準備移轉獨立的 AD FS 同盟伺服器或單一節點 AD FS 伺服器陣列
若要準備移轉 (相同伺服器移轉) 獨立的 AD FS 2.0 同盟伺服器或單一節點 AD FS 伺服器陣列至 Windows Server 2012,您必須從這個伺服器匯出 AD FS 設定資料並進行備份。
若要匯出 AD FS 設定資料,請執行下列工作:
步驟 1:匯出服務設定
若要匯出服務設定,請執行下列程序:
匯出服務設定
- 記錄 Federation Service 所使用之 SSL 憑證的憑證主體名稱和憑證指紋值。 若要尋找 SSL 憑證,請開啟 Internet Information Services (IIS) 管理主控台,選取左窗格中的 [預設的網站],按一下 [動作] 窗格中的 [繫結…],尋找並選取 https 繫結,按一下 [編輯],然後按一下 [檢視]。
注意
或者,您也可以將 Federation Service 所使用的 SSL 憑證以及其私密金鑰匯出至 .pfx 檔案。 如需詳細資訊,請參閱 Export the Private Key Portion of a Server Authentication Certificate。
匯出 SSL 憑證是選擇性的,因為此憑證儲存在本機電腦個人憑證存放區中,作業系統升級時會予以保留。
- 記錄 AD FS 服務通訊、權杖解密與權杖簽署憑證的設定。 若要檢視使用的所有憑證,請開啟 Windows PowerShell,執行下列命令,將 AD FS Cmdlet 新增至 Windows PowerShell 工作階段:
PSH:>add-pssnapin “Microsoft.adfs.powershell”
。 然後執行下列命令,在檔案PSH:>Get-ADFSCertificate | Out-File “.\certificates.txt”
中建立使用中的所有憑證的清單
注意
或者,除了所有自我簽署憑證以外,您也可以匯出不是內部產生的任何權杖簽署、權杖加密或服務通訊憑證以及金鑰。 您可以使用 Windows PowerShell 來檢視伺服器上使用中的所有憑證。 開啟 Windows PowerShell 並執行下列命令,將 AD FS Cmdlet 新增至 Windows PowerShell 工作階段: PSH:>add-pssnapin “Microsoft.adfs.powershell
。 然後執行下列命令,檢視您的伺服器上所有使用中的憑證:PSH:>Get-ADFSCertificate
。 這個命令的輸出包括指定每個憑證存放區位置的 StoreLocation 與 StoreName 值。 然後,您可以使用匯出伺服器驗證憑證的私用金鑰部分中的指導方針,將每個憑證及其私密金鑰匯出至 .pfx 檔案。
匯出這些憑證是選擇性的,因為作業系統升級期間會保留所有外部憑證。
- 將 AD FS 2.0 同盟服務屬性 (例如:同盟名稱、同盟服務顯示名稱和同盟伺服器識別碼) 匯出至檔案。
若要匯出同盟服務屬性,請開啟 Windows PowerShell 並執行下列命令,將 AD FS Cmdlet 新增至 Windows PowerShell 工作階段:PSH:>add-pssnapin “Microsoft.adfs.powershell”
。 然後執行下列命令以匯出同盟服務屬性:PSH:> Get-ADFSProperties | Out-File “.\properties.txt”
。
輸出檔案將包含下列重要的設定值:
Get-ADFSProperties 報告的同盟服務屬性名稱 | AD FS 管理主控台中的同盟服務屬性名稱 |
---|---|
HostName | Federation Service 名稱 |
識別碼 | Federation Service 識別碼 |
DisplayName | Federation Service 顯示名稱 |
- 備份應用程式設定檔。 在其他設定中,這個檔案包含原則資料庫連接字串。
若要備份應用程式設定檔,必須手動將 %programfiles%\Active Directory Federation Services 2.0\Microsoft.IdentityServer.Servicehost.exe.config
檔案複製到備份伺服器上安全的位置。
注意
記下這個檔案中的資料庫連接字串,該字串緊接在 “policystore connectionstring=” 之後。 如果連接字串指定了某個 SQL Server 資料庫,還原同盟伺服器上的原始 AD FS 設定時就需要這個值。
