Atualizar para o AD FS no Windows Server 2016 com o SQL Server

Important

Em vez de atualizar para a versão mais recente do AD FS, a Microsoft recomenda migrar para o Microsoft Entra ID. Para obter mais informações, consulte Recursos para descomissionamento do AD FS

Note

Comece apenas uma atualização com um prazo definitivo planejado para conclusão. Não é recomendável manter o AD FS em um estado de modo misto por um longo período de tempo, pois deixar o AD FS em um estado de modo misto pode causar problemas com o farm.

Mover o grupo de AD FS do Windows Server 2012 R2 para o grupo de AD FS do Windows Server 2016

Este artigo descreve como atualizar seu farm do AD FS Windows Server 2012 R2 para AD FS no Windows Server 2016. As etapas se aplicam quando você usa um SQL Server para o banco de dados do AD FS.

Atualizar o AD FS para o Windows Server 2016 FBL

Uma novidade no AD FS para o Windows Server 2016 é o recurso "Farm Behavior Level" (FBL), que diz respeito ao nível de comportamento da instalação do servidor. Esse recurso abrange todo o farm e determina os recursos que o farm do AD FS pode usar. Por padrão, o nível funcional base (FBL) em um farm do AD FS do Windows Server 2012 R2 corresponde ao nível funcional base do Windows Server 2012 R2.

Um servidor AD FS do Windows Server 2016 pode ser adicionado a um farm do Windows Server 2012 R2 e opera na mesma FBL que um Windows Server 2012 R2. Para um servidor AD FS do Windows Server 2016 operando dessa maneira, seu farm é considerado "misto". No entanto, os novos recursos do Windows Server 2016 não estarão disponíveis até que a FBL seja aumentada para o Windows Server 2016.

Aqui estão algumas das características significativas de trabalhar numa exploração agrícola mista:

  • Os administradores podem adicionar novos servidores de federação do Windows Server 2016 a um farm existente do Windows Server 2012 R2. Como resultado, o farm está em "modo misto" e funciona no nível de comportamento do farm do Windows Server 2012 R2. Para garantir um comportamento consistente em todo o farm, os novos recursos do Windows Server 2016 não podem ser configurados ou usados nesse modo.

  • Os administradores podem remover todos os servidores de federação do Windows Server 2012 R2 de um farm em modo misto. Nesse cenário, um dos novos servidores de federação do Windows Serve 2016 é promovido para a função de nó primário. O administrador pode então elevar a FBL do Windows Server 2012 R2 para o Windows Server 2016. Como resultado, todos os novos recursos do AD FS do Windows Server 2016 podem ser configurados e usados.

  • AD FS As organizações do Windows Server 2012 R2 que desejam atualizar para o Windows Server 2016 não precisam implantar um farm totalmente novo ou exportar e importar dados de configuração. Em vez disso, eles podem adicionar nós do Windows Server 2016 a uma fazenda existente enquanto online e incorrer apenas no curto tempo de inatividade associado à elevação da FBL.

No modo misto de farm, o farm do AD FS não suporta novos recursos ou funcionalidades do AD FS introduzidos no Windows Server 2016. As organizações que desejam experimentar novas funcionalidades podem fazê-lo depois de a FBL ser aumentada. Se a sua organização está procurando testar as novas funcionalidades antes de elevar a FBL, é necessário implantar uma fazenda separada.

O restante do artigo fornece as etapas para adicionar um servidor de federação do Windows Server 2016 a um ambiente do Windows Server 2012 R2. Essas etapas foram executadas em um ambiente de teste descrito pelo diagrama de arquitetura a seguir.

Note

Antes de poder mover para o AD FS no Windows Server 2016 FBL, você deve remover todos os nós do Windows 2012 R2. Não é possível atualizar um sistema operativo Windows Server 2012 R2 para Windows Server 2016 e esperar que ele funcione automaticamente como um nó do Windows Server 2016. Você precisa removê-lo e substituí-lo por um novo nó 2016.

Se os grupos Always On Availability ou a replicação de mesclagem estiverem configurados no AD FS, remova toda a replicação de qualquer banco de dados do AD FS antes de atualizar e aponte todos os nós para o banco de dados SQL primário. Depois de concluir estas tarefas, efetue a atualização do farm conforme descrito. Depois de concluir a atualização, adicione grupos AlwaysOnAvailability ou mescle a replicação aos novos bancos de dados.

O diagrama de arquitetura a seguir mostra a configuração que foi usada para validar e registrar as etapas a seguir.

Diagrama que mostra a arquitetura configurada para o procedimento descrito neste artigo.

Associar o Servidor AD FS do Windows 2016 ao conjunto de AD FS

  1. No Gerenciador do Servidor, instale a Função Serviços de Federação do Ative Directory no Windows Server 2016.

  2. No assistente de Configuração do AD FS, associe o novo servidor Windows Server 2016 ao farm do AD FS existente.

  3. Na tela Bem-vindo , selecione Adicionar um servidor de federação a um farm de servidores de federação e selecione Avançar.

