Compartilhar via

Como atualizar o AD RMS para o Windows Server 2016

Introdução

o AD RMS (Active Directory Rights Management Services) é um serviço da Microsoft que protege documentos e emails confidenciais. Ao contrário dos métodos de proteção tradicionais, como firewalls e ACLs, a criptografia e a proteção do AD RMS são persistentes, não importa onde um arquivo vá ou como ele é transportado.

Este documento fornece diretrizes para migrar do Windows Server 2012 R2 com o SQL Server 2012 para o Windows Server 2016 e o SQL Server 2016. O mesmo processo pode ser usado para migrar de versões mais antigas do AD RMS, desde que estas tenham suporte. Observe que o Active Directory Rights Management Services não está mais em desenvolvimento ativo e, para obter os recursos mais recentes, os clientes devem considerar a migração para a Proteção de Informações do Azure, que oferece um conjunto muito mais abrangente de recursos com suporte mais completo para dispositivos e aplicativos.

Para obter informações sobre como migrar do AD RMS para a Proteção de Informações do Azure sem precisar proteger novamente seu conteúdo, consulte a documentação de migração da Proteção de Informações do Azure.

Sobre o ambiente usado neste guia

O AD FS é um componente opcional de uma instalação do AD RMS. Neste guia, é assumido o uso do AD FS. Se o AD FS não tiver sido usado em seu ambiente para dar suporte a usuários do AD RMS, você poderá ignorar todas as etapas que se referem ao AD FS.

Neste guia, o SQL Server é atualizado para o SQL Server 2016 executando uma instalação paralela e movendo os bancos de dados por meio de um backup. Como alternativa, se for possível atualizar in-loco os servidores de banco de dados do AD RMS e do AD FS para o SQL Server 2016, você poderá passar para a próxima seção neste documento após ter feito isso sem precisar seguir as etapas nesta seção.

Instalação

Configurar o SQL Server 2016

A seção a seguir detalha as tarefas de implementação relacionadas diretamente à configuração do SQL Server 2016. Este guia se concentra em usar o Gerenciador de Servidores e o SQL Server Management Studio para concluir essas tarefas.

Essas etapas devem ser concluídas em uma instalação do SQL Server 2016. Instale SQL Server 2016 em hardware adequado de acordo com as práticas e políticas padrão da sua organização.

Preparar o SQL Server

A seção a seguir detalha como preparar o SQL Server para que ele possa ser atualizado para o SQL Server 2016 antes de atualizar outros serviços na plataforma do AD RMS para usar Windows Server 2016.

Adicionar CNAME para SQL Server 2016 ao DNS

O CNAME é usado para ajudar a garantir que a configuração do Windows Server 2016 obterá os dados apropriados, pois ele será apontado para o novo SQL Server 2016. Observação: se já estiver usando um CNAME para o serviço do AD FS e do AD RMS, você poderá passar para as próximas etapas.

Para adicionar CNAME para SQL Server 2016 ao DNS

  1. Faça logon no controlador de domínio do Windows Server 2012 R2 com credenciais de administrador de domínio.

  2. Abra o Gerenciador de Servidor.

  3. Clique em Ferramentas e selecione DNS para abrir o Gerenciador de DNS.

  4. No painel de navegação esquerdo, expanda o DC e abra Zonas de Pesquisa Direta.

  5. Abra os recursos de domínio apropriados, clique com o botão direito do mouse no painel de exibição direito e selecione Novo Alias (CNAME) para começar a criar o CNAME.

  6. Para o nome do alias, insira um nome lógico para diferenciá-lo de outro que possa estar presente (por exemplo, SQLADRMS ou SQLADFS)

  7. Depois de inserir o nome, forneça o FQDN para o host de destino que será o novo servidor do SQL Server 2016. (ex. SQL2016.contoso.com)

  8. Depois que todas as informações forem inseridas, clique em OK.

Fazer backup dos bancos de dados do AD RMS e do AD FS

Os bancos de dados do AD RMS e do AD FS contêm informações críticas necessárias ao AD RMS, tais como a chave pública do certificado de licenciante para servidor, modelos de política de direitos, dados de configuração do AD FS e informações de registro em log. Sem esses bancos de dados, os clientes não podem emitir licenças para consumir conteúdo protegido, entre outros problemas.

