Dela via

Uppgradera till AD FS i Windows Server 2016 med SQL Server

Important

I stället för att uppgradera till den senaste versionen av AD FS rekommenderar Microsoft starkt att du migrerar till Microsoft Entra ID. Mer information finns i Resurser för att inaktivera AD FS-

Note

Bara påbörja en uppgradering om det finns en tydligt fastställd tidsram för när den ska vara slutförd. Vi rekommenderar inte att du håller AD FS i ett blandat läge under en längre tid, eftersom att lämna AD FS i detta läge kan orsaka problem med servergruppen.

Flytta Windows Server 2012 R2 AD FS-servergruppen till Windows Server 2016 AD FS-servergruppen

Den här artikeln beskriver hur du uppgraderar din AD FS Windows Server 2012 R2-servergrupp till AD FS i Windows Server 2016. Stegen gäller när du använder en SQL Server för AD FS-databasen.

Uppgradera AD FS till Windows Server 2016 FBL

Nytt i AD FS för Windows Server 2016 är funktionen för servergruppsbeteendenivå (FBL). Den här funktionen är servergruppsomfattande och avgör vilka funktioner AD FS-servergruppen kan använda. Som standard finns FBL i en Windows Server 2012 R2 AD FS-servergrupp i Windows Server 2012 R2 FBL.

En Windows Server 2016 AD FS-server kan läggas till i en Windows Server 2012 R2-servergrupp och den fungerar på samma FBL som en Windows Server 2012 R2. För en Windows Server 2016 AD FS-server som fungerar på det här sättet sägs din servergrupp vara "blandad". De nya funktionerna i Windows Server 2016 är dock inte tillgängliga förrän FBL har höjts till Windows Server 2016.

Här är några av de betydande egenskaperna av att arbeta med en blandad gård:

  • Administratörer kan lägga till nya Windows Server 2016-federationsservrar i en befintlig Windows Server 2012 R2-servergrupp. Som ett resultat är serverfarmen i "blandat läge" och kör funktionsnivån för Windows Server 2012 R2 farm. För att säkerställa konsekvent beteende i hela servergruppen kan nya Windows Server 2016-funktioner inte konfigureras eller användas i det här läget.

  • Administratörer kan ta bort alla Windows Server 2012 R2-federationsservrar från servergruppen för blandat läge. I det här scenariot befordras en av de nya Windows Serve 2016-federationsservrarna till rollen som primär nod. Administratören kan sedan höja FBL från Windows Server 2012 R2 till Windows Server 2016. Därför kan alla nya AD FS Windows Server 2016-funktioner sedan konfigureras och användas.

  • AD FS Windows Server 2012 R2-organisationer som vill uppgradera till Windows Server 2016 behöver inte distribuera en helt ny servergrupp eller exportera och importera konfigurationsdata. I stället kan de lägga till Windows Server 2016-noder i en befintlig servergrupp medan den är online och bara medföra den relativt korta stilleståndstiden som är involverad i FBL-höjningen.

I läget för blandad servergrupp kan AD FS-servergruppen inte ha några nya funktioner som introduceras i AD FS i Windows Server 2016. Organisationer som vill testa nya funktioner kan göra det när FBL har aktiverats. Om din organisation vill testa de nya funktionerna innan du höjer FBL måste du distribuera en separat servergrupp.

Resten av artikeln innehåller stegen för att lägga till en Windows Server 2016-federationsserver i en Windows Server 2012 R2-miljö. De här stegen utfördes i en testmiljö som beskrivs i följande arkitekturdiagram.

Note

Innan du kan flytta till AD FS i Windows Server 2016 FBL måste du ta bort alla Windows 2012 R2-noder. Du kan inte uppgradera ett Windows Server 2012 R2-operativsystem till Windows Server 2016 och låta det automatiskt bli en nod från 2016. Du måste ta bort den och ersätta den med en ny nod från 2016.

Om AlwaysOnAvailability-grupper eller sammanslagningsreplikering har konfigurerats i AD FS tar du bort all replikering av AD FS-databaser innan du uppgraderar och pekar alla noder på den primära SQL-databasen. När du har slutfört de här uppgifterna utför du servergruppsuppgraderingen enligt beskrivningen. När du har slutfört uppgraderingen lägger du till AlwaysOnAvailability-grupper eller sammanfogar replikering till de nya databaserna.

Följande arkitekturdiagram visar konfigurationen som användes för att verifiera och registrera följande steg.

Diagram som visar arkitekturen som konfigurerats för proceduren som beskrivs i den här artikeln.

Ansluta Windows 2016 AD FS Server till AD FS-servergruppen

  1. Installera Active Directory Federation Services-rollen i Serverhanteraren på Windows Server 2016.

  2. I guiden AD FS-konfiguration ansluter du den nya Windows Server 2016-servern till den befintliga AD FS-servergruppen.

  3. välkomstskärmen väljer du Lägg till en federationsserver i en federationsservergrupp och väljer sedan Nästa.

