다음을 통해 공유

SQL Server를 사용하여 Windows Server 2016의 AD FS로 업그레이드

Important

Microsoft는 AD FS의 최신 버전으로 업그레이드하는 대신 Microsoft Entra ID로 마이그레이션하는 것을 강력히 권장합니다. 자세한 내용은 AD FS 서비스 해제를 위한 리소스를 참조하세요.

참고 항목

완료 예정인 최종 시간 프레임으로만 업그레이드를 시작합니다. AD FS를 혼합 모드 상태로 두면 팜에 문제가 발생할 수 있으므로 AD FS를 장시간 혼합 모드 상태로 유지하는 것은 좋지 않습니다.

Windows Server 2012 R2 AD FS 팜을 Windows Server 2016 AD FS 팜으로 이동

이 문서는 AD FS Windows Server 2012 R2 팜을 Windows Server 2016의 AD FS로 업그레이드하는 방법을 설명합니다. 이 단계는 SQL Server를 AD FS 데이터베이스에 사용하는 경우에 적용됩니다.

Windows Server 2016 FBL로 AD FS 업그레이드

Windows Server 2016용 AD FS의 새 기능은 FBL(팜 동작 수준 기능)입니다. 이 기능은 팜 전체에 적용되며 AD FS 팜에서 사용할 수 있는 기능을 결정합니다. 기본적으로 Windows Server 2012 R2 AD FS 팜의 FBL은 Windows Server 2012 R2 FBL에 위치합니다.

Windows Server 2016 AD FS 서버를 Windows Server 2012 R2 팜에 추가할 수 있으며, Windows Server 2012 R2와 동일한 FBL에서 작동합니다. 이런 방식으로 작동하는 Windows Server 2016 AD FS 서버의 경우에 팜이 "혼합된다"고 합니다. 그러나 새 Windows Server 2016 기능은 FBL을 Windows Server 2016으로 올릴 때까지 사용할 수 없습니다.

다음은 혼합 팜 작업에서 중요한 기능입니다.

  • 관리자가 기존 Windows Server 2012 R2 팜에 새 Windows Server 2016 페더레이션 서버를 추가할 수 있습니다. 따라서 팜이 "혼합 모드"에 있으며 Windows Server 2012 R2 팜 동작 수준을 작동합니다. 팜 전체에서 일관된 동작을 보장하기 위해 이 모드에서는 새 Windows Server 2016 기능을 구성하거나 사용할 수 없습니다.

  • 관리자가 혼합 모드 팜에서 모든 Windows Server 2012 R2 페더레이션 서버를 제거할 수 있습니다. 이 시나리오에서는 새 Windows Serve 2016 페더레이션 서버 중 하나가 주 노드의 역할로 승격됩니다. 이후에 관리자가 Windows Server 2012 R2에서 Windows Server 2016으로 FBL을 올릴 수 있습니다. 따라서 이후에 새 AD FS Windows Server 2016 기능을 구성하고 사용할 수 있습니다.

  • Windows Server 2016으로 업그레이드하고자 하는 AD FS Windows Server 2012 R2 조직은 완전히 새로운 팜을 배포하거나 구성 데이터를 내보내고 가져올 필요가 없습니다. 그 대신 Windows Server 2016 노드를 온라인 상태에서 기존 팜에 추가할 수 있으며 FBL 인상과 관련된 비교적 짧은 가동 중지 시간만 발생할 수 있습니다.

혼합 팜 모드에서는 AD FS 팜이 Windows Server 2016의 AD FS에 도입된 새로운 기능이나 기능을 사용할 수 없습니다. FBL이 발생한 후에 새 기능을 사용하고자 하는 조직에서 이 작업을 수행할 수 있습니다. 조직에서 FBL을 올리기 전에 새 기능을 테스트하려면 별도의 팜을 배포해야 합니다.

이 문서의 나머지 부분에서는 Windows Server 2012 R2 환경에 Windows Server 2016 페더레이션 서버를 추가하는 단계를 설명합니다. 이러한 단계는 다음과 같은 아키텍처 다이어그램에 설명된 테스트 환경에서 수행되었습니다.

참고 항목

Windows Server 2016 FBL에서 AD FS로 이동하기 전에 모든 Windows 2012 R2 노드를 제거해야 합니다. Windows Server 2012 R2 OS를 Windows Server 2016으로 업그레이드할 수 없고 자동으로 2016 노드가 되게 할 수 없습니다. 제거 후 새 2016 노드로 교체해야 합니다.

AlwaysOnAvailability 그룹이나 병합 복제가 AD FS에 구성된 경우 업그레이드하기 전에 AD FS 데이터베이스의 모든 복제를 제거하고 모든 노드를 주 SQL 데이터베이스로 가리킵니다. 이러한 작업을 완료한 후에 설명에 따라 팜 업그레이드를 수행합니다. 업그레이드를 완료한 후에 AlwaysOnAvailability 그룹을 추가하거나 새 데이터베이스에 복제를 병합합니다.

다음 아키텍처 다이어그램은 다음 단계의 유효성을 검사하고 기록할 때 사용된 설정을 보여줍니다.

이 문서에서 설명한 절차를 위해 설정된 아키텍처를 보여주는 다이어그램

Windows 2016 AD FS 서버를 AD FS 팜으로 조인

  1. 서버 관리자에서 Windows Server 2016에 Active Directory Federation Services 역할을 설치합니다.

