Aggiornare una farm AD FS esistente tramite database interno di Windows

Questo articolo illustra come aggiornare il livello di comportamento della farm per Active Directory Federation Services (AD FS) usando Database interno di Windows (WID). A partire da Windows Server 2016, il livello di comportamento della farm è stato introdotto in AD FS. FBL è un'impostazione a livello di farm che determina le funzionalità che la farm AD FS può usare.

Gli amministratori possono aggiungere nuovi server federativi a una farm di Windows Server esistente in modalità mista. La modalità mista opera allo stesso livello di comportamento della farm originale per garantire un comportamento coerente. Le funzionalità delle versioni più recenti di Windows Server AD FS non possono essere configurate o usate.

Prerequisiti

Prima di poter aggiornare il livello di comportamento della farm, è necessario soddisfare i prerequisiti seguenti:

• Determinare la versione di Windows Server a cui eseguire l'aggiornamento.

• Distribuire la versione di Windows Server di destinazione in un nuovo computer, applicare tutti gli aggiornamenti di Windows e installare il ruolo del server Active Directory Federation Service. Per altre informazioni, vedere Aggiungere un server federativo a una server farm federativa esistente.

• Se si usa anche Windows Server Web Application Proxy, distribuire la versione di Windows Server di destinazione in un nuovo computer, applicare tutti gli aggiornamenti di Windows e installare il ruolo server accesso remoto e il servizio ruolo Proxy applicazione Web. Per altre informazioni, vedere Uso del proxy applicazione Web.

• Se si esegue l'aggiornamento ad AD FS in Windows Server 2016 o versione successiva, l'aggiornamento della farm richiede che lo schema di AD sia almeno di livello 85. Se si esegue l'aggiornamento a in Windows Server AD FS 2019 o versione successiva, lo schema di AD deve essere almeno 88. Per altre informazioni sull'aggiornamento del dominio, vedere Aggiornare i controller di dominio a una versione più recente di Windows Server.

• Disporre di un intervallo di tempo definito pianificato per il completamento. Non è consigliabile usare uno stato in modalità mista per un lungo periodo di tempo. L'uscita di AD FS in uno stato in modalità mista potrebbe causare problemi con la farm.

• Eseguire il backup della configurazione di AD FS e dei server federativi.

Livelli di comportamento dell'azienda agricola

Per impostazione predefinita, il FBL in una nuova farm AD FS corrisponde al valore per la versione di Windows Server del primo nodo della farm installata.

È possibile aggiungere un server AD FS di una versione successiva a una farm con un FBL inferiore. La fattoria opera allo stesso FBL dei nodi esistenti. Quando sono presenti più versioni di Windows Server che operano nella stessa farm con il valore FBL della versione più bassa, la farm è "mista". Tuttavia, non è possibile sfruttare le funzionalità delle versioni successive fino a quando non si genera il FBL. Se l'organizzazione sta cercando di testare le nuove funzionalità prima di generare il file FBL, è necessario distribuire una farm separata.

Nella tabella seguente sono elencati i possibili valori FBL e i nomi dei database di configurazione in base alla versione di Windows Server.

Dopo aver compreso lo scopo del FBL e aver completato i prerequisiti, si è pronti per esaminare il FBL corrente.

Per trovare il tuo FBL corrente:

1. Accedere al server federativo e aprire una sessione di PowerShell con privilegi elevati.

2. Eseguire il comando di PowerShell seguente per restituire le informazioni correnti sul nodo FBL e farm.

   Get-AdfsFarmInformation
   

3. Esamina CurrentFarmBehavior e FarmNodes.

Eseguire la migrazione dei server federativi

Dopo aver raccolto le informazioni della farm federativa corrente, è possibile iniziare il processo di aggiornamento. Per iniziare l'aggiornamento:

1. Aggiungere il nuovo server federativo alla farm esistente. Per altre informazioni, vedere Aggiungere un server federativo a una server farm federativa esistente.

2. Accedere al nuovo server federativo, quindi aprire una sessione di PowerShell con privilegi elevati. Se sono presenti più server, eseguire questo comando solo in un server.

3. Impostare la proprietà di sincronizzazione del server federativo per assumere il ruolo di computer primario eseguendo il comando seguente. Per altre informazioni, vedere Set-AdfsSyncProperties.

   Set-AdfsSyncProperties -Role PrimaryComputer
   

4. Accedere a qualsiasi altro server federativo nella farm, aprire una sessione di PowerShell con privilegi elevati.

5. Impostare il ruolo come computer secondario eseguendo il comando seguente.

   Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName "<primary-server-FQDN>"
   

6. Aggiornare eventuali configurazioni di bilanciamento del carico, DNS o di rete per usare i nuovi server federativi, verificando che il server sia operativo. Per altre informazioni, vedere Verificare che Windows Server 2012 R2 Federation Server sia operativo.

