Обновление существующей фермы AD FS с помощью внутренняя база данных Windows

  • Статья

Внимание

Вместо обновления до последней версии AD FS корпорация Майкрософт настоятельно рекомендует перейти на идентификатор Microsoft Entra. Дополнительные сведения см. в разделе "Ресурсы для вывода из эксплуатации AD FS"

В этой статье вы узнаете, как обновить уровень поведения фермы для службы федерации Active Directory (AD FS) (AD FS) с помощью внутренняя база данных Windows (WID). Начиная с Windows Server 2016 уровень поведения фермы (FBL) появился в AD FS. FBL — это параметр на уровне фермы, определяющий возможности, которые можно использовать фермой AD FS.

Администратор istrators могут добавлять новые серверы федерации в существующую ферму Windows Server в смешанном режиме. Смешанный режим работает на том же уровне поведения фермы, что и исходная ферма, чтобы обеспечить согласованное поведение. Функции более новых версий Windows Server AD FS нельзя настроить или использовать.

Необходимые компоненты

Прежде чем обновить уровень поведения фермы, необходимо выполнить следующие предварительные требования:

  • Определите, до какой версии нужно обновить Windows Server.

  • Разверните целевую версию Windows Server на новом компьютере, примените все Обновл. Windows и установите роль сервера службы федерации Active Directory. Дополнительные сведения см. в разделе "Добавление сервера федерации" в существующую ферму серверов федерации.

  • Если вы также используете прокси-сервер веб-приложения Windows Server, разверните целевую версию Windows Server на новом компьютере, примените все Обновл. Windows и установите роль сервера удаленного доступа и службу роли прокси веб-приложения. Дополнительные сведения см. в статье "Работа с прокси-сервером веб-приложения".

  • Если вы обновляетесь до AD FS в Windows Server 2016 или более поздней версии, обновление фермы требует, чтобы схема AD была не ниже уровня 85. При обновлении до Windows Server AD FS 2019 или более поздней версии схема AD должна быть не менее 88. Дополнительные сведения об обновлении домена см. в статье Об обновлении контроллеров домена до более новой версии Windows Server.

  • У вас есть определенный интервал времени, запланированный для завершения. Не рекомендуется работать с состоянием смешанного режима в течение длительного периода времени. Выход AD FS в смешанном режиме может вызвать проблемы с фермой.

  • Резервное копирование конфигурации AD FS и серверов федерации.

Уровни поведения фермы

По умолчанию FBL в новой ферме AD FS соответствует значению версии Windows Server первого установленного узла фермы.

Вы можете присоединить сервер AD FS более поздней версии к ферме с более низким уровнем FBL. Ферма работает в том же FBL, что и существующие узлы. При наличии нескольких версий Windows Server, работающих в одной ферме, в значении FBL наименьшей версии ферма "смешана". Тем не менее, вы не можете воспользоваться функциями более поздних версий, пока вы не вызовете FBL. Если в вашей организации требуется протестировать новые функции до создания FBL, необходимо развернуть отдельную ферму.

В следующей таблице перечислены возможные значения FBL и имена баз данных конфигурации по версии Windows Server.

Версия Windows Server Значение FBL Имя базы данных конфигурации AD FS
2012 R2 1 AdfsConfiguration
2016 3 AdfsConfigurationV3
2019 и 2022 4 AdfsConfigurationV4

Примечание.

При обновлении FBL создается новая база данных конфигурации AD FS.

Теперь, когда вы понимаете цель FBL и выполнили предварительные требования, вы готовы ознакомиться с текущим FBL.

Чтобы найти текущую FBL, выполните приведенные далее действия.

  1. Войдите на сервер федерации и откройте сеанс PowerShell с повышенными привилегиями.

  2. Выполните следующую команду PowerShell, чтобы вернуть текущие сведения о узле FBL и фермы.

    Get-AdfsFarmInformation

  3. Просмотрите CurrentFarmBehavior и FarmNodes.

Перенос серверов федерации

После сбора сведений о текущей ферме федерации вы будете готовы начать процесс обновления. Чтобы начать обновление, выполните следующие действия.

  1. Добавьте новые серверы федерации в существующую ферму. Дополнительные сведения см. в разделе "Добавление сервера федерации" в существующую ферму серверов федерации.

  2. Войдите на новый сервер федерации, а затем откройте сеанс PowerShell с повышенными привилегиями. Если у вас несколько серверов, выполните эту команду только на одном сервере.

  3. Задайте для свойства синхронизации сервера федерации роль основного компьютера, выполнив следующую команду. Дополнительные сведения см. в разделе Set-AdfsSyncProperties.

    Set-AdfsSyncProperties -Role PrimaryComputer

  4. Войдите на любые другие серверы федерации в ферме, откройте сеанс PowerShell с повышенными привилегиями.

