Поделиться через

Обновление до AD FS в Windows Server 2016 с помощью SQL Server

Это важно

Вместо обновления до последней версии AD FS корпорация Майкрософт настоятельно рекомендует перейти на идентификатор Microsoft Entra. Дополнительные сведения см. в разделе "Ресурсы для вывода из эксплуатации AD FS"

Примечание.

Начинайте обновление только при условии, что имеется окончательный запланированный срок завершения. Не рекомендуется держать AD FS в состоянии смешанного режима в течение длительного периода времени, так как оставление AD FS в состоянии смешанного режима может вызвать проблемы с фермой.

Перемещение фермы WINDOWS Server 2012 R2 AD FS в ферму Windows Server 2016 AD FS

В этой статье описывается обновление фермы AD FS Windows Server 2012 R2 до AD FS в Windows Server 2016. Данные шаги применяются, когда используют Microsoft SQL Server для базы данных AD FS.

Обновление AD FS до Windows Server 2016 FBL

Новые возможности AD FS для Windows Server 2016 — это функция уровня поведения фермы (FBL). Эта функция распространяется на всю ферму и определяет возможности, которые может использовать ферма AD FS. По умолчанию FBL в ферме Windows Server 2012 R2 AD FS находится в FBL Windows Server 2012 R2.

Сервер Windows Server 2016 AD FS можно добавить в ферму Windows Server 2012 R2 и работает в том же FBL, что и Windows Server 2012 R2. Для сервера Windows Server 2016 AD FS, работающего таким образом, ваша ферма считается "смешанной". Однако новые функции Windows Server 2016 недоступны, пока функциональный уровень не будет повышен до Windows Server 2016.

Ниже приведены некоторые из важных функций работы с смешанной фермой:

  • Администраторы могут добавлять новые серверы федерации Windows Server 2016 в существующую ферму Windows Server 2012 R2. В результате ферма находится в смешанном режиме и работает на уровне поведения фермы Windows Server 2012 R2. Чтобы обеспечить согласованное поведение в ферме, новые функции Windows Server 2016 нельзя настроить или использовать в этом режиме.

  • Администраторы могут удалить все серверы федерации Windows Server 2012 R2 из фермы смешанного режима. В этом сценарии один из новых серверов федерации Windows Serve 2016 повышен до роли первичного узла. Затем администратор может вызвать FBL из Windows Server 2012 R2 в Windows Server 2016. В результате можно настроить и использовать любые новые функции AD FS Windows Server 2016.

  • Организации AD FS Windows Server 2012 R2, которые хотят обновить до Windows Server 2016, не должны развертывать совершенно новую ферму или экспортировать и импортировать данные конфигурации. Вместо этого они могут добавлять узлы Windows Server 2016 в существующую ферму, пока она находится в сети, и столкнуться только с относительно кратким простоем, связанным с повышением уровня FBL.

В смешанном режиме ферма AD FS не поддерживает новые функции и функциональные возможности, представленные в AD FS на Windows Server 2016. Организации, которые хотят попробовать новые функции, могут сделать это после обновления FBL. Если ваша организация стремится протестировать новые функции перед созданием FBL, необходимо развернуть отдельную ферму.

Оставшаяся часть статьи содержит шаги по добавлению сервера федерации Windows Server 2016 в среду Windows Server 2012 R2. Эти шаги были выполнены в тестовой среде, описанной на следующей схеме архитектуры.

Примечание.

Прежде чем перейти к AD FS в Windows Server 2016 FBL, необходимо удалить все узлы Windows 2012 R2. Вы не можете обновить ОС Windows Server 2012 R2 до Windows Server 2016 и автоматически стать узлом 2016. Вам нужно удалить его и заменить новым узлом версии 2016 года.

Если в AD FS настроены группы AlwaysOnAvailability или репликация слиянием, удалите всю репликацию баз данных AD FS перед обновлением и укажите всем узлам подключиться к основной базе данных SQL. После выполнения этих задач выполните обновление фермы, как описано. После завершения обновления добавьте группы доступности AlwaysOn или выполните репликацию слиянием в новые базы данных.

На следующей схеме архитектуры показана настройка, используемая для проверки и записи следующих шагов.

Схема, на котором показана архитектура, настроенная для процедуры, описанной в этой статье.

Присоединение сервера AD FS к ферме AD FS в Windows 2016

  1. В диспетчере серверов установите роль служб федерации Active Directory в Windows Server 2016.

  2. В мастере настройки AD FS присоединитесь к новому серверу Windows Server 2016 к существующей ферме AD FS.

