Meningkatkan ke Layanan Federasi Direktori Aktif di Windows Server 2016 menggunakan database WID

  • Artikel
  • 6 menit untuk membaca

Catatan

Hanya mulai peningkatan dengan kerangka waktu definitif yang direncanakan untuk penyelesaian. Tidak disarankan untuk menyimpan Layanan Federasi Direktori Aktif dalam status mode campuran untuk jangka waktu yang lama, karena meninggalkan Layanan Federasi Direktori Aktif dalam status mode campuran dapat menyebabkan masalah dengan farm.

Memutakhirkan farm Windows Server 2012 R2 atau 2016 Ad FS ke Windows Server 2019

Dokumen berikut ini akan menjelaskan cara memutakhirkan farm Layanan Federasi Direktori Aktif Anda ke Layanan Federasi Direktori Aktif di Windows Server 2019 saat Anda menggunakan database WID.

Tingkat Perilaku Farm Layanan Federasi Direktori Aktif (FBL)

Di Layanan Federasi Direktori Aktif untuk Windows Server 2016, tingkat perilaku farm (FBL) diperkenalkan. Ini adalah pengaturan di seluruh farm yang menentukan fitur yang dapat digunakan farm LAYANAN Federasi Direktori Aktif.

Tabel berikut ini mencantumkan nilai FBL menurut versi Windows Server:

Versi Server Windows FBL Nama Database Konfigurasi Layanan Federasi Direktori Aktif
2012 R2 1 AdfsConfiguration
2016 3 AdfsConfigurationV3
2019 4 AdfsConfigurationV4

Catatan

Meningkatkan FBL membuat database konfigurasi Layanan Federasi Direktori Aktif baru. Lihat tabel di atas untuk nama database konfigurasi untuk setiap versi Layanan Federasi Direktori Aktif Windows Server dan nilai FBL

Farm baru vs Yang Ditingkatkan

Secara default, FBL di farm Layanan Federasi Direktori Aktif baru cocok dengan nilai untuk versi server Windows dari simpul farm pertama yang diinstal.

Server Layanan Federasi Direktori Aktif dari versi yang lebih baru dapat bergabung ke layanan Federasi Direktori Aktif 2012 R2 atau 2016, dan farm akan beroperasi pada FBL yang sama dengan simpul yang ada. Ketika Anda memiliki beberapa versi Windows Server yang beroperasi di farm yang sama pada nilai FBL dari versi terendah, farm Anda dikatakan "campuran". Namun, Anda tidak akan dapat memanfaatkan fitur dari versi yang lebih baru sampai FBL dinaikkan. Dengan farm campuran:

  • Administrator dapat menambahkan server federasi Windows Server 2019 baru ke farm Windows Server 2012 R2 atau 2016 yang sudah ada. Akibatnya, peternakan berada dalam "mode campuran" dan beroperasi pada tingkat perilaku pertanian yang sama dengan peternakan asli. Untuk memastikan perilaku yang konsisten di seluruh farm, fitur versi Layanan Federasi Direktori Aktif Windows Server yang lebih baru tidak dapat dikonfigurasi atau digunakan.

  • Sebelum FBL dapat dinaikkan, administrator harus menghapus simpul Layanan Federasi Direktori Aktif dari versi server Windows sebelumnya dari farm. Dalam kasus farm WID, perhatikan bahwa ini mengharuskan salah satu server federasi Windows Server 2019 baru untuk dipromosikan ke peran simpul utama di farm.

  • Setelah semua server federasi di farm berada pada versi Windows Server yang sama, FBL dapat dinaikkan. Akibatnya, fitur Ad FS Windows Server 2019 baru kemudian dapat dikonfigurasi dan digunakan.

Ketahuilah bahwa saat dalam mode farm campuran, farm Layanan Federasi Direktori Aktif tidak mampu melakukan fitur atau fungsionalitas baru yang diperkenalkan dalam Layanan Federasi Direktori Aktif di Windows Server 2019. Ini berarti organisasi yang ingin mencoba fitur baru tidak dapat melakukan ini sampai FBL dinaikkan. Jadi, jika organisasi Anda ingin menguji fitur baru sebelum menaikkan FBL, Anda harus menyebarkan farm terpisah untuk melakukan ini.

