Обновление до AD FS в Windows Server 2016 с помощью SQL Server

  • Статья

Внимание

Вместо обновления до последней версии AD FS корпорация Майкрософт настоятельно рекомендует перейти на идентификатор Microsoft Entra. Дополнительные сведения см. в разделе "Ресурсы для вывода из эксплуатации AD FS"

Примечание.

Начинается только обновление с окончательного периода времени, запланированного на завершение. Не рекомендуется хранить AD FS в состоянии смешанного режима в течение длительного периода времени, так как выход AD FS в состоянии смешанного режима может вызвать проблемы с фермой.

Переход из фермы AD FS Windows Server 2012 R2 в ферму Windows Server 2016 AD FS

В следующем документе описывается обновление фермы AD FS Windows Server 2012 R2 до AD FS в Windows Server 2016 при использовании SQL Server для базы данных AD FS.

Обновление AD FS до Windows Server 2016 FBL

Новые возможности AD FS для Windows Server 2016 — это функция уровня поведения фермы (FBL). Эта функция является широкой и определяет функции, которые может использовать ферма AD FS. По умолчанию FBL в ферме Windows Server 2012 R2 AD FS находится в FBL Windows Server 2012 R2.

Сервер Windows Server 2016 AD FS можно добавить в ферму Windows Server 2012 R2, и он будет работать в том же FBL, что и Windows Server 2012 R2. Если у вас есть сервер WINDOWS Server 2016 AD FS, работающий таким образом, ваша ферма считается "смешанной". Однако вы не сможете воспользоваться новыми функциями Windows Server 2016, пока FBL не будет поднят в Windows Server 2016. С смешанной фермой:

  • Администратор istrators могут добавлять новые серверы федерации Windows Server 2016 в существующую ферму Windows Server 2012 R2. В результате ферма находится в смешанном режиме и работает на уровне поведения фермы Windows Server 2012 R2. Чтобы обеспечить согласованное поведение в ферме, новые функции Windows Server 2016 нельзя настроить или использовать в этом режиме.

  • После удаления всех серверов федерации Windows Server 2012 R2 из фермы смешанного режима один из новых серверов федерации Windows Serve 2016 был повышен до роли первичного узла, администратор может затем вызвать FBL из Windows Server 2012 R2 до Windows Server 2016. В результате можно настроить и использовать любые новые функции AD FS Windows Server 2016.

  • В результате смешанной фермы организации AD FS Windows Server 2012 R2, желающие обновить до Windows Server 2016, не должны развертывать совершенно новую ферму, экспортировать и импортировать данные конфигурации. Вместо этого они могут добавлять узлы Windows Server 2016 в существующую ферму, пока она находится в сети, и только нанести относительно краткое время простоя, связанное с повышением FBL.

В смешанном режиме фермы ферма AD FS не может создавать новые функции или функциональные возможности, представленные в AD FS в Windows Server 2016. Организации, которые хотят попробовать новые функции, не могут сделать это до тех пор, пока FBL не будет поднят. Поэтому, если ваша организация планирует протестировать новые функции перед повышением уровня FBL, вам потребуется развернуть отдельную ферму.

Остальная часть документа содержит шаги по добавлению сервера федерации Windows Server 2016 в среду Windows Server 2012 R2. Эти шаги были выполнены в тестовой среде, описанной на схеме архитектуры ниже.

Примечание.

Прежде чем перейти к AD FS в Windows Server 2016 FBL, необходимо удалить все узлы Windows 2012 R2. Вы не можете просто обновить ОС Windows Server 2012 R2 до Windows Server 2016 и стать узлом 2016. Его необходимо удалить и заменить новым узлом 2016 года.

Примечание.

Если группы AlwaysOnAvailability или объединение реплика tion настроены в AD FS, удалите все реплика действия всех баз данных AD FS перед обновлением и укажите все узлы в базу данных-источник SQL. После выполнения этого выполните обновление фермы, как описано. После обновления добавьте группы AlwaysOnAvailability или выполните слияние реплика в новые базы данных.

На следующей схеме архитектуры показана настройка, используемая для проверки и записи приведенных ниже шагов.

Architecture

Присоединение сервера AD FS в Windows 2016 к ферме AD FS

  1. Установка роли службы федерации Active Directory (AD FS) в Windows Server 2016 с помощью диспетчер сервера

  2. С помощью мастера настройки AD FS присоединитесь к новому серверу Windows Server 2016 к существующей ферме AD FS. На экране приветствия щелкните Далее. Screenshot that shows the Welcome screen in the AD FS Configuration wizard.

