Upgrade uitvoeren naar AD FS in Windows Server 2016 met SQL Server

Important

In plaats van een upgrade uit te voeren naar de nieuwste versie van AD FS, raadt Microsoft ten zeerste aan om te migreren naar Microsoft Entra ID. Voor meer informatie, zie Resources voor het buiten gebruik stellen van AD FS

Note

Begin alleen een upgrade met een definitief tijdsbestek dat is gepland voor voltooiing. Het wordt niet aanbevolen om AD FS gedurende een langere periode in gemengde modus te houden, omdat AD FS in gemengde modus kan leiden tot problemen met de farm.

Windows Server 2012 R2 AD FS-farm verplaatsen naar Windows Server 2016 AD FS-farm

In dit artikel wordt beschreven hoe u uw AD FS Windows Server 2012 R2-farm bijwerken naar AD FS in Windows Server 2016. De stappen zijn van toepassing wanneer u een SQL Server gebruikt voor de AD FS-database.

AD FS upgraden naar Windows Server 2016 FBL

Nieuw in AD FS voor Windows Server 2016 is de functie gedragsniveau van de server farm (FBL). Deze functie is farmbreed en bepaalt de functies die de AD FS farm kan gebruiken. Standaard bevindt de FBL in een Windows Server 2012 R2 AD FS-farm zich op de Windows Server 2012 R2 FBL.

Een Windows Server 2016 AD FS-server kan worden toegevoegd aan een Windows Server 2012 R2-farm en het werkt op dezelfde FBL als een Windows Server 2012 R2. Voor een Windows Server 2016 AD FS-server die op deze manier werkt, wordt uw farm 'gemengd' genoemd. De nieuwe functies van Windows Server 2016 zijn echter pas beschikbaar als de FBL wordt verhoogd naar Windows Server 2016.

Hier volgen enkele van de belangrijke kenmerken van het werk met een gemengde boerderij:

  • Beheerders kunnen nieuwe Federatieservers van Windows Server 2016 toevoegen aan een bestaande Windows Server 2012 R2-farm. Daardoor bevindt de farm zich in de 'gemengde modus' en opereert het op het gedragsniveau van de Windows Server 2012 R2-farm. Om consistent gedrag in de farm te garanderen, kunnen nieuwe Functies van Windows Server 2016 niet worden geconfigureerd of gebruikt in deze modus.

  • Beheerders kunnen alle Federatieservers van Windows Server 2012 R2 verwijderen uit de farm met gemengde modus. In dit scenario wordt een van de nieuwe Federatieservers van Windows Serve 2016 gepromoveerd naar de rol van het primaire knooppunt. De beheerder kan de FBL vervolgens verhogen van Windows Server 2012 R2 naar Windows Server 2016. Als gevolg hiervan kunnen nieuwe AD FS Windows Server 2016-functies vervolgens worden geconfigureerd en gebruikt.

  • AD FS Windows Server 2012 R2-organisaties die willen upgraden naar Windows Server 2016 hoeven geen volledig nieuwe farm te implementeren of configuratiegegevens te exporteren en importeren. In plaats daarvan kunnen ze Windows Server 2016-knooppunten toevoegen aan een bestaande farm, terwijl deze online is en alleen de relatief korte downtime van de FBL-verhoging veroorzaken.

In de modus gemengde farm, kan de AD FS-farm geen gebruik maken van nieuwe functies of functionaliteit die zijn geïntroduceerd in AD FS in Windows Server 2016. Organisaties die nieuwe functies willen uitproberen, kunnen dit doen nadat de FBL is verhoogd. Als uw organisatie de nieuwe functies wil testen voordat u de FBL verhoogt, moet u een afzonderlijke farm implementeren.

De rest van het artikel bevat de stappen voor het toevoegen van een Windows Server 2016-federatieserver aan een Windows Server 2012 R2-omgeving. Deze stappen zijn uitgevoerd in een testomgeving die wordt beschreven in het volgende architectuurdiagram.

Note

Voordat u naar AD FS in Windows Server 2016 FBL kunt gaan, moet u alle Windows 2012 R2-knooppunten verwijderen. U kunt een Windows Server 2012 R2-besturingssysteem niet upgraden naar Windows Server 2016 en het automatisch een 2016-knooppunt laten worden. U moet het verwijderen en vervangen door een nieuw 2016-knooppunt.

Als AlwaysOnAvailability-groepen of samenvoegingsreplicatie zijn geconfigureerd in AD FS, verwijdert u alle replicatie van AD FS-databases voordat u alle knooppunten bijwerken en verwijst naar de primaire SQL-database. Nadat u deze taken hebt voltooid, voert u de farmupgrade uit zoals beschreven. Nadat u de upgrade hebt voltooid, voegt u AlwaysOnAvailability-groepen toe of voegt u replicatie samen met de nieuwe databases.

In het volgende architectuurdiagram ziet u de installatie die is gebruikt om de volgende stappen te valideren en vast te leggen.

diagram met de architectuur die is ingesteld voor de procedure die in dit artikel wordt beschreven.

Windows 2016 AD FS-server toevoegen aan AD FS-farm

  1. Installeer in Serverbeheer de functie Active Directory Federation Services op Windows Server 2016.

  2. Voeg in de AD FS-configuratiewizardde nieuwe Windows Server 2016-server toe aan de bestaande AD FS-farm.

  3. Selecteer in het welkomstschermeen federatieserver toevoegen aan een federatieserverfarm en selecteer vervolgens Volgende.