7. Disinstallare il ruolo del server Active Directory Federation Service dai server precedenti, quindi eseguire il comando seguente per rimuovere le voci non aggiornate.

   Set-AdfsFarmInformation -RemoveNode "<old-server-FQDN>"
   

Dopo aver creato il nuovo server federativo nella farm e aver rimosso quelli precedenti, sei pronto per aggiornare il FBL. Per ulteriori informazioni sulla disattivazione, vedere Passaggi per disattivare i server AD FS.

Aggiornare il livello di comportamento della farm

Dopo aver raccolto le informazioni della farm federativa corrente, è possibile iniziare il processo di aggiornamento. Per iniziare l'aggiornamento:

1. Accedere al server federativo primario, quindi aprire una sessione di PowerShell con privilegi elevati.

2. Eseguire il comando seguente per verificare se è possibile aumentare il livello di comportamento di una farm.

   Test-AdfsFarmBehaviorLevelRaise
   

3. Dopo che è stato esaminato l'output, per aggiornare il livello di comportamento della farm, eseguire il comando seguente. Verrà chiesto se si desidera continuare.

   Invoke-AdfsFarmBehaviorLevelRaise
   

4. Esaminare l'output del comando per verificare che l'operazione sia riuscita. Per verificare il nuovo livello di comportamento della farm, eseguire il comando di PowerShell seguente per restituire le informazioni correnti sul nodo FBL e farm.

   Get-AdfsFarmInformation
   

Il file FBL è stato aggiornato in modo che corrisponda alla versione di Windows Server di destinazione. Se stai usando anche il ruolo di servizio Proxy applicazione Web di Windows Server, passa alla sezione successiva.

Aggiornare il Proxy dell'applicazione web

Dopo aver aggiornato il file FBL, è necessario aggiornare il proxy applicazione Web (WAP) al livello più recente.

1. Accedere al server proxy applicazione Web appena distribuito e aprire una sessione di PowerShell con privilegi elevati.

2. Importare il certificato usato dal certificato della federazione e prendere nota dell'impronta digitale del certificato.

3. Per configurare WAP, eseguire il comando di PowerShell seguente, sostituendo il segnaposto <value> con i propri valori. Ripetere questo passaggio per altri server di Web Application Proxy.

   $trustcred = Get-Credential -Message "<Enter Domain Administrator credentials>"
   Install-WebApplicationProxy -CertificateThumbprint "<SSLCertThumbprint>" -FederationServiceName "<FScomputername>" -FederationServiceTrustCredential $trustcred
   

4. Per esaminare i server proxy dell'applicazione Web attualmente connessi, eseguire il comando seguente, prendere nota dei valori ConnectedServerName e ConfigurationVersion.

   Get-WebApplicationProxyConfiguration
   

   Nota

   Ignorare il passaggio successivo se la versione di configurazione (ConfigurationVersion) è Windows Server 2016. Questo è il valore corretto per Proxy applicazione Web in Windows Server 2016 e versioni successive.

5. Rimuovere i server proxy applicazione Web precedenti, mantenendo solo i nuovi server configurati nei passaggi precedenti eseguendo il cmdlet di PowerShell seguente:

   Set-WebApplicationProxyConfiguration -ConnectedServersName "WAPServerName1", "WAPServerName2"
   

6. Per aggiornare ConfigurationVersion dei server WAP, eseguire il comando di PowerShell seguente:

   Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
   

L'aggiornamento del proxy applicazione Web è stato completato.

Modello di attendibilità dei certificati con Windows Hello for Business

Se si usa AD FS in Windows Server 2019 o versione successiva e Windows Hello for Business in un modello di attendibilità dei certificati, è possibile che venga visualizzato il seguente messaggio di errore del registro eventi.

Received invalid Oauth request. The client 'NAME' is forbidden to access the resource with scope 'ugs'.

Per correggere l'errore:

1. Aprire la console di gestione di AD FS. Passare a Descrizioni dell'ambito dei servizi>.

2. Fare clic con il pulsante destro del mouse su Descrizioni ambito e scegliere Aggiungi descrizione ambito.

3. In nome immettere ugs e quindi selezionare Applica > OK.

4. Avviare PowerShell come amministratore ed eseguire i comandi seguenti.

   $id = (Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
   Set-AdfsApplicationPermission -TargetIdentifier $id -AddScope 'ugs'
   

5. Riavviare il servizio AD FS.

6. Riavviare il client. All'utente deve essere richiesto di configurare Windows Hello for Business.

Passaggi successivi

Dopo aver aggiornato la distribuzione di AD FS, ecco alcuni articoli che potrebbero risultare utili.

• Verificare che un server federativo sia operativo
• Verificare che un proxy server federativo sia operativo
• Operazioni di AD FS