  3. На экранеПодключение домен Active Directory Services указать учетную запись администратора с разрешениями на настройку служб федерации и нажмите кнопку "Далее".

  4. На экране "Указать ферму" введите имя сервера SQL Server и экземпляра, а затем нажмите кнопку "Далее". Screenshot that shows the Specify Farm screen in the AD FS Configuration wizard.

  5. На экране "Указание SSL-сертификата" укажите сертификат и нажмите кнопку "Далее". Join farm

  6. На экране "Указание учетной записи службы" укажите учетную запись службы и нажмите кнопку "Далее".

  7. На экране "Параметры проверки" просмотрите параметры и нажмите кнопку "Далее".

  8. На экране "Предварительные проверки" убедитесь, что все необходимые проверка прошли и нажмите кнопку "Настроить".

  9. На экране результатов убедитесь, что сервер был успешно настроен и нажмите кнопку "Закрыть".

Удаление сервера Windows Server 2012 R2 AD FS

Примечание.

Не нужно задавать основной сервер AD FS с помощью Set-AdfsSyncProperties -Role при использовании SQL в качестве базы данных. Это связано с тем, что все узлы считаются основными в этой конфигурации.

  1. На сервере Windows Server 2012 R2 AD FS в диспетчер сервера используйте команду "Удалить роли и компоненты" в разделе "Управление". Screenshot that highlights the Remove Roles and Features menu option.
  2. На странице Приступая к работе нажмите кнопку Далее.
  3. На экране выбора сервера нажмите кнопку "Далее".
  4. На экране ролей сервера удалите проверка рядом с службы федерации Active Directory (AD FS) и нажмите кнопку "Далее". Remove server
  5. На экране компонентов нажмите кнопку "Далее".
  6. На экране подтверждения нажмите кнопку "Удалить".
  7. После завершения удаления компонентов перезапустите сервер.

Повышение уровня поведения фермы (FBL)

Перед этим шагом необходимо убедиться, что подготовка леса и подготовка домена выполняются в среде Active Directory и что Active Directory имеет схему Windows Server 2016. Этот документ начал работу с контроллером домена Windows 2016 и не требовал их выполнения, так как они были запущены при установке AD.

Примечание.

Перед началом приведенного ниже процесса убедитесь, что Windows Server 2016 является текущим, выполнив Обновл. Windows из Параметры. Продолжайте этот процесс до тех пор, пока не потребуется никаких дополнительных обновлений. Кроме того, убедитесь, что учетная запись службы AD FS имеет административные разрешения на сервере SQL Server и каждом сервере в ферме ADFS.

  1. Теперь на сервере Windows Server 2016 откройте PowerShell и выполните следующую команду: $cred = Get-Credential и нажмите клавишу ВВОД.
  2. Введите учетные данные с правами администратора в SQL Server.
  3. Теперь в PowerShell введите следующее: Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred
  4. При появлении запроса введите Y. Это начнет повышение уровня. После завершения работы вы успешно подняли FBL. Finish Update
  5. Теперь, если перейти к службе управления AD FS, вы увидите новые узлы.
  6. Аналогичным образом можно использовать командлет PowerShell: Get-AdfsFarmInformation для отображения текущего FBL. Screenshot that shows how to use the Get-AdfsFarmInformation cmdlet to show your current F B L.

Обновление версии конфигурации существующих серверов WAP

  1. На каждом прокси-сервере веб-приложения повторно настройте WAP, выполнив следующую команду PowerShell в окне с повышенными привилегиями: 
    $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred
  2. Удалите старые серверы из кластера и сохраните только серверы WAP с последней версией сервера, которая была перенастроена выше, выполнив следующую команду PowerShell. 
    Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2
  3. Проверьте конфигурацию WAP, выполнив команду Get-WebApplicationProxyConfiguration. Имя Подключение edServersName будет отражать запуск сервера из предыдущей команды. 
    Get-WebApplicationProxyConfiguration
  4. Чтобы обновить ConfigurationVersion серверов WAP, выполните следующую команду PowerShell. 
    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
  5. Убедитесь, что ConfigurationVersion обновлена с помощью команды Get-WebApplicationProxyConfiguration PowerShell.