Mise à niveau d'AD RMS vers Windows Server 2016

  • Article

Introduction

Les services AD RMS (Active Directory Rights Management Services) sont un ensemble de services Microsoft qui protègent les documents et les e-mails sensibles. Contrairement aux méthodes de protection traditionnelles, telles que les pare-feu et les listes de contrôle d’accès, le chiffrement et la protection AD RMS sont persistantes, quel que soit l’emplacement d’un fichier ou la façon dont il est transporté.

Ce document fournit des conseils pour la migration de Windows Server 2012 R2 avec SQL Server 2012 vers Windows Server 2016 et SQL Server 2016. Le même processus peut être utilisé pour migrer à partir d’anciennes versions prises en charge d’AD RMS. Notez qu’Active Directory Rights Management Services n’est plus en développement actif et que, pour les fonctionnalités les plus récentes, les clients doivent envisager de migrer vers Azure Information Protection, qui offre un ensemble de fonctionnalités beaucoup plus complet avec une prise en charge plus complète des appareils et des applications.

Pour plus d’informations sur la migration vers Azure Information Protection à partir d’AD RMS sans avoir à reprotéger votre contenu, consultez la documentation sur la migration vers Azure Information Protection.

À propos de l’environnement utilisé dans ce guide

AD FS est un composant facultatif d’une installation AD RMS. Dans ce guide, l’utilisation d’AD FS est supposée. Si AD FS n’a pas été utilisé dans votre environnement pour prendre en charge les utilisateurs AD RMS, vous pouvez ignorer toutes les étapes qui font référence à AD FS.

Dans ce guide, SQL Server est mis à niveau vers SQL Server 2016 en effectuant une installation parallèle et en déplaçant les bases de données via une sauvegarde. Sinon, si vous pouvez mettre à niveau vos serveurs de base de données AD RMS et AD FS vers SQL Server 2016 sur place, vous pouvez passer à la section suivante de ce document après avoir effectué cela sans avoir à suivre les étapes de cette section.

Installation

Configuration de SQL Server 2016

La section suivante détaille les tâches d’implémentation liées directement à la configuration SQL Server 2016. Ce guide se concentre sur l’utilisation du Gestionnaire de serveur et de SQL Server Management Studio pour effectuer ces tâches.

Ces étapes doivent être effectuées sur une installation SQL Server 2016. Installez SQL Server 2016 sur du matériel approprié en fonction des pratiques et stratégies standard de votre organisation.

Préparation du SQL Server

La section suivante explique comment préparer le SQL Server afin qu’il puisse être mis à niveau vers SQL Server 2016 avant de mettre à niveau d’autres services dans la plateforme AD RMS pour utiliser Windows Server 2016.

Ajout de CNAME pour SQL Server 2016 à DNS

Le CNAME est utilisé pour vous assurer que la configuration Windows Server 2016 obtiendra les données appropriées, car elle sera pointée vers le nouveau SQL Server 2016. Remarque : si vous utilisez déjà un CNAME pour le service AD FS et AD RMS, vous pouvez passer aux étapes suivantes.

Pour ajouter le CNAME pour SQL Server 2016 à DNS

  1. Connectez-vous au contrôleur de domaine R2 Windows Server 2012 avec les informations d’identification de l’administrateur de domaine.

  2. Ouvrez le Gestionnaire de serveurs.

  3. Cliquez sur Outils et sélectionnez DNS pour ouvrir le Gestionnaire DNS.

  4. Dans le volet de navigation gauche, développez le contrôleur de domaine et ouvrez Zones de recherche directe.

  5. Ouvrez les ressources de domaine appropriées, puis cliquez avec le bouton droit dans le volet d’affichage droit et sélectionnez Nouvel alias (CNAME) pour commencer à créer le CNAME.

  6. Pour le nom de l’alias, entrez un nom logique pour le différencier des autres qui peuvent être présents (ex. SQLADRMS ou SQLADFS)

  7. Après avoir entré le nom, fournissez le nom de domaine complet pour l’hôte cible qui sera le nouveau serveur SQL Server 2016. (ex. SQL2016.contoso.com)

  8. Une fois toutes les informations entrées, cliquez sur OK.

Sauvegarder les bases de données AD RMS et AD FS

Les bases de données AD RMS et AD FS contiennent des informations critiques nécessaires à AD RMS, telles que la clé publique du certificat du serveur, les modèles de stratégie de droits, les données de configuration AD FS et les informations de journalisation. Sans ces bases de données, les clients ne peuvent pas émettre de licences pour consommer du contenu protégé, entre autres problèmes.

Parmi les bases de données, la base de données de configuration AD RMS est considérée comme la plus importante, car elle stocke les modèles de stratégie SLC, les modèles de stratégie de droits, les clés des utilisateurs et les informations de configuration. Par conséquent, bien que vous deviez prendre soin de sauvegarder toutes les bases de données AD RMS et AD FS, vous devez planifier la sauvegarde régulière de la base de données de configuration.

