Поделиться через

Обновление до AD FS в Windows Server 2016 с помощью SQL Server

  • Статья

Внимание

Вместо обновления до последней версии AD FS корпорация Майкрософт настоятельно рекомендует перейти на идентификатор Microsoft Entra. Дополнительные сведения см. в разделе "Ресурсы для вывода из эксплуатации AD FS"

Примечание.

Начинается только обновление с окончательного периода времени, запланированного на завершение. Не рекомендуется хранить AD FS в состоянии смешанного режима в течение длительного периода времени, так как выход AD FS в состоянии смешанного режима может вызвать проблемы с фермой.

Перемещение фермы WINDOWS Server 2012 R2 AD FS в ферму Windows Server 2016 AD FS

В этой статье описывается обновление фермы AD FS Windows Server 2012 R2 до AD FS в Windows Server 2016. Действия применяются при использовании SQL Server для базы данных AD FS.

Обновление AD FS до Windows Server 2016 FBL

Новые возможности AD FS для Windows Server 2016 — это функция уровня поведения фермы (FBL). Эта функция является широкой и определяет функции, которые может использовать ферма AD FS. По умолчанию FBL в ферме Windows Server 2012 R2 AD FS находится в FBL Windows Server 2012 R2.

Сервер Windows Server 2016 AD FS можно добавить в ферму Windows Server 2012 R2 и работает в том же FBL, что и Windows Server 2012 R2. Для сервера Windows Server 2016 AD FS, работающего таким образом, ваша ферма считается "смешанной". Однако новые функции Windows Server 2016 недоступны, пока FBL не будет поднят в Windows Server 2016.

Ниже приведены некоторые из важных функций работы с смешанной фермой:

  • Администратор istrators могут добавлять новые серверы федерации Windows Server 2016 в существующую ферму Windows Server 2012 R2. В результате ферма находится в смешанном режиме и работает на уровне поведения фермы Windows Server 2012 R2. Чтобы обеспечить согласованное поведение в ферме, новые функции Windows Server 2016 нельзя настроить или использовать в этом режиме.

  • Администратор istrators могут удалять все серверы федерации Windows Server 2012 R2 из фермы смешанного режима. В этом сценарии один из новых серверов федерации Windows Serve 2016 повышен до роли первичного узла. Затем администратор может вызвать FBL из Windows Server 2012 R2 в Windows Server 2016. В результате можно настроить и использовать любые новые функции AD FS Windows Server 2016.

  • Организации AD FS Windows Server 2012 R2, которые хотят обновить до Windows Server 2016, не должны развертывать совершенно новую ферму или экспортировать и импортировать данные конфигурации. Вместо этого они могут добавлять узлы Windows Server 2016 в существующую ферму, пока она находится в сети, и только нанести относительно краткое время простоя, связанное с повышением FBL.

В смешанном режиме фермы ферма AD FS не может создавать новые функции или функциональные возможности, представленные в AD FS в Windows Server 2016. Организации, которые хотят попробовать новые функции, могут сделать это после создания FBL. Если ваша организация стремится протестировать новые функции перед созданием FBL, необходимо развернуть отдельную ферму.

Оставшаяся часть статьи содержит шаги по добавлению сервера федерации Windows Server 2016 в среду Windows Server 2012 R2. Эти шаги были выполнены в тестовой среде, описанной на следующей схеме архитектуры.

Примечание.

Прежде чем перейти к AD FS в Windows Server 2016 FBL, необходимо удалить все узлы Windows 2012 R2. Вы не можете обновить ОС Windows Server 2012 R2 до Windows Server 2016 и автоматически стать узлом 2016. Его необходимо удалить и заменить новым узлом 2016.

Если группы AlwaysOnAvailability или реплика tion слиянием настроены в AD FS, удалите все реплика действия всех баз данных AD FS перед обновлением и укажите все узлы в базу данных-источник SQL. После выполнения этих задач выполните обновление фермы, как описано. После завершения обновления добавьте группы AlwaysOnAvailability или объедините реплика в новые базы данных.

На следующей схеме архитектуры показана настройка, используемая для проверки и записи следующих шагов.

Схема, на котором показана архитектура, настроенная для процедуры, описанной в этой статье.

Присоединение сервера AD FS к ферме AD FS в Windows 2016

  1. В диспетчер сервера установите роль службы федерации Active Directory (AD FS) в Windows Server 2016.

  2. В мастере настройки AD FS присоединитесь к новому серверу Windows Server 2016 к существующей ферме AD FS.

