SQL Server를 사용하여 Windows Server 2016에서 AD FS로 업그레이드

  • 아티클

Important

최신 버전의 AD FS로 업그레이드하는 대신 Microsoft Entra ID로 마이그레이션하는 것이 좋습니다. 자세한 내용은 AD FS 서비스 해제를 위한 리소스를 참조 하세요.

참고 항목

완료를 위해 계획된 최종 시간 프레임으로만 업그레이드를 시작합니다. AD FS를 혼합 모드 상태로 두면 팜에 문제가 발생할 수 있으므로 AD FS를 장기간 혼합 모드 상태로 유지하는 것은 권장되지 않습니다.

Windows Server 2012 R2 AD FS 팜에서 Windows Server 2016 AD FS 팜으로 이동

다음 문서에서는 AD FS 데이터베이스에 SQL Server를 사용하는 경우 AD FS Windows Server 2012 R2 팜을 Windows Server 2016의 AD FS로 업그레이드하는 방법을 설명합니다.

Windows Server 2016 FBL로 AD FS 업그레이드

Windows Server 2016용 AD FS의 새로운 기능은 FBL(팜 동작 수준 기능)입니다. 이 기능은 팜 전체이며 AD FS 팜에서 사용할 수 있는 기능을 결정합니다. 기본적으로 Windows Server 2012 R2 AD FS 팜의 FBL은 Windows Server 2012 R2 FBL에 있습니다.

Windows Server 2016 AD FS 서버를 Windows Server 2012 R2 팜에 추가할 수 있으며 Windows Server 2012 R2와 동일한 FBL에서 작동합니다. 이러한 방식으로 작동하는 Windows Server 2016 AD FS 서버가 있는 경우 팜은 "혼합"이라고 합니다. 그러나 FBL이 Windows Server 2016으로 올려질 때까지는 새로운 Windows Server 2016 기능을 활용할 수 없습니다. 혼합 팜을 사용하는 경우:

  • 관리 기존 Windows Server 2012 R2 팜에 새 Windows Server 2016 페더레이션 서버를 추가할 수 있습니다. 따라서 팜은 "혼합 모드"에 있으며 Windows Server 2012 R2 팜 동작 수준을 작동합니다. 팜 전체에서 일관된 동작을 보장하기 위해 이 모드에서 새 Windows Server 2016 기능을 구성하거나 사용할 수 없습니다.

  • 모든 Windows Server 2012 R2 페더레이션 서버가 혼합 모드 팜에서 제거되면 새 Windows Serve 2016 페더레이션 서버 중 하나가 주 노드의 역할로 승격되면 관리자는 Windows Server 2012 R2에서 Windows Server 2016으로 FBL을 올릴 수 있습니다. 따라서 새로운 AD FS Windows Server 2016 기능을 구성하고 사용할 수 있습니다.

  • 혼합 팜 기능의 결과로 Windows Server 2016으로 업그레이드하려는 AD FS Windows Server 2012 R2 조직은 완전히 새로운 팜을 배포하고 구성 데이터를 내보내고 가져올 필요가 없습니다. 대신 Windows Server 2016 노드를 온라인 상태에서 기존 팜에 추가할 수 있으며 FBL 인상과 관련된 비교적 짧은 가동 중지 시간만 발생할 수 있습니다.

혼합 팜 모드에서 AD FS 팜은 Windows Server 2016의 AD FS에 도입된 새로운 기능이나 기능을 사용할 수 없습니다. 새 기능을 사용해 보려는 조직은 FBL이 발생할 때까지 이 작업을 수행할 수 없습니다. 따라서 조직에서 FBL을 발생하기 전에 새 기능을 테스트하려는 경우 별도의 팜을 배포해야 합니다.

다시 기본 문서는 Windows Server 2012 R2 환경에 Windows Server 2016 페더레이션 서버를 추가하는 단계를 제공합니다. 이러한 단계는 아래 아키텍처 다이어그램에 설명된 테스트 환경에서 수행되었습니다.

참고 항목

Windows Server 2016 FBL에서 AD FS로 이동하려면 먼저 모든 Windows 2012 R2 노드를 제거해야 합니다. Windows Server 2012 R2 OS를 Windows Server 2016으로 업그레이드하고 2016 노드로 만들 수는 없습니다. 제거한 후 새 2016 노드로 교체해야 합니다.

참고 항목

AlwaysOnAvailability 그룹 또는 병합 복제본(replica) 구성이 AD FS에 구성된 경우 업그레이드하기 전에 AD FS 데이터베이스의 모든 복제본(replica) 제거한 후 모든 노드를 주 SQL 데이터베이스로 가리킵니다. 이 작업을 수행한 후 설명된 대로 팜 업그레이드를 수행합니다. 업그레이드 후 AlwaysOnAvailability 그룹을 추가하거나 새 데이터베이스에 복제본(replica) 병합합니다.

다음 아키텍처 다이어그램은 아래 단계의 유효성을 검사하고 기록하는 데 사용된 설정을 보여줍니다.