La base de données de journalisation stocke des informations sur les demandes utilisateur au cluster AD RMS pour les certificats et utiliser des licences. Votre stratégie de sauvegarde de cette base de données doit être basée sur la stratégie d’entreprise pour conserver ce type d’informations.

La base de données des services du répertoire n’est pas essentielle à la fonctionnalité AD RMS et, si les données les plus récentes sont perdues, la base de données propage à nouveau les informations à mesure que le serveur AD RMS reçoit des demandes de certificats et d’utilisation de licences. Vous n’avez pas besoin de sauvegarder cette base de données régulièrement, mais vous devez avoir au moins une copie de la base de données, car elle a été configurée à l’origine après le déploiement d’AD RMS.

Sauvegarder une base de données AD RMS et/ou AD FS avec Microsoft SQL Server

  1. Connectez-vous au serveur de base de données WINDOWS SERVER 2012 R2 AD RMS avec SQL 2012.

  2. Cliquez sur Démarrer, Tous les programmes, Microsoft SQL Server, puis SQL Server Management Studio.

  3. Dans la fenêtre Se connecter au serveur, vérifiez que le serveur hébergeant les bases de données AD RMS se trouve dans la zone Nom du serveur, puis cliquez sur Se connecter.

  4. Développez Bases de données. Cliquez avec le bouton droit sur la base de données appropriée (DRMS et Adfs), pointez sur Tâches, puis sélectionnez Sauvegarder.

  5. Répétez l’étape 4 pour les bases de données restantes.

  6. Assurez-vous que la sauvegarde des bases de données peut être accessible par d’autres ordinateurs sur le réseau ou à l’aide d’un appareil de stockage, car elles seront nécessaires pour les étapes ultérieures pendant la migration.

Vous pouvez maintenant stocker les copies de base de données dans un emplacement sécurisé. N’oubliez pas de sauvegarder vos bases de données fréquemment.

Ajout d’un compte de service de domaine Administration, SQL, AD RMS et/ou AD FS à SQL Server 2016

Les étapes suivantes expliquent comment ajouter les différents comptes de service à SQL Server 2016 pour faciliter la migration des données à partir de l’environnement Windows Server 2012 R2. Cela donne les autorisations appropriées lors de la tentative d’accès au contenu et de gestion des données.

Ajouter un compte de service de domaine Administration, SQL, AD RMS et/ou AD FS à SQL Server

  1. Connectez-vous au serveur avec SQL Server 2016 en tant que compte d’administrateur local.

  2. Cliquez sur Démarrer, Tous les programmes, Microsoft SQL Server, puis SQL Server Management Studio.

  3. Dans la fenêtre Se connecter au serveur, vérifiez que le serveur hébergeant les bases de données AD RMS se trouve dans la zone Nom du serveur, puis pour Authentification, cliquez sur le menu déroulant et sélectionnez SQL Server Authentification.

  4. Dans le champ Connexion, entrez le nom du compte local Administration (par exemple, localadmin), indiquez le mot de passe approprié, puis cliquez sur Se connecter.

  5. Développez Sécurité, puis cliquez avec le bouton droit sur Connexions et sélectionnez Nouvelle connexion dans le menu contextuel qui s’affiche.

  6. Une fois que la fenêtre s’affiche, entrez dans le compte d’administrateur de domaine dans le champ Nom de connexion (par exemple, Contoso\ContosoAdmin)

  7. Dans le volet de navigation de gauche, choisissez Rôles serveur.

  8. Cochez ensuite la case sysadmin sous les rôles serveur, puis cliquez sur OK.

  9. Redémarrez SQL Server Management.

  10. Dans la fenêtre Se connecter au serveur, vérifiez que le serveur hébergeant les bases de données AD RMS se trouve dans la zone Nom du serveur, puis pour Authentification, cliquez sur le menu déroulant et sélectionnez Windows Authentification et cliquez sur Connecter.

Restauration des bases de données AD RMS et AD FS sur SQL Server 2016

Les étapes suivantes expliquent comment restaurer les données de l’instance de SQL Server précédente vers la nouvelle instance 2016. Cela permettra au nouveau SQL d’utiliser les données de configuration pertinentes des bases de données AD RMS et AD FS précédentes.

Restaurer les données de la SQL Server précédente vers la nouvelle SQL Server

  1. Connectez-vous au serveur avec SQL Server 2016 avec le compte approprié.

  2. Dans le volet de navigation gauche, cliquez avec le bouton droit sur Bases de données et sélectionnez Restaurer la base de données pour commencer le processus de restauration.

  3. Sous Source, choisissez Appareil, puis recherchez l’emplacement où les fichiers de base de données ont été stockés dans les étapes précédentes.