以下是 WID 連接字串的範例: “Data Source=\\.\pipe\mssql$microsoft##ssee\sql\query;Initial Catalog=AdfsConfiguration;Integrated Security=True"
。 以下是 SQL Server 連接字串的範例: "Data Source=databasehostname;Integrated Security=True"
。
- 記錄 AD FS 2.0 同盟服務帳戶的身分識別和此帳戶的密碼。
若要尋找識別值,請檢查 [服務] 主控台中 [AD FS 2.0 Windows 服務] 的 [登入身分] 欄位,然後手動記錄這個值。
注意
若為獨立 Federation Service,則會使用內建的網路服務帳戶。 在這種情況下,您不需要密碼。
- 將啟用的 AD FS 端點清單匯出至檔案。
若要這樣做,請開啟 Windows PowerShell 並執行下列命令,將 AD FS Cmdlet 新增至 Windows PowerShell 工作階段:PSH:>add-pssnapin “Microsoft.adfs.powershell”
。 然後執行下列命令,將已啟用的 AD FS 端點的清單匯出至檔案:PSH:> Get-ADFSEndpoint | Out-File “.\endpoints.txt”
。
- 將任何自訂宣告描述匯出至檔案。
若要這樣做,請開啟 Windows PowerShell 並執行下列命令,將 AD FS Cmdlet 新增至 Windows PowerShell 工作階段:PSH:>add-pssnapin “Microsoft.adfs.powershell”
。 然後執行下列命令,將任何自訂宣告描述匯出至檔案:Get-ADFSClaimDescription | Out-File “.\claimtypes.txt”
。
步驟 2:匯出宣告提供者信任
若要匯出宣告提供者信任,請執行下列程序:
匯出宣告提供者信任
- 您可以使用 Windows PowerShell 來匯出所有宣告提供者信任。 開啟 Windows PowerShell 並執行下列命令,將 AD FS Cmdlet 新增至 Windows PowerShell 工作階段:
PSH:>add-pssnapin “Microsoft.adfs.powershell”
。 然後執行下列命令以匯出所有宣告提供者信任:PSH:>Get-ADFSClaimsProviderTrust | Out-File “.\cptrusts.txt”
。
步驟 3:匯出信賴憑證者信任
若要匯出信賴憑證者信任,請執行下列程序:
匯出信賴憑證者信任
- 若要匯出所有信賴憑證者信任,請開啟 Windows PowerShell 並執行下列命令,將 AD FS Cmdlet 新增至 Windows PowerShell 工作階段:
PSH:>add-pssnapin “Microsoft.adfs.powershell”
。 然後執行下列命令以匯出所有信賴憑證者信任:PSH:>Get-ADFSRelyingPartyTrust | Out-File “.\rptrusts.txt”
。
步驟 4:備份自訂屬性存放區
您可以使用 Windows PowerShell 命令,尋找 AD FS 使用的自訂屬性存放區的相關資訊。 開啟 Windows PowerShell 並執行下列命令,將 AD FS Cmdlet 新增至 Windows PowerShell 工作階段: PSH:>add-pssnapin “Microsoft.adfs.powershell”
。 然後執行下列命令以尋找自訂屬性存放區的相關資訊:PSH:>Get-ADFSAttributeStore
。 升級或移轉自訂屬性存放區的步驟會有所不同。
步驟 5:備份網頁的自訂項目
若要備份任何網頁的自訂項目,請複製 AD FS 網頁和 web.config 檔案,其位於與 IIS 中虛擬路徑 “/adfs/ls” 對應的目錄中。 根據預設,它會位於 %systemdrive%\inetpub\adfs\ls 目錄中。
後續步驟
準備移轉 AD FS 2.0 同盟伺服器
準備移轉 AD FS 2.0 同盟伺服器 Proxy
移轉 AD FS 2.0 同盟伺服器
移轉 AD FS 2.0 同盟伺服器 Proxy
移轉 AD FS 1.1 網路代理程式