Mettre à niveau une batterie de serveurs AD FS existante à l’aide de la base de données interne Windows

• S’applique à:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Importante

Au lieu de procéder à la mise à niveau vers la dernière version d’AD FS, Microsoft recommande vivement de migrer vers l’ID Microsoft Entra. Pour plus d’informations, consultez Ressources pour la désaffectation d’AD FS

Dans cet article, vous apprendrez comment mettre à jour le niveau de comportement de batterie de serveurs pour Active Directory Federation Services (AD FS) à l'aide de la base de données interne Windows (WID). À compter de Windows Server 2016, le niveau de comportement de la ferme de serveurs (FBL) a été introduit dans AD FS. Le FBL est un paramètre à l’échelle de la batterie de serveurs qui détermine les fonctionnalités que la batterie de serveurs AD FS peut utiliser.

Les administrateurs peuvent ajouter de nouveaux serveurs de fédération à une batterie de serveurs Windows Server existante en « mode mixte ». Le mode mixte fonctionne au même niveau de comportement de batterie que la batterie de serveurs d’origine pour garantir un comportement cohérent. Les fonctionnalités des versions plus récentes de Windows Server AD FS ne peuvent pas être configurées ou utilisées.

Conditions préalables

Avant de pouvoir mettre à niveau le niveau de comportement de la batterie de serveurs, vous devez remplir les conditions préalables suivantes :

• Déterminez la version de Windows Server vers laquelle effectuer la mise à niveau.

• Déployez la version cible de Windows Server sur un nouvel ordinateur, appliquez toutes les mises à jour Windows et installez le rôle serveur du service de fédération Active Directory. Pour plus d’informations, consultez Ajouter un serveur de fédération à une batterie de serveurs de fédération existante.

• Si vous utilisez également le proxy d’application web Windows Server, déployez la version cible de Windows Server sur un nouvel ordinateur, appliquez toutes les mises à jour Windows et installez le rôle serveur d’accès à distance et le service de rôle Proxy d’application web. Pour plus d’informations, consultez Utilisation du proxy d’application web.

• Si vous effectuez une mise à niveau vers AD FS dans Windows Server 2016 ou version ultérieure, la mise à niveau de la ferme nécessite que le schéma AD soit au moins de niveau 85. Si vous effectuez une mise à niveau vers Windows Server AD FS 2019 ou version ultérieure, le schéma AD doit être au moins 88. Pour plus d’informations sur la mise à niveau de votre domaine, consultez Mettre à niveau des contrôleurs de domaine vers une version plus récente de Windows Server.

• Avoir un délai défini prévu pour l’achèvement. Il n’est pas recommandé d’utiliser un état de mode mixte pendant une période prolongée. Laisser AD FS en mode mixte peut causer des problèmes à la batterie de serveurs.

• Sauvegardez vos serveurs de configuration et de fédération AD FS.

Niveaux de comportement de la ferme

Par défaut, le FBL d’une nouvelle batterie de serveurs AD FS correspond à la valeur de la version windows Server du premier nœud de batterie de serveurs installé.

Vous pouvez joindre un serveur AD FS d’une version ultérieure à une batterie de serveurs avec un FBL inférieur. La batterie de serveurs fonctionne avec le même FBL que le ou les nœud(s) existant(s). Lorsque vous avez plusieurs versions de Windows Server qui fonctionnent dans la même batterie de serveurs à la valeur FBL de la version la plus basse, votre batterie de serveurs est « mixte ». Toutefois, vous ne pouvez pas tirer parti des fonctionnalités des versions ultérieures tant que vous n’avez pas soulevé le FBL. Si votre organisation cherche à tester les nouvelles fonctionnalités avant de déclencher le FBL, vous devez déployer une batterie de serveurs distincte.

Le tableau suivant répertorie les valeurs FBL possibles et les noms de base de données de configuration par version de Windows Server.

Version de Windows Server	Valeur FBL	Nom de la base de données de configuration AD FS
2012 R2	1	AdfsConfiguration
2016	3	AdfsConfigurationV3
2019 et 2022	4	AdfsConfigurationV4

Remarque

La mise à niveau du FBL crée une nouvelle base de données de configuration AD FS.

Maintenant que vous comprenez l’objectif du FBL et que vous avez rempli les conditions préalables, vous êtes prêt à passer en revue votre FBL actuel.

Pour trouver votre FBL actuel :

1. Connectez-vous à votre serveur de fédération et ouvrez une session PowerShell avec élévation de privilèges.

2. Exécutez la commande PowerShell suivante pour retourner les informations actuelles sur le FBL et les nœuds de la batterie de serveurs.

   Get-AdfsFarmInformation
   

3. Regardez CurrentFarmBehavior et FarmNodes.

Migrer des serveurs de fédération

Une fois que vous avez collecté les informations actuelles de la ferme de fédération, vous êtes prêt à commencer le processus de mise à niveau. Pour commencer la mise à niveau :

1. Ajoutez le ou les nouveaux serveurs de fédération à votre batterie de serveurs existante. Pour plus d’informations, consultez Ajouter un serveur de fédération à une batterie de serveurs de fédération existante.

2. Connectez-vous à votre nouveau serveur de fédération, puis ouvrez une session PowerShell avec élévation de privilèges. Si vous avez plusieurs serveurs, exécutez uniquement cette commande sur un seul serveur.

3. Définissez la propriété de synchronisation du serveur de fédération pour qu’elle prenne le rôle d’ordinateur principal en exécutant la commande suivante. Pour plus d’informations, consultez Set-AdfsSyncProperties.