  4. Une fois les fichiers sélectionnés, cliquez sur OK.

  5. Vérifiez que tous les fichiers de base de données ont été ajoutés et terminez le processus en cliquant sur OK.

Configuration des Active Directory Federation Services (AD FS) de Windows Server 2016

AD FS a été déployé pour fournir un accès d’authentification unique à AD RMS en tant qu’application. Il a également été configuré avec AD RMS Mobile Device Extension (MDE), qui permet la prise en charge des appareils mac et mobiles pour les utilisateurs finaux.

Les sections suivantes fournissent des conseils sur les tâches opérationnelles que vous devrez peut-être effectuer sur votre déploiement AD FS.

Ajout d’un serveur AD FS 2016 à la batterie de serveurs

Vous pouvez déployer des serveurs AD FS supplémentaires pour prendre en charge le déploiement AD RMS. Vous pouvez choisir d’effectuer cette action en cas d’augmentation du trafic vers les serveurs AD RMS ou d’autres applications, ou si vous devez mettre hors service l’un des serveurs actuellement utilisés pour AD FS.

Ajouter un serveur AD FS 2016 à la batterie de serveurs

  1. À partir du serveur Microsoft Entra Connect, double-cliquez sur l'icône Microsoft Entra Connect pour lancer l'assistant Microsoft Entra Connect.

  2. Dans la page d'accueil, cliquez sur Configurer.

  3. Dans la page Tâches supplémentaires, cliquez sur Déployer un serveur de fédération supplémentaire, puis sur Suivant.

  4. Dans la page Se connecter à Microsoft Entra ID, entrez le nom d'utilisateur et le mot de passe d'un compte disposant d'autorisations d'administration générale, puis cliquez sur Suivant.

  5. Dans la page Informations d’identification de l’administrateur de domaine, entrez le nom d’utilisateur et le mot de passe d’un compte disposant d’autorisations de Administration de domaine, puis cliquez sur Suivant.

  6. Cliquez sur Parcourir et sélectionnez le fichier de certificat utilisé lors de la configuration de la batterie de serveurs AD FS à l'aide Microsoft Entra Connect.

  7. Cliquez sur Entrer le mot de passe pour ouvrir la boîte de dialogue Mot de passe du certificat.

  8. Entrez le mot de passe du certificat dans le champ Mot de passe, puis cliquez sur OK.

  9. Cliquez sur Suivant.

  10. Dans la page Serveurs AD FS, entrez le nom ou l’adresse IP du nouveau serveur AD FS, puis cliquez sur Ajouter.

  11. Dans la page Prêt à installer, cliquez sur Installer.

  12. Sur la page Installation terminée, cliquez sur Quitter.

Élévation du niveau de comportement de la batterie de serveurs AD FS

Lors du déploiement d’un serveur AD FS qui dépasse le niveau d’environnement actuel, par exemple, avoir un AD FS sur Windows Server 2012 R2, puis ajouter un Windows Server 2016 AD FS, le niveau de comportement de la batterie de serveurs doit être augmenté. Cela est nécessaire pour garantir que l’environnement utilise les informations et fonctions les plus à jour.

Élever le niveau de comportement de la batterie de serveurs AD FS

  1. Accédez au Windows Server 2016 AD FS.

  2. Ouvrez une session PowerShell en tant qu’administrateur.

  3. Entrez la commande suivante : $cred = Get-Credential

  4. Une fenêtre s’affiche pour demander des informations d’identification, entrez les informations d’identification de l’administrateur de domaine.

  5. Entrez ensuite cette commande : Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred

  6. Une invite s’affiche pour vous demander Vous voulez continuer cette opération ? Entrez ensuite a pour accepter l’invite.

  7. Une fois la commande terminée, le niveau de comportement de la batterie de serveurs est configuré et prêt.

Activation de la journalisation des extensions d’appareil mobile

L’extension d’appareil mobile peut journaliser les demandes qu’elle reçoit des appareils des utilisateurs finaux. La journalisation est désactivée par défaut et nous vous recommandons d’activer uniquement la journalisation dans un scénario de résolution des problèmes. Toutes les demandes, provenant d’appareils mobiles et de machines de bureau, pour démarrer ou acquérir une licence d’utilisation final sont enregistrées dans la base de données de journalisation AD RMS ou le compte de stockage Azure. La journalisation MDE crée deux tables supplémentaires au SQL Server utilisé par AD RMS : la table du journal de débogage du client et la table du journal des performances du client.

Activation de la journalisation des extensions d’appareil mobile

  1. À partir d’un serveur AD RMS, ouvrez Windows PowerShell en tant qu’administrateur.

