次の方法で共有

SQL Server の使用による Windows Server 2016 AD FS へのアップグレード

重要

マイクロソフトでは、最新バージョンの AD FS にアップグレードするのではなく、Microsoft Entra ID へ移行することを強くお勧めしています。 詳細については、AD FS の使用停止に関するリソースの記事を参照してください

注意

アップグレードは、完了までの最終的な期間が計画されている場合のみ開始してください。 AD FS を混在モード状態のままにするとファームで問題が発生する可能性があるため、長時間にわたって AD FS を混在モード状態にしておくことはお勧めしません。

Windows Server 2012 R2 AD FS ファームから Windows Server 2016 AD FS ファームへの移行

この記事では、AD FS Windows Server 2012 R2 ファームを Windows Server 2016 の AD FS にアップグレードする方法について説明します。 この手順は、AD FS データベースに SQL Server を使用する場合に適用されます。

AD FS を Windows Server 2016 FBL にアップグレードする

Windows Server 2016 の AD FS の新機能として、ファーム動作レベル (FBL) 機能があります。 この機能は、ファーム全体に作用し、AD FS ファームで使用できる機能を決定します。 既定では、Windows Server 2012 R2 AD FS ファームの FBL は、Windows Server 2012 R2 FBL です。

Windows Server 2016 AD FS サーバーは、Windows Server 2012 R2 ファームに追加でき、Windows Server 2012 R2 と同じ FBL で動作します。 この方法で Windows Server 2016 AD FS サーバーを運用する形態を、ファームの "混合" と言います。ただし、FBL が Windows Server 2016 に移行されるまで、新しい Windows Server 2016 機能は利用できません。

混合ファームを使用する場合の重要な機能を次に示します。

  • 管理者は、既存の Windows Server 2012 R2 ファームに新しい Windows Server 2016 フェデレーション サーバーを追加できます。 その結果、そのファームは "混在モード" になり、Windows Server 2012 R2 のファーム動作レベルで動作します。 ファーム全体で一貫した動作を確保するために、Windows Server 2016 の新機能をこのモードで構成したり使用したりすることはできません。

  • 管理者は、混合モードのファームからすべての Windows Server 2012 R2 フェデレーション サーバーを削除できます。 このシナリオでは、新しい Windows Server 2016 フェデレーション サーバーのいずれかがプライマリ ノードのロールに昇格されます。 すると管理者は FBL を Windows Server 2012 R2 から Windows Server 2016 に引き上げることができます。 その結果、AD FS Windows Server 2016 のすべての新しい機能を構成および使用できるようになります。

  • AD FS Windows Server 2012 R2 を使用している組織が Windows Server 2016 にアップグレードする場合に、まったく新しいファームの展開や、構成データのエクスポート/インポートは必要ありません。 その代わりに、オンライン中に既存のファームに Windows Server 2016 ノードを追加することで、FBL の引き上げに伴うダウンタイムを比較的短くすることができます。

混在ファーム モードの間、AD FS ファームでは、Windows Server 2016 の AD FS に導入された新しい機能を利用できません。 新しい機能を組織で試す場合は、FBL の引き上げ後に試すことができます。 組織で FBL の引き上げ前に新機能をテストする場合は、別のファームを展開する必要があります。

この記事の後半では、Windows Server 2016 フェデレーション サーバーを Windows Server 2012 R2 環境に追加する手順について説明します。 これらの手順は、アーキテクチャ図で概説されているテスト環境で実行されました。

Note

Windows Server 2016 FBL の AD FS に移行するには、その前に Windows Server 2012 R2 ノードをすべて削除しておく必要があります。 Windows Server 2012 R2 OS を Windows Server 2016 にアップグレードして、自動的に 2016 ノードにすることはできません。 削除してから、新しい 2016 ノードに置き換える必要があります。

AD FS で AlwaysOnAvailability グループまたはマージ レプリケーションが構成されている場合は、アップグレードする前に AD FS データベースのレプリケーションをすべて削除し、すべてのノードからプライマリ SQL データベースをポイントします。 これらのタスクを完了したら、説明に従ってファームのアップグレードを実行します。 アップグレードが完了したら、AlwaysOnAvailability グループを追加するか、新しいデータベースにレプリケーションをマージします。

次のアーキテクチャ図は、以下の手順を検証および記録するために使用されたセットアップを示しています。

この記事で説明する手順用にセットアップされたアーキテクチャを示す図。

Windows 2016 AD FS Server を AD FS ファームに参加させる

  1. サーバー マネージャーで、Windows Server 2016 に Active Directory フェデレーション サービス ロールをインストールします。

