Actualización a AD FS en Windows Server 2016 con SQL Server

  • Artículo

Importante

En lugar de actualizar a la versión más reciente de AD FS, Microsoft recomienda encarecidamente migrar a Microsoft Entra ID. Para más información, consulte Recursos para la retirada de AD FS

Nota

Inicie una actualización solo si tiene previsto un tiempo de finalización definitivo. No se recomienda mantener AD FS en un estado de modo mixto durante un período de tiempo prolongado, ya que dejar AD FS en dicho estado puede causar problemas con la granja de servidores.

Traslado de una granja AD FS de Windows Server 2012 R2 a una granja AD FS de Windows Server 2016

En el siguiente documento se describe cómo actualizar una granja de AD FS Windows Server 2012 R2 a AD FS en Windows Server 2016 cuando se usa un servidor SQL para la base de datos de AD FS.

Actualización de AD FS al FBL de Windows Server 2016

La novedad de AD FS para Windows Server 2016 es la característica de nivel de comportamiento de la granja de servidores (FBL). Esta característica afecta a toda la granja de servidores y determina las características que puede usar la granja de servidores de AD FS. De forma predeterminada, el FBL de una granja de AD FS Windows Server 2012 R2 se encuentra en el FBL de Windows Server 2012 R2.

Se puede agregar un servidor de AD FS Windows Server 2016 a una granja de Windows Server 2012 R2 y funcionará en el mismo FBL que un Windows Server 2012 R2. Cuando hay un servidor de AD FS Windows Server 2016 que funciona de esta manera, se dice que la granja de servidores es "mixta". Sin embargo, no podrá aprovechar las nuevas características de Windows Server 2016 hasta que el FBL se eleve a Windows Server 2016. Con una granja mixta:

  • Los administradores pueden agregar nuevos servidores de federación de Windows Server 2016 a una granja de servidores de Windows Server 2012 R2 existente. Como resultado, la granja de servidores está en "modo mixto" y opera el nivel de comportamiento de la granja de servidores de Windows Server 2012 R2. Para garantizar un comportamiento coherente en toda la granja de servidores, las nuevas características de Windows Server 2016 no se pueden configurar ni usar en este modo.

  • Una vez que todos los servidores de federación de Windows Server 2012 R2 se han quitado de la granja de servidores en modo mixto, uno de los nuevos servidores de federación de Windows Server 2016 se ha promocionado al rol de nodo principal, el administrador puede elevar el FBL de Windows Server 2012 R2 a Windows Server 2016. Como resultado, las nuevas características de AD FS de Windows Server 2016 se podrán configurar y usar.

  • Como resultado de la característica de granja de servidores mixta, las organizaciones de AD FS Windows Server 2012 R2 que buscan actualizar a Windows Server 2016 no tendrán que implementar una granja completamente nueva, exportar e importar datos de configuración. En su lugar, pueden agregar nodos de Windows Server 2016 a una granja existente mientras está en línea y solo incurrir en el tiempo de inactividad relativamente breve implicado en la elevación de FBL.

En modo de granja mixta, la granja de AD FS no puede utilizar ninguna de las características o funciones nuevas introducidas en AD FS en Windows Server 2016. Las organizaciones que quieran probar nuevas características no podrán hacerlo hasta que se eleve el FBL. Por lo tanto, si su organización quiere probar las nuevas características antes de elevar el FBL, deberá implementar una granja independiente.

En el resto del documento se proporcionan los pasos para agregar un servidor de federación de Windows Server 2016 a un entorno de Windows Server 2012 R2. Estos pasos se han realizado en el entorno de prueba que se describe en el siguiente diagrama de arquitectura.

Nota

Para poder pasar a AD FS en el FBL de Windows Server 2016, debe quitar todos los nodos de Windows 2012 R2. No se puede actualizar un sistema operativo de Windows Server 2012 R2 a Windows Server 2016 y convertirlo en un nodo de 2016. Deberá quitarlo y sustituirlo por un nuevo nodo de 2016.

Nota

Si se han configurado grupos AlwaysOnAvailability o la replicación de mezcla en AD FS, quite toda la replicación de las bases de datos de AD FS antes de actualizar y apunte todos los nodos a la base de datos SQL principal. Después de esta operación, realice la actualización de la granja tal como se describe. Después de la actualización, agregue grupos AlwaysOnAvailability o la replicación de mezcla a las nuevas bases de datos.

El siguiente diagrama arquitectónico muestra la configuración que se usó para validar y registrar los pasos que se indican a continuación.