  2. Tapez la commande suivante et appuyez sur Entrée : Import-Module AdRmsAdmin

  3. Tapez la commande suivante et appuyez sur Entrée : New-PSDrive -Name AdrmsCluster -PsProvider AdRmsAdmin -Root https://localhost

  4. Tapez la commande suivante et appuyez sur Entrée : Set-ItemProperty -Path AdrmsCluster:\ -Name IsLoggingEnabled -Value $true

Si vous utilisez la journalisation MDE pour la résolution des problèmes, nous vous recommandons de la désactiver après avoir résolu le problème.

Désactivation de la journalisation des extensions d’appareil mobile

  1. À partir d’un serveur AD RMS, ouvrez Windows PowerShell en tant qu’administrateur.

  2. Tapez la commande suivante et appuyez sur Entrée : Import-Module AdRmsAdmin

  3. Tapez la commande suivante et appuyez sur Entrée : New-PSDrive -Name AdrmsCluster -PsProvider AdRmsAdmin -Root https://localhost

  4. Tapez la commande suivante et appuyez sur Entrée : Set-ItemProperty -Path AdrmsCluster:\ -Name IsLoggingEnabled -Value $false

Mise à niveau d'AD RMS vers Windows Server 2016

Les sections suivantes fournissent des conseils sur l’ajout d’un serveur AD RMS basé sur Windows Server 2016 au cluster Windows Server 2012 R2 actuel. Le serveur est ajouté au cluster et les informations y seront répliquées afin que le serveur AD RMS précédent puisse être déprécié pour libérer des ressources.

Une fois que vous en avez ajouté un, un serveur AD RMS basé sur Windows Server 2016 est ajouté à votre cluster AD RMS, tous les nœuds basés sur des versions antérieures de Windows deviennent inactifs. Une fois cette opération effectuée, vous pouvez déprovisionner ces serveurs (par exemple, arrêter, réaffecter ou réinstaller avec Windows Server 2016 pour joindre le cluster AD RMS).

Vous pouvez déployer des serveurs AD RMS supplémentaires sur le cluster pour prendre en charge la charge sur votre déploiement AD RMS. Vous pouvez également choisir d’effectuer cette action en cas d’augmentation du trafic vers les serveurs AD RMS.

Ce guide ne couvre pas les étapes requises pour modifier les mécanismes d’équilibrage de charge que vous utilisez peut-être dans votre environnement pour exclure les serveurs que vous dépréciez et pour inclure ceux que vous ajoutez au cluster.

Ajout d’un serveur AD RMS 2016

Si votre cluster AD RMS utilise un module de sécurité matériel au lieu d’une clé gérée de manière centralisée pour son certificat de chiffrement de serveur, vous devez installer le logiciel et d’autres artefacts HSM (par exemple, les fichiers de clé et de configuration) sur le serveur avant d’installer AD RMS. Vous devez également connecter le module HSM au serveur, physiquement ou via les configurations réseau appropriées. Suivez vos instructions HSM pour ces étapes.

Ajouter un serveur AD RMS 2016

  1. Installez le rôle AD RMS sur le déploiement de Windows Server 2016 souhaité.

  2. Une fois l’installation terminée, sélectionnez le lien Effectuer une configuration supplémentaire.

  3. Sélectionnez Joindre un cluster AD RMS existant, puis cliquez sur Suivant.

  4. Dans la page Sélectionner une base de données de configuration, entrez le CNAME spécifié dans le DNS pour le nom de domaine complet (FQDN) SQL Server 2016.

  5. Cliquez sur Liste sur la deuxième ligne et sélectionnez DefaultInstance dans la liste déroulante.

  6. Sous Nom de la base de données de configuration, sélectionnez le menu déroulant et choisissez la configuration DRMS qui s’affiche. Cliquez ensuite sur Suivant.

  7. Dans la page Informations sur la base de données, entrez le mot de passe de clé de cluster dans le champ fourni. Après cela, cliquez sur Suivant.

  8. Dans la page suivante de l’Assistant, spécifiez le compte de service AD RMS et indiquez son mot de passe, puis cliquez sur Suivant une fois qu’il a été vérifié.

  9. Une fois que la page Site web du cluster s’affiche, vérifiez simplement que le site web approprié a été sélectionné et cliquez sur Suivant.

  10. Dans la page Choisir un certificat d’authentification de serveur, sélectionnez le certificat SSL importé, puis cliquez sur Suivant.

  11. Cliquez sur Installer pour commencer l'installation.

  12. Une fois la configuration terminée, vous devez vous déconnecter et revenir à l’administration d’AD RMS.

  13. Une fois connecté, ouvrez Gestionnaire de serveur, sélectionnez Outils, puis Gestion des droits Active Directory. La fenêtre de gestion doit apparaître et indiquer que le cluster a le serveur supplémentaire dans le cluster.