Dos bancos de dados, o banco de dados de configuração do AD RMS é considerado o mais importante, pois ele armazena o SLC, os modelos de política de direitos, as chaves dos usuários e as informações de configuração. Portanto, embora você deva ter o cuidado para fazer backup de todos os bancos de dados do AD RMS e do AD FS, planeje fazer backup regularmente do banco de dados de configuração.

O banco de dados de registro em log armazena informações sobre solicitações de usuário para o cluster do AD RMS para certificados e licenças de uso. Sua estratégia de backup desse banco de dados deverá ser baseada na política da empresa para reter esse tipo de informação.

O banco de dados de serviços de diretório não é crítico para a funcionalidade do AD RMS e, se os dados mais recentes forem perdidos, o banco de dados será repopulado com informações à medida que o servidor AD RMS receber solicitações de certificados e usar licenças. Você não precisa fazer backup regularmente desse banco de dados, mas precisa ter pelo menos uma cópia do banco de dados, pois ele foi configurado originalmente após a implantação do AD RMS.

Para fazer backup de um banco de dados do AD RMS e/ou do AD FS com o Microsoft SQL Server

  1. Faça logon no servidor de banco de dados do AD RMS do Windows Server 2012 R2 com o SQL 2012.

  2. Clique em Iniciar e em Todos os Programas. Em seguida, clique em Microsoft SQL Server e em SQL Server Management Studio.

  3. Na janela Conectar ao Servidor, confirme se o servidor que hospeda os bancos de dados do AD RMS está na caixa Nome do Servidor e clique em Conectar.

  4. Expanda os Bancos de dados. Clique com o botão direito do mouse no banco de dados apropriado (DRMS e Adfs), aponte para Tarefas e selecione Backup.

  5. Repita a etapa 4 para os bancos de dados restantes.

  6. Verifique se o backup dos bancos de dados pode ser acessado por outros computadores na rede ou usando um dispositivo de armazenamento, pois eles serão necessários para etapas posteriores durante a migração.

Agora você pode armazenar as cópias de banco de dados em um local seguro. Lembre-se de fazer backup de seus bancos de dados com frequência.

Adicionar o administrador de domínio, SQL, AD RMS e/ou a Conta de Serviço do AD FS ao SQL Server 2016

As etapas a seguir mostrarão como adicionar as várias Contas de Serviço ao SQL Server 2016 para ajudar a migrar os dados do ambiente Windows Server 2012 R2. Isso concederá as permissões adequadas ao tentar acessar o conteúdo e manipular os dados.

Para adicionar o administrador de domínio, SQL, AD RMS e/ou a Conta de Serviço do AD FS ao SQL Server

  1. Faça logon no servidor com SQL Server 2016 como a conta de Administrador Local.

  2. Clique em Iniciar e em Todos os Programas. Em seguida, clique em Microsoft SQL Server e em SQL Server Management Studio.

  3. Na janela Conectar ao Servidor, confirme se o servidor que hospeda os bancos de dados do AD RMS está na caixa Nome do Servidor e, em seguida, para Autenticação, clique no menu suspenso e selecione Autenticação do SQL Server.

  4. No campo Logon, insira o nome da conta do Administrador Local (ex. localadmin) e, em seguida, forneça a senha apropriada e clique em Conectar.

  5. Expanda Segurança, clique com o botão direito do mouse em Logons e selecione Novo Logon no menu de contexto exibido.

  6. Depois que a janela for exibida, insira a conta do Administrador de Domínio no campo Nome de Login (Ex. Contoso\ContosoAdmin)

  7. No painel de navegação esquerdo, escolha Funções do Servidor.

  8. Em seguida, marque a caixa de seleção para sysadmin nas funções de servidor e clique em OK.

  9. Reinicie o SQL Server Management.

  10. Na janela Conectar ao Servidor, confirme se o servidor que hospeda os bancos de dados do AD RMS está na caixa Nome do Servidor e, em seguida, para Autenticação, clique no menu suspenso, selecione Autenticação do Windows e clique em Conectar.

Restaurar os bancos de dados do AD RMS e do AD FS para o SQL Server 2016

As etapas a seguir mostrarão como restaurar os dados da instância anterior do SQL Server para a nova instância de 2016. Isso permitirá que o novo SQL utilize os dados de configuração relevantes dos bancos de dados anteriores do AD RMS e do AD FS.

Para restaurar os dados do SQL Server anterior para o novo SQL Server

  1. Faça logon no servidor com o SQL Server 2016 usando a conta apropriada.

  2. No painel de navegação esquerdo, clique com o botão direito do mouse em Bancos de Dados e selecione Restaurar Banco de Dados para iniciar o processo de restauração.