  4. På skärmen Anslut till Active Directory Domain Servicesanger du ett administratörskonto med behörighet att utföra konfigurationen av federationstjänster och väljer Nästa.

  5. På skärmen Ange servergrupp anger du namnet på SQL-servern och -instansen och väljer sedan Nästa.

    Skärmbild som visar skärmen Ange farm i guiden AD FS-konfiguration.

  6. På skärmen Ange SSL-certifikat anger du certifikatet och väljer Nästa.

    Skärmbild som visar hur du anger certifikatet för att ansluta till serverfarmen.

  7. På skärmen Ange tjänstkonto anger du tjänstkontot och väljer Nästa.

  8. På skärmen Granska alternativ granskar du alternativen och väljer Nästa.

  9. På skärmen Kontroller för förutsättningar kontrollerar du att alla nödvändiga kontroller har godkänts och väljer sedan Konfigurera.

  10. På skärmen Resultat kontrollerar du att servern har konfigurerats och välj sedan Stäng.

Ta bort Windows Server 2012 R2 AD FS-server

Följande steg tar bort Windows Server 2012 R2 AD FS-servern.

Note

Du behöver inte ange den primära AD FS-servern med Set-AdfsSyncProperties -Role kommandot när du använder SQL som databas. Alla noder anses vara primära i den här konfigurationen.

  1. I Serverhanteraren går du till Windows Server 2012 R2 AD FS-servern. Under Hantera väljer du Ta bort roller och funktioner:

    Skärmbild som visar hur du tar bort roller och funktioner.

  2. På skärmen Innan du börjar väljer duNästa och på skärmen Serverval väljer du Nästa.

  3. På skärmen Serverroller avmarkerar du alternativet Active Directory Federation Services och väljer Nästa.

    Skärmbild som visar hur du tar bort servern genom att avmarkera alternativet Active Directory Federation Services.

  4. På skärmen Funktioner väljer du Nästa.

  5. bekräftelseskärmen väljer du Ta bort.

  6. Starta om servern när funktionsborttagningen är klar.

Höja beteendenivån för farmen (FBL)

Följande steg höjer FBL för servern.

Important

Innan du fortsätter med processen i det här avsnittet bör du granska följande krav:

  • Se till att förberedelseprocesserna för skogen och domänen är slutförda i Din Active Directory-miljö och att Active Directory har Windows Server 2016-schemat. Proceduren som beskrivs i den här artikeln baseras på en arkitektur som började med en Windows 2016-domänkontrollant. Exempelarkitekturen kräver inte stegen i det här avsnittet eftersom uppgifterna ingår i AD-installationsprocessen.

  • Kontrollera att Windows Server 2016 är aktuellt genom att köra Windows Update från Inställningar. Fortsätt uppdateringsprocessen tills inga ytterligare uppdateringar behövs.

  • Kontrollera att ditt AD FS-tjänstkonto har administratörsbehörigheter på SQL-servern och varje server i ADFS-servergruppen.

  1. Öppna PowerShell på Windows Server 2016 Server och kör följande kommando:

    $cred = Get-Credential

  2. Ange autentiseringsuppgifter med administratörsbehörigheter på SQL Server.

  3. I PowerShell anger du följande kommando:

    Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred

  4. I kommandotolken väljer du Y (ja) för att börja höja nivån. När operationen är slutförd har du framgångsrikt höjt FBL.

    Skärmbild som visar hur du börjar höja FBL-nivån och slutföra uppdateringsprocessen.

    Om du går till AD FS Management visas de nya noderna.

  5. Du kan använda PowerShell-cmdleten Get-AdfsFarmInformation för att visa aktuell FBL:

    Skärmbild som visar hur du använder cmdleten Get-AdfsFarmInformation för att visa din aktuella FBL.

Uppgradera konfigurationsversionen av befintliga WAP-servrar

  1. På varje webbprogramproxy konfigurerar du om WAP genom att köra följande PowerShell-kommando i ett upphöjt fönster:

    $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred

  2. Kör följande kommando för att ta bort gamla servrar från klustret och behåll endast WAP-servrarna som kör den senaste serverversionen (konfigurerades om tidigare):

    Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2

  3. Kör följande kommando för att kontrollera WAP-konfigurationen. Värdet ConnectedServersName återspeglar serverkörningen från föregående kommando:

    Get-WebApplicationProxyConfiguration

  4. Om du vill uppgradera ConfigurationVersion WAP-servrarna kör du följande PowerShell-kommando:

    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion

  5. Get-WebApplicationProxyConfiguration Kör kommandot igen och kontrollera att det ConfigurationVersion har uppgraderats.