  14. Si l’extension d’appareil mobile AD RMS a été installée dans le cluster AD RMS d’origine, vous devez également installer le MDE dans les nœuds de cluster mis à jour. Suivez les instructions de la documentation MDE pour ajouter MDE à votre cluster AD RMS. À ce stade, vous pouvez réaffecter tous les nœuds préexistants ou les mettre à niveau pour Windows Server 2016 et les joindre à nouveau au cluster AD RMS à l’aide du même processus décrit ci-dessus.

Configuration du Proxy d'application Web (WAP) de Windows Server 2016

Les sections suivantes fournissent des conseils sur les tâches opérationnelles que vous devrez peut-être effectuer sur le déploiement de votre Proxy d'application Web. Il s’agit d’une étape facultative, non obligatoire si vous publiez AD RMS sur Internet via d’autres mécanismes.

Ajout d’un serveur WAP de Windows Server 2016

Vous pouvez déployer des serveurs Proxy d'application Web supplémentaires pour prendre en charge le déploiement AD RMS. Vous pouvez choisir d’effectuer cette action en cas d’augmentation du trafic vers les serveurs AD RMS, ou si vous devez mettre hors service l’un des serveurs actuellement utilisés pour le Proxy d’application Web.

Ajouter un serveur Proxy d’application Web 2016

  1. À partir du serveur que vous souhaitez configurer en tant que Proxy d’application Web, accédez à la console Gestionnaire de serveur et cliquez sur Ajouter des rôles et des fonctionnalités.

  2. Dans l’Assistant Ajouter des rôles et des fonctionnalités, cliquez sur Suivant jusqu’à ce que vous accédiez à l’écran de sélection du rôle serveur.

  3. Dans l’écran Sélectionner des rôles de serveur, sélectionnez Accès à distance, puis cliquez sur Suivant jusqu’à ce que vous reveniez à l’écran Sélectionner des rôles de serveur.

  4. Dans l’écran Sélectionner des rôles de serveurs, sélectionnez Proxy d'application Web, cliquez sur Ajouter des fonctionnalités, puis sur Suivant.

  5. Dans l'écran Confirmer les sélections d'installation, cliquez sur Installer.

  6. Une fois l'installation terminée, cliquez sur Fermer.

  7. Maintenant, il est temps de configurer le serveur. Pour ce faire, ouvrez la console de gestion des accès à distance sur le serveur Proxy d'application Web. Ouvrez le menu Démarrer, tapez RAMgmtUI.exe, puis sélectionnez l’application.

  8. Dans le volet de navigation, cliquez sur Proxy d'application web.

  9. Dans la Console de gestion des accès à distance, cliquez sur Exécuter l'Assistant Configuration du proxy d'application web. Dans l’Assistant, cliquez sur Suivant.

  10. Dans l’écran Serveur de fédération, entrez le nom de domaine complet du serveur AD FS (ex. adfs.contoso.com), puis entrez les informations d’identification d’un administrateur sur le serveur AD FS.

  11. Dans l’écran Certificat du proxy AD FS, dans la liste des certificats actuellement installés sur le serveur proxy d'application web, sélectionnez un certificat à utiliser pour le proxy AD FS, puis cliquez sur Suivant.

  12. Dans l’écran Confirmation, passez les paramètres en revue, puis cliquez sur Configurer.

  13. Lorsque la configuration est terminée, cliquez sur Fermer.

Configuration DNS pour le serveur WAP 2016

Une fois que le serveur Proxy d'application web Windows Server 2016 a été mis en place, certaines modifications DNS devront être apportées. Cela nécessite l’utilisation d’un service DNS, tel que GoDaddy, pour pointer les services AD FS et AD RMS sur le serveur WAP 2016.

Pointer le DNS sur le serveur WAP

  1. Accédez au site web de votre fournisseur (par exemple, GoDaddy).

  2. Accédez à la gestion du domaine, puis à la gestion DNS.

  3. Recherchez le service AD FS et AD RMS et remplacez la partie Points à par l’adresse IP publique du serveur WAP 2016 et Enregistrez.

  4. Les modifications peuvent prendre du temps à se propager, mais une fois cela fait, cette configuration est terminée.

Activation des journaux de débogage

Des informations détaillées sur la journalisation sont disponibles sur les serveurs Proxy d'application Web. Vous pouvez configurer la journalisation avancée du débogage à l’aide de l’observateur d'événements. Des paramètres supplémentaires peuvent également être sélectionnés pour la taille des journaux afin de garantir que l’analytique est utile à l’observateur.

Activation des journaux de débogage pour le Proxy d'application web

  1. Ouvrez la console Observateur d'événements sur le Proxy d'application Web.

  2. Développer le nœud Microsoft.

  3. Développer le nœud Windows.

  4. Ouvrez les journaux de Proxy d'application Web.

  5. Vous serez ensuite en mesure d’ouvrir les journaux Administrateur.

  6. Ouvrez le menu Action, situé en haut à gauche, puis sélectionnez Propriétés.

  7. Sous l’onglet Général, choisissez l’option Activer la journalisation.

  8. Enfin, vous pouvez personnaliser la taille maximale du journal et ce qui se passe lorsque la taille maximale du journal des événements est atteinte.

