Upgrade einer bestehenden AD FS-Farm mit Hilfe der internen Windows-Datenbank

Wichtig

Anstelle eines Upgrades auf die neueste Version von AD FS empfiehlt Microsoft dringend die Migration zu Microsoft Entra ID. Weitere Informationen finden Sie unter Ressourcen für die Außerbetriebnahme von AD FS.

In diesem Artikel erfahren Sie, wie Sie das Farmverhalten für Active Directory Verbunddienste (AD FS) mithilfe der internen Windows-Datenbank (Windows Internal Database, WID) aktualisieren können. Ab Windows Server 2016 wurde die Farmverhaltensebene (Farm Behavior Level, FBL) in AD FS eingeführt. Die FBL ist eine farmweit gültige Einstellung zum Festlegen der Features, die von der AD FS-Farm verwendet werden können.

Administratoren können einer bestehenden Windows Server-Farm neue Verbundserver im „gemischten Modus“ hinzufügen. Der gemischte Modus arbeitet auf der gleichen Verhaltensebene der Farm wie die ursprüngliche Farm, um ein konsistentes Verhalten zu gewährleisten. Features der neueren Windows Server AD FS-Versionen können nicht konfiguriert oder verwendet werden.

Voraussetzungen

Bevor Sie ein Upgrade der Farmverhaltensebene durchführen können, müssen Sie die folgenden Voraussetzungen erfüllen:

• Sie müssen bestimmen, auf welche Version von Windows Server Sie upgraden möchten.

• Stellen Sie die Zielversion von Windows Server auf einem neuen Computer bereit, wenden Sie alle Windows Updates an und installieren Sie die Serverrolle der Active Directory Verbunddienste. Weitere Informationen finden Sie unter Hinzufügen eines Verbundservers zu einer vorhandenen Verbundserverfarm.

• Wenn Sie auch den Windows Server Webanwendungsproxy verwenden, stellen Sie die Zielversion von Windows Server auf einem neuen Computer bereit, führen alle Windows-Updates durch und installieren die Serverrolle Fernzugriff und den Rollendienst Webanwendungsproxy. Weitere Informationen finden Sie unter Arbeiten mit dem Webanwendungsproxy.

• Wenn Sie ein Upgrade auf AD FS in Windows Server 2016 oder höher durchführen, muss das AD-Schema für das Farmupgrade mindestens auf Ebene 85 festgelegt sein. Wenn Sie ein Upgrade auf Windows Server AD FS 2019 oder höher durchführen, muss das AD-Schema mindestens auf Ebene 88 festgelegt sein. Weitere Informationen zum Upgrade Ihrer Domäne finden Sie unter Upgrade der Domänencontroller auf eine neuere Version von Windows Server.

• Für die Fertigstellung wurde ein definierter Zeitrahmen geplant. Der Zustand des gemischten Modus sollte nicht für einen längeren Zeitraum verwendet werden. Wenn Sie AD FS in einem gemischten Modus belassen, kann dies zu Problemen mit der Farm führen.

• Sichern Sie Ihre AD FS-Konfiguration und die Verbundserver.

Ebenen des Farmverhaltens

Standardmäßig entspricht die FBL in einer neuen AD FS-Farm dem Wert für die Windows Server-Version des ersten installierten Farmknotens.

Sie können einen AD FS-Server einer neueren Version mit einer Farm mit einer niedrigeren FBL verbinden. Die Farm arbeitet mit demselben FBL wie die bestehenden Knotenpunkte. Wenn Sie mehrere Windows Server-Versionen in der gleichen Farm mit dem FBL-Wert der niedrigsten Version betreiben, ist Ihre Farm „gemischt“. Allerdings können Sie die Funktionen der späteren Versionen erst nutzen, wenn Sie den FBL-Wert erhöhen. Wenn Ihre Organisation vor dem Erhöhen der Farmverhaltensebene die neuen Features testen möchte, müssen Sie dazu eine separate Farm bereitstellen.

In der folgenden Tabelle sind die möglichen FBL-Werte und die Namen der Konfigurationsdatenbanken nach Windows Server-Version aufgeführt.

