Обновление существующей фермы AD FS с помощью внутренней базы данных Windows

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Это важно

Вместо обновления до последней версии AD FS корпорация Майкрософт настоятельно рекомендует перейти на идентификатор Microsoft Entra. Дополнительные сведения см. в разделе Ресурсы для вывода из эксплуатации AD FS

В этой статье вы узнаете, как обновить уровень поведения фермы для служб федерации Active Directory (AD FS) с помощью внутренней базы данных Windows (WID). Начиная с Windows Server 2016 уровень поведения фермы (FBL) появился в AD FS. FBL — это параметр на уровне фермы, определяющий возможности, которые можно использовать фермой AD FS.

Администраторы могут добавлять новые серверы федерации в существующую ферму Windows Server в смешанном режиме. Смешанный режим работает на том же уровне поведения фермы, что и исходная ферма, чтобы обеспечить согласованное поведение. Функции более новых версий Windows Server AD FS нельзя настроить или использовать.

Предпосылки

Прежде чем обновить уровень поведения фермы, необходимо выполнить следующие предварительные требования:

• Определите какую версию Windows Server необходимо обновить до.

• Разверните целевую версию Windows Server на новом компьютере, примените все обновления Windows и установите роль сервера службы федерации Active Directory. Дополнительные сведения см. в статье Добавление сервера федерации в существующую ферму серверов федерации.

• Если вы также используете прокси-сервер веб-приложения Windows Server, разверните целевую версию Windows Server на новом компьютере, примените все обновления Windows и установите роль сервера удаленного доступа и службу роли прокси-сервера веб-приложения. Дополнительные сведения см. в работе с прокси-сервером веб-приложения.

• Если вы обновляетесь до AD FS в Windows Server 2016 или более поздней версии, обновление серверной фермы требует, чтобы схема Active Directory (AD) была не ниже уровня 85. При обновлении до Windows Server AD FS 2019 или более поздней версии схема AD должна быть не менее 88. Дополнительные сведения об обновлении домена см. в статье Обновление контроллеров домена до более новой версии Windows Server.

• Запланируйте конкретный срок для завершения. Не рекомендуется работать с состоянием смешанного режима в течение длительного периода времени. Оставление AD FS в состоянии смешанного режима может вызвать проблемы с сетью серверов.

• Сделайте резервное копирование конфигурации AD FS и серверов федерации.

Уровни поведения фермы

По умолчанию FBL в новой ферме AD FS соответствует значению версии Windows Server первого установленного узла фермы.

Вы можете присоединить сервер AD FS более поздней версии к ферме с более низким уровнем FBL. Ферма работает на том же уровне FBL, что и существующие узлы. При наличии нескольких версий Windows Server, работающих в одной ферме, в значении FBL наименьшей версии ферма "смешана". Тем не менее, вы не можете воспользоваться функциями более поздних версий, пока вы не вызовете FBL. Если ваша организация хочет протестировать новые функции до повышения FBL, необходимо развернуть отдельную ферму.

В следующей таблице перечислены возможные значения FBL и имена баз данных конфигурации по версии Windows Server.

Версия Windows Server	Значение FBL	Имя базы данных конфигурации AD FS
2012 R2	1	AdfsConfiguration
2016	3	AdfsConfigurationV3
2019 и 2022	4	AdfsConfigurationV4

Примечание.

При обновлении FBL создается новая база данных конфигурации AD FS.

Теперь, когда вы понимаете цель FBL и выполнили предварительные требования, вы готовы изучить ваш текущий FBL.

Чтобы найти текущую FBL: выполните следующие действия.

1. Войдите на сервер федерации и откройте сеанс PowerShell с повышенными привилегиями.

2. Выполните следующую команду PowerShell, чтобы возвратить текущую информацию об узле FBL и ферме.

   Get-AdfsFarmInformation
   

3. Просмотрите CurrentFarmBehavior и FarmNodes.

Перенос серверов федерации

После сбора сведений о текущей ферме федерации вы будете готовы начать процесс обновления. Чтобы начать обновление, выполните следующие действия.

1. Добавьте новые серверы федерации в существующую ферму. Дополнительные сведения см. в статье Добавление сервера федерации в существующую ферму серверов федерации.

2. Войдите на новый сервер федерации, а затем откройте сеанс PowerShell с повышенными привилегиями. Если у вас несколько серверов, выполните эту команду только на одном сервере.

3. Задайте для свойства синхронизации сервера федерации роль основного компьютера, выполнив следующую команду. Дополнительные сведения см. в разделе Set-AdfsSyncProperties.

   Set-AdfsSyncProperties -Role PrimaryComputer
   

4. Войдите на любые другие серверы федерации в ферме, откройте сеанс PowerShell с повышенными привилегиями.

5. Задайте роль для дополнительного компьютера, выполнив следующую команду.

   Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName "<primary-server-FQDN>"
   

6. Обновите все конфигурации подсистемы балансировки нагрузки, DNS или сети, чтобы использовать новые серверы федерации, убедившись, что сервер работает. Дополнительные сведения см. в статье Убедитесь, что сервер федерации Windows Server 2012 R2 работает.

7. Удалите роль сервера службы федерации Active Directory с предыдущих серверов, а затем выполните следующую команду, чтобы удалить устаревшие записи.

   Set-AdfsFarmInformation -RemoveNode "<old-server-FQDN>"
   

Теперь, когда у вас есть новый сервер федерации для фермы и удалены предыдущие, вы готовы обновить FBL. Дополнительные сведения о выводе из эксплуатации см. в разделе шаги по выводу серверов AD FS.

Обновление уровня поведения фермы

После сбора сведений о текущей ферме федерации вы будете готовы начать процесс обновления. Чтобы начать обновление, выполните следующие действия.

1. Войдите на основной сервер федерации, а затем откройте сеанс PowerShell с повышенными привилегиями.

2. Выполните следующую команду, чтобы проверить, можно ли повысить уровень поведения фермы.

   Test-AdfsFarmBehaviorLevelRaise
   

3. После того как вы ознакомитесь с результатами, чтобы обновить уровень поведения фермы, выполните следующую команду. Вам будет предложено, если вы хотите продолжить.

   Invoke-AdfsFarmBehaviorLevelRaise
   

4. Проверьте выходные данные команды, чтобы подтвердить успешное выполнение операции. Чтобы проверить новый уровень поведения фермы, выполните следующую команду PowerShell, чтобы вернуть текущие сведения о FBL и узле фермы.

   Get-AdfsFarmInformation
   

Теперь вы обновили FBL, чтобы соответствовать целевой версии Windows Server. Если вы также используете службу роли прокси веб-приложения Windows Server, перейдите к следующему разделу.

Обновление прокси веб-приложения

Теперь, когда вы обновили FBL, необходимо обновить прокси веб-приложения (WAP) до последней версии.

1. Войдите на недавно развернутый прокси-сервер веб-приложения и откройте сеанс PowerShell с повышенными привилегиями.

2. Импортируйте сертификат, используемый сертификатом федерации, и запишите отпечаток сертификата.

3. Чтобы настроить WAP, выполните следующую команду PowerShell, заменив заполнитель <value> собственными значениями. Повторите этот шаг для дополнительных прокси-серверов веб-приложений.

   $trustcred = Get-Credential -Message "<Enter Domain Administrator credentials>"
   Install-WebApplicationProxy -CertificateThumbprint "<SSLCertThumbprint>" -FederationServiceName "<FScomputername>" -FederationServiceTrustCredential $trustcred
   

4. Чтобы просмотреть текущие подключенные прокси-серверы веб-приложения, выполните следующую команду, запишите значения ConnectedServerName и ConfigurationVersion.

   Get-WebApplicationProxyConfiguration
   

   Примечание.

   Пропустите следующий шаг, если ConfigurationVersion — Windows Server 2016. Это правильное значение для прокси веб-приложения в Windows Server 2016 и более поздних версий.

5. Удалите старые прокси-серверы веб-приложения, сохраняя только новые серверы, настроенные на предыдущих шагах, выполнив следующий командлет PowerShell:

   Set-WebApplicationProxyConfiguration -ConnectedServersName "WAPServerName1", "WAPServerName2"
   

6. Чтобы обновить версию конфигурации серверов WAP, выполните следующую команду PowerShell:

   Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
   

Вы завершили обновление прокси веб-приложения.

Модель доверия сертификатов с Windows Hello для бизнеса

Если вы используете AD FS в Windows Server 2019 или более поздней версии и Windows Hello для бизнеса в модели доверия сертификатов, может возникнуть следующее сообщение об ошибке журнала событий.

Received invalid Oauth request. The client 'NAME' is forbidden to access the resource with scope 'ugs'.

Чтобы устранить эту ошибку, выполните указанные ниже действия.

1. Откройте консоль управления AD FS. Перейдите к сервисам > описаниям объёма.

2. Щелкните правой кнопкой мыши по Описаниям области и выберите Добавить описание области.

3. В поле "Имя" введитеugs, а затем нажмите кнопку Применить > ОК.

4. Запустите PowerShell от имени администратора и выполните следующие команды.

   $id = (Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
   Set-AdfsApplicationPermission -TargetIdentifier $id -AddScope 'ugs'
   

5. Перезапустите службу AD FS.

6. Перезапустите клиент. Пользователю должно быть предложено настроить Windows Hello для бизнеса.

Дальнейшие действия

Теперь, когда вы обновили развертывание AD FS, ниже приведены некоторые статьи, которые могут оказаться полезными.

• убедитесь, что сервер федерации работает
• убедитесь, что прокси-сервер федерации работает
• операции AD FS