Architecture

Windows 2016 AD FS 서버를 AD FS 팜에 조인

  1. 서버 관리자 사용하여 Windows Server 2016에 Active Directory Federation Services 역할 설치

  2. AD FS 구성 마법사를 사용하여 새 Windows Server 2016 서버를 기존 AD FS 팜에 조인합니다. 시작 화면에서 다음을 클릭합니다. Screenshot that shows the Welcome screen in the AD FS Configuration wizard.

  3. Active Directory 도메인 서비스 커넥트 화면에서페더레이션 서비스 구성을 수행할 수 있는 권한이 있는 관리자 계정을 지정하고 다음을 클릭합니다.

  4. 지정 화면에서 SQL Server 및 인스턴스의 이름을 입력하고 다음을 클릭합니다. Screenshot that shows the Specify Farm screen in the AD FS Configuration wizard.

  5. SSL 인증서 지정 화면에서 인증서를 지정하고 다음을 클릭합니다. Join farm

  6. 서비스 계정 지정 화면에서 서비스 계정을 지정하고 다음을 클릭합니다.

  7. [검토 옵션] 화면에서 옵션을 검토하고 [다음]을 클릭합니다.

  8. 필수 구성 요소 검사 화면에서 모든 필수 구성 요소 검사 통과했는지 확인하고 구성을 클릭합니다.

  9. 결과 화면에서 서버가 성공적으로 구성되었는지 확인하고 닫기를 클릭합니다.

Windows Server 2012 R2 AD FS 서버 제거

참고 항목

SQL을 데이터베이스로 사용할 때 Set-AdfsSyncProperties -Role을 사용하여 기본 AD FS 서버를 설정할 필요가 없습니다. 이는 모든 노드가 이 구성에서 기본 노드로 간주되기 때문입니다.

  1. Windows Server 2012 R2 AD FS 서버의 서버 관리자 관리에서 역할 및 기능 제거를 사용합니다. Screenshot that highlights the Remove Roles and Features menu option.
  2. 시작하기 전 화면에서 다음을 클릭합니다.
  3. 서버 선택 화면에서 다음을 클릭합니다.
  4. 서버 역할 화면에서 Active Directory Federation Services 옆에 있는 검사 제거하고 다음을 클릭합니다. Remove server
  5. 기능 화면에서 다음을 클릭합니다.
  6. 확인 화면에서 제거를 클릭합니다.
  7. 기능 제거가 완료되면 서버를 다시 시작합니다.

팜 동작 수준 올리기(FBL)

이 단계 전에 Active Directory 환경에서 포리스트 준비 및 수행기본 준비를 실행하고 Active Directory에 Windows Server 2016 스키마가 있는지 확인해야 합니다. 이 문서는 Windows 2016 do기본 컨트롤러로 시작되었으며 AD가 설치되었을 때 실행되었기 때문에 이를 실행할 필요가 없었습니다.

참고 항목

아래 프로세스를 시작하기 전에 설정 Windows 업데이트 실행하여 Windows Server 2016이 최신인지 확인합니다. 추가 업데이트가 필요하지 않을 때까지 이 프로세스를 계속합니다. 또한 AD FS 서비스 계정에 SQL 서버 및 ADFS 팜의 각 서버에 대한 관리 권한이 있는지 확인합니다.

  1. 이제 Windows Server 2016 Server에서 PowerShell을 열고 다음을 실행합니다. $cred = Get-Credential 및 hit enter.
  2. SQL Server에서 관리자 권한이 있는 자격 증명을 입력합니다.
  3. 이제 PowerShell에서 Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred 입력 합니다.
  4. 메시지가 표시되면 Y를 입력합니다. 이렇게 하면 수준이 상승하기 시작합니다. 이 작업이 완료되면 FBL을 성공적으로 발생시켰습니다. Finish Update
  5. 이제 AD FS 관리로 이동하면 새 노드가 표시됩니다.
  6. 마찬가지로 PowerShell cmdlet: Get-AdfsFarmInformation을 사용하여 현재 FBL을 표시할 수 있습니다. Screenshot that shows how to use the Get-AdfsFarmInformation cmdlet to show your current F B L.

기존 WAP 서버의 구성 버전 업그레이드

  1. 각 웹 애플리케이션 프록시 관리자 권한 창에서 다음 PowerShell 명령을 실행하여 WAP를 다시 구성합니다.
    $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred
  2. 클러스터에서 이전 서버를 제거하고 다음 PowerShell 명령을 실행하여 위에서 다시 구성한 최신 서버 버전을 실행하는 WAP 서버만 유지합니다. 
    Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2
  3. Get-WebApplicationProxyConfiguration 명령을 실행하여 WAP 구성을 확인합니다. 커넥트edServersName은 이전 명령의 서버 실행을 반영합니다. 
    Get-WebApplicationProxyConfiguration
  4. WAP 서버의 ConfigurationVersion을 업그레이드하려면 다음 PowerShell 명령을 실행합니다. 
    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
  5. Get-WebApplicationProxyConfiguration PowerShell 명령을 사용하여 ConfigurationVersion이 업그레이드되었는지 확인합니다.