  3. Em Origem, escolha Dispositivo e procure o local onde os arquivos de banco de dados foram armazenados nas etapas anteriores.

  4. Após ter selecionado os arquivos, clique em OK.

  5. Verifique se todos os arquivos do banco de dados foram adicionados e conclua o processo clicando em OK.

Configurar os Serviços de Federação do Active Directory (AD FS) do Windows Server 2016

O AD FS foi implantado para fornecer acesso de SSO (logon único) ao AD RMS como um aplicativo. Ele também foi configurado com a Extensão de Dispositivo Móvel (MDE) do AD RMS, que permite suporte para Mac e dispositivos móveis para usuários finais.

As seções a seguir fornecem diretrizes sobre tarefas operacionais que talvez você precise executar na implantação do AD FS.

Adicionar um servidor AD FS de 2016 ao farm

Você pode implantar servidores adicionais do AD FS para dar suporte à implantação do AD RMS. É possível optar por executar essa ação no caso de aumento do tráfego para os servidores do AD RMS ou aplicativos adicionais, ou caso você precise desativar um dos servidores que estão sendo usados no momento para o AD FS.

Examine os pré-requisitos de do Microsoft Entra Connect antes de continuar.

Para adicionar um servidor AD FS de 2016 ao farm

  1. No servidor Microsoft Entra Connect, clique duas vezes no ícone do Microsoft Entra Connect para iniciar o assistente do Microsoft Entra Connect.

  2. Na página inicial, clique em Configurar.

  3. Na página Tarefas Adicionais, clique em Implantar um Servidor de Federação adicional e, em seguida, clique em Avançar.

  4. Na página Conectar à ID do Microsoft Entra, insira o nome de usuário e a senha de uma conta com as permissões apropriadas, conforme definido em Pré-requisitos de instalação do Microsoft Entra Connect e clique em Avançar.

  5. Na página Credenciais do Administrador de Domínio, insira o nome de usuário e a senha de uma conta com permissões de Administrador de Domínio e clique em Avançar.

  6. Clique em Procurar e selecione o arquivo de certificado usado ao configurar a farm do AD FS usando o Microsoft Entra Connect.

  7. Clique em Inserir Senha para abrir a caixa de diálogo Senha do Certificado.

  8. Insira a senha do certificado no campo Senha e clique em OK.

  9. Clique em Próximo.

  10. Na página Servidores AD FS, insira o nome ou o endereço IP do novo servidor AD FS e clique em Adicionar.

  11. Na página Pronto para Configurar, clique em Instalar.

  12. Na página Instalação concluída, clique em Sair.

Elevar o nível de comportamento do farm do AD FS

Ao implantar um servidor AD FS que excede o nível de ambiente atual, como ter um AD FS no Windows Server 2012 R2 e adicionar um AD FS do Windows Server 2016, o Nível de Comportamento de Farm precisará ser aumentado. Isso é necessário para garantir que o ambiente está usando as informações e funções mais atualizadas.

Para elevar o nível de comportamento de farm do AD FS

  1. Navegue até o AD FS do Windows Server 2016.

  2. Abra uma sessão do PowerShell como administrador.

  3. Insira o seguinte comando: $cred = Get-Credential

  4. Quando aparecer uma janela solicitando credenciais, insira as credenciais de administrador de domínio.

  5. Em seguida, insira este comando: Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred

  6. Um prompt será exibido perguntando: Deseja continuar com essa operação? Em seguida, insira a para aceitar o prompt.

  7. Assim que o comando for concluído, o Nível de Comportamento de Farm estará configurado e pronto.

Habilitar o registro em log de Extensão de Dispositivo Móvel

A Extensão de Dispositivo Móvel pode registrar solicitações recebidas de dispositivos de usuário final. O registro em log é desabilitado por padrão e recomendamos habilitar apenas o registro em log em um cenário de solução de problemas. Todas as solicitações, de dispositivos móveis e computadores de área de trabalho, para inicializar ou adquirir uma licença de uso final são registradas no banco de dados de log do AD RMS ou na conta de armazenamento do Azure. O registro em log de MDE criará duas tabelas adicionais para o SQL Server usado pelo AD RMS: a tabela de log de depuração do cliente e a tabela de log de desempenho do cliente.