  4. Na tela Conectar aos Serviços de Domínio Ative Directory , especifique uma conta de administrador com permissões para executar a configuração dos serviços de federação e selecione Avançar.

  5. Na tela Especificar Farm , digite o nome do servidor SQL e da instância e selecione Avançar.

    Captura de ecrã que mostra o ecrã Especificar Farm no assistente de configuração do AD FS.

  6. Na tela Especificar certificado SSL , especifique o certificado e selecione Avançar.

    Imagem de captura de tela que mostra como especificar o certificado para conectar ao servidor.

  7. Na tela Especificar Conta de Serviço , especifique a conta de serviço e selecione Avançar.

  8. Na tela Opções de revisão , revise as opções e selecione Avançar.

  9. Na tela Verificações de pré-requisitos , verifique se todas as verificações de pré-requisitos foram aprovadas e selecione Configurar.

  10. Na tela Resultados , verifique se o servidor está configurado com êxito e selecione Fechar.

Remover o servidor AD FS do Windows Server 2012 R2

As etapas a seguir removem o servidor AD FS do Windows Server 2012 R2.

Note

Não é necessário definir o servidor AD FS primário com o Set-AdfsSyncProperties -Role comando quando você usa SQL como banco de dados. Todos os nós são considerados primários nesta configuração.

  1. No Gerenciador do Servidor, vá para o servidor AD FS do Windows Server 2012 R2. Em Gerenciar, selecione Remover funções e recursos:

    Captura de tela que mostra como remover funções e recursos.

  2. Na tela Antes de começar , selecione Avançar e, na tela Seleção do servidor , selecione Avançar.

  3. Na tela Funções de Servidor , desmarque a opção Serviços de Federação do Ative Directory e selecione Avançar.

    Captura de ecrã que mostra como remover o servidor desmarcando a opção Serviços de Federação do Ative Directory.

  4. Na tela Recursos , selecione Avançar.

  5. Na tela de confirmação , selecione Remover.

  6. Após a conclusão da remoção do recurso, reinicie o servidor.

Aumentar o Nível de Comportamento do Farm (FBL)

As etapas seguintes aumentam a FBL do servidor.

Important

Antes de continuar com o processo nesta seção, revise os seguintes pré-requisitos:

  • Verifique se os processos de preparação da floresta e do domínio estão concluídos em seu ambiente do Ative Directory e se o Ative Directory tem o esquema do Windows Server 2016. O procedimento descrito neste artigo é baseado em uma arquitetura que começou com um controlador de domínio do Windows 2016. A arquitetura de exemplo não requer as etapas nesta seção porque as tarefas estão incluídas no processo de instalação do AD.

  • Verifique se o Windows Server 2016 está atualizado executando o Windows Update em Configurações. Continue o processo de atualização até que não sejam necessárias mais atualizações.

  • Verifique se sua conta de serviço do AD FS tem as permissões administrativas no servidor SQL e em cada servidor no farm do ADFS.

  1. No Windows Server 2016 Server, abra o PowerShell e execute o seguinte comando:

    $cred = Get-Credential

  2. Insira credenciais com privilégios de administrador no SQL Server.

  3. No PowerShell, digite o seguinte comando:

    Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred

  4. No prompt, selecione Y (sim) para começar a elevar o nível. Após a conclusão da operação, conseguiste levantar o FBL com sucesso.

    Captura de tela que mostra como começar a aumentar o nível FBL e concluir o processo de atualização.

    Se você acessar o Gerenciamento do AD FS, verá os novos nós.

  5. Você pode usar o cmdlet Get-AdfsFarmInformation do PowerShell para mostrar a FBL atual:

    Captura de ecrã que demonstra como usar o cmdlet Get-AdfsFarmInformation para visualizar a sua FBL atual.

Atualizar a versão de configuração dos servidores WAP existentes

  1. Em cada Proxy de Aplicativo Web, reconfigure o WAP executando o seguinte comando do PowerShell em uma janela elevada:

    $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred

  2. Execute o seguinte comando para remover servidores antigos do cluster e manter apenas os servidores WAP executando a versão mais recente do servidor (reconfigurada anteriormente):

    Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2

  3. Execute o seguinte comando para verificar a configuração WAP. O ConnectedServersName valor reflete a execução do servidor a partir do comando anterior:

    Get-WebApplicationProxyConfiguration

  4. Para atualizar os ConfigurationVersion servidores WAP, execute o seguinte comando do PowerShell:

    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion

  5. Volte a executar o comando Get-WebApplicationProxyConfiguration e verifique se ConfigurationVersion foi atualizado.

  • Last updated on