Actualización a AD FS en Windows Server 2016 mediante una base de datos WID

  • Artículo
  • Tiempo de lectura: 7 minutos

Nota:

Solo se inicia una actualización con un período de tiempo definitivo planeado para la finalización. No se recomienda mantener AD FS en un estado de modo mixto durante un período de tiempo prolongado, ya que dejar AD FS en un estado de modo mixto puede provocar problemas con la granja de servidores.

Actualización de una granja de Windows Server 2012 R2 o 2016 AD FS a Windows Server 2019

En el siguiente documento se describe cómo actualizar la granja de AD FS a AD FS en Windows Server 2019 cuando se usa una base de datos WID.

Niveles de comportamiento de la granja de servidores de AD FS (FBL)

En AD FS para Windows Server 2016, se introdujo el nivel de comportamiento de la granja de servidores (FBL). Esta es la configuración de todo el conjunto de servidores que determina las características que puede usar la granja de servidores de AD FS.

En la tabla siguiente se enumeran los valores de FBL por Windows versión del servidor:

Versión de Windows Server FBI Nombre de la base de datos de configuración de AD FS
2012 R2 1 AdfsConfiguration
2016 3 AdfsConfigurationV3
2019 4 AdfsConfigurationV4

Nota

Al actualizar FBL se crea una nueva base de datos de configuración de AD FS. Consulte la tabla anterior para ver los nombres de la base de datos de configuración para cada versión de FS Windows Server AD y el valor de FBL.

Granjas de servidores nuevas frente a actualizadas

De forma predeterminada, el FBL de una nueva granja de AD FS coincide con el valor de la versión de Windows Server del primer nodo de granja de servidores instalado.

Un servidor de AD FS de una versión posterior se puede unir a una granja de servidores de AD FS 2012 R2 o 2016, y la granja funcionará en el mismo FBL que los nodos existentes. Cuando tiene varias versiones de Windows Server que funcionan en la misma granja de servidores en el valor FBL de la versión más baja, se dice que la granja de servidores es "mixta". Sin embargo, no podrá aprovechar las características de las versiones posteriores hasta que se genere el FBL. Con una granja mixta:

  • Los administradores pueden agregar nuevos servidores de federación de Windows Server 2019 a una granja de Windows Server 2012 R2 o 2016 existente. Como resultado, la granja de servidores está en "modo mixto" y funciona en el mismo nivel de comportamiento de la granja de servidores que la granja original. Para garantizar un comportamiento coherente en la granja de servidores, las características de las versiones más recientes de Windows Server AD FS no se pueden configurar ni usar.

  • Antes de que se pueda generar el FBL, los administradores deben quitar los nodos de AD FS de las versiones anteriores de Windows Server de la granja de servidores. En el caso de una granja de WID, tenga en cuenta que esto requiere que uno de los nuevos servidores de federación de Windows Server 2019 se promueva al rol de nodo principal en la granja de servidores.

  • Una vez que todos los servidores de federación de la granja de servidores estén en la misma versión del servidor Windows, se puede generar el FBL. Como resultado, las nuevas características de AD FS Windows Server 2019 se pueden configurar y usar.

Tenga en cuenta que, aunque en el modo de granja de servidores mixta, la granja de AD FS no es capaz de ninguna nueva característica o funcionalidad introducida en AD FS en Windows Server 2019. Esto significa que las organizaciones que quieren probar nuevas características no pueden hacerlo hasta que se genere el FBL. Por lo tanto, si su organización busca probar las nuevas características antes de generar el FBL, deberá implementar una granja independiente para hacerlo.

En el resto de este documento se proporcionan los pasos para agregar un servidor de federación de Windows Server 2019 a un entorno de Windows Server 2016 o 2012 R2 y, a continuación, generar el FBL a Windows Server 2019. Estos pasos se realizaron en un entorno de prueba descrito por el diagrama de arquitectura siguiente.

Nota:

Para poder pasar a AD FS en Windows Server 2019 FBL, debe quitar todos los nodos de Windows Server 2016 o 2012 R2. No puede actualizar un sistema operativo de Windows Server 2016 o 2012 R2 a Windows Server 2019 y convertirlo en un nodo 2019. Deberá quitarlo y reemplazarlo por un nuevo nodo 2019.

Nota:

Si los grupos AlwaysOnAvailability o la replicación de mezcla están configurados en AD FS, quite toda la replicación de cualquier base de datos de AD FS antes de actualizar y apuntar todos los nodos a la base de datos de SQL principal. Después de realizar esto, realice la actualización de la granja de servidores como se documenta. Después de la actualización, agregue grupos AlwaysOnAvailability o replicación de mezcla a las nuevas bases de datos.

Para actualizar la granja de servidores de AD FS a Windows nivel de comportamiento de granja de servidores de Server 2019

  1. Con Administrador del servidor, instale el rol de Servicios de federación de Active Directory (AD FS) en Windows Server 2019.

  2. Con el Asistente para configuración de AD FS, una el nuevo servidor Windows Server 2019 a la granja de servidores de AD FS existente.

Screenshot that shows how to join the new Windows Server 2019 server to the existing AD FS farm.

  1. En el servidor de federación de Windows Server 2019, abra la administración de AD FS. Tenga en cuenta que las funcionalidades de administración no están disponibles porque este servidor de federación no es el servidor principal.