Sisa dokumen ini menyediakan langkah-langkah untuk menambahkan server federasi Windows Server 2019 ke lingkungan Windows Server 2016 atau 2012 R2 lalu menaikkan FBL ke Windows Server 2019. Langkah-langkah ini dilakukan di lingkungan pengujian yang diuraikan oleh diagram arsitektur di bawah ini.

Catatan

Sebelum Anda dapat pindah ke Layanan Federasi Direktori Aktif di Windows Server 2019 FBL, Anda harus menghapus semua simpul Windows Server 2016 atau 2012 R2. Anda tidak bisa hanya meningkatkan OS Windows Server 2016 atau 2012 R2 ke Windows Server 2019 dan membuatnya menjadi simpul 2019. Anda harus menghapusnya dan menggantinya dengan simpul 2019 baru.

Catatan

Jika grup AlwaysOnAvailability atau replikasi penggabungan dikonfigurasi di Layanan Federasi Direktori Aktif, hapus semua replikasi database Layanan Federasi Direktori Aktif apa pun sebelum meningkatkan dan mengarahkan semua simpul ke database SQL Utama. Setelah melakukan ini, lakukan peningkatan farm seperti yang di dokumentasikan. Setelah peningkatan, tambahkan grup AlwaysOnAvailability atau gabungkan replikasi ke database baru.

Untuk meningkatkan farm Layanan Federasi Direktori Aktif Anda ke Tingkat Perilaku Farm Windows Server 2019

  1. Menggunakan Manajer Server, instal Peran Active Directory Federation Services di Windows Server 2019

  2. Menggunakan wizard Konfigurasi Layanan Federasi Direktori Aktif, gabungkan server Windows Server 2019 baru ke farm Layanan Federasi Direktori Aktif yang ada.

Screenshot that shows how to join the new Windows Server 2019 server to the existing AD FS farm.

  1. Di server federasi Windows Server 2019, buka manajemen Layanan Federasi Direktori Aktif. Perhatikan bahwa kemampuan manajemen tidak tersedia karena server federasi ini bukan server utama.

Screenshot that shows the A D F S window.

  1. Di server Windows Server 2019, buka jendela perintah PowerShell yang ditingkatkan dan jalankan cmdlet berikut:
Set-AdfsSyncProperties -Role PrimaryComputer

Screenshot of a terminal window that shows how to use the Set-AdfsSyncProperties -Role PrimaryComputer cmdlet.

  1. Pada server Layanan Federasi Direktori Aktif yang sebelumnya dikonfigurasi sebagai utama, buka jendela perintah PowerShell yang ditingkatkan dan jalankan cmdlet berikut:
Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName {FQDN}

Screenshot of a terminal window that shows how to use the Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName {FQDN} cmdlet.

  1. Sekarang di server federasi Windows Server 2019 buka Manajemen Layanan Federasi Direktori Aktif. Perhatikan bahwa sekarang semua kemampuan admin muncul karena peran utama telah ditransfer ke server ini.

Screenshot that shows the Windows Server 2016 federation server open AD FS Management window.

  1. Jika Anda meningkatkan farm AD FS 2012 R2 ke 2016 atau 2019, peningkatan farm mengharuskan skema AD setidaknya level 85. Untuk meningkatkan skema, dengan media penginstalan Windows Server 2016, buka prompt perintah dan navigasi ke direktori support\adprep. Jalankan yang berikut ini: adprep /forestprep

Screenshot that shows how to navigate to support\adprep directory.

Setelah selesai, jalankan adprep /domainprep

Catatan

Sebelum menjalankan langkah berikutnya, pastikan Windows Server terkini dengan menjalankan Windows Update dari Pengaturan. Lanjutkan proses ini hingga tidak ada pembaruan lebih lanjut yang diperlukan.

