Leitfaden zur Außerbetriebnahme von Active Directory-Verbunddiensten (AD FS)
Microsoft Entra ID bietet eine einfache cloudbasierte Anmeldeerfahrung für alle Ihre Ressourcen und Apps mit strenger Authentifizierung und risikobasierten adaptiven Zugriffsrichtlinien in Echtzeit, um Zugriff auf Ressourcen zu gewähren, was die Betriebskosten für die Verwaltung und Wartung einer AD FS-Umgebung reduziert und die IT-Effizienz steigert.
Weitere Informationen dazu, warum Sie ein Upgrade von AD FS auf Microsoft Entra ID durchführen sollten, finden Sie unter Umstieg von AD FS zu Microsoft Entra ID. Informationen, wie Sie ein Upgrade von AD FS durchführen, finden Sie unter Migrieren von Verbund- zur Cloudauthentifizierung.
In diesem Dokument finden Sie die empfohlenen Schritte für die Außerbetriebnahme Ihrer AD FS-Server.
Voraussetzungen für die Außerbetriebnahme von AD FS-Servern
Bevor Sie mit der Außerbetriebnahme Ihrer AD FS-Server beginnen, stellen Sie sicher, dass die folgenden Elemente abgeschlossen sind. Weitere Informationen finden Sie unter Migrieren von Verbund- zur Cloudauthentifizierung.
Microsoft Entra Connect Health bietet eine stabile Überwachung Ihrer lokalen Identitätsinfrastruktur.
Schließen Sie die Vorbereitungen für einmaliges Anmelden (Single Sign-On, SSO) ab.
Migrieren der App-Authentifizierung zu Microsoft Entra ID. Wenn die Cloudauthentifizierung aktiviert ist, kann Microsoft Entra ID den Anmeldeprozess der Benutzer sicher verarbeiten. Microsoft Entra ID bietet Ihnen drei Optionen für die sichere Cloudauthentifizierung von Benutzern:
- Microsoft Entra-Kennwort-Hashsynchronisierung (Password Hash Synchronization, PHS): Ermöglicht Ihren Benutzern die Anmeldung bei lokalen und cloudbasierten Anwendungen mit denselben Kennwörtern. Microsoft Entra Connect synchronisiert einen Hash eines Hashs des Kennworts eines Benutzers aus einer lokalen Active Directory-Instanz mit einer cloudbasierten Microsoft Entra-Instanz. Die beiden Hashingebenen stellen sicher, dass Ihre Kennwörter nie verfügbar gemacht oder an Cloudsysteme übertragen werden.
- Zertifikatbasierte Microsoft Entra-Authentifizierung (Certificate Based Authentication, CBA): Ermöglicht Ihnen die Einführung einer phishingresistenten Authentifizierungsmethode und die Authentifizierung von Benutzern mit einem X.509-Zertifikat für Ihre Public Key-Infrastruktur (PKI).
- Mit der Microsoft Entra-Passthrough-Authentifizierung können sich Benutzer mit denselben Kennwörtern sowohl an lokalen als auch an cloudbasierten Anwendungen anmelden. Sie installiert einen Agent in Ihrem lokalen Active Directory und überprüft die Kennwörter der Benutzer direkt in Ihrem lokalen Active Directory.
Sie können die Cloudauthentifizierung für Ihre Benutzer mithilfe eines gestaffelten Rollouts ausprobieren. Es ermöglicht Ihnen, Benutzergruppen mit den oben erwähnten Cloudauthentifizierungsfunktionen selektiv zu testen.
Hinweis
- PHS und CBA sind die bevorzugten Optionen für die cloudverwaltete Authentifizierung. PTA darf nur in Fällen verwendet werden, in denen gesetzliche Anforderungen bestehen, keine Kennwortinformationen mit der Cloud zu synchronisieren.
- Die Migration der Benutzerauthentifizierung und von Apps kann in beliebiger Reihenfolge durchgeführt werden. Es wird jedoch empfohlen, zuerst die Migration der Benutzerauthentifizierung abzuschließen.
- Stellen Sie sicher, dass Sie die unterstützten und nicht unterstützten Szenarien für den gestaffelten Rollout auswerten.
Migrieren Sie alle Ihre Anwendungen, die derzeit AD FS für die Authentifizierung verwenden, zu Microsoft Entra ID, da Sie dadurch eine einzige Steuerungsebene für die Identitäts- und Zugriffsverwaltung zu Microsoft Entra ID erhalten. Stellen Sie sicher, dass Sie auch Ihre Office 365-Anwendungen und eingebundenen Geräte zu Microsoft Entra ID migrieren.
