Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Importante
Au lieu de procéder à la mise à niveau vers la dernière version d’AD FS, Microsoft recommande vivement de migrer vers l’ID Microsoft Entra. Pour plus d’informations, consultez Ressources pour la désaffectation d’AD FS
Remarque
Commencez uniquement une mise à niveau avec un délai définitif prévu pour l’achèvement. Il n’est pas recommandé de conserver AD FS en mode mixte pendant une période prolongée, car le fait de laisser AD FS en mode mixte peut entraîner des problèmes avec la batterie de serveurs.
Déplacer la batterie de serveurs Windows Server 2012 R2 AD FS vers la batterie de serveurs Windows Server 2016 AD FS
Cet article explique comment mettre à niveau votre batterie de serveurs AD FS Windows Server 2012 R2 vers AD FS dans Windows Server 2016. Les étapes s’appliquent quand vous utilisez un serveur SQL Server pour la base de données AD FS.
Mettre à niveau AD FS vers Windows Server 2016 FBL
La nouveauté d’AD FS pour Windows Server 2016 est la fonctionnalité de niveau de comportement de la batterie de serveurs (FBL). Cette fonctionnalité est à l’échelle de la batterie de serveurs et détermine les fonctionnalités que la batterie de serveurs AD FS peut utiliser. Par défaut, le FBL d’une batterie de serveurs AD FS Windows Server 2012 R2 se trouve au FBL de Windows Server 2012 R2.
Un serveur Windows Server 2016 AD FS peut être ajouté à une batterie de serveurs Windows Server 2012 R2 et fonctionne au même niveau qu’un serveur Windows Server 2012 R2. Pour qu’un serveur AD FS Windows Server 2016 fonctionne de cette façon, votre batterie de serveurs est dite « mixte ». Toutefois, ls nouvelles fonctionnalités de Windows Server 2016 ne sont pas disponibles tant que le FBL n’est pas élevé à Windows Server 2016.
Voici quelques-unes des caractéristiques importantes du travail avec une exploitation agricole mixte :
Les administrateurs peuvent ajouter de nouveaux serveurs de fédération Windows Server 2016 à une batterie de serveurs Windows Server 2012 R2 existante. Par conséquent, la ferme de serveurs est en « mode mixte » et utilise le niveau de comportement de la ferme de serveurs Windows Server 2012 R2. Pour garantir un comportement cohérent dans la batterie de serveurs, les nouvelles fonctionnalités de Windows Server 2016 ne peuvent pas être configurées ou utilisées dans ce mode.
Les administrateurs peuvent supprimer tous les serveurs de fédération Windows Server 2012 R2 de la batterie de serveurs en mode mixte. Dans ce scénario, l’un des nouveaux serveurs de fédération Windows Serve 2016 est promu au rôle du nœud principal. L’administrateur peut ensuite déclencher le FBL de Windows Server 2012 R2 vers Windows Server 2016. Par conséquent, toutes les nouvelles fonctionnalités AD FS Windows Server 2016 peuvent ensuite être configurées et utilisées.
Les organisations Windows Server 2012 R2 d’AD FS qui souhaitent effectuer une mise à niveau vers Windows Server 2016 n’ont pas besoin de déployer une nouvelle batterie de serveurs ou d’exporter et d’importer des données de configuration. Au lieu de cela, elles peuvent ajouter des nœuds Windows Server 2016 à une batterie de serveurs existante pendant qu’elle est en ligne et n’encourir que le temps d’arrêt relativement bref impliqué dans l’augmentation de FBL.
En mode de batterie de serveurs mixtes, la batterie de serveurs AD FS n’est pas capable de nouvelles fonctionnalités introduites dans AD FS dans Windows Server 2016. Les organisations qui souhaitent tester de nouvelles fonctionnalités peuvent le faire une fois le FBL déclenché. Si votre organisation cherche à tester les nouvelles fonctionnalités avant de déclencher le FBL, vous devez déployer une batterie de serveurs distincte.
Le reste de l’article fournit les étapes d’ajout d’un serveur de fédération Windows Server 2016 à un environnement Windows Server 2012 R2. Ces étapes ont été effectuées dans un environnement de test décrit par le diagramme architectural suivant.
Remarque
Avant de pouvoir passer à AD FS dans Windows Server 2016 FBL, vous devez supprimer tous les nœuds Windows 2012 R2. Vous ne pouvez pas mettre à niveau un système d’exploitation Windows Server 2012 R2 vers Windows Server 2016 et le faire automatiquement devenir un nœud 2016. Vous devez le supprimer et le remplacer par un nouveau nœud 2016.
Si les groupes AlwaysOnAvailability ou la réplication de fusion sont configurés dans AD FS, supprimez toutes les bases de données AD FS avant de mettre à niveau et de pointer tous les nœuds vers la base de données SQL principale. Une fois ces tâches terminées, effectuez la mise à niveau de la ferme comme décrit. Une fois la mise à niveau terminée, ajoutez des groupes AlwaysOn Availability ou une réplication par fusion aux nouvelles bases de données.
Le diagramme architectural suivant montre la configuration utilisée pour valider et enregistrer les étapes suivantes.