Configuration sur Haute disponibilité pour les services Windows Server 2016

Les sections suivantes fournissent des conseils sur les tâches opérationnelles que vous devrez peut-être configurer votre environnement de Windows Server 2016 sur Haute disponibilité.

Ajout d’un serveur AD RMS 2016 pour la Haute disponibilité

Vous pouvez déployer des serveurs AD RMS supplémentaires pour configurer la haute disponibilité. Vous pouvez choisir d’effectuer cette action en cas d’augmentation du trafic vers les serveurs AD RMS.

Ajouter un serveur AD RMS 2016 pour la Haute disponibilité

  1. Installez le rôle AD RMS sur le déploiement de Windows Server 2016 souhaité.

  2. Une fois l’installation terminée, sélectionnez le lien Effectuer une configuration supplémentaire.

  3. Sélectionnez Joindre un cluster AD RMS existant, puis cliquez sur Suivant.

  4. Dans la page Sélectionner une base de données de configuration, entrez le CNAME spécifié dans le DNS pour le nom de domaine complet (FQDN) SQL Server 2016.

  5. Cliquez sur Liste sur la deuxième ligne et sélectionnez DefaultInstance dans la liste déroulante.

  6. Sous Nom de la base de données de configuration, sélectionnez le menu déroulant et choisissez la configuration DRMS qui s’affiche. Cliquez ensuite sur Suivant.

  7. Dans la page Informations sur la base de données, entrez le mot de passe de clé de cluster dans le champ fourni. Après cela, cliquez sur Suivant.

  8. Dans la page suivante de l’Assistant, spécifiez le compte de service AD RMS et indiquez son mot de passe, puis cliquez sur Suivant une fois qu’il a été vérifié.

  9. Une fois que la page Site web du cluster s’affiche, vérifiez simplement que le site web approprié a été sélectionné et cliquez sur Suivant.

  10. Dans la page Choisir un certificat d’authentification de serveur, sélectionnez le certificat SSL importé, puis cliquez sur Suivant.

  11. Cliquez sur Installer pour commencer l'installation.

  12. Une fois la configuration terminée, vous devez vous déconnecter et revenir à l’administration d’AD RMS.

  13. Une fois connecté, ouvrez Gestionnaire de serveur, sélectionnez Outils, puis Gestion des droits Active Directory. La fenêtre de gestion doit apparaître et indiquer que le cluster a le serveur supplémentaire dans le cluster.

  14. Après avoir confirmé la configuration du serveur, configurez votre service d’équilibrage de charge pour équilibrer la charge entre les différents serveurs AD RMS dans le cluster.

Ajouter un serveur AD FS Windows Server 2016 pour la Haute disponibilité

Vous pouvez déployer des serveurs AD FS supplémentaires pour configurer la Haute disponibilité. Vous pouvez choisir d’effectuer cette action en cas d’augmentation du trafic vers les serveurs AD FS. Remarque : après avoir élevé le niveau de comportement de la batterie de serveurs, une nouvelle entrée de base de données est entrée dans le SQL Server 2016(Adfs Configv3) et l’ancienne base de données de configuration doit être supprimée avant de poursuivre ces étapes.

Ajouter un serveur AD FS Windows Server 2016 pour la Haute disponibilité

  1. Installez le rôle AD RMS sur le déploiement de Windows Server 2016 souhaité.

  2. Une fois l’installation terminée, sélectionnez le lien Configurer le service de fédération sur ce serveur.

  3. Dans la section d’accueil de l’Assistant, choisissez l’option Ajouter un serveur de fédération à une batterie de serveurs de fédération, puis cliquez sur Suivant.

  4. Spécifiez le compte d’administrateur approprié, puis cliquez sur Suivant.

  5. Dans la page Spécifier la batterie de serveurs, sélectionnez Spécifier l’emplacement de base de données d’une batterie de serveurs existante à l’aide de SQL Server, puis entrez le CNAME pour le service SQL pour le nom d’hôte de la base de données et cliquez sur Suivant.

  6. Sous la zone Spécifier le compte de service de l’Assistant, entrez les informations d’identification du compte de service AD FS, puis cliquez sur Suivant.

  7. Dans Vérifier les options, cliquez sur Suivant.

  8. Cliquez sur Configurer lorsque le bouton devient disponible.

  9. Après la configuration, redémarrer l’ordinateur.

  10. Après avoir confirmé la configuration du serveur, équilibrez la charge des serveurs AD FS selon les besoins.

Ajouter un serveur WAP Windows Server 2016 pour la Haute disponibilité

Vous pouvez déployer des serveurs WAP supplémentaires pour configurer la haute disponibilité. Vous pouvez choisir d’effectuer cette action en cas d’augmentation du trafic vers les serveurs AD RMS.