- Der Migrations-Assistent kann für die Migration von Anwendungen von AD FS zu Microsoft Entra ID verwendet werden.
- Wenn Sie nicht die richtige SaaS-Anwendung im App-Katalog finden, können Sie sie unter https://aka.ms/AzureADAppRequest anfordern.
Stellen Sie sicher, dass Sie Microsoft Entra Connect Health mindestens eine Woche lang ausführen, um die Verwendung von Apps in Microsoft Entra ID zu beobachten. Sie sollten auch in der Lage sein, Benutzeranmeldungsprotokolle in Microsoft Entra ID anzuzeigen.
Schritte zur Außerbetriebnahme Ihrer AD FS-Server
In diesem Abschnitt erfahren Sie, wie Sie Ihre AD FS-Server schrittweise außer Betrieb nehmen.
Bevor Sie diesen Punkt erreichen, müssen Sie überprüfen, ob es keine vertrauende Seite (Vertrauensstellungen der vertrauenden Seite) mit Datenverkehr gibt, die weiterhin auf den AD FS-Servern vorhanden ist.
Bevor Sie beginnen, überprüfen Sie die AD FS-Ereignisprotokolle und/oder Microsoft Entra Connect Health auf Anmeldefehler oder -erfolge, da dies bedeuten würde, dass diese Server weiterhin für etwas verwendet werden. Falls Anmeldeerfolge oder -fehler auftreten, überprüfen Sie, wie Sie Ihre Apps aus AD FS migrieren oder Ihre Authentifizierung in Microsoft Entra ID verschieben.
Nachdem obiges überprüft wurde, können Sie die folgenden Schritte ausführen (vorausgesetzt, die AD FS-Server werden jetzt für nichts anderes verwendet):
Hinweis
Nachdem Sie Ihre Authentifizierung in Microsoft Entra ID verschoben haben, testen Sie Ihre Umgebung mindestens eine Woche lang, um sicherzustellen, dass die Cloudauthentifizierung problemlos funktioniert.
- Erwägen Sie, eine optionale abschließende Sicherung durchzuführen, bevor Sie AD FS-Server außer Betrieb nehmen.
- Entfernen Sie alle AD FS-Einträge von allen Lastenausgleichsmodulen (intern und extern), die Sie möglicherweise in Ihrer Umgebung konfiguriert haben.
- Löschen Sie alle entsprechenden DNS-Einträge der jeweiligen Farmnamen für AD FS-Server in Ihrer Umgebung.
- Führen Sie auf dem primären AD FS-Server
Get-ADFSProperties
aus, und suchen Sie nach CertificateSharingContainer. Notieren Sie sich diesen DN, da Sie ihn am Ende der Installation löschen müssen (nach einigen Neustarts und wenn er nicht mehr verfügbar ist). - Wenn Ihre AD FS-Konfigurationsdatenbank eine SQL Server-Datenbankinstanz als Speicher verwendet, müssen Sie die Datenbank löschen, bevor Sie AD FS-Server deinstallieren.
- Deinstallieren Sie die WAP (Proxy)-Server.
- Melden Sie sich bei jedem WAP-Server an, öffnen Sie die Remotezugriffs-Verwaltungskonsole, und suchen Sie nach veröffentlichten Webanwendungen.
- Entfernen Sie alle, die sich auf AD FS-Server beziehen, die nicht mehr verwendet werden.
- Wenn alle veröffentlichten Webanwendungen entfernt sind, deinstallieren Sie WAP mit dem folgenden Befehl: Uninstall-WindowsFeature Web-Application-Proxy,CMAK,RSAT-RemoteAccess.
- Deinstallieren Sie die AD FS-Server.
- Deinstallieren Sie AD FS, beginnend mit den sekundären Knoten, mit dem Befehl Uninstall-WindowsFeature ADFS-Federation,Windows-Internal-Database. Führen Sie danach den Befehl „del C:\Windows\WID\data\adfs*“ aus, um alle Datenbankdateien zu löschen.
- Löschen Sie AD FS-SSL-Zertifikate (Secure Socket Layer) aus jedem Serverspeicher.
- Führen Sie ein erneutes Imaging von AD FS-Servern mit vollständiger Datenträgerformatierung durch.
- Sie können Ihr AD FS-Konto jetzt gefahrlos löschen.
- Entfernen Sie nach der Deinstallation den Inhalt des DN CertificateSharingContainer mithilfe des ADSI-Editors.