Udostępnij za pośrednictwem

Uaktualnianie istniejącej farmy usług AD FS przy użyciu wewnętrznej bazy danych systemu Windows

Ważne

Zamiast uaktualniać do najnowszej wersji AD FS, firma Microsoft silnie zaleca migrację do Microsoft Entra ID. Aby uzyskać więcej informacji, zobacz Resources for decommissioning AD FS

Z tego artykułu dowiesz się, jak uaktualnić poziom zachowania farmy dla usług Active Directory Federation Services (AD FS) przy użyciu wewnętrznej bazy danych systemu Windows (WID). Począwszy od systemu Windows Server 2016, poziom zachowania farmy (FBL) został wprowadzony do usług AD FS. FBL jest ustawieniem obejmującym całą farmę, które określa funkcje, których może używać farma usług AD FS.

Administratorzy mogą dodawać nowe serwery federacyjne do istniejącej farmy systemu Windows Server w trybie mieszanym. Tryb mieszany działa na tym samym poziomie zachowania farmy co oryginalna farma w celu zapewnienia spójnego zachowania. Nie można skonfigurować ani używać funkcji nowszych wersji usług AD FS systemu Windows Server.

Wymagania wstępne

Przed uaktualnieniem poziomu zachowania farmy należy spełnić następujące wymagania wstępne:

  • Ustal , która wersja systemu Windows Server ma być uaktualniana do.

  • Wdróż docelową wersję systemu Windows Server na nowym komputerze, zastosuj wszystkie aktualizacje systemu Windows i zainstaluj rolę serwera usługi federacyjnej Active Directory. Aby uzyskać więcej informacji, zobacz Dodawanie serwera federacyjnego do istniejącej farmy serwerów federacyjnych.

  • Jeśli używasz również serwera proxy aplikacji sieci Web systemu Windows Server, wdróż docelową wersję systemu Windows Server na nowym komputerze, zastosuj wszystkie aktualizacje systemu Windows i zainstaluj rolę serwera dostępu zdalnego i usługę roli serwera proxy aplikacji internetowej. Aby uzyskać więcej informacji, zobacz Korzystanie z serwera proxy aplikacji webowych.

  • W przypadku uaktualniania do usług AD FS w systemie Windows Server 2016 lub nowszym uaktualnienie farmy wymaga, aby schemat usługi AD był co najmniej na poziomie 85. Jeśli uaktualniasz AD FS do Windows Server 2019 lub nowszej wersji, schemat AD musi mieć co najmniej 88. Aby uzyskać więcej informacji na temat uaktualniania domeny, zobacz Uaktualnij kontrolery domeny do nowszej wersji systemu Windows Server.

  • Mają zdefiniowany przedział czasu zaplanowany do ukończenia. Nie zaleca się obsługi stanu trybu mieszanego przez dłuższy czas. Pozostawienie usług AD FS w stanie trybu mieszanego może powodować problemy z farmą.

  • Tworzenie kopii zapasowej konfiguracji usług AD FS i serwerów federacyjnych.

Poziomy zachowania w gospodarstwie

Domyślnie FBL w nowej farmie AD FS odpowiada wartości wersji systemu Windows Server zainstalowanej na pierwszym węźle farmy.

Serwer usług AD FS nowszej wersji można dołączyć do farmy z niższym poziomem funkcjonalności (FBL). Farma działa na tym samym FBL, co istniejące węzły. Gdy masz wiele wersji systemu Windows Server działających w tej samej farmie przy wartości FBL najniższej wersji, twoja farma jest „mieszana”. Nie można jednak korzystać z funkcji nowszych wersji, dopóki nie podniesiesz poziomu FBL. Jeśli Twoja organizacja chce przetestować nowe funkcje przed zwiększeniem FBL, musisz wdrożyć oddzielną farmę.

W poniższej tabeli wymieniono możliwe wartości FBL i nazwy baz danych konfiguracji według wersji systemu Windows Server.