Windows Server-Version	FBL-Wert	Name der AD FS-Konfigurationsdatenbank
2012 R2	1	AdfsConfiguration
2016	3	AdfsConfigurationV3
2019 und 2022	4	AdfsConfigurationV4

Hinweis

Durch das Upgrade der FBL wird eine neue AD FS-Konfigurationsdatenbank erstellt.

Nachdem Sie nun den Zweck von FBL verstanden und die Voraussetzungen erfüllt haben, sind Sie bereit, Ihre aktuelle FBL zu überprüfen.

So finden Sie Ihre aktuelle FBL

1. Melden Sie sich bei Ihrem Verbundserver an, und öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten.

2. Führen Sie den folgenden PowerShell-Befehl aus, um die aktuellen Informationen zu FBL und Farmknoten zurückzugeben.

   Get-AdfsFarmInformation
   

3. Überprüfen Sie CurrentFarmBehavior und FarmNodes.

Migrieren von Verbundservern

Nachdem Sie die aktuellen Informationen über die Verbundfarm gesammelt haben, können Sie mit dem Upgrade-Prozess beginnen. So beginnen Sie mit dem Upgrade:

1. Fügen Sie der vorhandenen Farm die neuen Verbundserver hinzu. Weitere Informationen finden Sie unter Hinzufügen eines Verbundservers zu einer vorhandenen Verbundserverfarm.

2. Melden Sie sich bei Ihrem neuen Verbundserver an, und öffnen Sie dann eine PowerShell-Sitzung mit erhöhten Rechten. Wenn Sie über mehrere Server verfügen, führen Sie diesen Befehl nur auf einem Server aus.

3. Legen Sie die Verbundserver-Synchronisierungseigenschaft so fest, dass sie die primäre Computerrolle übernimmt. Führen Sie dazu den folgenden Befehl aus. Weitere Informationen finden Sie unter Set-AdfsSyncProperties.

   Set-AdfsSyncProperties -Role PrimaryComputer
   

4. Melden Sie sich ggf. bei den anderen Verbundservern in der Farm an, und öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten.

5. Legen Sie die Rolle auf den sekundären Computer fest, indem Sie den folgenden Befehl ausführen.

   Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName "<primary-server-FQDN>"
   

6. Aktualisieren Sie alle Lastenausgleichs-, DNS- oder Netzwerkkonfigurationen auf die Verwendung der neuen Verbundserver, und stellen Sie sicher, dass der Server betriebsbereit ist. Weitere Informationen finden Sie unter Überprüfen der Betriebsbereitschaft Ihres Windows Server 2012 R2-Verbundservers.

7. Deinstallieren Sie die Serverrolle für Active Directory-Verbunddienste von den vorherigen Servern, und führen Sie dann den folgenden Befehl aus, um die veralteten Einträge zu entfernen.

   Set-AdfsFarmInformation -RemoveNode "<old-server-FQDN>"
   

Nachdem Sie nun Ihren neuen Verbundserver zur Farm hinzugefügt und die vorherigen Server entfernt haben, können Sie das FBL-Upgrade durchführen. Weitere Informationen zur Außerbetriebnahme finden Sie unter Schritte zur Außerbetriebnahme Ihrer AD FS-Server.

Durchführen eines Upgrades der Farmverhaltensebene (Farm Behavior Level, FBL)

Nachdem Sie die aktuellen Informationen über die Verbundfarm gesammelt haben, können Sie mit dem Upgrade-Prozess beginnen. So beginnen Sie mit dem Upgrade:

1. Melden Sie sich bei Ihrem primären Verbundserver an, und öffnen Sie dann eine PowerShell-Sitzung mit erhöhten Rechten.

2. Führen Sie den folgenden Befehl aus, um zu testen, ob Sie die Verhaltensebene einer Farm erhöhen können.

   Test-AdfsFarmBehaviorLevelRaise
   

3. Nachdem Sie die Ausgabe überprüft haben, führen Sie den folgenden Befehl aus, um das Farmverhalten zu aktualisieren. Sie werden gefragt, ob Sie den Vorgang fortsetzen möchten.

   Invoke-AdfsFarmBehaviorLevelRaise
   

4. Überprüfen Sie die Befehlsausgabe, um sicherzustellen, dass der Vorgang erfolgreich war. Um die neue Farmverhaltensebene zu verifizieren, führen Sie den folgenden PowerShell-Befehl aus, der die aktuellen Informationen zu FBL und Farmknoten zurückgibt.