Para habilitar o registro em log de Extensão de Dispositivo Móvel

  1. Em um servidor AD RMS, abra o Windows PowerShell como administrador.

  2. Digite o comando a seguir e pressione Enter: Import-Module AdRmsAdmin

  3. Digite o comando a seguir e pressione Enter: New-PSDrive -Name AdrmsCluster -PsProvider AdRmsAdmin -Root https://localhost

  4. Digite o comando a seguir e pressione Enter: Set-ItemProperty -Path AdrmsCluster:\ -Name IsLoggingEnabled -Value $true

Se você estiver usando o registro em log de MDE para solução de problemas, recomendamos desabilitá-lo depois de resolver o problema.

Para desabilitar o registro em log de Extensão de Dispositivo Móvel

  1. Em um servidor AD RMS, abra o Windows PowerShell como administrador.

  2. Digite o comando a seguir e pressione Enter: Import-Module AdRmsAdmin

  3. Digite o comando a seguir e pressione Enter: New-PSDrive -Name AdrmsCluster -PsProvider AdRmsAdmin -Root https://localhost

  4. Digite o comando a seguir e pressione Enter: Set-ItemProperty -Path AdrmsCluster:\ -Name IsLoggingEnabled -Value $false

Como atualizar o AD RMS para o Windows Server 2016

As seções seguintes fornecem diretrizes sobre como adicionar um servidor AD RMS baseado no Windows Server 2016 no cluster atual do Windows Server 2012 R2. O servidor será adicionado ao cluster e as informações serão replicadas para que o servidor AD RMS anterior possa ser preterido para liberar recursos.

Depois que você adicionar um servidor AD RMS baseado no Windows Server 2016 que foi adicionado ao cluster do AD RMS, todos os nós baseados em versões mais antigas do Windows ficarão inativos. Depois que isso for feito, você poderá desprovisionar esses servidores (por exemplo, desligar, realocar ou reinstalar com o Windows Server 2016 para ingressar no cluster do AD RMS).

Você pode implantar servidores adicionais do AD RMS no cluster para dar suporte à carga na implantação do AD RMS. Você também tem a opção de executar essa ação no caso de maior tráfego para os servidores do AD RMS.

Este guia não aborda as etapas necessárias para alterar os mecanismos de balanceamento de carga que você pode estar usando em seu ambiente para excluir os servidores que você está preterindo e incluir os que você está adicionando ao cluster.

Adicionando um servidor AD RMS de 2016

Se o cluster do AD RMS estiver usando um módulo de segurança de hardware em vez de uma chave gerenciada centralmente para seu Certificado de Licenciamento de Servidor, você precisará instalar o software e outros artefatos HSM (e.g. key e arquivos de configuração) no servidor antes de instalar o AD RMS. Você também precisará conectar o HSM ao servidor, física ou por meio das configurações de rede relevantes. Siga as diretrizes de HSM para estas etapas.

Para adicionar um servidor AD RMS de 2016

  1. Instale a Função do AD RMS na implantação do Windows Server 2016 desejada.

  2. Após a conclusão da instalação, selecione o link para Executar configuração adicional.

  3. Selecione Ingressar em um cluster do AD RMS existente e clique em Avançar.

  4. Na página Selecionar Banco de Dados de Configuração, insira o CNAME especificado no DNS para o SQL Server 2016 (FQDN).

  5. Clique em Listar na segunda linha e selecione DefaultInstance na lista suspensa.

  6. Em Nome do Banco de Dados de Configuração, selecione o menu suspenso e escolha a configuração DRMS exibida. Em seguida, clique em Próximo.

  7. Na página Informações do Banco de Dados, insira a senha da chave de cluster no campo fornecido. Em seguida, clique em Avançar.

  8. Na próxima página do assistente, especifique a conta de serviço do AD RMS, forneça a senha para ela e clique em Avançar depois que ela for verificada.

  9. Depois que a página Site do Cluster for exibida, apenas verifique se o site apropriado foi selecionado e clique em Avançar.

  10. Na página Escolher um Certificado de Autenticação de Servidor, selecione o certificado SSL importado e clique em Avançar.

  11. Clique em Instalar para iniciar a instalação.

  12. Após a conclusão da configuração, você precisará fazer logoff e voltar a administrar o AD RMS.

  13. Depois de fazer logon novamente, abra Gerenciador do Servidor, selecione Ferramentas e, em seguida, Active Directory Rights Management. A janela de gerenciamento deverá aparecer e indicar que o cluster tem o servidor adicional no cluster.

