Atualizar para o AD FS no Windows Server 2016 com o SQL Server

Importante

Em vez de atualizar para a versão mais recente do AD FS, a Microsoft recomenda migrar para o Microsoft Entra ID. Para obter mais informações, confira Recursos para desativar o AD FS

Observação

Comece apenas uma atualização com um período de tempo definitivo planejado para conclusão. Não é recomendável manter o AD FS em um estado de modo misto por um longo período, pois deixar o AD FS em um estado de modo misto poderá causar problemas com o farm.

Mover o farm do AD FS do Windows Server 2012 R2 para o farm do AD FS do Windows Server 2016

Este artigo descreve como atualizar o farm do AD FS Windows Server 2012 R2 para o AD FS no Windows Server 2016. Estes passos se aplicam quando você usa um SQL Server para o banco de dados do AD FS.

Fazer upgrade AD FS para o Windows Server 2016 FBL

O novo no AD FS para o Windows Server 2016 é o FBL (recurso de nível de comportamento do Farm). Esse recurso é de todo o Farm e determina os recursos que o Farm do AD FS pode usar. Por padrão, o FBL em um Farm do AD FS do Windows Server 2012 R2 está no FBL do Windows Server 2012 R2.

Um servidor AD FS do Windows Server 2016 pode ser adicionado a um farm do Windows Server 2012 R2 e opera na mesma FBL que um Windows Server 2012 R2. Para um servidor AD FS do Windows Server 2016 operando dessa forma, seu farm é considerado "misto". Entretanto, os novos recursos do Windows Server 2016 não estarão disponíveis até que a FBL seja elevada para o Windows Server 2016.

Seguem algumas características significativas de trabalhar com um farm misto:

  • Os administradores podem adicionar outros servidores de federação do Windows Server 2016 a um Farm do Windows Server 2012 R2 existente. Como resultado, o Farm está no "modo misto" e opera o nível de comportamento do Farm do Windows Server 2012 R2. Para garantir um comportamento consistente em todo o Farm, novos recursos de Windows Server 2016 não podem ser configurados ou usados nesse modo.

  • Os administradores podem remover todos os servidores de federação do Windows Server 2012 R2 do farm do modo misto. Neste cenário, um dos novos servidores de federação do Windows Server 2016 é promovido para a função de nó primário. Depois, o administrador pode elevar a FBL do Windows Server 2012 R2 para o Windows Server 2016. Como resultado, todos os novos recursos do AD FS do Windows Server 2016 podem ser configurados e usados.

  • As organizações do AD FS Windows Server 2012 R2 que queiram atualizar para o Windows Server 2016 não precisam implantar um farm totalmente novo ou exportar e importar dados de configuração. Em vez disso, eles podem adicionar nós Windows Server 2016 a um Farm existente enquanto ele estiver online e apenas incorrer no tempo de inatividade relativamente breve envolvido no aumento do FBL.

Enquanto estiver no modo de farm misto, o farm do AD FS não será compatível com novos recursos ou funcionalidades introduzidos no AD FS no Windows Server 2016. As organizações que queiram experimentar novos recursos podem fazê-lo depois que a FBL for elevada. Se sua organização quiser testar os novos recursos antes de elevar a FBL, você precisará implantar um farm separado.

O restante do artigo descreve as etapas para adicionar um servidor de federação do Windows Server 2016 a um ambiente do Windows Server 2012 R2. Estes passos foram executados em um ambiente de teste descrito pelo diagrama arquitetônico a seguir.

Observação

Antes de migrar para o AD FS no Windows Server 2016 FBL, remova todos os nós do Windows 2012 R2. Não é possível atualizar um sistema operacional Windows Server 2012 R2 para o Windows Server 2016 e fazê-lo tornar-se um nó 2016 automaticamente. Você deve removê-lo e substituí-lo por um novo nó 2016.

Se os grupos AlwaysOnAvailability ou a replicação de mesclagem estiverem configurados no AD FS, remova toda a replicação de todos os bancos de dados do AD FS antes de atualizar e aponte todos os nós ao banco de dados SQL primário. Depois de fazer essas tarefas, execute a atualização do farm conforme descrito. Depois de fazer a atualização, adicione grupos AlwaysOnAvailability ou mescle a replicação aos novos bancos de dados.

O diagrama de arquitetura a seguir mostra a configuração usada para validar e registrar os passos seguintes.

Diagrama que apresenta a arquitetura configurada para o procedimento descrito neste artigo.

Ingressar o Windows 2016 AD FS Server no farm AD FS

  1. No Gerenciador do Servidor, instale a Função dos Serviços de Federação do Active Directory no Windows Server 2016.

  2. No assistente de Configuração do AD FS, ingresse o novo servidor Windows Server 2016 no farm do AD FS existente.

  3. Na tela Bem-Vindo, selecione Adicionar um servidor de federação a um farm de servidores de federação e selecione Avançar.

