Atualizar um farm do AD FS existente usando um Banco de Dados Interno do Windows

  • Artigo

Importante

Em vez de atualizar para a versão mais recente do AD FS, a Microsoft recomenda migrar para o Microsoft Entra ID. Para obter mais informações, confira Recursos para desativar o AD FS

Neste artigo, aprenderá a atualizar o nível de comportamento do farm para AD FS (Serviços de Federação do Active Directory (AD FS)) usando o WID (Banco de Dados Interno do Windows). A partir do Windows Server 2016, foi introduzido o FBL (nível de comportamento de farm) no AD FS. O FBL é a configuração de todo o farm que determinará quais recursos o farm do AD FS poderá usar.

Os administradores podem adicionar novos servidores de federação a um farm do Windows Server no "modo misto". O modo misto opera no mesmo nível de comportamento do farm que o farm original para garantir um comportamento consistente. Os recursos das versões mais recentes do AD FS do Windows Server não podem ser configurados ou usados.

Pré-requisitos

Antes de atualizar o nível de comportamento do farm, atenda aos seguintes pré-requisitos:

  • Determine para qual versão do Windows Server fazer a atualização.

  • Implante a versão de destino do Windows Server em um novo computador, aplique todos os Atualizações do Windows e instale a função de servidor do Serviço de Federação do Active Directory. Para saber mais, consulte Adicionar um servidor de federação a um farm do servidor de federação existente.

  • Caso também esteja usando o Proxy de aplicativo Web do Windows Server, implante a versão de destino do Windows Server em um novo computador, aplique todas as Atualizações do Windows e instale a função de servidor de Acesso Remoto e o serviço de função de Proxy de aplicativo Web. Para obter mais informações, consulte Trabalhar com Proxy de aplicativo Web.

  • Caso esteja atualizando para o AD FS no Windows Server 2016 ou posterior, a atualização do farm exigirá que o esquema do AD tenha pelo menos o nível 85. Caso esteja atualizando para o AD FS no Windows Server 2019 ou posterior, o esquema do AD deverá ter pelo menos 88. Para obter mais informações sobre como atualizar o domínio, confira Atualizar os controladores de domínio para uma versão mais recente do Windows Server.

  • Ter um período de tempo definido planejado para conclusão. Não é recomendável operar um estado de modo misto por um longo período de tempo. Deixar o AD FS em um estado de modo misto pode causar problemas com o farm.

  • Faça backup da configuração do AD FS e dos servidores de federação.

Níveis de comportamento do farm

Por padrão, o FBL em um novo farm do AD FS corresponde ao valor da versão do Windows Server do primeiro nó do farm instalado.

Você pode ingressar um servidor do AD FS de uma versão posterior em um farm com um FBL inferior. O farm opera no mesmo FBL que os nós existentes. Quando você tem várias versões do Windows Server operando no mesmo farm com o valor FBL da versão mais baixa, seu farm é "misto". No entanto, não é possível aproveitar os recursos das versões posteriores até que você aumente o FBL. Se a organização estiver procurando testar os novos recursos antes de aumentar o FBL, será necessário implantar um farm separado.

A tabela a seguir lista os possíveis valores do FBL e nomes de banco de dados de configuração pela versão do Windows Server.

Versão do Windows Server Valor do FBL Nome do banco de dados de configuração do AD FS
2012 R2 1 AdfsConfiguration
2016 3 AdfsConfigurationV3
2019 e 2022 4 AdfsConfigurationV4

Observação

A atualização de FBL cria um novo banco de dados de configuração do AD FS.

Agora que você entende a finalidade do FBL e concluiu os pré-requisitos, está pronto para analisar o FBL atual.

Para localizar o FBL atual:

  1. Entre no servidor de federação e abra uma sessão do PowerShell com privilégios elevados.

  2. Execute o comando do PowerShell a seguir para retornar as informações atuais do FBL e do nó do farm.

    Get-AdfsFarmInformation

  3. Examine o CurrentFarmBehavior e FarmNodes.

Migrar servidores de federação

Depois de coletar as informações atuais do farm de federação, você estará pronto para iniciar o processo de atualização. Para iniciar a atualização:

  1. Adicione os novos servidores de federação ao farm existente. Para saber mais, consulte Adicionar um servidor de federação a um farm do servidor de federação existente.

  2. Entre no novo servidor de federação e abra uma sessão do PowerShell com privilégios elevados. Caso tenha mais de um servidor, execute apenas este comando em um servidor.

  3. Defina a propriedade de sincronização do servidor de federação para assumir a função de computador primário executando o comando a seguir. Para mais informações, confira Set-AdfsSyncProperties.