  14. Se a Extensão de Dispositivo Móvel do AD RMS foi instalada no cluster original do AD RMS, você também precisará instalar a MDE nos nós de cluster atualizados. Siga as instruções da documentação do MDE para adicionar o MDE ao cluster do AD RMS. Neste ponto, você pode redefinir todos os nós preexistente ou atualizá-los para o Windows Server 2016 e juntá-los novamente ao cluster do AD RMS usando o mesmo processo descrito acima.

Configurar o WAP (Proxy de aplicativo Web) do Windows Server 2016

As seções a seguir fornecem diretrizes sobre tarefas operacionais que talvez você precise executar na implantação do Proxy de aplicativo Web. Essa é uma etapa opcional, não necessária se você estiver publicando o AD RMS na Internet por meio de outros mecanismos.

Adicionar um servidor WAP do Windows Server 2016

Você pode implantar servidores Proxy de Aplicativo Web adicionais para dar suporte à implantação do AD RMS. É possível optar por executar essa ação no caso de aumento do tráfego para os servidores do AD RMS ou caso você precise desativar um dos servidores que estão sendo usados no momento para o Proxy de aplicativo Web.

Para adicionar um servidor Proxy de aplicativo Web de 2016

  1. No servidor que você deseja configurar como um Proxy de aplicativo Web, navegue até o console do Gerenciador do Servidor e clique em Adicionar funções e recursos.

  2. No Assistente para Adicionar Funções e Recursos, clique em Avançar até chegar à tela de seleção de Função de Servidor.

  3. Na tela Selecionar Funções do Servidor, selecione Acesso Remotoe clique em Próximo até voltar à tela Selecionar Funções do Servidor.

  4. Na caixa de diálogo Selecionar Funções de Servidor, selecione Proxy de aplicativo Web, clique em Adicionar Recursos e, em seguida, clique em Avançar.

  5. Na tela Confirmar Seleções de Instalação, clique em Instalar.

  6. Quando a instalação estiver concluída, clique em Fechar.

  7. Agora é hora de configurar o servidor. Para fazer isso, abra o console de Gerenciamento de Acesso Remoto no servidor do Proxy de aplicativo Web. Abra o menu Iniciar, digite RAMgmtUI.exee selecione o aplicativo.

  8. No painel de navegação, clique em Proxy do Aplicativo Web.

  9. No console de Gerenciamento de Acesso Remoto, clique em Executar o Assistente de Configuração do Proxy de aplicativo Web. Quando estiver no assistente, clique em Avançar.

  10. Na tela Servidor de Federação, insira o nome de domínio totalmente qualificado do servidor AD FS (por exemplo, adfs.contoso.com) e, em seguida, insira as credenciais para um administrador no servidor do AD FS.

  11. Na tela Certificado de Proxy do AD FS, na lista de certificados atualmente instalados no servidor Proxy de aplicativo Web, selecione um certificado a ser usado pelo Proxy de aplicativo Web para o proxy do AD FS e clique em Avançar.

  12. Na tela de Confirmação, examine as configurações e clique em Configurar.

  13. Quando a configuração estiver concluída, clique em Fechar.

Configuração de DNS para o Servidor WAP de 2016

Após o Servidor de Proxy de Aplicação Web do Windows Server 2016 ter sido implementado, algumas mudanças no DNS precisarão ser feitas. Isso exigirá o uso de um serviço DNS, como o GoDaddy, para apontar os serviços do AD FS e do AD RMS no servidor WAP de 2016.

Para apontar o DNS para o servidor WAP

  1. Navegue até o site do provedor (por exemplo, GoDaddy).

  2. Acesse Gerenciamento de Domínios e, em seguida, o Gerenciamento de DNS.

  3. Localize o serviço do AD FS e do AD RMS e substitua a parte Pontos para pelo Endereço IP Público do servidor WAP de 2016 e Salve.

  4. As alterações podem levar tempo para serem propagadas, mas assim que forem feitas, essa configuração estará concluída.

Habilitar logs de depuração

Informações detalhadas de registro estão disponíveis nos servidores do Web Application Proxy. Você pode configurar o log de depuração avançado usando o Visualizador de Eventos. Configurações adicionais também podem ser selecionadas para o tamanho dos logs como forma de garantir que a análise seja útil para o visualizador.