   Set-AdfsSyncProperties -Role PrimaryComputer
   

4. Connectez-vous à n'importe quel autre serveur de fédération dans la batterie de serveurs, ouvrez une session PowerShell avec élévation de privilèges.

5. Définissez le rôle de l’ordinateur secondaire en exécutant la commande suivante.

   Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName "<primary-server-FQDN>"
   

6. Mettez à jour n’importe quel équilibreur de charge, DNS ou configurations réseau pour utiliser les nouveaux serveurs de fédération, en vérifiant que le serveur est opérationnel. Pour plus d’informations, consultez Vérifier que votre serveur de fédération Windows Server 2012 R2 est opérationnel.

7. Désinstallez le rôle serveur du service de fédération Active Directory des serveurs précédents, puis exécutez la commande suivante pour supprimer les entrées obsolètes.

   Set-AdfsFarmInformation -RemoveNode "<old-server-FQDN>"
   

Maintenant que vous disposez de votre nouveau serveur de fédérations pour l'exploitation et que vous avez supprimé les précédents, vous êtes prêt à mettre à niveau le FBL. Pour plus d’informations sur la désaffectation, consultez Étapes de désactivation de vos serveurs AD FS.

Mettre à niveau le comportement de la batterie de serveurs

Une fois que vous avez collecté les informations actuelles de la ferme de fédération, vous êtes prêt à commencer le processus de mise à niveau. Pour commencer la mise à niveau :

1. Connectez-vous à votre serveur de fédération principal, puis ouvrez une session PowerShell avec élévation de privilèges.

2. Exécutez la commande suivante pour vérifier si vous pouvez élever le niveau de fonctionnalité d'une ferme de serveurs.

   Test-AdfsFarmBehaviorLevelRaise
   

3. Après avoir examiné la sortie, pour mettre à niveau le FBL, exécutez la commande suivante. On vous demande si vous voulez continuer.

   Invoke-AdfsFarmBehaviorLevelRaise
   

4. Passez en revue la sortie de la commande pour confirmer que l’opération a réussi. Pour vérifier le nouveau niveau de comportement de la batterie de serveurs, exécutez la commande PowerShell suivante pour retourner les informations actuelles sur le nœud de batterie de serveurs et les FBL.

   Get-AdfsFarmInformation
   

Vous avez maintenant mis à niveau votre FBL pour qu’il corresponde à votre version cible de Windows Server. Si vous utilisez également le service de rôle proxy d’application web Windows Server, passez à la section suivante.

Mettre à niveau le proxy d’application web

Maintenant que vous avez mis à jour votre FBL, vous devez mettre à niveau le proxy d’application web (WAP) vers le dernier niveau.

1. Connectez-vous à votre serveur proxy d’application web nouvellement déployé et ouvrez une session PowerShell avec élévation de privilèges.

2. Importez le certificat utilisé par le certificat de fédération et notez l’empreinte numérique du certificat.

3. Pour configurer WAP, exécutez la commande PowerShell suivante, en remplaçant l’espace réservé <value> par vos propres valeurs. Répétez cette étape pour plus de serveurs proxy d’application web.

   $trustcred = Get-Credential -Message "<Enter Domain Administrator credentials>"
   Install-WebApplicationProxy -CertificateThumbprint "<SSLCertThumbprint>" -FederationServiceName "<FScomputername>" -FederationServiceTrustCredential $trustcred
   

4. Pour passer en revue les serveurs proxy d’application web connectés actuels, exécutez la commande suivante, notez les valeurs ConnectedServerName et ConfigurationVersion.

   Get-WebApplicationProxyConfiguration
   

   Remarque

   Ignorez l’étape suivante si ConfigurationVersion est Windows Server 2016. Il s’agit de la valeur correcte pour le proxy d’application web sur Windows Server 2016 et versions ultérieures.

5. Supprimez les anciens serveurs proxy d’application web, en conservant uniquement les nouveaux serveurs configurés lors des étapes précédentes en exécutant l’applet de commande PowerShell suivante :

   Set-WebApplicationProxyConfiguration -ConnectedServersName "WAPServerName1", "WAPServerName2"
   

6. Pour mettre à niveau ConfigurationVersion des serveurs WAP, exécutez la commande PowerShell suivante :

   Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
   

Vous avez maintenant terminé la mise à niveau du proxy d’application web.

Modèle d’approbation de certificat avec Windows Hello Entreprise

Si vous utilisez AD FS sur Windows Server 2019 ou version ultérieure et windows Hello Entreprise dans un modèle d’approbation de certificat, vous pouvez rencontrer le message d’erreur suivant dans le journal des événements.

Received invalid Oauth request. The client 'NAME' is forbidden to access the resource with scope 'ugs'.

Pour corriger cette erreur :

1. Ouvrez la console de gestion AD FS. Accédez à Services > Descriptions d’étendue.

2. Cliquez avec le bouton droit sur Descriptions d’étendue et sélectionnez Ajouter une description d’étendue.

3. Dans nom, entrez ugs, puis sélectionnez Appliquer > OK.

4. Lancez PowerShell en tant qu’administrateur et exécutez les commandes suivantes.

   $id = (Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
   Set-AdfsApplicationPermission -TargetIdentifier $id -AddScope 'ugs'
   

5. Redémarrez le service AD FS.

6. Redémarrez le client. L’utilisateur doit être invité à configurer Windows Hello Entreprise.

Étapes suivantes

Maintenant que vous avez mis à niveau votre déploiement AD FS, voici quelques articles que vous pouvez trouver utiles.

• vérifier qu’un serveur de fédération est opérationnel
• vérifier qu’un proxy de serveur de fédération est opérationnel
• Opérations d’AD FS