    Set-AdfsSyncProperties -Role PrimaryComputer

  4. Entre em qualquer outro servidor de federação no farm, abra uma sessão do PowerShell com privilégios elevados.

  5. Defina a função como o computador secundário executando o comando a seguir.

    Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName "<primary-server-FQDN>"

  6. Atualize qualquer balanceador de carga, DNS ou configurações de rede para usar os novos servidores de federação, verificando se o servidor está operacional. Para mais informações, confira Verificar se o Servidor de Federação do Windows Server 2012 R2 está operacional.

  7. Desinstale a função de servidor do Serviço de Federação do Active Directory dos servidores anteriores e execute o comando a seguir para remover as entradas obsoletas.

    Set-AdfsFarmInformation -RemoveNode "<old-server-FQDN>"

Agora que você tem seu novo servidor de federações para farm e removeu os anteriores, você está pronto para atualizar o FBL. Para mais informações sobre o descomissionamento, consulte Etapas para desativar seus servidores do AD FS.

Atualizar o Nível de Comportamento do Farm

Depois de coletar as informações atuais do farm de federação, você estará pronto para iniciar o processo de atualização. Para iniciar a atualização:

  1. Entre no seu servidor de federação principal e abra uma sessão do PowerShell com privilégios elevados.

  2. Execute o comando a seguir para testar se é possível elevar o nível de comportamento de um farm.

    Test-AdfsFarmBehaviorLevelRaise

  3. Depois de examinar a saída, para atualizar o nível de comportamento do farm, execute o comando a seguir. Você será solicitado a continuar.

    Invoke-AdfsFarmBehaviorLevelRaise

  4. Examine a saída do comando para confirmar se a operação foi bem-sucedida. Para verificar o novo nível de comportamento do farm, execute o comando do PowerShell a seguir para retornar as informações atuais do FBL e do nó do farm.

    Get-AdfsFarmInformation

Agora você atualizou o FBL para corresponder à versão de destino do Windows Server. Caso também esteja usando o serviço de função Proxy de aplicativo Web do Windows Server, prossiga para a próxima seção.

Atualizar o Proxy de aplicativo Web

Agora que você atualizou o FBL, precisará atualizar o WAP (Proxy de aplicativo Web) para o nível mais recente.

  1. Entre no servidor de Proxy de aplicativo Web recém-implantado e abra uma sessão do PowerShell com privilégios elevados.

  2. Importe o certificado usado pelo certificado de federação e anote a impressão digital do certificado.

  3. Para configurar o WAP, execute o comando do PowerShell a seguir, substituindo o espaço reservado <value> por seus próprios valores. Repita esta etapa para mais servidores do Proxy de aplicativo Web.

    $trustcred = Get-Credential -Message "<Enter Domain Administrator credentials>"
Install-WebApplicationProxy -CertificateThumbprint "<SSLCertThumbprint>" -FederationServiceName "<FScomputername>" -FederationServiceTrustCredential $trustcred

  4. Para examinar os servidores do Proxy de aplicativo Web conectados atualmente, execute o comando a seguir, anote os valores ConnectedServerName e ConfigurationVersion.

    Get-WebApplicationProxyConfiguration

    Observação

    Ignore a próxima etapa se a ConfigurationVersion for Windows Server 2016. Este é o valor correto para o Proxy de aplicativo Web no Windows Server 2016 e posterior.

  5. Remova servidores Proxy de aplicativo Web antigos, mantendo apenas os novos servidores configurados nas etapas anteriores executando o seguinte cmdlet do PowerShell:

    Set-WebApplicationProxyConfiguration -ConnectedServersName "WAPServerName1, WAPServerName2"

  6. Para atualizar a ConfigurationVersion dos servidores WAP, execute o seguinte comando do PowerShell:

    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion

Agora você concluiu a atualização do Proxy de aplicativo Web.

Modelo de confiança de certificado com o Windows Hello para empresas

Se estiver usando o AD FS no Windows Server 2019 ou posterior e Windows Hello para Empresas em um modelo de confiança de certificado, poderá encontrar a seguinte mensagem de erro do log de eventos.

Received invalid Oauth request. The client 'NAME' is forbidden to access the resource with scope 'ugs'.

Para corrigir esse erro:

  1. Abra o console do gerenciamento do AD FS. Acesse Serviços > Descrições de Escopo.

  2. Clique com o botão direito do mouse em Descrições de Escopo e selecione Adicionar Descrição de Escopo.

  3. Em nome, insira ugs e depois selecione Aplicar > OK.

  4. Inicie o PowerShell do Windows como administrador e execute os seguintes comandos.

    $id = (Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
Set-AdfsApplicationPermission -TargetIdentifier $id -AddScope 'ugs'

  5. Reinicie o serviço do AD FS.

  6. Reinicie o cliente. O usuário deve ser solicitado a configurar o Windows Hello para Empresas.

Próximas etapas

Agora que você atualizou a implantação do AD FS, aqui estão alguns artigos que você pode achar úteis.