Architecture

Unir el servidor de AD FS de Windows 2016 a la granja de servidores de AD FS

  1. Con el Administrador del servidor, instale el rol de servicios de federación de Active Directory (AD FS) en Windows Server 2016

  2. Con el asistente de configuración de AD FS, una el nuevo servidor de Windows Server 2016 a la granja de AD FS existente. En la pantalla de bienvenida, haga clic en Siguiente. Screenshot that shows the Welcome screen in the AD FS Configuration wizard.

  3. En la pantalla Conectarse a servicios de dominio de Active Directory, especifique una cuenta de administrador con permisos para realizar la configuración de los servicios de federación y haga clic en Siguiente.

  4. En la pantalla Especificar granja de servidores, escriba el nombre del servidor SQL y la instancia y, a continuación, haga clic en Siguiente. Screenshot that shows the Specify Farm screen in the AD FS Configuration wizard.

  5. En la pantalla Especificar certificado SSL, especifique el certificado y haga clic en Siguiente. Join farm

  6. En la pantalla Especificar cuenta de servicio, especifique la cuenta de servicio y haga clic en Siguiente.

  7. En la pantalla Opciones de revisión, revise las opciones y haga clic en Siguiente.

  8. En la pantalla Comprobaciones de requisitos previos, asegúrese de que se hayan aprobado todas las comprobaciones de requisitos previos y haga clic en Configurar.

  9. En la pantalla Resultados, asegúrese de que el servidor se ha configurado correctamente y haga clic en Cerrar.

Quitar el servidor de AD FS de Windows Server 2012 R2

Nota

No es necesario establecer el servidor de AD FS principal mediante Set-AdfsSyncProperties -Role al usar SQL como base de datos. Esto se debe a que todos los nodos se consideran principales en esta configuración.

  1. En el servidor de AD FS de Windows Server 2012 R2 en Administrador del servidor use Quitar roles y características en Administrar. Screenshot that highlights the Remove Roles and Features menu option.
  2. En la pantalla Antes de comenzar, haz clic en Siguiente.
  3. En la página Selección de servidor, haga clic en Siguiente.
  4. El la pantalla Roles de servidor, desmarque Servicios de federación de Active Directory (AD FS) y haga clic en Siguiente. Remove server
  5. En la pantalla Características, haga clic en Siguiente.
  6. El n la pantalla Confirmación, haga clic en Quitar.
  7. Una vez completada la eliminación de características, reinicie el servidor.

Elevación del nivel de comportamiento de la granja de servidores (FBL)

Antes de este paso, debe asegurarse de que forest prep y domain prep se han ejecutado en el entorno de Active Directory y que Active Directory tiene el esquema de Windows Server 2016. Este documento comenzó con un controlador de dominio de Windows 2016 y no requería ejecutarlos porque se ejecutaron cuando se instaló AD.

Nota

Antes de iniciar el siguiente proceso, asegúrese de que Windows Server 2016 está actualizado ejecutando Windows Update desde Configuración. Realice este proceso hasta que no se necesiten más actualizaciones. Además, asegúrese de que la cuenta de servicio de AD FS tiene los permisos administrativos en el servidor SQL y en cada servidor de la granja de servidores de AD FS.

  1. Ahora, en el servidor de Windows Server 2016, abra PowerShell y ejecute lo siguiente: $cred = Get-Credential y presione la tecla enter.
  2. Escriba las credenciales que tienen privilegios de administrador en SQL Server.
  3. En PowerShell, escriba lo siguiente: Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred
  4. Cuando se le solicite, escriba Y. Como resultado, se iniciará la elevación de nivel. Cuando finalice, habrá elevado correctamente el FBL. Finish Update
  5. Si va a Administración de AD FS, verá los nuevos nodos.
  6. Del mismo modo, puede usar el cmdlet de PowerShell: Get-AdfsFarmInformation para mostrar cuál es el FBL actual. Screenshot that shows how to use the Get-AdfsFarmInformation cmdlet to show your current F B L.

Actualización de la versión de configuración de los servidores WAP existentes

  1. En cada proxy de aplicación web, vuelva a configurar los WAP ejecutando el siguiente comando de PowerShell en una ventana con privilegios elevados: 
    $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred
  2. Quite los servidores antiguos del clúster y mantenga solo los servidores WAP que ejecutan la versión más reciente del servidor, que se reconfiguraron anteriormente, ejecutando el siguiente comando de PowerShell. 
    Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2
  3. Para comprobar la configuración de WAP, ejecute el comando Get-WebApplicationProxyConfiguration. ConnectedServersName reflejará la ejecución del servidor desde el comando anterior. 
    Get-WebApplicationProxyConfiguration
  4. Para actualizar el valor ConfigurationVersion de los servidores WAP, ejecute el siguiente comando de PowerShell. 
    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
  5. Compruebe que ConfigurationVersion se ha actualizado con el comando de PowerShell Get-WebApplicationProxyConfiguration.