos de dados do AD FS antes de atualizar e aponte todos os nós para o banco de dados SQL Primário. Após fazer isso, execute a atualização do farm conforme documentado. Após a atualização, adicione os grupos de AlwaysOnAvailability ou mescle a replicação aos novos bancos de dados.

O diagrama de arquitetura a seguir mostra a configuração usada para validar e registrar as etapas abaixo.

Architecture

Ingressar ao servidor AD FS do Windows 2016 ao Farm do AD FS

  1. Usando o Gerenciador do Servidor, instale a Função Serviços de Federação do Active Directory (AD FS) no Windows Server 2016

  2. Usando o assistente de Configuração do AD FS, ingresse ao novo servidor do Windows Server 2016 no Farm do AD FS existente. Na tela de Boas-Vindas, clique em Avançar. Screenshot that shows the Welcome screen in the AD FS Configuration wizard.

  3. Na tela Conectar-se a Active Directory Domain Services,especifique uma conta de administrador com permissões para executar a configuração dos serviços de federação e clique em Avançar.

  4. Na tela Especificar Farm, insira o nome do SQL Server e da instância e clique em Avançar. Screenshot that shows the Specify Farm screen in the AD FS Configuration wizard.

  5. Na tela Especificar Certificado SSL, especifique o certificado e clique em Avançar. Join farm

  6. Na tela Especificar Conta de Serviço, especifique a conta de serviço e clique em Avançar.

  7. Na tela Opções de Revisão, examine as opções e clique em Avançar.

  8. Na tela Verificações de pré-requisitos, verifique se todas as verificações de pré-requisito foram aprovadas e clique em Configurar.

  9. Na tela Resultados, verifique se o servidor foi configurado com êxito e clique em Fechar.

Remover o servidor do AD FS do Windows Server 2012 R2

Observação

Não é necessário definir o servidor do AD FS primário usando Set-AdfsSyncProperties -Role ao usar o SQL como o banco de dados. Isso ocorre porque todos os nós são considerados primários nessa configuração.

  1. No servidor do AD FS do Windows Server 2012 R2 no Gerenciador do Servidor use Remover Funções e Recursos em Gerenciar. Screenshot that highlights the Remove Roles and Features menu option.
  2. Na tela Antes de começar, clique em Avançar.
  3. Na tela de Seleção de Servidor, clique em Avançar.
  4. Na tela Funções do Servidor, remova a marca ao lado de AD FS (Serviços de Federação do Active Directory (AD FS)) e clique em Avançar. Remove server
  5. Na tela Recursos, clique em Avançar.
  6. Na tela de Confirmação, clique em Remove.
  7. Depois que a remoção do recurso for concluída, reinicie o servidor.

Elevar o FBL (nível de comportamento do Farm)

Antes desta etapa, garanta que forestprep e domainprep tenham sido executados em seu ambiente do Active Directory e que o Active Directory tenha o esquema do Windows Server 2016. Este documento começou com um controlador de domínio do Windows 2016 e não exigiu a execução deles porque eles foram executados quando o AD foi instalado.

Observação

Antes de iniciar o processo abaixo, verifique se Windows Server 2016 está atualizado, executando o Windows Update em Configurações. Continue esse processo até que não existam mais atualizações. Além disso, verifique se a conta de conta de serviço do AD FS tem as permissões administrativas no SQL Server e em cada servidor no Farm do ADFS.

  1. Agora, no servidor do Windows Server 2016, abra o PowerShell e execute o seguinte: $cred = Get-Credential e clique em Enter.
  2. Insira credenciais com privilégios de administrador no SQL Server.
  3. Agora, no PowerShell, insira o seguinte: Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred
  4. Quando solicitado, digite Y. Isso começará a elevar o nível. Após a conclusão, o FBL será aumentado com êxito. Finish Update
  5. Agora, se você acessar Gerenciamento do AD FS, verá os novos nós.
  6. Da mesma forma, use o cmdlet do PowerShell: Get-AdfsFarmInformation para mostrar o FBL atual. Screenshot that shows how to use the Get-AdfsFarmInformation cmdlet to show your current F B L.

Atualizar a versão de configuração dos servidores do WAP existentes

  1. Em cada Proxy de Aplicativo Web, configure novamente o WAP executando o seguinte comando do PowerShell em uma janela elevada: 
    $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred
  2. Remova servidores antigos do cluster e mantenha apenas os servidores do WAP executando a versão mais recente do servidor, que foram reconfigurados acima, executando o comando do PowerShell a seguir. 
    Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2
  3. Verifique a configuração do WAP executando o comando Get-WebApplicationProxyConfiguration. O ConnectedServersName refletirá a execução do servidor no comando anterior. 
    Get-WebApplicationProxyConfiguration
  4. Para atualizar a ConfigurationVersion dos servidores do WAP, execute o seguinte comando do PowerShell. 
    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
  5. Verifique se o ConfigurationVersion foi atualizado com o comando Get-WebApplicationProxyConfiguration do PowerShell.