Como habilitar logs de depuração para o Proxy de aplicativo Web

  1. Abra o console do Visualizador de Eventos no Proxy de aplicativo Web.

  2. Expanda o nó Microsoft.

  3. Expanda o nó Windows.

  4. Abra os logs do Proxy de aplicativo Web.

  5. Em seguida, você poderá abrir os logs do Administrador.

  6. Abra o menu Ação, localizado na parte superior esquerda, e selecione Propriedades.

  7. Na guia Geral, escolha a opção para Habilitar Registro.

  8. Por fim, você pode personalizar o tamanho máximo do log e o que acontece quando o tamanho máximo do log de eventos é atingido.

Configurar alta disponibilidade para serviços do Windows Server 2016

As seções a seguir fornecem diretrizes sobre tarefas operacionais que talvez sejam necessárias para configurar o ambiente do Windows Server 2016 em alta disponibilidade.

Adicionar um servidor AD RMS de 2016 para alta disponibilidade

Você pode implantar servidores adicionais do AD RMS para configurar a alta disponibilidade. É possível optar por executar essa ação no caso de maior tráfego para os servidores do AD RMS.

Para adicionar um servidor AD RMS de 2016 para alta disponibilidade

  1. Instale a Função do AD RMS na implantação do Windows Server 2016 desejada.

  2. Após a conclusão da instalação, selecione o link para Executar configuração adicional.

  3. Selecione Ingressar em um cluster do AD RMS existente e clique em Avançar.

  4. Na página Selecionar Banco de Dados de Configuração, insira o CNAME especificado no DNS para o SQL Server 2016 (FQDN).

  5. Clique em Listar na segunda linha e selecione DefaultInstance na lista suspensa.

  6. Em Nome do Banco de Dados de Configuração, selecione o menu suspenso e escolha a configuração DRMS exibida. Em seguida, clique em Próximo.

  7. Na página Informações do Banco de Dados, insira a senha da chave de cluster no campo fornecido. Em seguida, clique em Avançar.

  8. Na próxima página do assistente, especifique a conta de serviço do AD RMS, forneça a senha para ela e clique em Avançar depois que ela for verificada.

  9. Depois que a página Site do Cluster for exibida, apenas verifique se o site apropriado foi selecionado e clique em Avançar.

  10. Na página Escolher um Certificado de Autenticação de Servidor, selecione o certificado SSL importado e clique em Avançar.

  11. Clique em Instalar para iniciar a instalação.

  12. Após a conclusão da configuração, você precisará fazer logoff e voltar a administrar o AD RMS.

  13. Depois de fazer logon novamente, abra Gerenciador do Servidor, selecione Ferramentas e, em seguida, Active Directory Rights Management. A janela de gerenciamento deverá aparecer e indicar que o cluster tem o servidor adicional no cluster.

  14. Depois de confirmar a configuração do servidor, configure o serviço de Balanceamento de Carga para balancear a carga entre os diferentes servidores do AD RMS no cluster.

Adicionar um servidor AD FS do Windows Server 2016 para alta disponibilidade

Você pode implantar servidores adicionais do AD FS para configurar a alta disponibilidade. É possível optar por executar essa ação no caso de maior tráfego para os servidores do AD FS. Observação: depois de elevar o nível de comportamento de farm, uma nova entrada de banco de dados será inserida no SQL Server 2016 (Adfs Configv3) e o banco de dados da configuração antiga deverá ser excluído antes de prosseguir com essas etapas.

Para adicionar o servidor AD FS do Windows Server 2016 para alta disponibilidade

  1. Instale a Função do AD RMS na implantação do Windows Server 2016 desejada.

  2. Após a conclusão da instalação, selecione o link para Configurar o serviço de federação neste servidor.

  3. Na seção de boas-vindas do assistente, escolha a opção Adicionar um servidor de federação a um farm de servidores de federação e clique em Avançar.

  4. Especifique a conta de administrador adequada e clique em Avançar.

  5. Na página Especificar Farm, selecione Especificar local do banco de dados para um farm existente usando SQL Server, insira o CNAME do serviço SQL como Nome do Host do Banco de Dados e clique em Avançar.

  6. Na área Especificar Conta de Serviço do assistente, insira as credenciais da conta de serviço do AD FS e clique em Avançar.

  7. Em Examinar Opções, clique em Avançar.

  8. Clique em Configurar quando o botão ficar disponível.

  9. Após a configuração, reinicie o computador.

  10. Após confirmar a configuração do servidor, balanceie a carga dos servidores do AD FS conforme necessário.

Adicionar um servidor WAP do Windows Server 2016 para alta disponibilidade

Você pode implantar servidores WAP adicionais para configurar a alta disponibilidade. É possível optar por executar essa ação no caso de maior tráfego para os servidores do AD RMS.

