Delen via

Een bestaande AD FS-farm bijwerken met behulp van een interne Windows-database

Important

In plaats van een upgrade uit te voeren naar de nieuwste versie van AD FS, raadt Microsoft ten zeerste aan om te migreren naar Microsoft Entra ID. Voor meer informatie, zie Resources voor het buiten gebruik stellen van AD FS

In dit artikel leert u hoe u het gedragsniveau van de farm kunt upgraden voor Active Directory Federation Services (AD FS) met behulp van Windows Internal Database (WID). Vanaf Windows Server 2016 werd het gedragsniveau van de farm (FBL) geïntroduceerd in AD FS. De FBL is een farmbrede instelling die bepaalt welke functies de AD FS-farm kan gebruiken.

Beheerders kunnen nieuwe federatieservers toevoegen aan een bestaande Windows Server-farm in de gemengde modus. De gemengde modus werkt op hetzelfde gedragsniveau van de farm als de oorspronkelijke farm om consistent gedrag te garanderen. Functies van de nieuwere Windows Server AD FS-versies kunnen niet worden geconfigureerd of gebruikt.

Prerequisites

Voordat u het gedragsniveau van de farm kunt upgraden, moet u aan de volgende vereisten voldoen:

  • Bepaal welke versie van Windows Server moet worden bijgewerkt naar.

  • Implementeer de Windows Server-doelversie op een nieuwe computer, pas alle Windows-updates toe en installeer de serverfunctie Active Directory Federation Service. Zie Een federatieserver toevoegen aan een bestaande federatieserverfarmvoor meer informatie.

  • Als u ook Windows Server-webtoepassingsproxy gebruikt, implementeert u de doelversie van Windows Server op een nieuwe computer, past u alle Windows-Updates toe en installeert u de rol van Externe Toegang en de rolservice Webtoepassingsproxy. Zie Werken met webtoepassingsproxyvoor meer informatie.

  • Als u een upgrade uitvoert naar AD FS in Windows Server 2016 of hoger, vereist de farmupgrade dat het AD-schema ten minste niveau 85 is. Als u een upgrade uitvoert naar Windows Server AD FS 2019 of hoger, moet het AD-schema ten minste 88 zijn. Zie Domeincontrollers upgraden naar een nieuwere versie van Windows Servervoor meer informatie over het upgraden van uw domein.

  • Een gedefinieerd tijdsbestek hebben gepland voor voltooiing. Het is niet raadzaam om een gemengde modusstatus gedurende een langere periode te gebruiken. Als u AD FS in een gemengde modus laat staan, kan dit problemen met de farm veroorzaken.

  • Maak een back-up van uw AD FS-configuratie en federatieservers.

Gedragsniveaus van boerderij

De FBL in een nieuwe AD FS-farm komt standaard overeen met de waarde voor de Windows Server-versie van het eerste farmknooppunt dat is geïnstalleerd.

U kunt een AD FS-server van een latere versie toevoegen aan een farm met een lagere FBL. De serverfarm werkt op hetzelfde FBL-niveau als de bestaande knooppunten. Wanneer u meerdere Windows Server-versies in dezelfde farm hebt op de FBL-waarde van de laagste versie, is uw farm 'gemengd'. U kunt echter pas profiteren van de functies van de latere versies als u de FBL verhoogt. Als uw organisatie de nieuwe functies wil testen voordat u de FBL verhoogt, moet u een afzonderlijke farm implementeren.

De volgende tabel bevat de mogelijke FBL-waarden en configuratiedatabasenamen per Windows Server-versie.

Windows Server-versie FBL-waarde AD FS-configuratiedatabase naam
2012 R2 1 AdfsConfiguration
2016 3 AdfsConfigurationV3
2019 en 2022 4 AdfsConfigurationV4

Note

Het bijwerken van de FBL creëert een nieuwe AD FS-configuratiedatabase.

Nu u het doel van de FBL begrijpt en de vereisten hebt voltooid, bent u klaar om uw huidige FBL te bekijken.

Uw huidige FBL zoeken:

  1. Meld u aan bij uw federatieserver en open een PowerShell-sessie met verhoogde bevoegdheid.

  2. Voer de volgende PowerShell-opdracht uit om de huidige FBL- en farmknooppuntgegevens te retourneren.

    Get-AdfsFarmInformation

  3. Bekijk de CurrentFarmBehavior en FarmNodes.

Federatieservers migreren

Nadat u de huidige federatiefarmgegevens hebt verzameld, bent u klaar om het upgradeproces te starten. De upgrade starten:

  1. Voeg de nieuwe federatieserver(s) toe aan uw bestaande farm. Zie Een federatieserver toevoegen aan een bestaande federatieserverfarmvoor meer informatie.

  2. Meld u aan bij uw nieuwe federatieserver en open vervolgens een PowerShell-sessie met verhoogde bevoegdheid. Als u meer dan één server hebt, voert u deze opdracht alleen uit op één server.

  3. Stel de synchronisatie-eigenschap van de federatieserver in om de primaire computerrol te nemen door de volgende opdracht uit te voeren. Zie Set-AdfsSyncProperties voor meer informatie.

