Aggiornamento ad AD FS in Windows Server 2016 con SQL Server

Importante

Piuttosto di effettuare l'upgrade alla versione più recente di AD FS, Microsoft consiglia vivamente di eseguire la migrazione a Microsoft Entra ID. Per altre informazioni, vedere Risorse per la rimozione delle autorizzazioni di AD FS

Nota

Iniziare un aggiornamento solo con un intervallo di tempo definitivo pianificato per il completamento. Non è consigliabile mantenere AD FS in uno stato in modalità mista per un lungo periodo di tempo, perché l'uscita da AD FS in uno stato in modalità mista può causare problemi con la farm.

Spostare la farm di Windows Server 2012 R2 AD FS in una farm Windows Server 2016 AD FS

Questo articolo illustra come aggiornare la farm di Windows Server 2012 R2 AD FS ad AD FS in Windows Server 2016. I passaggi si applicano quando si usa un'istanza di SQL Server per il database AD FS.

Aggiornamento di AD FS per Windows Server 2016 FBL

Novità di ADFS per Windows Server 2016 è la funzionalità di livello il comportamento di farm (FBL). Questa funzionalità è per l'intera farm e determina le funzionalità che consente la farm di ADFS. Per impostazione predefinita, il FBL in una farm di Windows Server 2012 R2 AD ADFS si trova il FBL di Windows Server 2012 R2.

Un server Windows Server 2016 AD FS può essere aggiunto a una farm Windows Server 2012 R2 ed è attivo allo stesso FBL di Windows Server 2012 R2. Per un server Windows Server 2016 AD FS che opera in questo modo, la farm viene definita "mista". Tuttavia, le nuove funzionalità di Windows Server 2016 non sono disponibili fino a quando il file FBL non viene generato in Windows Server 2016.

Di seguito sono elencate alcune delle caratteristiche significative dell'uso di una farm mista:

  • Gli amministratori possono aggiungere nuovi server federativi di Windows Server 2016 a una farm Windows Server 2012 R2 esistente. Di conseguenza, la farm in "modalità mista" e opera a livello di comportamento di farm di Windows Server 2012 R2. Per garantire un comportamento coerente nella farm, nuove funzionalità di Windows Server 2016 non può essere configurata o utilizzata in questa modalità.

  • Gli amministratori possono rimuovere tutti i server federativi di Windows Server 2012 R2 dalla farm in modalità mista. In questo scenario, uno dei nuovi server federativi Windows Serve 2016 viene alzato di livello al ruolo del nodo primario. L'amministratore può quindi generare il file FBL da Windows Server 2012 R2 a Windows Server 2016. Di conseguenza, le nuove funzionalità di Windows Server ADFS 2016 può quindi essere configurata e utilizzata.

  • Le organizzazioni Windows Server 2012 R2 AD FS che desiderano eseguire l'aggiornamento a Windows Server 2016 non dovranno distribuire una farm completamente nuova o esportare e importare i dati di configurazione. Invece, possono aggiungere Windows Server 2016 nodi a una farm esistente mentre è in linea e che solo il tempo di inattività relativamente breve coinvolti nella raise FBL.

In modalità mista farm, la farm di ADFS non è in grado di nuove funzionalità o funzionalità introdotta in ADFS in Windows Server 2016. Le organizzazioni che desiderano provare le nuove funzionalità possono farlo dopo aver generato l'FBL. Se l'organizzazione sta cercando di testare le nuove funzionalità prima di generare l'FBL, è necessario distribuire una farm separata.

Il resto dell'articolo fornisce i passaggi per l'aggiunta di un server federativo di Windows Server 2016 in un ambiente Windows Server 2012 R2. Questi passaggi sono stati eseguiti in un ambiente di test descritto nel seguente diagramma dell'architettura.

Nota

Prima di poter passare ad ADFS in Windows Server 2016 FBL, è necessario rimuovere tutti i nodi di Windows 2012 R2. Non è possibile aggiornare un Windows Server 2012 R2 OS a Windows Server 2016 e farlo diventare automaticamente un nodo 2016. È necessario rimuoverlo e sostituirlo con un nuovo nodo 2016.

Se i gruppi AlwaysOnAvailability o la replica di tipo merge sono configurati in AD FS, rimuovere tutte le repliche di tutti i database AD FS prima di aggiornare e puntare tutti i nodi al database SQL primario. Dopo aver completato queste attività, eseguire l'aggiornamento della farm come descritto. Una volta eseguito l'aggiornamento, aggiungere i gruppi AlwaysOnAvailability o eseguire il merge della replica nei nuovi database.

Il seguente diagramma dell'architettura illustra la configurazione usata per convalidare e registrare i passaggi seguenti.

Diagramma che mostra l'architettura configurata per la procedura descritta in questo articolo.

Aggiungere il server Windows 2016 AD FS alla farm AD FS

  1. In Server Manager, installare il ruolo di Active Directory Federation Services in Windows Server 2016.

  2. Nella procedura guidata Configurazione di AD FS, aggiungere il nuovo server di Windows Server 2016 alla farm AD FS esistente.

