Uppgradera en befintlig AD FS-servergrupp med hjälp av en intern Windows-databas

I den här artikeln får du lära dig hur du uppgraderar servergruppens beteendenivå för Active Directory Federation Services (AD FS) med hjälp av Windows Internal Database (WID). Från och med Windows Server 2016 introducerades farmens beteendenivå (FBL) för AD FS. FBL är en servergruppsomfattande inställning som avgör vilka funktioner AD FS-servergruppen kan använda.

Administratörer kan lägga till nya federationsservrar i en befintlig Windows Server-servergrupp i "blandat läge". Blandat läge fungerar på samma servergruppsbeteendenivå som den ursprungliga servergruppen för att säkerställa konsekvent beteende. Funktioner i de nyare Windows Server AD FS-versionerna kan inte konfigureras eller användas.

Prerequisites

Innan du kan uppgradera farmens beteendenivå måste du uppfylla följande krav:

• Ta reda på vilken version av Windows Server som ska uppgraderas till.

• Distribuera Windows Server-målversionen på en ny dator, tillämpa alla Windows-uppdateringar och installera serverrollen Active Directory Federation Service. Mer information finns i Lägga till en federationsserver i en befintlig federationsservergrupp.

• Om du också använder Windows Server Web Application Proxy distribuerar du Windows Server-målversionen på en ny dator, tillämpar alla Windows-uppdateringar och installerar rolltjänsten Fjärråtkomstserver och Webbprogramproxy. Mer information finns i Arbeta med webbprogramproxy.

• Om du uppgraderar till AD FS i Windows Server 2016 eller senare kräver uppgraderingen av servergruppen att AD-schemat är minst nivå 85. Om du uppgraderar till i Windows Server AD FS 2019 eller senare måste AD-schemat vara minst 88. Mer information om hur du uppgraderar din domän finns i Uppgradera domänkontrollanter till en nyare version av Windows Server.

• Ha en definierad tidsram planerad för slutförande. Vi rekommenderar inte att du använder ett tillstånd för blandat läge under en längre tid. Att lämna AD FS i ett blandat läge kan orsaka problem med farmen.

• Säkerhetskopiera dina AD FS-konfigurations- och federationsservrar.

Beteendenivåer för gård

Som standard matchar FBL i en ny AD FS-servergrupp värdet för Windows Server-versionen av den första servergruppsnoden som installerats.

Du kan ansluta en AD FS-server av en senare version till en servergrupp med lägre FBL. Serverfarmen fungerar på samma FBL som de befintliga nod(er). När du har flera Windows Server-versioner som körs i samma servergrupp med FBL-värdet för den lägsta versionen är servergruppen "blandad". Du kan dock inte dra nytta av funktionerna i de senare versionerna förrän du höjer FBL:n. Om din organisation vill testa de nya funktionerna innan du höjer FBL, måste du distribuera en separat serverfarm.

I följande tabell visas möjliga FBL-värden och namn på konfigurationsdatabaser efter Windows Server-version.

Nu när du förstår syftet med FBL och har slutfört förutsättningarna är du redo att granska din aktuella FBL.

Så här hittar du din aktuella FBL:

1. Logga in på federationsservern och öppna en upphöjd PowerShell-session.

2. Kör följande PowerShell-kommando för att returnera aktuell information om FBL och servergruppsnoder.

   Get-AdfsFarmInformation
   

3. Granska CurrentFarmBehavior och FarmNodes.

Migrera federationsservrar

När du har samlat in aktuell information om federationsfarmen är du redo att påbörja uppgraderingsprocessen. Så här påbörjar du uppgraderingen:

1. Lägg till de nya federationsservrarna i din befintliga servergrupp. Mer information finns i Lägga till en federationsserver i en befintlig federationsservergrupp.

2. Logga in på den nya federationsservern och öppna sedan en upphöjd PowerShell-session. Om du har fler än en server kör du bara det här kommandot på en server.

3. Ange synkroniseringsegenskapen för federationsservern så att den tar den primära datorrollen genom att köra följande kommando. Mer information finns i Set-AdfsSyncProperties.

   Set-AdfsSyncProperties -Role PrimaryComputer
   

4. Logga in på andra federationsservrar i servergruppen och öppna en upphöjd PowerShell-session.

5. Ange rollen som den sekundära datorn genom att köra följande kommando.

   Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName "<primary-server-FQDN>"
   

6. Uppdatera alla lastbalanserare, DNS- eller nätverkskonfigurationer för att använda de nya federationsservrarna och kontrollera att servern är i drift. Mer information finns i Kontrollera att din Windows Server 2012 R2-federationsserver är i drift.