   Get-AdfsFarmInformation
   

Sie haben jetzt ein Upgrade Ihrer FBL auf Ihre Windows Server-Zielversion durchgeführt. Wenn Sie auch den Rollendienst des Windows Server-Webanwendungsproxys verwenden, fahren Sie mit dem nächsten Abschnitt fort.

Durchführen eines Upgrades für den Webanwendungsproxy

Nachdem Sie nun Ihre FBL aktualisiert haben, müssen Sie den Webanwendungsproxy (WAP) auf den neuesten Stand bringen.

1. Melden Sie sich bei Ihrem neu bereitgestellten Webanwendungsproxy-Server an, und öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten.

2. Importieren Sie das vom Verbundzertifikat verwendete Zertifikat und notieren Sie sich den Fingerabdruck des Zertifikats.

3. Um WAP zu konfigurieren, führen Sie den folgenden PowerShell-Befehl aus und ersetzen dabei den Platzhalter <value> durch Ihre eigenen Werte. Wiederholen Sie diesen Schritt ggf. für weitere Webanwendungsproxy-Server.

   $trustcred = Get-Credential -Message "<Enter Domain Administrator credentials>"
   Install-WebApplicationProxy -CertificateThumbprint "<SSLCertThumbprint>" -FederationServiceName "<FScomputername>" -FederationServiceTrustCredential $trustcred
   

4. Um die aktuellen verbundenen Webanwendungsproxy-Server zu überprüfen, führen Sie den folgenden Befehl aus, und notieren Sie sich die Werte ConnectedServerName und ConfigurationVersion.

   Get-WebApplicationProxyConfiguration
   

   Hinweis

   Überspringen Sie den nächsten Schritt, wenn ConfigurationVersion Windows Server 2016 lautet. Dies ist der richtige Wert für den Webanwendungsproxy unter Windows Server 2016 und höher.

5. Entfernen Sie alte Webanwendungsproxy-Server, und behalten Sie nur die in den vorherigen Schritten konfigurierten neuen Server bei, indem Sie das folgende PowerShell-Cmdlet ausführen:

   Set-WebApplicationProxyConfiguration -ConnectedServersName "WAPServerName1, WAPServerName2"
   

6. Führen Sie den folgenden PowerShell-Befehl aus, um ein ConfigurationVersion-Upgrade der WAP-Server durchzuführen:

   Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
   

Das Upgrade des Webanwendungsproxys ist nun abgeschlossen.

Modell der zertifikatbasierten Vertrauensstellung mit Windows Hello for Business

Wenn Sie AD FS auf Windows Server 2019 oder höher und Windows Hello for Business in einem Zertifikat-Vertrauensmodell verwenden, kann im Ereignisprotokoll die folgende Fehlermeldung auftreten.

Received invalid Oauth request. The client 'NAME' is forbidden to access the resource with scope 'ugs'.

So beheben Sie diesen Fehler

1. Öffnen Sie die AD FS-Verwaltungskonsole. Navigieren Sie zu Dienste > Bereichsbeschreibungen.

2. Klicken Sie mit der rechten Maustaste auf Bereichsbeschreibungen und wählen Sie Bereichsbeschreibung hinzufügen aus.

3. Geben Sie unter „Name“ ugs ein und wählen Sie dann Anwenden > OK aus.

4. Starten Sie PowerShell als Administrator, und führen Sie die folgenden Befehle aus.

   $id = (Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
   Set-AdfsApplicationPermission -TargetIdentifier $id -AddScope 'ugs'
   

5. Starten Sie den AD FS-Dienst neu.

6. Starte den Client neu. Der Benutzer sollte dazu aufgefordert werden, Windows Hello for Business zu konfigurieren.

Nächste Schritte

Nachdem Sie nun Ihre AD FS-Bereitstellung aktualisiert haben, finden Sie hier einige Artikel, die für Sie nützlich sein könnten.

• Überprüfen der Betriebsbereitschaft eines Verbundservers
• Überprüfen der Betriebsbereitschaft eines Verbundserverproxys
• AD FS-Vorgänge