  2. AD FS 構成ウィザードで、新しい Windows Server 2016 サーバーを既存の AD FS ファームに参加させます。

  3. [ようこそ] 画面で、[フェデレーション サーバー ファームにフェデレーション サーバーを追加する] を選択し、[次へ] を選択します。

  4. [Active Directory ドメイン サービスへの接続] 画面で、フェデレーション サービスの構成を実行する権限を持つ管理者アカウントを指定し、[次へ] を選択します。

  5. [ファームの指定] 画面で、SQL サーバーとインスタンスの名前を入力し、[次へ] を選択します。

    AD FS 構成ウィザードのファームの指定画面を示すスクリーンショット。

  6. [SSL 証明書の指定] 画面で、証明書を指定し、[次へ] を選択します。

    証明書を指定してファームに参加する方法を示すスクリーンショット。

  7. [サービス アカウントの指定] 画面で、サービス アカウントを指定し、[次へ] を選択します。

  8. [オプションの確認] 画面でオプションを確認し、[次へ] を選択します。

  9. [前提条件チェック] 画面で、すべての前提条件チェックに合格したことを確認してから、[構成] を選択します。

  10. [結果] 画面で、サーバーが正常に構成されていることを確認し、[閉じる] を選択します。

Windows Server 2012 R2 AD FS サーバーを削除する

以下の手順では、Windows Server 2012 R2 AD FS サーバーを削除します。

Note

SQL をデータベースとして使用する場合は、Set-AdfsSyncProperties -Role コマンドを使用してプライマリ AD FS サーバーを設定する必要はありません。 この構成では、すべてのノードがプライマリと見なされます。

  1. サーバー マネージャーで、Windows Server 2012 R2 AD FS サーバーに移動します。 [管理] で、[役割と機能の削除] を選択します。

    ロールと機能の削除方法を示すスクリーンショット。

  2. [開始する前に] 画面で [次へ] を選択し、[サーバーの選択] 画面で [次へ] を選択します。

  3. [サーバー ロール] 画面で、[Active Directory フェデレーション サービス] チェックボックスをオフにして、[次へ] を選択します。

    Active Directory フェデレーション サービス オプションの選択を解除してサーバーを削除する方法を示したスクリーンショット。

  4. [機能] 画面で、[次へ] を選択します。

  5. [確認] 画面で [削除] を選択します。

  6. 機能の削除が完了したら、サーバーを再起動します。

ファーム動作レベル (FBL) を引き上げる

以下の手順では、サーバーの FBL を引き上げます。

重要

このセクションのプロセスを続行する前に、次の前提条件を確認してください。

  • Active Directory 環境でフォレストとドメインの準備プロセスが完了しており、Active Directory に Windows Server 2016 スキーマが存在することを確認します。 この記事で説明する手順は、Windows 2016 ドメイン コントローラーで開始されたアーキテクチャに基づいています。 このアーキテクチャ例では、このセクションの手順は必要ありません。AD インストール プロセスにタスクが含まれています。

  • [設定] から Windows Update を実行して、Windows Server 2016 が最新であることを確認します。 それ以上の更新が不要になるまで、更新プロセスを続行します。

  • AD FS サービス アカウントに、ADFS ファーム内の各サーバーおよび SQL サーバーに対する管理権限があることを確認します。

  1. Windows Server 2016 サーバーで PowerShell を開き、次のコマンドを実行します。

    $cred = Get-Credential

  2. SQL Server に対する管理特権を持つ資格情報を入力します。

  3. PowerShell で次のコマンドを入力します。

    Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred

  4. プロンプトで Y (はい) を選択してレベルの引き上げを開始します。 操作が完了すると、FBL が正常に引き上げられます。

    FBL レベルの引き上げを開始し、更新プロセスを完了する方法を示したスクリーンショット。

    AD FS 管理に移動すると、新しいノードが表示されています。

  5. PowerShell コマンドレット Get-AdfsFarmInformation を使用すると、現在の FBL を表示できます。

    Get-AdfsFarmInformation コマンドレットを使用して現在の FBL を表示する方法を示したスクリーンショット。

既存の WAP サーバーの構成バージョンをアップグレードする

  1. 各 Web アプリケーション プロキシで WAP を再構成するには、管理者特権のウィンドウで次の PowerShell コマンドを実行します。

    $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred

  2. クラスターから古いサーバーを削除し、最新のサーバー バージョン (再構成済み) を実行している WAP サーバーのみを保持するには、次のコマンドを実行します。

    Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2

  3. WAP 構成を確認するには、次のコマンドを実行します。 ConnectedServersName の値は、前のコマンドでの実行されたサーバーを反映します。

    Get-WebApplicationProxyConfiguration

  4. WAP サーバーの ConfigurationVersion をアップグレードするには、次の PowerShell コマンドを実行します。

    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion

  5. Get-WebApplicationProxyConfiguration コマンドを再度実行し、ConfigurationVersion がアップグレードされていることを確認します。