Actualización a AD FS en Windows Server 2016 con SQL Server
Importante
En lugar de actualizar a la versión más reciente de AD FS, Microsoft recomienda encarecidamente migrar a Microsoft Entra ID. Para más información, consulte Recursos para la retirada de AD FS
Nota
Inicie una actualización solo si tiene previsto un tiempo de finalización definitivo. No se recomienda mantener AD FS en un estado de modo mixto durante un período de tiempo prolongado, ya que dejar AD FS en dicho estado puede causar problemas con la granja de servidores.
Migración de la granja de AD FS en Windows Server 2012 R2 a la granja de AD FS en Windows Server 2016
En este artículo se describe cómo actualizar la granja de AD FS de Windows Server 2012 R2 a AD FS en Windows Server 2016. Los pasos se aplican cuando se usa una instancia de SQL Server para la base de datos de AD FS.
Actualización de AD FS Windows Server 2016 FBL
La novedad de AD FS para Windows Server 2016 es la característica de nivel de comportamiento de la granja de servidores (FBL). Esta característica afecta a toda la granja de servidores y determina las características que puede usar la granja de servidores de AD FS. De forma predeterminada, el FBL de una granja de AD FS Windows Server 2012 R2 se encuentra en el FBL de Windows Server 2012 R2.
Se puede agregar un servidor de Windows Server 2016 AD FS a una granja de servidores de Windows Server 2012 R2 y funciona con el mismo FBL que Windows Server 2012 R2. Para un servidor de Windows Server 2016 AD FS que funciona de esta manera, se dice que la granja de servidores es "mixta". Sin embargo, las nuevas características de Windows Server 2016 no están disponibles hasta que se genere el FBL en Windows Server 2016.
Estas son algunas de las características significativas de trabajar con una granja mixta:
Los administradores pueden agregar nuevos servidores de federación de Windows Server 2016 a una granja de servidores de Windows Server 2012 R2 existente. Como resultado, la granja de servidores está en "modo mixto" y opera el nivel de comportamiento de la granja de servidores de Windows Server 2012 R2. Para garantizar un comportamiento coherente en toda la granja de servidores, las nuevas características de Windows Server 2016 no se pueden configurar ni usar en este modo.
Los administradores pueden quitar todos los servidores de federación de Windows Server 2012 R2 de la granja de servidores de modo mixto. En este escenario, uno de los nuevos servidores de federación de Windows Serve 2016 se promueve al rol de nodo principal. Después, el administrador puede generar el FBL de Windows Server 2012 R2 a Windows Server 2016. Como resultado, las nuevas características de AD FS de Windows Server 2016 se podrán configurar y usar.
Las organizaciones de Windows Server 2012 R2 de AD FS que quieran actualizar a Windows Server 2016 no tienen que implementar una granja de servidores completamente nueva ni exportar e importar datos de configuración. En su lugar, pueden agregar nodos de Windows Server 2016 a una granja existente mientras está en línea y solo incurrir en el tiempo de inactividad relativamente breve implicado en la elevación de FBL.
En modo de granja mixta, la granja de AD FS no puede utilizar ninguna de las características o funciones nuevas introducidas en AD FS en Windows Server 2016. Las organizaciones que quieran probar nuevas funciones pueden hacerlo después de que se genere el FBL. Si su organización desea probar las nuevas características antes de generar el FBL, debe implementar una granja de servidores independiente.
En el resto del artículo se proporcionan los pasos para agregar un servidor de federación de Windows Server 2016 a un entorno de Windows Server 2012 R2. Estos pasos se realizaron en un entorno de prueba descrito en el siguiente diagrama de arquitectura.
Nota:
Para poder pasar a AD FS en el FBL de Windows Server 2016, debe quitar todos los nodos de Windows 2012 R2. No se puede actualizar un sistema operativo Windows Server 2012 R2 a Windows Server 2016 y hacer que se convierta automáticamente en un nodo de 2016. Debe eliminarlo y reemplazarlo por un nuevo nodo de 2016.
Si los grupos AlwaysOnAvailability o la replicación de mezcla están configurados en AD FS, quite toda la replicación de las bases de datos de AD FS antes de actualizar y apunte todos los nodos a la base de datos SQL principal. Después de completar estas tareas, realice la actualización de la granja de servidores como se describe. Después de completar la actualización, agregue grupos AlwaysOnAvailability o combine la replicación a las nuevas bases de datos.
En el siguiente diagrama de arquitectura se muestra la configuración que se usó para validar y registrar los pasos siguientes.
Unión de Windows 2016 AD FS Server a una granja de servidores de AD FS
En el Administrador de servidores, instale el rol Servicios de federación de Active Directory en Windows Server 2016.