Screenshot that shows the A D F S window.

  1. En el servidor Windows Server 2019, abra una ventana de comandos de PowerShell con privilegios elevados y ejecute el siguiente cmdlet:
Set-AdfsSyncProperties -Role PrimaryComputer

Screenshot of a terminal window that shows how to use the Set-AdfsSyncProperties -Role PrimaryComputer cmdlet.

  1. En el servidor de AD FS que se configuró anteriormente como principal, abra una ventana de comandos de PowerShell con privilegios elevados y ejecute el siguiente cmdlet:
Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName {FQDN}

Screenshot of a terminal window that shows how to use the Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName {FQDN} cmdlet.

  1. Ahora, en el servidor de federación de Windows Server 2019, abra administración de AD FS. Tenga en cuenta que ahora todas las funcionalidades de administrador aparecen porque el rol principal se ha transferido a este servidor.

Screenshot that shows the Windows Server 2016 federation server open AD FS Management window.

  1. Si va a actualizar una granja de servidores de AD FS 2012 R2 a 2016 o 2019, la actualización de la granja de servidores requiere que el esquema de AD tenga al menos el nivel 85. Para actualizar el esquema, con los medios de instalación de Windows Server 2016, abra un símbolo del sistema y vaya al directorio support\adprep. Ejecute la siguiente línea: adprep /forestprep

Screenshot that shows how to navigate to support\adprep directory.

Una vez completada la ejecución adprep /domainprep

Nota

Antes de ejecutar el paso siguiente, asegúrese de que Windows Server está activo ejecutando Windows Update desde Configuración. Continúe este proceso hasta que no se necesiten más actualizaciones.

Screenshot that shows how to run adprep /domainprep.

  1. Asegúrese de que el nivel de comportamiento de la granja de servidores se puede generar correctamente con el comando Nivel de comportamiento de la granja de servidores de prueba .
Test-AdfsFarmBehaviorLevelRaise
  1. Ahora en el servidor Windows Server 2019, abra PowerShell y ejecute el siguiente cmdlet:

Nota

Todos los servidores 2012 R2 deben quitarse de la granja antes de ejecutar el paso siguiente.

Invoke-AdfsFarmBehaviorLevelRaise

Screenshot of a terminal window that shows how to run the Invoke-AdfsFarmBehaviorLevelRaise cmdlet.

  1. Cuando se le solicite, escriba Y. Esto comenzará a elevar el nivel. Una vez completado esto, ha generado correctamente el FBL.

Screenshot of a terminal window that shows when to type Y.

  1. Ahora, si va a Administración de AD FS, verá que se han agregado las nuevas funcionalidades para la versión posterior de AD FS.

Screenshot that shows the new capabilities that have been added.

  1. Del mismo modo, puede usar el cmdlet de PowerShell: Get-AdfsFarmInformation para mostrar el FBL actual.

upgrade

  1. Para actualizar los servidores WAP al nivel más reciente, en cada Application Proxy web, vuelva a configurar el WAP ejecutando el siguiente cmdlet de PowerShell en una ventana con privilegios elevados:
$trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred

Quite los servidores antiguos del clúster y mantenga solo los servidores WAP que ejecutan la versión más reciente del servidor, que se han reconfigurado anteriormente, ejecutando el siguiente cmdlet de PowerShell:

Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2

Para comprobar la configuración de WAP, ejecute el cmdlet Get-WebApplicationProxyConfiguration. ConnectedServersName reflejará la ejecución del servidor desde el comando anterior.

Get-WebApplicationProxyConfiguration

Nota

Omita el paso siguiente si ConfigurationVersion está Windows Server 2016. Este es el valor correcto para web Application Proxy en Windows Server 2016 / 2019.

Para actualizar ConfigurationVersion de los servidores WAP, ejecute el siguiente comando de PowerShell:

Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion

Esto completará la actualización de los servidores WAP.

Nota

Existe un problema de PRT conocido en AD FS 2019 si se realiza Windows Hello para empresas con una confianza de certificado híbrido. Puede encontrar este error en los registros de eventos del administrador de AD FS: se ha recibido una solicitud de OAuth no válida. El cliente "NOMBRE" no tiene permiso para acceder al recurso con el ámbito "ugs". Para corregir este error:

  1. Inicia la consola de administración de AD FS. Brose a "Descripciones de ámbito de servicios > ".
  2. Haga clic con el botón derecho en "Descripciones de ámbito" y seleccione "Agregar descripción del ámbito".
  3. En nombre, escriba "ugs" y haga clic en Aplicar > aceptar.
  4. Inicie PowerShell como administrador.
  5. Ejecuta el comando "Get-AdfsApplicationPermission". Busca el elemento ScopeNames: {openid, aza} que contenga ClientRoleIdentifier. Toma nota del elemento ObjectIdentifier.
  6. Ejecute el comando "Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier ObjectIdentifier desde el paso 5> -AddScope "ugs".
  7. Reinicie el servicio AD FS.
  8. En el cliente: Reinicia el cliente. Se pedirá al usuario que aprovisione WHPB.
  9. Si la ventana de aprovisionamiento no aparece, tienes que recopilar los registros de seguimiento de NGC y solucionar el problema.