7. Avinstallera serverrollen Active Directory Federation Service från de tidigare servrarna och kör sedan följande kommando för att ta bort de inaktuella posterna.

   Set-AdfsFarmInformation -RemoveNode "<old-server-FQDN>"
   

Nu när du har dina nya federationsservrar till servergruppen och har tagit bort de tidigare, är du redo att uppgradera FBL. Mer information om avaktivering finns i Steg för att inaktivera dina AD FS-servrar.

Uppgradera gårdens beteendenivå

När du har samlat in aktuell information om federationsfarmen är du redo att påbörja uppgraderingsprocessen. Så här påbörjar du uppgraderingen:

1. Logga in på den primära federationsservern och öppna sedan en upphöjd PowerShell-session.

2. Kör följande kommando för att testa om du kan höja beteendenivån för en servergrupp.

   Test-AdfsFarmBehaviorLevelRaise
   

3. Efter du har granskat utdata, för att uppgradera farmens beteendenivå kör du följande kommando. Du tillfrågas om du vill fortsätta.

   Invoke-AdfsFarmBehaviorLevelRaise
   

4. Granska kommandoutdata för att bekräfta att åtgärden lyckades. Om du vill verifiera den nya servergruppsbeteendenivån kör du följande PowerShell-kommando för att returnera aktuell information om FBL och servergruppsnoder.

   Get-AdfsFarmInformation
   

Nu har du uppgraderat din FBL så att den matchar windows server-målversionen. Om du också använder rolltjänsten Windows Server Web Application Proxy fortsätter du till nästa avsnitt.

Uppgradera webbprogramproxy

Nu när du har uppdaterat din FBL måste du uppgradera Webbprogramproxy (WAP) till den senaste nivån.

1. Logga in på den nyligen distribuerade webbprogramproxyservern och öppna en upphöjd PowerShell-session.

2. Importera certifikatet som används av federationscertifikatet och anteckna certifikatets tumavtryck.

3. Om du vill konfigurera WAP kör du följande PowerShell-kommando och ersätter platshållaren <value> med dina egna värden. Upprepa det här steget för fler webbprogramproxyservrar.

   $trustcred = Get-Credential -Message "<Enter Domain Administrator credentials>"
   Install-WebApplicationProxy -CertificateThumbprint "<SSLCertThumbprint>" -FederationServiceName "<FScomputername>" -FederationServiceTrustCredential $trustcred
   

4. Om du vill granska de aktuella anslutna webbprogramproxyservrarna kör du följande kommando och noterar ConnectedServerName värdena och ConfigurationVersion .

   Get-WebApplicationProxyConfiguration
   

   Note

   Hoppa över nästa steg om ConfigurationVersion är Windows Server 2016. Det här är rätt värde för webbprogramproxy på Windows Server 2016 och senare.

5. Ta bort gamla webbprogramproxyservrar och behåll endast de nya servrar som konfigurerades i föregående steg genom att köra följande PowerShell-cmdlet:

   Set-WebApplicationProxyConfiguration -ConnectedServersName "WAPServerName1", "WAPServerName2"
   

6. Om du vill uppgradera ConfigurationVersion för WAP-servrarna kör du följande PowerShell-kommando:

   Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
   

Nu har du slutfört uppgraderingen av webbprogramproxyn.

Certifikatförtroendemodell med Windows Hello för företag

Om du använder AD FS på Windows Server 2019 eller senare och Windows Hello för företag i en certifikatförtroendemodell kan följande felmeddelande visas i händelseloggen.

Received invalid Oauth request. The client 'NAME' is forbidden to access the resource with scope 'ugs'.

Så här åtgärdar du det här felet:

1. Öppna AD FS-hanteringskonsolen. Gå till Beskrivningar av tjänsteomfattning>.

2. Högerklicka på Omfångsbeskrivningar och välj Lägg till omfångsbeskrivning.

3. I fältet för "Namn" ange ugs, och välj sedan Använd > OK.

4. Starta PowerShell som administratör och kör följande kommandon.

   $id = (Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
   Set-AdfsApplicationPermission -TargetIdentifier $id -AddScope 'ugs'
   

5. Starta om AD FS-tjänsten.

6. Starta om klienten. Användaren bör uppmanas att konfigurera Windows Hello för företag.

Nästa steg

Nu när du har uppgraderat AD FS-distributionen kan det här vara några artiklar som du kanske tycker är användbara.

• Kontrollera att en federationsserver är i drift
• Kontrollera att en federationsserverproxy är i drift
• AD FS-åtgärder