Joindre windows 2016 AD FS Server à la batterie de serveurs AD FS
Dans le Gestionnaire de serveur, installez le rôle Services de fédération Active Directory sur Windows Server 2016.
Dans l’Assistant Configuration AD FS, joignez le nouveau serveur Windows Server 2016 à la batterie de serveurs AD FS existante.
Dans l’écran d’accueil , sélectionnez Ajouter un serveur de fédération à une batterie de serveurs de fédération, puis sélectionnez Suivant.
Dans l’écran Se connecter aux services de domaine Active Directory , spécifiez un compte d’administrateur disposant des autorisations nécessaires pour effectuer la configuration des services de fédération, puis sélectionnez Suivant.
Dans l’écran Spécifier la batterie de serveurs, entrez le nom du serveur SQL et de l’instance, puis sélectionnez Suivant.
Dans l’écran Spécifier le certificat SSL , spécifiez le certificat, puis sélectionnez Suivant.
Dans l’écran Spécifier un compte de service , spécifiez le compte de service, puis sélectionnez Suivant.
Dans l’écran Vérifier les options , passez en revue les options, puis sélectionnez Suivant.
Dans l’écran Vérifications des conditions préalables, vérifiez que toutes les vérifications requises sont passées , puis sélectionnez Configurer.
Dans l’écran Résultats , vérifiez que le serveur est correctement configuré, puis sélectionnez Fermer.
Supprimer le serveur Windows Server 2012 R2 AD FS
Les étapes suivantes suppriment le serveur Windows Server 2012 R2 AD FS.
Remarque
Vous n’avez pas besoin de définir le serveur AD FS principal avec la Set-AdfsSyncProperties -Role commande lorsque vous utilisez SQL comme base de données. Tous les nœuds sont considérés comme principaux dans cette configuration.
Dans le Gestionnaire de serveur, accédez au serveur Windows Server 2012 R2 AD FS. Sous Gérer, sélectionnez Supprimer les rôles et les fonctionnalités :
Dans l’écran Avant de commencer , sélectionnez Suivant, puis, dans l’écran de sélection du serveur , sélectionnez Suivant.
Dans l’écran Rôles de serveur , décochez l’option Services de fédération Active Directory , puis sélectionnez Suivant.
Dans l’écran Fonctionnalités , sélectionnez Suivant.
Dans l’écran de confirmation , sélectionnez Supprimer.
Une fois la suppression des fonctionnalités terminée, redémarrez le serveur.
Augmenter le niveau de comportement de la batterie de serveurs (FBL)
Les étapes suivantes augmentent le FBL pour le serveur.
Importante
Avant de poursuivre le processus de cette section, passez en revue les conditions préalables suivantes :
Vérifiez que les processus de préparation de la forêt et du domaine sont terminés sur votre environnement Active Directory et que Active Directory dispose du schéma Windows Server 2016. La procédure décrite dans cet article est basée sur une architecture qui a démarré avec un contrôleur de domaine Windows 2016. L’exemple d’architecture ne nécessite pas les étapes décrites dans cette section, car les tâches sont incluses dans le processus d’installation d’AD.
Vérifiez que Windows Server 2016 est actif en exécutant Windows Update à partir des paramètres. Poursuivez le processus de mise à jour jusqu’à ce qu’aucune autre mise à jour ne soit nécessaire.
Vérifiez que votre compte de compte de service AD FS dispose des autorisations d’administration sur le serveur SQL et chaque serveur de la batterie de serveurs ADFS.
Sur Windows Server 2016 Server, ouvrez PowerShell et exécutez la commande suivante :
$cred = Get-CredentialEntrez les informations d’identification avec des privilèges d’administrateur sur SQL Server.
Dans PowerShell, entrez la commande suivante :
Invoke-AdfsFarmBehaviorLevelRaise -Credential $credÀ l’invite, sélectionnez Y (oui) pour commencer à élever le niveau. Une fois l’opération terminée, vous avez réussi à élever le FBL.
Si vous accédez à la gestion AD FS, vous voyez les nouveaux nœuds.
Vous pouvez utiliser l’applet de commande
Get-AdfsFarmInformationPowerShell pour afficher le FBL actuel :
Mettre à niveau la version de configuration des serveurs WAP existants
Sur chaque proxy d’application web, reconfigurez le waP en exécutant la commande PowerShell suivante dans une fenêtre avec élévation de privilèges :
$trustcred = Get-Credential -Message "Enter Domain Administrator credentials" Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcredExécutez la commande suivante pour supprimer les anciens serveurs du cluster et conserver uniquement les serveurs WAP exécutant la dernière version du serveur (reconfigurée précédemment) :
Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2Exécutez la commande suivante pour vérifier la configuration WAP. La
ConnectedServersNamevaleur reflète l’exécution du serveur à partir de la commande précédente :Get-WebApplicationProxyConfigurationPour mettre à niveau les
ConfigurationVersionserveurs WAP, exécutez la commande PowerShell suivante :Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersionRéexécutez la
Get-WebApplicationProxyConfigurationcommande et vérifiez que laConfigurationVersionmise à niveau est effectuée.