  3. На экране приветствия выберите "Добавить сервер федерации" в ферму серверов федерации, а затем нажмите кнопку "Далее".

  4. На экране "Подключение к доменным службам Active Directory"укажите учетную запись администратора с разрешениями на настройку служб федерации и нажмите кнопку "Далее".

  5. На экране "Указание фермы " введите имя сервера SQL Server и экземпляра, а затем нажмите кнопку "Далее".

    Снимок экрана: экран

  6. На экране "Указание SSL-сертификата" укажите сертификат и нажмите кнопку "Далее".

    Снимок экрана, показывающий, как указать сертификат для присоединения к ферме.

  7. На экране "Указание учетной записи службы" укажите учетную запись службы и нажмите кнопку "Далее".

  8. На экране "Параметры проверки " просмотрите параметры и нажмите кнопку "Далее".

  9. На экране "Предварительные проверки" убедитесь, что все проверки предварительных требований пройдены , а затем нажмите кнопку "Настроить".

  10. На экране результатов убедитесь, что сервер успешно настроен, а затем нажмите кнопку "Закрыть".

Удаление сервера Windows Server 2012 R2 AD FS

Следующие действия удаляют сервер Windows Server 2012 R2 AD FS.

Примечание.

При использовании SQL в качестве базы данных не требуется задавать основной сервер AD FS с помощью команды Set-AdfsSyncProperties -Role. Все узлы считаются основными в этой конфигурации.

  1. В диспетчере серверов перейдите на сервер Windows Server 2012 R2 AD FS. В разделе "Управление" выберите "Удалить роли и компоненты":

    Снимок экрана: удаление ролей и функций.

  2. На экране "Перед началом работы " нажмите кнопку "Далее" и на экране выбора сервера нажмите кнопку "Далее".

  3. На экране ролей сервера снимите флажок "Службы федерации Active Directory " и нажмите кнопку "Далее".

    Снимок экрана: удаление сервера путем отмены выбора параметра служб федерации Active Directory.

  4. На экране функций выберите Далее.

  5. На экране подтверждения нажмите кнопку "Удалить".

  6. После завершения удаления компонентов перезапустите сервер.

Повышение уровня функционирования фермы (FBL)

Следующие шаги повышают FBL для сервера.

Это важно

Прежде чем продолжить процесс в этом разделе, ознакомьтесь со следующими предварительными условиями:

  • Убедитесь, что процессы подготовки для леса и домена завершены в среде Active Directory и что в Active Directory используется схема Windows Server 2016. Процедура, описанная в этой статье, основана на архитектуре, которая началась с контроллера домена Windows 2016. Пример архитектуры не требует действий в этом разделе, так как задачи включены в процесс установки AD.

  • Убедитесь, что Windows Server 2016 обновлён, запустив Центр обновления Windows через Параметры. Продолжайте процесс обновления до тех пор, пока не потребуется никаких дополнительных обновлений.

  • Убедитесь, что учетная запись службы AD FS имеет административные разрешения на сервере SQL Server и каждом сервере в ферме ADFS.

  1. На сервере Windows Server 2016 откройте PowerShell и выполните следующую команду:

    $cred = Get-Credential

  2. Введите учетные данные с правами администратора в SQL Server.

  3. В PowerShell введите следующую команду:

    Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred

  4. В командной строке выберите Y (да), чтобы начать повышение уровня. После завершения операции вы успешно подняли FBL.

    Снимок экрана: начало повышения уровня FBL и завершение процесса обновления.

    Если вы перейдете в AD FS Management, вы увидите новые узлы.

  5. Можно использовать командлет PowerShell Get-AdfsFarmInformation для отображения текущего уровня FBL:

    Снимок экрана показывает, как использовать командлет Get-AdfsFarmInformation для отображения текущего FBL.

Обновление версии конфигурации существующих серверов WAP

  1. На каждом прокси-сервере веб-приложения перенастройите WAP, выполнив следующую команду PowerShell в окне с повышенными привилегиями:

    $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred

  2. Выполните следующую команду, чтобы удалить старые серверы из кластера и сохранить только серверы WAP с последней версией сервера (перенастройка ранее):

    Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2

  3. Выполните следующую команду, чтобы проверить конфигурацию WAP. Значение ConnectedServersName отражает запуск сервера из предыдущей команды:

    Get-WebApplicationProxyConfiguration

  4. Чтобы обновить серверы WAP, выполните следующую команду PowerShell:

    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion

  5. Запустите команду Get-WebApplicationProxyConfiguration еще раз и проверьте, что ConfigurationVersion обновлено.