Screenshot that shows how to run adprep /domainprep.

  1. Pastikan bahwa tingkat perilaku farm dapat berhasil dinaikkan dengan perintah Tingkat Perilaku Farm Uji .
Test-AdfsFarmBehaviorLevelRaise
  1. Sekarang di Server Windows 2019 buka PowerShell dan jalankan cmdlet berikut:

Catatan

Semua server R2 2012 harus dihapus dari farm sebelum menjalankan langkah berikutnya.

Invoke-AdfsFarmBehaviorLevelRaise

Screenshot of a terminal window that shows how to run the Invoke-AdfsFarmBehaviorLevelRaise cmdlet.

  1. Saat diminta, ketik Y. Ini akan mulai menaikkan level. Setelah ini selesai, Anda telah berhasil menaikkan FBL.

Screenshot of a terminal window that shows when to type Y.

  1. Sekarang, jika Anda membuka Manajemen Layanan Federasi Direktori Aktif, Anda akan melihat kemampuan baru telah ditambahkan untuk versi Layanan Federasi Direktori Aktif yang lebih baru.

Screenshot that shows the new capabilities that have been added.

  1. Demikian juga, Anda dapat menggunakan cmdlet PowerShell: Get-AdfsFarmInformation untuk menunjukkan kepada Anda FBL saat ini.

upgrade

  1. Untuk meningkatkan server WAP ke tingkat terbaru, pada setiap Proksi Aplikasi Web, konfigurasi ulang WAP dengan menjalankan cmdlet PowerShell berikut di jendela yang ditingkatkan:
$trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred

Hapus server lama dari kluster dan simpan hanya server WAP yang menjalankan versi server terbaru, yang dikonfigurasi ulang di atas, dengan menjalankan cmdlet PowerShell berikut:

Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2

Periksa konfigurasi WAP dengan menjalankan cmdlet Get-WebApplicationProxyConfiguration. ConnectedServersName akan mencerminkan server yang dijalankan dari perintah sebelumnya.

Get-WebApplicationProxyConfiguration

Catatan

Lewati langkah berikutnya jika ConfigurationVersion adalah Windows Server 2016. Ini adalah nilai yang benar untuk Proksi Aplikasi Web pada Windows Server 2016 / 2019.

Untuk meningkatkan ConfigurationVersion server WAP, jalankan perintah PowerShell berikut:

Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion

Ini akan menyelesaikan peningkatan server WAP.

Catatan

Masalah PRT yang diketahui ada di Layanan Federasi Direktori Aktif 2019 jika Windows Hello untuk Bisnis dengan kepercayaan Sertifikat Hibrid dilakukan. Anda mungkin mengalami kesalahan ini di Layanan Federasi Direktori Aktif Admin log peristiwa: Menerima permintaan Oauth yang tidak valid. Klien 'NAME' dilarang mengakses sumber daya dengan cakupan 'ugs'. Untuk memulihkan kesalahan ini:

  1. Luncurkan konsol manajemen Layanan Federasi Direktori Aktif. Telusuri ke "Deskripsi Cakupan Layanan > ".
  2. Klik kanan "Deskripsi Cakupan" dan pilih "Tambahkan Deskripsi Cakupan".
  3. Di bawah nama ketik "ugs" dan Klik Terapkan > OK.
  4. Luncurkan Powershell sebagai Administrator.
  5. Jalankan perintah "Get-AdfsApplicationPermission". Cari ScopeNames :{openid, aza} yang memiliki ClientRoleIdentifier. Catat ObjectIdentifier.
  6. Jalankan perintah "Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier dari langkah 5> -AddScope 'ugs'.
  7. Mulai ulang layanan AD FS.
  8. Pada klien: Mulai ulang klien. Pengguna harus diminta untuk memprovisikan WHFB.
  9. Jika jendela provisi tidak muncul maka perlu mengumpulkan log jejak NGC dan memecahkan masalah lebih lanjut.