Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Important
En lugar de actualizar a la versión más reciente de AD FS, Microsoft recomienda encarecidamente migrar a Microsoft Entra ID. Para obtener más información, consulte Recursos para retirar AD FS.
Note
Solo comience una actualización con un plazo determinado planeado para su finalización. No se recomienda mantener AD FS en un estado de modo mixto durante un período de tiempo prolongado, ya que dejar AD FS en dicho estado puede causar problemas con la granja de servidores.
Mover la granja de servidores de Windows Server 2012 R2 AD FS a la granja de servidores de AD FS de Windows Server 2016
En este artículo se describe cómo actualizar la granja de AD FS Windows Server 2012 R2 a AD FS en Windows Server 2016. Los pasos se aplican cuando se usa una instancia de SQL Server para la base de datos de AD FS.
Actualización de AD FS a Windows Server 2016 FBL
La novedad de AD FS para Windows Server 2016 es la característica de nivel de comportamiento de la granja de servidores (FBL). Esta característica abarca toda la granja y determina las características que puede usar la granja de AD FS. De forma predeterminada, el FBL de una granja de AD FS Windows Server 2012 R2 se encuentra en el FBL de Windows Server 2012 R2.
Un servidor de Windows Server 2016 AD FS se puede agregar a una granja de servidores de Windows Server 2012 R2 y funciona en el mismo FBL que windows Server 2012 R2. Para un servidor de Windows Server 2016 AD FS que funciona de esta manera, se dice que la granja de servidores es "mixta". Sin embargo, las nuevas características de Windows Server 2016 no están disponibles hasta que se genere el FBL en Windows Server 2016.
Estas son algunas de las características significativas de trabajar con una granja mixta:
Los administradores pueden agregar nuevos servidores de federación de Windows Server 2016 a una granja existente de Windows Server 2012 R2. Como resultado, la granja de servidores está en "modo mixto" y opera el nivel de comportamiento de la granja de servidores de Windows Server 2012 R2. Para garantizar un comportamiento coherente en toda la granja de servidores, las nuevas características de Windows Server 2016 no se pueden configurar ni usar en este modo.
Los administradores pueden quitar todos los servidores de federación de Windows Server 2012 R2 de la granja de servidores de modo mixto. En este escenario, uno de los nuevos servidores de federación de Windows Serve 2016 se promueve al rol de nodo principal. Después, el administrador puede generar el FBL de Windows Server 2012 R2 a Windows Server 2016. Como resultado, las nuevas características de Windows Server 2016 de AD FS se pueden configurar y usar.
Las organizaciones de AD FS Windows Server 2012 R2 que quieran actualizar a Windows Server 2016 no tienen que implementar una granja completamente nueva ni exportar e importar datos de configuración. En su lugar, pueden agregar nodos de Windows Server 2016 a una granja existente mientras está en línea y solo incurrir en el tiempo de inactividad relativamente breve implicado en la elevación de FBL.
En el modo de granja de servidores mixta, la granja de AD FS no es capaz de ninguna nueva característica o funcionalidad introducida en AD FS en Windows Server 2016. Las organizaciones que quieran probar las nuevas características pueden hacerlo después de que se eleve el FBL. Si su organización busca probar las nuevas características antes de elevar el FBL, debe desplegar una granja independiente.
El resto del artículo proporciona los pasos para agregar un servidor de federación de Windows Server 2016 a un entorno de Windows Server 2012 R2. Estos pasos se realizaron en un entorno de prueba descrito por el siguiente diagrama arquitectónico.
Note
Para poder pasar a AD FS en Windows Server 2016 FBL, debes quitar todos los nodos de Windows 2012 R2. No se puede actualizar un sistema operativo Windows Server 2012 R2 a Windows Server 2016 y convertirlo automáticamente en un nodo 2016. Usted necesita quitarlo y reemplazarlo por un nodo nuevo de 2016.
Si los grupos de disponibilidad AlwaysOn o la replicación de mezcla están configurados en AD FS, elimínese toda replicación de las bases de datos de AD FS antes de actualizar y redirigir todos los nodos a la base de datos SQL principal. Después de completar estas tareas, realice la actualización de la granja como se ha detallado. Después de completar la actualización, agregue grupos AlwaysOnAvailability o combine la replicación a las nuevas bases de datos.
En el diagrama de arquitectura siguiente se muestra la configuración que se usó para validar y registrar los pasos siguientes.
Unión de Windows 2016 AD FS Server a una granja de servidores de AD FS
En el Administrador del servidor, instale el rol servicios de federación de Active Directory en Windows Server 2016.