  2. AD FS 구성 마법사에서 새 Windows Server 2016 서버를 기존 AD FS 팜으로 조인합니다.

  3. 시작 화면에서 페더레이션 서버 팜에 페더레이션 서버 추가를 선택한 다음, 다음을 선택합니다.

  4. Active Directory 도메인 서비스에 연결 화면에서 페더레이션 서비스 구성을 수행할 수 있는 권한이 있는 관리자 계정을 지정하고, 다음을 선택합니다.

  5. 팜 지정 화면에서 SQL Server 및 인스턴스의 이름을 입력한 다음, 다음을 선택합니다.

    AD FS 구성 마법사에서 팜 지정 화면을 보여주는 스크린샷.

  6. SSL 인증서 지정 화면에서 인증서를 지정하고 다음을 선택합니다.

    팜에 조인할 인증서를 지정하는 방법을 보여주는 스크린샷.

  7. 서비스 계정 지정 화면에서 서비스 계정을 지정하고 다음을 선택합니다.

  8. 검토 옵션 화면에서 옵션을 검토하고 다음을 선택합니다.

  9. 필수 구성 요소 검사 화면에서 모든 필수 구성 요소 검사가 통과되었는지 확인한 다음 구성을 선택합니다.

  10. 결과 화면에서 서버가 성공적으로 구성되었는지 확인하고 닫기를 선택합니다.

Windows Server 2012 R2 AD FS 서버 제거

다음 단계에서는 Windows Server 2012 R2 AD FS 서버를 제거합니다.

참고 항목

SQL을 데이터베이스로 사용하는 경우 Set-AdfsSyncProperties -Role 명령으로 기본 AD FS 서버를 설정할 필요가 없습니다. 이 구성에서는 모든 노드가 기본 노드로 간주됩니다.

  1. 서버 관리자에서 Windows Server 2012 R2 AD FS 서버로 이동합니다. 관리에서 역할 및 기능 제거를 선택합니다.

    역할 및 기능을 제거하는 방법을 보여주는 스크린샷.

  2. 시작하기 전에 화면에서 다음을 선택하고 서버 선택 화면에서 다음을 선택합니다.

  3. 서버 역할 화면에서 활성 디렉터리 페더레이션 서비스 옵션의 선택을 취소하고 다음을 선택합니다.

    Active Directory Federation Services 옵션을 선택 취소하여 서버를 제거하는 방법을 보여주는 스크린샷.

  4. 기능 화면에서 다음을 선택합니다.

  5. 확인 화면에서 제거를 선택합니다.

  6. 기능 제거 완료 후 서버를 다시 시작합니다.

팜 동작 수준 올리기(FBL)

다음 단계에서는 서버의 FBL을 올립니다.

Important

이 섹션의 프로세스를 계속 진행하기 전에 다음 필수 구성 요소를 검토합니다.

  • Active Directory 환경에서 포리스트 및 도메인에 대한 준비 프로세스가 완료되었는지, Active Directory에 Windows Server 2016 스키마가 있는지 확인합니다. 이 문서에서 설명하는 절차는 Windows 2016 도메인 컨트롤러로 시작된 아키텍처에 기반합니다. AD 설치 프로세스에 작업이 포함되어 있으므로 예제 아키텍처에는 이 섹션의 단계가 필요하지 않습니다.

  • 설정에서 Windows 업데이트를 실행하여 Windows Server 2016이 최신인지 확인합니다. 추가 업데이트가 필요 없을 때까지 업데이트 프로세스를 계속합니다.

  • AD FS 서비스 계정 계정에 SQL Server 및 ADFS 팜의 각 서버에 대한 관리 권한이 있는지 확인합니다.

  1. Windows Server 2016 서버에서, PowerShell을 열고 다음 명령을 실행합니다.

    $cred = Get-Credential

  2. SQL Server에 관리자 권한이 있는 자격 증명을 입력합니다.

  3. PowerShell에서 다음 명령을 입력합니다.

    Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred

  4. 프롬프트에서 Y(예)를 선택하여 수준 올리기를 시작합니다. 작업이 완료된 후에 FBL이 성공적으로 격상됩니다.

    FBL 수준 올리기를 시작하고 업데이트 프로세스를 완료하는 방법을 보여주는 스크린샷.

    AD FS 관리로 이동하면 새 노드가 표시됩니다.

  5. PowerShell cmdlet Get-AdfsFarmInformation을 사용하여 현재 FBL을 표시할 수 있습니다.

    Get-AdfsFarmInformation cmdlet을 사용하여 현재 FBL을 표시하는 방법을 보여주는 스크린샷.

기존 WAP 서버의 구성 버전 업그레이드

  1. 각 웹 애플리케이션 프록시에서 다음 PowerShell 명령을 격상된 창에서 실행하여 WAP를 다시 구성합니다.

    $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred

  2. 다음 명령을 실행하여 클러스터에서 이전 서버를 제거하고, 최신 서버 버전을 실행하는 WAP 서버만 유지합니다(앞에서 다시 구성했음).

    Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2

  3. 다음 명령을 실행하여 WAP 구성을 확인합니다. 이 ConnectedServersName 값은 이전 명령의 서버 실행을 반영합니다.

    Get-WebApplicationProxyConfiguration

  4. WAP 서버의 ConfigurationVersion를 업그레이드하려면 다음 PowerShell 명령을 실행합니다.

    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion

  5. Get-WebApplicationProxyConfiguration 명령을 다시 실행하고 ConfigurationVersion가 업그레이드되었는지 확인합니다.