    Set-AdfsSyncProperties -Role PrimaryComputer

  4. Meld u aan bij andere federatieservers in de farm en open een PowerShell-sessie met verhoogde bevoegdheid.

  5. Stel de rol in op de secundaire computer door de volgende opdracht uit te voeren.

    Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName "<primary-server-FQDN>"

  6. Werk eventuele load balancer-, DNS- of netwerkconfiguraties bij om de nieuwe federatieservers te gebruiken, waarbij wordt gecontroleerd of de server operationeel is. Zie Controleer of uw Windows Server 2012 R2-federatieserver operationeel isvoor meer informatie.

  7. Verwijder de active Directory Federation Service-serverfunctie van de vorige servers en voer vervolgens de volgende opdracht uit om de verouderde vermeldingen te verwijderen.

    Set-AdfsFarmInformation -RemoveNode "<old-server-FQDN>"

Nu u de nieuwe federatieserver hebt om te farmen en de vorige hebt verwijderd, kunt u de FBL upgraden. Voor meer informatie over het uit bedrijf nemen van uw AD FS-servers, zie Stappen voor het uit bedrijf nemen.

Het gedragsniveau van de boerderij bijwerken

Nadat u de huidige federatiefarmgegevens hebt verzameld, bent u klaar om het upgradeproces te starten. De upgrade starten:

  1. Meld u aan bij uw primaire federatieserver en open vervolgens een PowerShell-sessie met verhoogde bevoegdheid.

  2. Voer de volgende opdracht uit om te testen of u het gedragsniveau van een farm kunt verhogen.

    Test-AdfsFarmBehaviorLevelRaise

  3. Voer de volgende opdracht uit om het gedrag van de farm naar een hoger niveau te tillen, nadat u de uitvoer hebt gecontroleerd. U wordt gevraagd of u wilt doorgaan.

    Invoke-AdfsFarmBehaviorLevelRaise

  4. Controleer de uitvoer van de opdracht om te bevestigen dat de bewerking is geslaagd. Als u het gedragsniveau van de nieuwe farm wilt controleren, voert u de volgende PowerShell-opdracht uit om de huidige FBL- en farmknooppuntgegevens te retourneren.

    Get-AdfsFarmInformation

U hebt nu uw FBL bijgewerkt zodat deze overeenkomt met uw Windows Server-doelversie. Als u ook de functieservice Windows Server-webtoepassingsproxy gebruikt, gaat u verder met de volgende sectie.

Webtoepassingsproxy upgraden

Nu u uw FBL hebt bijgewerkt, moet u webtoepassingsproxy (WAP) upgraden naar het nieuwste niveau.

  1. Meld u aan bij de zojuist geïmplementeerde webtoepassingsproxyserver en open een PowerShell-sessie met verhoogde bevoegdheid.

  2. Importeer het certificaat dat wordt gebruikt door het federatiecertificaat en noteer de vingerafdruk van het certificaat.

  3. Als u WAP wilt configureren, voert u de volgende PowerShell-opdracht uit, waarbij u de tijdelijke aanduiding <value> vervangt door uw eigen waarden. Herhaal deze stap voor eventuele extra Web Application Proxy-servers.

    $trustcred = Get-Credential -Message "<Enter Domain Administrator credentials>"
Install-WebApplicationProxy -CertificateThumbprint "<SSLCertThumbprint>" -FederationServiceName "<FScomputername>" -FederationServiceTrustCredential $trustcred

  4. Als u de huidige verbonden webtoepassingsproxyservers wilt controleren, voert u de volgende opdracht uit, let op de waarden ConnectedServerName en ConfigurationVersion.

    Get-WebApplicationProxyConfiguration

    Note

    Sla de volgende stap over als de ConfigurationVersion is Windows Server 2016. Dit is de juiste waarde voor webtoepassingsproxy in Windows Server 2016 en hoger.

  5. Verwijder oude webtoepassingsproxyservers, waarbij alleen de nieuwe servers die in de vorige stappen zijn geconfigureerd, behouden blijven door de volgende PowerShell-cmdlet uit te voeren:

    Set-WebApplicationProxyConfiguration -ConnectedServersName "WAPServerName1", "WAPServerName2"

  6. Voer de volgende PowerShell-opdracht uit om de ConfigurationVersion van de WAP-servers te upgraden:

    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion

U hebt nu de upgrade van de webtoepassingsproxy voltooid.

Certificaatvertrouwensmodel met Windows Hello voor Bedrijven

Als u AD FS op Windows Server 2019 of hoger gebruikt en Windows Hello voor Bedrijven in een certificaatvertrouwensmodel, kan het volgende foutbericht in het gebeurtenislogboek optreden.

Received invalid Oauth request. The client 'NAME' is forbidden to access the resource with scope 'ugs'.

Ga als volgt te werk om deze fout op te lossen:

  1. Open de AD FS-beheerconsole. Ga naar Services > Bereikbeschrijvingen.

  2. Klik met de rechtermuisknop op Bereikbeschrijvingen en selecteer Bereikbeschrijving toevoegen.

  3. Voer onder naam ugs in en selecteer OK toepassen>.

  4. Start PowerShell als administrator en voer de volgende opdrachten uit.

    $id = (Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
Set-AdfsApplicationPermission -TargetIdentifier $id -AddScope 'ugs'

  5. Start de AD FS-service opnieuw op.

  6. Start de client opnieuw op. De gebruiker moet worden gevraagd Windows Hello voor Bedrijven te configureren.

Volgende stappen

Nu u uw AD FS-implementatie hebt bijgewerkt, vindt u hier enkele artikelen die nuttig kunnen zijn.