Para adicionar um servidor Proxy de Aplicativo Web do Windows Server 2016 com alta disponibilidade

  1. No servidor que você deseja configurar como um Proxy de aplicativo Web, navegue até o console do Gerenciador do Servidor e clique em Adicionar funções e recursos.

  2. No Assistente para Adicionar Funções e Recursos, clique em Avançar até chegar à tela de seleção de Função de Servidor.

  3. Na tela Selecionar Funções do Servidor, selecione Acesso Remotoe clique em Próximo até voltar à tela Selecionar Funções do Servidor.

  4. Na caixa de diálogo Selecionar Funções de Servidor, selecione Proxy de aplicativo Web, clique em Adicionar Recursos e, em seguida, clique em Avançar.

  5. Na tela Confirmar Seleções de Instalação, clique em Instalar.

  6. Quando a instalação estiver concluída, clique em Fechar.

  7. Agora é hora de configurar o servidor. Para fazer isso, abra o console de Gerenciamento de Acesso Remoto no servidor do Proxy de aplicativo Web. Abra o menu Iniciar, digite RAMgmtUI.exee selecione o aplicativo.

  8. No painel de navegação, clique em Proxy do Aplicativo Web.

  9. No console de Gerenciamento de Acesso Remoto, clique em Executar o Assistente de Configuração do Proxy de aplicativo Web. Quando estiver no assistente, clique em Avançar.

  10. Na tela Servidor de Federação, insira o nome de domínio totalmente qualificado do servidor AD FS (por exemplo, adfs.contoso.com) e, em seguida, insira as credenciais para um administrador no servidor do AD FS.

  11. Na tela Certificado de Proxy do AD FS, na lista de certificados atualmente instalados no servidor Proxy de aplicativo Web, selecione um certificado a ser usado pelo Proxy de aplicativo Web para o proxy do AD FS e clique em Avançar.

  12. Na tela de Confirmação, examine as configurações e clique em Configurar.

  13. Quando a configuração estiver concluída, clique em Fechar.

  14. Após confirmar a configuração do servidor, balanceie a carga dos servidores WAP na DMZ.

Adicionar um nó do SQL Server 2016 para Alta Disponibilidade Always On

Você pode implantar servidores SQL adicionais para configurar a Alta Disponibilidade Always On. É possível optar por executar essa ação no caso de maior tráfego para os servidores do AD RMS. Observação: verifique se ambos os Servidores SQL têm a porta de entrada 5022 aberta.

Para adicionar um servidor SQL Server 2016 ao Always On High Availability

  1. No servidor que você deseja configurar como um servidor adicional do SQL Server 2016, navegue até o console do Gerenciador do Servidor e clique em Adicionar funções e recursos.

  2. Clique em Avançar até a caixa de diálogo Selecionar Recursos.

  3. Marque a caixa de seleção Clustering de Failover. Observação: siga esta etapa também para o servidor original do SQL Server 2016, para que ambos os servidores SQL tenham o recurso de Cluster de Failover.

  4. Clique em Instalar para instalar o recurso Clustering de Failover.

  5. Agora, abra Gerenciador do Servidor e selecione Ferramentas e, em seguida, Gerenciador de Cluster de Failover.

  6. No painel do menu esquerdo, clique com o botão direito do mouse em Gerenciador de Cluster de Failover e selecione Criar Cluster

  7. Isso abrirá o Assistente para Criação de Clusters.

  8. Procure os servidores do SQL Server 2016 que serão usados para Alta Disponibilidade Always On, insira-os e clique em Avançar.

  9. Você receberá um aviso de validação. Selecione Sim para Validar os nós de cluster e clique em Avançar.

  10. Na página Opções de Teste, selecione a opção Executar todos os testes e clique em Avançar.

  11. Observação: espera-se que o Assistente de Validação de Cluster retorne várias mensagens de aviso, especialmente se você não usar o armazenamento compartilhado. Fora isso, se encontrar mensagens de erro, você precisará corrigi-las antes de criar o Cluster de Failover do Windows Server.

  12. Na caixa de diálogo Ponto de Acesso para Administrar o Cluster, insira o nome do cluster e o endereço IP virtual para o Cluster de Failover do Windows Server e, em seguida, clique em Avançar.