  3. На экране приветствия выберите "Добавить сервер федерации" в ферму серверов федерации, а затем нажмите кнопку "Далее".

  4. На экране Подключение домен Active Directory Services укажите учетную запись администратора с разрешениями на настройку служб федерации и нажмите кнопку "Далее".

  5. На экране "Указание фермы" введите имя сервера SQL Server и экземпляра, а затем нажмите кнопку "Далее".

    Снимок экрана: экран

  6. На экране "Указание SSL-сертификата" укажите сертификат и нажмите кнопку "Далее".

    Снимок экрана: указание сертификата для присоединения к ферме.

  7. На экране "Указание учетной записи службы" укажите учетную запись службы и нажмите кнопку "Далее".

  8. На экране "Параметры проверки" просмотрите параметры и нажмите кнопку "Далее".

  9. На экране "Предварительные проверки" убедитесь, что все необходимые проверка переданы, а затем нажмите кнопку "Настроить".

  10. На экране результатов убедитесь, что сервер успешно настроен, а затем нажмите кнопку "Закрыть".

Удаление сервера Windows Server 2012 R2 AD FS

Следующие действия удаляют сервер Windows Server 2012 R2 AD FS.

Примечание.

При использовании SQL в качестве базы данных не требуется задать основной сервер AD FS с Set-AdfsSyncProperties -Role помощью команды. Все узлы считаются основными в этой конфигурации.

  1. В диспетчер сервера перейдите на сервер Windows Server 2012 R2 AD FS. В разделе "Управление" выберите "Удалить роли и компоненты":

    Снимок экрана: удаление ролей и функций.

  2. На экране "Перед началом работы" нажмите кнопку "Далее" и на экране выбора сервера нажмите кнопку "Далее".

  3. На экране ролей сервера un проверка параметр службы федерации Active Directory (AD FS) и нажмите кнопку "Далее".

    Снимок экрана: удаление сервера путем отмены выбора параметра службы федерации Active Directory (AD FS).

  4. На экране компонентов нажмите кнопку "Далее".

  5. На экране подтверждения нажмите кнопку "Удалить".

  6. После завершения удаления компонентов перезапустите сервер.

Повышение уровня поведения фермы (FBL)

Следующие шаги вызывают FBL для сервера.

Внимание

Прежде чем продолжить процесс в этом разделе, ознакомьтесь со следующими предварительными условиями:

  • Убедитесь, что процессы подготовки леса и домена завершены в среде Active Directory и что Active Directory имеет схему Windows Server 2016. Процедура, описанная в этой статье, основана на архитектуре, которая началась с контроллера домена Windows 2016. Пример архитектуры не требует действий в этом разделе, так как задачи включены в процесс установки AD.

  • Убедитесь, что Windows Server 2016 является текущим, выполнив Обновл. Windows из Параметры. Продолжайте процесс обновления до тех пор, пока не потребуется никаких дополнительных обновлений.

  • Убедитесь, что учетная запись службы AD FS имеет административные разрешения на сервере SQL Server и каждом сервере в ферме ADFS.

  1. На сервере Windows Server 2016 откройте PowerShell и выполните следующую команду:

    $cred = Get-Credential

  2. Введите учетные данные с правами администратора в SQL Server.

  3. В PowerShell введите следующую команду.

    Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred

  4. В командной строке выберите Y (да), чтобы начать повышение уровня. После завершения операции вы успешно подняли FBL.

    Снимок экрана: начало повышения уровня FBL и завершение процесса обновления.

    Если вы перейдете в ad FS Management, вы увидите новые узлы.

  5. Командлет Get-AdfsFarmInformation PowerShell можно использовать для отображения текущего FBL:

    Снимок экрана: использование командлета Get-AdfsFarmInformation для отображения текущего FBL.

Обновление версии конфигурации существующих серверов WAP

  1. На каждом прокси-сервере веб-приложения перенастройите WAP, выполнив следующую команду PowerShell в окне с повышенными привилегиями:

    $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred

  2. Выполните следующую команду, чтобы удалить старые серверы из кластера и сохранить только серверы WAP с последней версией сервера (перенастройка ранее):

    Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2

  3. Выполните следующую команду, чтобы проверка конфигурации WAP. Значение ConnectedServersName отражает запуск сервера из предыдущей команды:

    Get-WebApplicationProxyConfiguration

  4. Чтобы обновить ConfigurationVersion waP-серверы, выполните следующую команду PowerShell:

    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion

  5. Get-WebApplicationProxyConfiguration Запустите команду еще раз и проверьте ConfigurationVersion обновление.