Wersja systemu Windows Server Wartość FBL Nazwa bazy danych konfiguracji usług AD FS
2012 R2 1 AdfsConfiguration
2016 3 AdfsConfigurationV3
2019 i 2022 r. 4 AdfsConfigurationV4

Uwaga

Uaktualnienie FBL tworzy nową bazę danych konfiguracji usług AD FS.

Po zrozumieniu celu FBL i spełnieniu wymagań wstępnych jesteś gotowy do przejrzenia swojej bieżącej FBL.

Aby znaleźć bieżący FBL:

  1. Zaloguj się do serwera federacyjnego i otwórz sesję programu PowerShell z podwyższonym poziomem uprawnień.

  2. Uruchom następujące polecenie programu PowerShell, aby zwrócić bieżące informacje o FBL i węzłach farmy.

    Get-AdfsFarmInformation

  3. Przejrzyj CurrentFarmBehavior oraz FarmNodes.

Migrowanie serwerów federacyjnych

Po zebraniu informacji o aktualnej farmie federacyjnej możesz rozpocząć proces aktualizacji. Aby rozpocząć uaktualnianie:

  1. Dodaj nowe serwery federacyjne do istniejącej farmy. Aby uzyskać więcej informacji, zobacz Dodawanie serwera federacyjnego do istniejącej farmy serwerów federacyjnych.

  2. Zaloguj się do nowego serwera federacyjnego, a następnie otwórz sesję programu PowerShell z podwyższonym poziomem uprawnień. Jeśli masz więcej niż jeden serwer, uruchom to polecenie tylko na jednym serwerze.

  3. Ustaw właściwość synchronizacji serwera federacyjnego, aby przejąć rolę komputera podstawowego, uruchamiając następujące polecenie. Aby uzyskać więcej informacji, zobacz Set-AdfsSyncProperties.

    Set-AdfsSyncProperties -Role PrimaryComputer

  4. Zaloguj się do innych serwerów federacyjnych w farmie, otwórz sesję programu PowerShell z podwyższonym poziomem uprawnień.

  5. Ustaw rolę jako komputer pomocniczy, uruchamiając następujące polecenie.

    Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName "<primary-server-FQDN>"

  6. Zaktualizuj wszystkie konfiguracje modułu równoważenia obciążenia, dns lub sieci, aby używać nowych serwerów federacyjnych, sprawdzając, czy serwer działa. Aby uzyskać więcej informacji, zobacz Zweryfikuj, czy Twój serwer federacyjny Windows Server 2012 R2 działa poprawnie.

  7. Odinstaluj rolę serwera usługi federacyjnej Active Directory z poprzednich serwerów, a następnie uruchom następujące polecenie, aby usunąć nieaktualne wpisy.

    Set-AdfsFarmInformation -RemoveNode "<old-server-FQDN>"

Teraz, gdy masz już nowy serwer federacyjny w obrębie farmy i usunąłeś poprzednie, możesz przystąpić do aktualizacji FBL. Aby uzyskać więcej informacji na temat wyłączania z eksploatacji, zapoznaj się z Krokami wyłączania z eksploatacji serwerów AD FS.

Zaktualizuj poziom zachowania farmy

Po zebraniu informacji o bieżącej farmie federacyjnej możesz rozpocząć proces uaktualniania. Aby rozpocząć uaktualnianie:

  1. Zaloguj się do podstawowego serwera federacyjnego, a następnie otwórz sesję programu PowerShell z podwyższonym poziomem uprawnień.

  2. Uruchom następujące polecenie, aby sprawdzić, czy można podnieść poziom zachowania farmy.

    Test-AdfsFarmBehaviorLevelRaise

  3. Po przejrzeniu wyniku, aby podwyższyć poziom zachowania farmy, uruchom następujące polecenie. Jeśli chcesz kontynuować, zostanie wyświetlony monit.