  4. Na tela Conectar ao Active Directory Domain Services, especifique uma conta de administrador com permissões para executar a configuração dos serviços de federação e selecione Avançar.

  5. Na tela Especificar Farm, insira o nome do SQL Server e da instância e selecione Avançar.

    Captura de tela que mostra a tela Especificar Farm no assistente de Configuração do AD FS.

  6. Na tela Especificar Certificado SSL, especifique o certificado e selecione Avançar.

    Captura de tela apresentando como especificar o certificado para ingressar no farm.

  7. Na tela Especificar conta de serviço, especifique a conta de serviço e selecione Avançar.

  8. Na tela Examinar opções, revise as opções e selecione Avançar.

  9. Na tela Verificações de pré-requisitos, assegure que todas as verificações de pré-requisitos tenham sido aprovadas e selecione Configurar.

  10. Na tela Resultados, assegure que o servidor esteja configurado com êxito e selecione Fechar.

Remover o servidor AD FS do Windows Server 2012 R2

Os passos a seguir removem o servidor AD FS do Windows Server 2012 R2.

Observação

Você não precisa definir o servidor AD FS primário com o comando Set-AdfsSyncProperties -Role ao usar o SQL como banco de dados. Todos os nós são considerados primários nesta configuração.

  1. No Gerenciador do Servidor, acesse o servidor AD FS do Windows Server 2012 R2. Em Gerenciar, selecione Remover funções e recursos:

    Captura de tela apresentando como remover funções e recursos.

  2. Na tela Antes de começar, selecione Avançar e na tela Seleção do servidor, selecione Avançar.

  3. Na tela Funções de servidor, desmarque a opção Serviços de Federação do Active Directory, e selecione Avançar.

    Captura de tela apresentando como remover o servidor desmarcando a opção Serviços de Federação do Active Directory.

  4. Na tela de Recursos, selecione Avançar.

  5. Na tela Confirmação, selecione Remover.

  6. Após terminar a remoção do recurso, reinicie o servidor.

Elevar o nível de comportamento do farm (FBL)

Os passos a seguir elevam a FBL para o servidor.

Importante

Antes de continuar com o processo desta seção, revise os seguintes pré-requisitos:

  • Verifique se os processos de preparação para a floresta e o domínio estão completos no ambiente do Active Directory e se o Active Directory tem o esquema do Windows Server 2016. O procedimento descrito neste artigo tem base em uma arquitetura que começou com um controlador de domínio do Windows 2016. A arquitetura de exemplo não requer as etapas nesta seção, pois as tarefas estão incluídas no processo de instalação do AD.

  • Verifique se o Windows Server 2016 está atualizado executando o Windows Update nas Configurações. Continue o processo de atualização até que não seja preciso fazer nenhuma atualização adicional.

  • Verifique se a sua conta de conta de serviço do AD FS tem as permissões administrativas no SQL Server e em cada servidor no farm do ADFS.

  1. No Windows Server 2016 Server, abra o PowerShell e execute este comando:

    $cred = Get-Credential
    
  2. Insira credenciais com privilégios de administrador no SQL Server.

  3. No PowerShell, insira o comando a seguir:

    Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred
    
  4. No prompt, selecione Y (sim) para começar a elevar o nível. Após terminar a operação, você gerou a FBL com êxito.

    Captura de tela apresentando como começar a elevar o nível FBL e concluir o processo de atualização.

    Se acessar o Gerenciamento do AD FS, você verá os novos nós.

  5. Você pode usar o cmdlet do PowerShell Get-AdfsFarmInformation para mostrar a FBL atual:

    Captura de tela apresentando como usar o cmdlet Get-AdfsFarmInformation para mostrar sua FBL atual.

Fazer upgrade da versão de configuração dos servidores WAP existentes

  1. Em cada Proxy de Aplicativo Web, reconfigure o WAP executando este comando do PowerShell em uma janela elevada:

    $trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
    Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -FederationServiceTrustCredential $trustcred
    
  2. Execute este comando para remover servidores antigos do cluster e manter somente os servidores WAP executando a versão mais recente do servidor (reconfigurada anteriormente):

    Set-WebApplicationProxyConfiguration -ConnectedServersName WAPServerName1, WAPServerName2
    
  3. Execute o seguinte comando para verificar a configuração WAP. O valor ConnectedServersName reflete a execução do servidor a partir do comando anterior:

    Get-WebApplicationProxyConfiguration
    
  4. Para atualizar o ConfigurationVersion dos servidores WAP, execute este comando do PowerShell:

    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
    
  5. Execute o comando Get-WebApplicationProxyConfiguration novamente e verifique se o ConfigurationVersion está atualizado.