En el Asistente para la configuración de AD FS, combine el nuevo servidor de Windows Server 2016 a la granja de servidores de AD FS existente.
En la pantalla de bienvenida, seleccione Agregar un servidor de federación a una granja de servidores de federación y, a continuación, seleccione Siguiente.
En la pantalla Conectarse a Servicios de dominio de Active Directory, especifique una cuenta de administrador con permisos para realizar la configuración de los servicios de federación y seleccione Siguiente.
En la pantalla Especificar granja , escriba el nombre del servidor SQL Server y de la instancia y, a continuación, seleccione Siguiente.
En la pantalla Especificar certificado SSL, especifique el certificado y seleccione Siguiente.
En la pantalla Especificar cuenta de servicio, especifique la cuenta de servicio y seleccione Siguiente.
En la pantalla Opciones de revisión, revise las opciones y seleccione Siguiente.
En la pantalla Comprobaciones de requisitos previos, asegúrese de que se han superado todas las comprobaciones de requisitos previos y, a continuación, seleccione Configurar.
En la pantalla Resultados, asegúrese de que el servidor está configurado correctamente y, a continuación, seleccione Cerrar.
Eliminación del servidor de Windows Server 2012 R2 AD FS
En los pasos siguientes se quita el servidor de Windows Server 2012 R2 AD FS.
Nota:
No es necesario establecer el servidor de AD FS principal con el comando Set-AdfsSyncProperties -Role
cuando se usa SQL como base de datos. Todos los nodos se consideran principales en esta configuración.
En Administrador de servidores, vaya al servidor de Windows Server 2012 R2 AD FS. En Administrar, seleccione Quitar roles y características:
En la pantalla Antes de comenzar, seleccione Siguiente y, en la pantalla Selección del servidor, seleccione Siguiente.
En la pantalla Roles de servidor, desmarque la opción Servicios de federación de Active Directory y, a continuación, seleccione Siguiente.
En la pantalla Características, seleccione Siguiente.
En la pantalla Confirmación, seleccione Quitar.
Una vez completada la eliminación de características, reinicie el servidor.
Aumento del nivel de comportamiento de la granja (FBL)
Los pasos siguientes aumentan el FBL para el servidor.
Importante
Antes de continuar con el proceso de esta sección, revise los siguientes requisitos previos:
Asegúrese de que los procesos de preparación para el bosque y el dominio se han completado en el entorno de Active Directory y que Active Directory tiene el esquema de Windows Server 2016. El procedimiento descrito en este artículo se basa en una arquitectura que se inició con un controlador de dominio de Windows 2016. La arquitectura de ejemplo no requiere los pasos de esta sección porque las tareas se incluyen con el proceso de instalación de AD.
Asegúrese de que Windows Server 2016 esté actualizado ejecutando Windows Update desde Configuración. Continúe el proceso de actualización hasta que no se necesiten más actualizaciones.
Asegúrese de que la cuenta de servicio de AD FS tiene los permisos administrativos en el servidor SQL Server y en cada servidor de la granja de servidores de ADFS.
En Windows Server 2016 Server, abra PowerShell y ejecute el siguiente comando:
$cred = Get-Credential
Escriba las credenciales que tienen privilegios de administrador en SQL Server.
En PowerShell, escriba el comando siguiente:
Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred
En el símbolo del sistema, seleccione Y (sí) para comenzar a elevar el nivel. Una vez completada la operación, habrá aumentado correctamente el FBL.
Si va a Administración de AD FS, verá los nuevos nodos.
Puede usar el cmdlet
Get-AdfsFarmInformation
de PowerShell para mostrar el FBL actual:
Actualización de la versión de configuración de los servidores WAP existentes
En cada proxy de aplicación web, vuelva a configurar el WAP ejecutando el siguiente comando de PowerShell en una ventana con privilegios elevados:
$trustcred = Get-Credential -Message "Enter Domain Administrator credentials" Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred
Ejecute el siguiente comando para quitar los servidores antiguos del clúster y mantener solo los servidores WAP que ejecutan la versión más reciente del servidor (reconfigurada anteriormente):
Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2
Ejecute el siguiente comando para comprobar la configuración de WAP. El valor de
ConnectedServersName
refleja la ejecución del servidor desde el comando anterior:Get-WebApplicationProxyConfiguration
Para actualizar el
ConfigurationVersion
de los servidores WAP, ejecute el siguiente comando de PowerShell:Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
Vuelva a ejecutar el comando
Get-WebApplicationProxyConfiguration
y compruebe queConfigurationVersion
se ha actualizado.