    Invoke-AdfsFarmBehaviorLevelRaise

  4. Przejrzyj dane wyjściowe polecenia, aby potwierdzić, że operacja zakończyła się pomyślnie. Aby zweryfikować nowy poziom funkcjonowania farmy, uruchom następujące polecenie PowerShell, aby zwrócić bieżący FBL oraz informacje o węźle farmy.

    Get-AdfsFarmInformation

Plik FBL został uaktualniony tak, aby był zgodny z docelową wersją systemu Windows Server. Jeśli używasz również usługi roli serwera proxy aplikacji internetowej systemu Windows Server, przejdź do następnej sekcji.

Uaktualnianie serwera proxy aplikacji internetowej

Po zaktualizowaniu pliku FBL należy uaktualnić serwer proxy aplikacji internetowej (WAP) do najnowszego poziomu.

  1. Zaloguj się do nowo wdrożonego serwera proxy aplikacji internetowej i otwórz sesję programu PowerShell z podwyższonym poziomem uprawnień.

  2. Zaimportuj certyfikat powiązany z certyfikatem federacyjnym i zanotuj odcisk palca certyfikatu.

  3. Aby skonfigurować aplikację WAP, uruchom następujące polecenie programu PowerShell, zastępując symbol zastępczy <value> własnymi wartościami. Powtórz ten krok dla wszystkich dodatkowych serwerów proxy aplikacji internetowej.

    $trustcred = Get-Credential -Message "<Enter Domain Administrator credentials>"
Install-WebApplicationProxy -CertificateThumbprint "<SSLCertThumbprint>" -FederationServiceName "<FScomputername>" -FederationServiceTrustCredential $trustcred

  4. Aby przejrzeć bieżące połączone serwery proxy aplikacji internetowej, uruchom następujące polecenie, zanotuj wartości ConnectedServerName i ConfigurationVersion.

    Get-WebApplicationProxyConfiguration

    Uwaga

    Pomiń następny krok, jeśli parametr ConfigurationVersion ma wartość Windows Server 2016. Jest to poprawna wartość serwera proxy aplikacji internetowej w systemie Windows Server 2016 lub nowszym.

  5. Usuń stare serwery proxy aplikacji internetowej, zachowując tylko nowe serwery skonfigurowane w poprzednich krokach, uruchamiając następujące polecenie cmdlet programu PowerShell:

    Set-WebApplicationProxyConfiguration -ConnectedServersName "WAPServerName1", "WAPServerName2"

  6. Aby uaktualnić ConfigurationVersion serwerów WAP, uruchom następujące polecenie programu PowerShell:

    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion

Ukończono uaktualnienie serwera proxy aplikacji internetowej.

Model zaufania certyfikatów z usługą Windows Hello dla firm

Jeśli używasz AD FS w systemie Windows Server 2019 lub nowszym oraz Windows Hello dla Firm w modelu zaufania opartym na certyfikatach, możesz napotkać następujący komunikat o błędzie dziennika zdarzeń.

Received invalid Oauth request. The client 'NAME' is forbidden to access the resource with scope 'ugs'.

Aby naprawić ten błąd:

  1. Otwórz konsolę zarządzania usług AD FS. Przejdź do Usługi > Opisy zakresu.

  2. Kliknij prawym przyciskiem myszy opisy zakresu i wybierz Dodaj opis zakresu.

  3. W polu nazwa wprowadź ugs, a następnie wybierz Zastosuj > OK.

  4. Uruchom program PowerShell jako administrator i uruchom następujące polecenia.

    $id = (Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
Set-AdfsApplicationPermission -TargetIdentifier $id -AddScope 'ugs'

  5. Uruchom ponownie usługę AD FS.

  6. Uruchom ponownie klienta. Użytkownik powinien zostać poproszony o skonfigurowanie usługi Windows Hello dla firm.

Następne kroki

Po uaktualnieniu wdrożenia usług AD FS poniżej przedstawiono kilka artykułów, które mogą okazać się przydatne.