Ajouter un serveur Proxy d'application Web Windows Server 2016 pour la Haute disponibilité

  1. À partir du serveur que vous souhaitez configurer en tant que Proxy d’application Web, accédez à la console Gestionnaire de serveur et cliquez sur Ajouter des rôles et des fonctionnalités.

  2. Dans l’Assistant Ajouter des rôles et des fonctionnalités, cliquez sur Suivant jusqu’à ce que vous accédiez à l’écran de sélection du rôle serveur.

  3. Dans l’écran Sélectionner des rôles de serveur, sélectionnez Accès à distance, puis cliquez sur Suivant jusqu’à ce que vous reveniez à l’écran Sélectionner des rôles de serveur.

  4. Dans l’écran Sélectionner des rôles de serveurs, sélectionnez Proxy d'application Web, cliquez sur Ajouter des fonctionnalités, puis sur Suivant.

  5. Dans l'écran Confirmer les sélections d'installation, cliquez sur Installer.

  6. Une fois l'installation terminée, cliquez sur Fermer.

  7. Maintenant, il est temps de configurer le serveur. Pour ce faire, ouvrez la console de gestion des accès à distance sur le serveur Proxy d'application Web. Ouvrez le menu Démarrer, tapez RAMgmtUI.exe, puis sélectionnez l’application.

  8. Dans le volet de navigation, cliquez sur Proxy d'application web.

  9. Dans la Console de gestion des accès à distance, cliquez sur Exécuter l'Assistant Configuration du proxy d'application web. Dans l’Assistant, cliquez sur Suivant.

  10. Dans l’écran Serveur de fédération, entrez le nom de domaine complet du serveur AD FS (ex. adfs.contoso.com), puis entrez les informations d’identification d’un administrateur sur le serveur AD FS.

  11. Dans l’écran Certificat du proxy AD FS, dans la liste des certificats actuellement installés sur le serveur proxy d'application web, sélectionnez un certificat à utiliser pour le proxy AD FS, puis cliquez sur Suivant.

  12. Dans l’écran Confirmation, passez les paramètres en revue, puis cliquez sur Configurer.

  13. Lorsque la configuration est terminée, cliquez sur Fermer.

  14. Après avoir confirmé la configuration du serveur, équilibrez la charge des serveurs WAP dans la zone DMZ.

Ajouter un nœud SQL Server 2016 pour Toujours sur haute disponibilité

Vous pouvez déployer des serveurs SQL supplémentaires pour configurer Toujours sur haute disponibilité. Vous pouvez choisir d’effectuer cette action en cas d’augmentation du trafic vers les serveurs AD RMS. Remarque : vérifiez que le port d’entrée 5022 est ouvert sur les deux serveurs SQL Server.

Ajouter un serveur SQL Server 2016 pour Haute disponibilité Always On

  1. À partir du serveur que vous souhaitez configurer en tant qu’un serveur SQL Server 2016, accédez à la console Gestionnaire de serveur et cliquez sur Ajouter des rôles et des fonctionnalités.

  2. Cliquez sur Suivant dans la boîte de dialogue Sélectionner des fonctionnalités.

  3. Sélectionnez la case à cocher Clustering de basculement. Remarque : suivez cette étape pour le serveur SQL Server 2016 d’origine, afin que les deux serveurs SQL disposent de la fonctionnalité de clustering de basculement.

  4. Cliquez sur Installer pour installer la fonctionnalité de clustering de basculement.

  5. Maintenant, ouvrez Gestionnaire de serveur et sélectionnez Outils, puis Gestionnaire du cluster de basculement.

  6. Dans le volet gauche, cliquez avec le bouton droit sur Gestionnaire du cluster de basculement, puis sélectionnez Créer un cluster

  7. L’Assistant Création de cluster s’ouvrira.

  8. Recherchez les serveurs SQL Server 2016 qui seront utilisés pour Toujours sur haute disponibilité et entrez-les, puis cliquez sur Suivant.

  9. Vous recevrez un avertissement de validation. Sélectionnez Oui pour valider les nœuds de cluster, puis cliquez sur Suivant.

  10. Sous la page Options de test, sélectionnez l’option Exécuter tous les tests et cliquez sur Suivant.

  11. Remarque : l’Assistant Validation du cluster est censé renvoyer plusieurs messages d’avertissement, en particulier si vous n’utiliserez pas de stockage partagé. En dehors de cela, si vous trouvez des messages d’erreur, vous devrez corriger les problèmes avant de créer le cluster de basculement Windows Server..

  12. Dans la boîte de dialogue Point d’accès pour l’administration du cluster, entrez le nom du cluster et l’adresse IP virtuelle du cluster de basculement Windows Server, puis cliquez sur Suivant.