En el Asistente para configuración de AD FS, una el nuevo servidor de Windows Server 2016 a la granja de servidores de AD FS existente.
En la pantalla de bienvenida , seleccione Agregar un servidor de federación a una granja de servidores de federación y, a continuación, seleccione Siguiente.
En la pantalla Conectar a Active Directory Domain Services , especifique una cuenta de administrador con permisos para realizar la configuración de servicios de federación y seleccione Siguiente.
En la pantalla Especificar granja de servidores, escriba el nombre del servidor SQL Server y la instancia y, a continuación, seleccione Siguiente.
En la pantalla Especificar certificado SSL , especifique el certificado y seleccione Siguiente.
En la pantalla Especificar cuenta de servicio , especifique la cuenta de servicio y seleccione Siguiente.
En la pantalla Opciones de revisión , revise las opciones y seleccione Siguiente.
En la pantalla Comprobaciones de requisitos previos , asegúrese de que se han superado todas las comprobaciones de requisitos previos y, a continuación, seleccione Configurar.
En la pantalla Resultados , asegúrese de que el servidor está configurado correctamente y, a continuación, seleccione Cerrar.
Eliminación del servidor de Windows Server 2012 R2 AD FS
En los pasos siguientes se quita el servidor AD FS de Windows Server 2012 R2.
Note
No es necesario establecer el servidor de AD FS principal con el Set-AdfsSyncProperties -Role comando cuando se usa SQL como base de datos. Todos los nodos se consideran principales en esta configuración.
En el Administrador del servidor, vaya al servidor de Windows Server 2012 R2 AD FS. En Administrar, seleccione Quitar roles y características:
En la pantalla Antes de comenzar , seleccione Siguiente y, en la pantalla Selección del servidor , seleccione Siguiente.
En la pantalla Roles de servidor , desactive la opción Servicios de federación de Active Directory y seleccione Siguiente.
En la pantalla Características , seleccione Siguiente.
En la pantalla de confirmación , seleccione Quitar.
Una vez completada la eliminación de características, reinicie el servidor.
Aumento del nivel de comportamiento de la granja (FBL)
Los pasos siguientes incrementan el FBL para el servidor.
Important
Antes de continuar con el proceso de esta sección, revise los siguientes requisitos previos:
Asegúrese de que los procesos de preparación para el bosque y el dominio se completan en el entorno de Active Directory y que Active Directory tiene el esquema de Windows Server 2016. El procedimiento descrito en este artículo se basa en una arquitectura que se inició con un controlador de dominio de Windows 2016. La arquitectura de ejemplo no requiere los pasos de esta sección porque las tareas se incluyen con el proceso de instalación de AD.
Asegúrese de que Windows Server 2016 está actualizado ejecutando Windows Update desde configuración. Continúe el proceso de actualización hasta que no se necesiten más actualizaciones.
Asegúrese de que la cuenta de servicio de AD FS tiene los permisos administrativos en el servidor SQL Server y en cada servidor de la granja de ADFS.
En Windows Server 2016 Server, abra PowerShell y ejecute el siguiente comando:
$cred = Get-CredentialEscriba las credenciales con privilegios de administrador en SQL Server.
En PowerShell, escriba el siguiente comando:
Invoke-AdfsFarmBehaviorLevelRaise -Credential $credEn el símbolo del sistema, seleccione Y (sí) para comenzar a elevar el nivel. Una vez completada la operación, habrá aumentado correctamente el FBL.
Si va a Administración de AD FS, verá los nuevos nodos.
Puede usar el cmdlet
Get-AdfsFarmInformationde PowerShell para mostrar el FBL actual:
Actualización de la versión de configuración de los servidores WAP existentes
En cada proxy de aplicación web, vuelva a configurar el WAP ejecutando el siguiente comando de PowerShell en una ventana con privilegios elevados:
$trustcred = Get-Credential -Message "Enter Domain Administrator credentials" Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcredEjecute el siguiente comando para quitar los servidores antiguos del clúster y mantener solo los servidores WAP que ejecutan la versión más reciente del servidor (reconfigurado anteriormente):
Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2Ejecute el comando siguiente para comprobar la configuración de WAP. El
ConnectedServersNamevalor refleja la ejecución del servidor desde el comando anterior:Get-WebApplicationProxyConfigurationPara actualizar el
ConfigurationVersionde los servidores WAP, ejecute el siguiente comando de PowerShell:Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersionVuelva a ejecutar el
Get-WebApplicationProxyConfigurationcomando y compruebe queConfigurationVersionse ha actualizado.