  5. Задайте роль для дополнительного компьютера, выполнив следующую команду.

    Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName "<primary-server-FQDN>"

  6. Обновите все конфигурации подсистемы балансировки нагрузки, DNS или сети, чтобы использовать новые серверы федерации, убедившись, что сервер работает. Дополнительные сведения см. в статье "Проверка работы сервера федерации Windows Server 2012 R2".

  7. Удалите роль сервера службы федерации Active Directory с предыдущих серверов, а затем выполните следующую команду, чтобы удалить устаревшие записи.

    Set-AdfsFarmInformation -RemoveNode "<old-server-FQDN>"

Теперь, когда у вас есть новый сервер федерации для фермы и удалены предыдущие, вы готовы обновить FBL. Дополнительные сведения о списании см. в разделе "Действия по отмене эксплуатации серверов AD FS".

Обновление уровня поведения фермы

После сбора сведений о текущей ферме федерации вы будете готовы начать процесс обновления. Чтобы начать обновление, выполните следующие действия.

  1. Войдите на основной сервер федерации, а затем откройте сеанс PowerShell с повышенными привилегиями.

  2. Выполните следующую команду, чтобы проверить, можно ли повысить уровень поведения фермы.

    Test-AdfsFarmBehaviorLevelRaise

  3. Чтобы обновить уровень поведения фермы, выполните следующую команду. Вам будет предложено продолжить работу.

    Invoke-AdfsFarmBehaviorLevelRaise

  4. Проверьте выходные данные команды, чтобы подтвердить успешное выполнение операции. Чтобы проверить новый уровень поведения фермы, выполните следующую команду PowerShell, чтобы вернуть текущие сведения о FBL и узле фермы.

    Get-AdfsFarmInformation

Теперь вы обновили FBL, чтобы соответствовать целевой версии Windows Server. Если вы также используете службу роли прокси веб-приложения Windows Server, перейдите к следующему разделу.

Обновление прокси веб-приложения

Теперь, когда вы обновили FBL, необходимо обновить прокси веб-приложения (WAP) до последнего уровня.

  1. Войдите на недавно развернутый прокси-сервер веб-приложения и откройте сеанс PowerShell с повышенными привилегиями.

  2. Импортируйте сертификат, используемый сертификатом федерации, и запишите отпечаток сертификата.

  3. Чтобы настроить WAP, выполните следующую команду PowerShell, заменив заполнитель <value> собственными значениями. Повторите этот шаг для дополнительных прокси-серверов веб-приложений.

    $trustcred = Get-Credential -Message "<Enter Domain Administrator credentials>"
Install-WebApplicationProxy -CertificateThumbprint "<SSLCertThumbprint>" -FederationServiceName "<FScomputername>" -FederationServiceTrustCredential $trustcred

  4. Чтобы просмотреть текущие подключенные прокси-серверы веб-приложения, выполните следующую команду, запишите ConnectedServerName значения и ConfigurationVersion значения.

    Get-WebApplicationProxyConfiguration

    Примечание.

    Пропустите следующий шаг, если configurationVersion — Windows Server 2016это . Это правильное значение для прокси веб-приложения в Windows Server 2016 и более поздних версий.

  5. Удалите старые прокси-серверы веб-приложения, сохраняя только новые серверы, настроенные на предыдущих шагах, выполнив следующий командлет PowerShell:

    Set-WebApplicationProxyConfiguration -ConnectedServersName "WAPServerName1", "WAPServerName2"

  6. Чтобы обновить ConfigurationVersion серверов WAP, выполните следующую команду PowerShell:

    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion

Вы завершили обновление прокси веб-приложения.

Модель доверия сертификатов с Windows Hello для бизнеса

Если вы используете AD FS в Windows Server 2019 или более поздней версии и Windows Hello для бизнеса в модели доверия сертификатов, может возникнуть следующее сообщение об ошибке журнала событий.

Received invalid Oauth request. The client 'NAME' is forbidden to access the resource with scope 'ugs'.

Чтобы исправить эту проблему, сделайте следующее:

  1. Откройте Консоль управления AD FS. Перейдите к описаниям областей служб>.

  2. Щелкните правой кнопкой мыши описания области и выберите "Добавить описание области".

  3. В поле "Имя" введите ugs и нажмите кнопку "Применить > ОК".

  4. Запустите PowerShell как Администратор istrator и выполните следующие команды.

    $id = (Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
Set-AdfsApplicationPermission -TargetIdentifier $id -AddScope 'ugs'

  5. Перезагрузите службу AD FS.

  6. Перезапустите клиент. Пользователю необходимо настроить Windows Hello для бизнеса.

Следующие шаги

Теперь, когда вы обновили развертывание AD FS, ниже приведены некоторые статьи, которые могут оказаться полезными.