  13. Vérifiez que la configuration a réussi dans Résumé, puis cliquez sur Terminer.

  14. De retour dans le Gestionnaire du cluster de basculement, cliquez avec le bouton droit sur votre cluster, sélectionnez Autres actions, puis choisissez Configurer les paramètres de quorum du cluster

  15. Cliquez sur Suivant, puis sélectionnez l’option Sélectionner le témoin de quorum , puis appuyez de nouveau sur Suivant.

  16. Sur la page Sélectionner le témoin de Quorum, sélectionnez l’option Configurer un témoin de partage de fichiers. Cliquez ensuite sur Suivant.

  17. Sélectionnez Parcourir et recherchez le chemin d’accès du partage de fichiers que vous souhaitez utiliser dans la boîte de dialogue Chemin d’accès du partage de fichiers. Cliquez sur Suivant.

  18. Sur la page Confirmation, cliquez sur Suivant.

  19. Sur la page Résumé, cliquez sur Terminer.

  20. Maintenant, ouvrez le menu Démarrer et recherchez Gestionnaire de configuration SQL Server.

  21. Cliquez avec le bouton droit sur le nom SQL Server et sélectionnez Propriétés.

  22. Dans la boîte de dialogue Propriétés, sélectionnez l’onglet Haute disponibilité AlwaysOn. Cochez la case Activer les groupes de disponibilité AlwaysOn. Cliquez sur OK. Remarque : effectuez cette opération sur les deux serveurs SQL Server 2016.

  23. Ensuite, redémarrez le service SQL Server.

  24. À présent, ouvrez le menu Démarrer et recherchez SQL Server Management Studio puis, dans le volet de navigation gauche, cliquez avec le bouton droit sur Groupes de disponibilité, cliquez sur Assistant Nouveau groupe de disponibilité, puis cliquez sur Suivant.

  25. Dans la page Spécifier le nom du groupe de disponibilité, choisissez un nom de groupe (ex.SQLAvailabilityGroup2016). Cliquez ensuite sur Suivant.

  26. Dans la section Sélectionner des bases de données, spécifiez les bases de données. Puis cliquez sur Suivant. Remarque : il se peut que certaines bases de données devront être sauvegardées à nouveau ou mises en mode de récupération complète.

  27. Dans la page Spécifier les réplicas, cliquez sur le bouton Ajouter une réplica et sélectionnez votre autre SQL Server 2016.

  28. Après avoir ajouté l’autre serveur, cliquez sur les cases à cocher et définissez le serveur secondaire comme étant un serveur secondaire lisible.

  29. Accédez à l’onglet Points de terminaison et cliquez sur l’option Actualiser. En outre, faites défiler et vérifiez que le même compte de service se trouve sur le nœud principal et secondaire.

  30. À présent, choisissez l’onglet Préférences de sauvegarde et sélectionnez l’option Préférer le secondaire.

  31. Passez à l’onglet Écouteur.

  32. Spécifiez un nom (par exemple, SQLListener) et vérifiez que le port est 1433, puis cliquez sur Suivant.

  33. Dans la page Sélectionner la synchronisation initiale des données de l’Assistant, choisissez l’option Complet et spécifiez l’emplacement réseau accessible par tous les serveurs SQL, puis cliquez sur Suivant.

  34. Enfin, cliquez sur Terminer pour que le processus se termine.

Désaffecter les nœuds Windows Server 2012 R2

Les sections suivantes fournissent des conseils sur les tâches opérationnelles dont vous pouvez avoir besoin pour supprimer vos serveurs Windows Server 2012 R2 après avoir correctement mis à niveau le cluster AD RMS vers Windows Server 2016.

Suppression d’un serveur WINDOWS SERVER 2012 R2 AD RMS

Vous pouvez supprimer les serveurs AD RMS inutiles après une mise à niveau. Vous pouvez choisir d’effectuer cette action lorsqu’elle devient nécessaire pour désactiver les serveurs AD RMS.

Supprimer unserveur AD RMS Windows Server 2012 R2

  1. Sur le serveur AD RMS Windows Server 2012 R2 dans Gestionnaire de serveur, sélectionnez Gérer dans les menus en haut à droite, puis choisissez Supprimer les rôles et fonctionnalités.

  2. L’Assistant Suppression de rôles et de fonctionnalités s’ouvre et, dans l’écran Avant de commencer, cliquez sur Suivant.

  3. Dans l’écran Sélection du serveur, cliquez sur Suivant.

  4. Dans l’écran Roles du serveur, enlevez la coche à côté de Services Active Directory Rights Management et cliquez sur Suivant.

  5. Dans l’écran Fonctionnalités, cliquez sur Suivant.

  6. Dans l'écran Confirmation, cliquez sur Supprimer.

  7. Une fois cette opération terminée, redémarrez le serveur.

  8. Vous pouvez maintenant arrêter ce serveur et réallouer les ressources en fonction des besoins.