  13. Verifique se a configuração foi bem-sucedida em Resumo e clique em Concluir.

  14. De volta ao Gerenciador de Cluster de Failover, clique com o botão direito do mouse no cluster e selecione Mais Ações e, em seguida, escolha Definir Configurações de Quorum do Cluster

  15. Clique em Avançar e escolha a opção para Selecionar a testemunha de quorum e pressione Avançar novamente.

  16. Na página Selecionar Testemunha de Quorum, selecione a opção Configurar uma testemunha de compartilhamento de arquivos. Em seguida, clique em Próximo.

  17. Selecione Procurar e localize o caminho do compartilhamento de arquivos que você deseja usar na caixa de diálogo Caminho do Compartilhamento de Arquivos. Clique em Próximo.

  18. Na página Confirmação, clique em Avançar.

  19. Na página Resumo, clique em Concluir.

  20. Agora, abra o menu Iniciar e pesquise SQL Server Configuration Manager.

  21. Clique com o botão direito do mouse no nome do SQL Server e escolha Propriedades.

  22. Na caixa de diálogo Propriedades, selecione a guia Alta Disponibilidade AlwaysOn. Marque a caixa de seleção Habilitar Grupos de Disponibilidade AlwaysOn. Clique em OK. Observação: faça isso em ambos os servidores do SQL Server 2016.

  23. Em seguida, reinicie o serviço do SQL Server.

  24. Agora, abra o menu Iniciar e pesquise SQL Server Management Studio e, no painel de navegação esquerdo, clique com o botão direito do mouse em Grupos de Disponibilidade e clique em Assistente para Novo Grupo de Disponibilidade e, em seguida, clique em Avançar.

  25. Na página Especificar Nome do Grupo de Disponibilidade, escolha um nome de grupo (por exemplo, SQLAvailabilityGroup2016). Em seguida, clique em Próximo.

  26. Na seção Selecionar Bancos de Dados, especifique os bancos de dados. Clique em Avançar. Observação: talvez seja necessário fazer backup de algum banco de dados novamente ou colocá-lo no modo de Recuperação Completa.

  27. Quando estiver na página Especificar Réplicas, clique no botão Adicionar Réplica e escolha o outro SQL Server 2016.

  28. Após adicionar o outro servidor, clique nas caixas de seleção e defina o servidor secundário como um secundário legível.

  29. Navegue até a guia Pontos de extremidade e clique na opção Atualizar. Enquanto estiver aqui, percorra rolando e verifique se a mesma conta de serviço está no nó primário e secundário.

  30. Agora, escolha a guia Preferências de Backup e selecione a opção Preferir Secundário.

  31. Avance até a guia Ouvinte.

  32. Especifique um nome (por exemplo, SQLListener) e verifique se a porta é 1433 e, em seguida, clique em Avançar.

  33. Na página Selecionar Sincronização Inicial de Dados do assistente, escolha a opção Completo e especifique o local de rede acessível por todos os servidores SQL e, em seguida, clique em Avançar.

  34. Por fim, clique em Concluir e o processo será concluído.

Desativar nós do Windows Server 2012 R2

As seções a seguir fornecem diretrizes sobre tarefas operacionais que talvez sejam necessárias para remover os servidores do Windows Server 2012 R2 após atualizar com êxito o cluster do AD RMS para o Windows Server 2016.

Remover um servidor AD RMS do Windows Server 2012 R2

Você pode remover servidores do AD RMS desnecessários após uma atualização. É possível optar por executar essa ação quando ela se tornar necessária para desativar servidores do AD RMS.

Para remover umservidor AD RMS do Windows Server 2012 R2

  1. No servidor AD RMS do Windows Server 2012 R2 no Gerenciador do Servidor, selecione Gerenciar nos menus superior direito e, em seguida, escolha Remover Funções e Recursos.

  2. O Assistente para Remover Funções e Recursos será aberto e, na tela Antes de Começar, clique em Avançar.

  3. Na tela Seleção de Servidor, clique em Avançar.

  4. Na tela Funções do Servidor, remova a marca de seleção ao lado de Active Directory Rights Management Services e clique em Avançar.

  5. Na tela Recursos, clique em Avançar.

  6. Na tela de Confirmação, clique em Remove.

  7. Depois que isso for concluído, reinicie o servidor.

  8. Agora você poderá desligar esse servidor e realocar os recursos conforme necessário.