  4. Geef in het scherm Verbinding maken met Active Directory Domain Services een beheerdersaccount op met machtigingen om de federation-servicesconfiguratie uit te voeren en selecteer Volgende.

  5. Voer in het scherm Farm opgeven de naam van de SQL-server en het SQL-exemplaar in en selecteer vervolgens Volgende.

    Schermopname van het scherm Farm specificeren in de AD FS-configuratiewizard.

  6. Geef het certificaat op in het scherm SSL-certificaat opgeven en selecteer Volgende.

    Schermopname die laat zien hoe u het certificaat opgeeft dat moet worden gekoppeld aan de farm.

  7. Geef in het scherm Serviceaccount opgeven het serviceaccount op en selecteer Volgende.

  8. Controleer in het scherm Opties controleren de opties en selecteer Volgende.

  9. Controleer in het scherm Vereisten controleren of alle vereiste controles zijn geslaagd en selecteer vervolgens Configureren.

  10. Controleer in het scherm Resultaten of de server is geconfigureerd en selecteer vervolgens Sluiten.

Windows Server 2012 R2 AD FS-server verwijderen

Met de volgende stappen verwijdert u de WINDOWS Server 2012 R2 AD FS-server.

Note

U hoeft de primaire AD FS-server niet in te stellen met de opdracht Set-AdfsSyncProperties -Role wanneer u SQL als database gebruikt. Alle knooppunten worden in deze configuratie beschouwd als primair.

  1. Ga in Serverbeheer naar de Windows Server 2012 R2 AD FS-server. Selecteer Onder Beherende optie Functies en onderdelen verwijderen:

    Schermopname die laat zien hoe u rollen en onderdelen verwijdert.

  2. Op het scherm Voordat u begint, selecteert u Volgende, en op het scherm Serverselectie selecteert u Volgende.

  3. Schakel in het scherm Serverfuncties de optie Active Directory Federation Services uit en selecteer Volgende.

    Schermopname die laat zien hoe u de server verwijdert door de optie Active Directory Federation Services op te heffen.

  4. Selecteer Volgende in het scherm Functies.

  5. Selecteer Verwijderen in het bevestigingsscherm.

  6. Nadat het verwijderen van de functie is voltooid, start u de server opnieuw op.

Farmgedragsniveau verhogen (FBL)

Met de volgende stappen wordt de FBL voor de server verhoogd.

Important

Bekijk de volgende vereisten voordat u doorgaat met het proces in deze sectie:

  • Zorg ervoor dat de voorbereidingsprocessen voor het forest en domein zijn voltooid in uw Active Directory-omgeving en dat Active Directory het Windows Server 2016-schema heeft. De procedure die in dit artikel wordt beschreven, is gebaseerd op een architectuur die is gestart met een Windows 2016-domeincontroller. Voor de voorbeeldarchitectuur zijn de stappen in deze sectie niet vereist, omdat de taken zijn opgenomen in het AD-installatieproces.

  • Zorg ervoor dat Windows Server 2016 actueel is door Windows Update uit te voeren vanuit Instellingen. Ga door met het updateproces totdat er geen verdere updates nodig zijn.

  • Zorg ervoor dat uw AD FS-serviceaccount de beheerdersmachtigingen heeft op de SQL-server en elke server in de ADFS-farm.

  1. Open PowerShell op de Windows Server 2016 Server en voer de volgende opdracht uit:

    $cred = Get-Credential

  2. Voer inloggegevens met beheerdersrechten in op de SQL Server.

  3. Voer in PowerShell de volgende opdracht in:

    Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred

  4. Selecteer bij de prompt Y (ja) om het niveau te verhogen. Nadat de bewerking is voltooid, is het u gelukt de FBL te verhogen.

    Schermopname die laat zien hoe u het FBL-niveau omhoog kunt tillen en het updateproces kunt voltooien.

    Als u naar AD FS-beheer gaat, ziet u de nieuwe knooppunten.

  5. U kunt de PowerShell-cmdlet Get-AdfsFarmInformation gebruiken om de huidige FBL weer te geven:

    Schermopname die laat zien hoe u de Get-AdfsFarmInformation-cmdlet gebruikt om uw huidige FBL weer te geven.

Configuratieversie van bestaande WAP-servers upgraden

  1. Configureer op elke webtoepassingsproxy de WAP opnieuw door de volgende PowerShell-opdracht uit te voeren in een venster met verhoogde bevoegdheid:

    $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred

  2. Voer de volgende opdracht uit om oude servers uit het cluster te verwijderen en alleen de WAP-servers met de nieuwste serverversie te behouden (eerder opnieuw geconfigureerd):

    Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2

  3. Voer de volgende opdracht uit om de WAP-configuratie te controleren. De ConnectedServersName waarde weerspiegelt de server die wordt uitgevoerd vanaf de vorige opdracht:

    Get-WebApplicationProxyConfiguration

  4. Voer de volgende PowerShell-opdracht uit om de ConfigurationVersion van de WAP-servers te upgraden:

    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion

  5. Voer de opdracht Get-WebApplicationProxyConfiguration opnieuw uit en controleer of de ConfigurationVersion is bijgewerkt.

  • Last updated on