  3. Nella schermata iniziale, selezionare Aggiungi un server di federazione a un server farm di federazione, quindi selezionare Avanti.

  4. Nella schermata Connessione ad Active Directory Domain Services , specificare un account amministratore con autorizzazioni per eseguire la configurazione dei servizi federativi e selezionare Avanti.

  5. Nella schermata Specifica farm immettere il nome del server SQL e dell'istanza e selezionare Avanti.

    Screenshot che mostra la schermata Specifica farm nella configurazione guidata di AD FS.

  6. Nella schermata Specifica certificato SSL, specificare il certificato e selezionare Avanti.

    Screenshot che mostra come specificare il certificato da aggiungere alla farm.

  7. Nella schermata Specificare l'account del servizio, specificare l'account del servizio e selezionare Avanti.

  8. Nella schermata Opzioni di revisione esaminare le opzioni e selezionare Avanti.

  9. Nella schermata Controlli prerequisiti, verificare che tutti i controlli dei prerequisiti siano stati superati e selezionare Configura.

  10. Nella schermata Risultati, verificare che il server sia stato configurato correttamente e selezionare Chiudi.

Rimuovere il server AD FS di Windows Server 2012 R2

La procedura seguente rimuove il server AD FS di Windows Server 2012 R2.

Nota

Non è necessario impostare il server AD FS primario con il comando Set-AdfsSyncProperties -Role quando si usa SQL come database. Tutti i nodi sono considerati primari in questa configurazione.

  1. In Server Manager, passare al server AD FS di Windows Server 2012 R2. In Gestisci, selezionare Rimuovi ruoli e funzionalità:

    Screenshot che mostra come rimuovere ruoli e funzionalità.

  2. Nella schermata Prima di iniziare, selezionare Avanti e nella schermata Selezione server, selezionare Avanti.

  3. Nella schermata Ruoli del server, rimuovere il segno di spunta dall'opzione Active Directory Federation Services e selezionare Avanti.

    Screenshot che mostra come rimuovere il server deselezionando l'opzione Active Directory Federation Services.

  4. Nella schermata Funzionalità, selezionare Avanti.

  5. Nella schermata Conferma, selezionare Rimuovi.

  6. Al termine della rimozione delle funzionalità, riavviare il server.

Aumentare il livello di comportamento della farm (FBL)

I passaggi seguenti generano l'FBL per il server.

Importante

Prima di continuare il processo in questa sezione, esaminare i prerequisiti seguenti:

  • Verificare che i processi di preparazione per la foresta e il dominio siano completi nell'ambiente Active Directory e che Active Directory abbia lo schema di Windows Server 2016. La procedura descritta in questo articolo si basa su un'architettura avviata con un controller di dominio Windows 2016. L'architettura di esempio non richiede i passaggi descritti in questa sezione perché le attività sono incluse nel processo di installazione di AD.

  • Assicurarsi che Windows Server 2016 sia aggiornato eseguendo Windows Update dalle Impostazioni. Continuare l'aggiornamento fino a quando non saranno necessari altri aggiornamenti.

  • Assicurarsi che l'account dell'account del servizio AD FS disponga delle autorizzazioni amministrative per il server SQL e per ogni server nella farm AD FS.

  1. Nel server di Windows Server 2016, aprire PowerShell ed eseguire il comando seguente:

    $cred = Get-Credential

  2. Immettere le credenziali con privilegi di amministratore in SQL Server.

  3. In PowerShell immettere il comando seguente:

    Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred

  4. Quando richiesto, selezionare Y (sì) per iniziare ad aumentare il livello. Al termine dell'operazione, è stato generato correttamente il file FBL.

    Screenshot che mostra come iniziare ad aumentare il livello FBL e completare il processo di aggiornamento.

    Se si passa a Gestione AD FS, verranno visualizzati i nuovi nodi.

  5. È possibile usare il cmdlet di PowerShell Get-AdfsFarmInformation per visualizzare l'FBL corrente:

    Screenshot che mostra come usare il cmdlet Get-AdfsFarmInformation per visualizzare il file FBL corrente.

Aggiornare la versione di configurazione dei server WAP esistenti

  1. In ogni proxy applicazione Web, riconfigurare WAP eseguendo il comando di PowerShell seguente in una finestra con privilegi elevati: 

    $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred

  2. Eseguire il comando seguente per rimuovere i server precedenti dal cluster e mantenere solo i server WAP che eseguono la versione più recente del server (riconfigurati in precedenza):

    Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2

  3. Eseguire il comando seguente per controllare la configurazione WAP corrente. Il valore ConnectedServersName riflette l'esecuzione del server dal comando precedente:

    Get-WebApplicationProxyConfiguration

  4. Per aggiornare ConfigurationVersion dei server WAP, eseguire il comando di PowerShell seguente:

    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion

  5. Eseguire di nuovo il comando Get-WebApplicationProxyConfiguration e verificare che sia ConfigurationVersion aggiornato.