Compartilhar via

Atualizar um farm do AD FS existente usando o Banco de Dados Interno do Windows

Importante

Em vez de atualizar para a versão mais recente do AD FS, a Microsoft recomenda migrar para o Microsoft Entra ID. Para obter mais informações, confira Recursos para desativar o AD FS

Neste artigo, aprenderá a atualizar o nível de comportamento do farm para AD FS (Serviços de Federação do Active Directory (AD FS)) usando o WID (Banco de Dados Interno do Windows). A partir do Windows Server 2016, o nível de comportamento do farm (FBL) foi introduzido no AD FS. O FBL é uma configuração de todo o farm que determina os recursos que o farm do AD FS pode usar.

Os administradores podem adicionar novos servidores de federação a um farm existente do Windows Server no "modo misto". O modo misto opera no mesmo nível de comportamento do farm que o farm original para garantir um comportamento consistente. Os recursos das versões mais recentes do AD FS do Windows Server não podem ser configurados ou usados.

Pré-requisitos

Antes de atualizar o nível de funcionamento da fazenda, você deve atender aos seguintes pré-requisitos:

  • Determine para qual versão do Windows Server atualizar.

  • Implante a versão de destino do Windows Server em um novo computador, aplique todas as Atualizações do Windows e instale a função de servidor do Serviço de Federação do Active Directory. Para maiores informações, veja Como adicionar um servidor de federação a uma fazenda de servidores de federação existente.

  • Se você também estiver usando o Proxy de Aplicativo Web do Windows Server, implante a versão de destino do Windows Server em um novo computador, aplique todas as Atualizações do Windows e instale a função de servidor de Acesso Remoto e o serviço de função de Proxy de Aplicativo Web. Para obter mais informações, consulte Como trabalhar com o Proxy de Aplicativo Web.

  • Se você estiver atualizando para o AD FS no Windows Server 2016 ou posterior, a atualização do farm exigirá que o esquema do AD tenha pelo menos nível 85. Se você estiver atualizando para o Windows Server AD FS 2019 ou posterior, o esquema do AD deverá ser pelo menos 88. Para obter mais informações sobre como atualizar seu domínio, consulte Atualizar controladores de domínio para uma versão mais recente do Windows Server.

  • Tenha um período de tempo definido planejado para conclusão. Não é recomendável operar um estado de modo misto por um longo período de tempo. Deixar o AD FS em um estado de modo misto pode causar problemas com o farm.

  • Faça backup de seus servidores de federação e configuração do AD FS.

Níveis de comportamento da fazenda

Por padrão, o FBL em um novo farm do AD FS corresponde ao valor da versão do Windows Server do primeiro nó do farm instalado.

Você pode adicionar um servidor do AD FS de uma versão posterior a um cluster com um FBL inferior. A fazenda opera no mesmo FBL que o nós existente. Quando há várias versões do Windows Server operando no mesmo farm com o valor de FBL da versão mais baixa, o farm é "misto". No entanto, não é possível aproveitar os recursos das versões posteriores até que você aumente o FBL. Se a organização estiver procurando testar os novos recursos antes de aumentar o FBL, será necessário implantar um farm separado.

A tabela a seguir lista os possíveis valores FBL e nomes de banco de dados de configuração pela versão do Windows Server.

Versão do Windows Server Valor do FBL Nome do banco de dados de configuração do AD FS
2012 R2 1 AdfsConfiguration
2016 3 AdfsConfigurationV3
2019 e 2022 4 AdfsConfigurationV4

Observação

A atualização do FBL cria um novo banco de dados de configuração do AD FS.

Agora que você entende a finalidade do FBL e concluiu os pré-requisitos, está pronto para analisar o FBL atual.

Para localizar o FBL atual:

  1. Entre no servidor de federação e abra uma sessão do PowerShell com privilégios elevados.

  2. Execute o comando do PowerShell a seguir para retornar as informações atuais do FBL e do nó do farm.

    Get-AdfsFarmInformation

  3. Examine o CurrentFarmBehavior e FarmNodes.

Migrar servidores de federação

Depois de coletar as informações atuais do farm da federação, você estará pronto para iniciar o processo de atualização. Para iniciar a atualização:

  1. Adicione os novos servidores de federação ao seu farm existente. Para maiores informações, veja Como adicionar um servidor de federação a uma fazenda de servidores de federação existente.

  2. Entre no novo servidor de federação e abra uma sessão do PowerShell com privilégios elevados. Se você tiver mais de um servidor, execute este comando apenas em um servidor.

  3. Defina a propriedade de sincronização do servidor de federação para assumir a função de computador primário executando o comando a seguir. Para obter mais informações, consulte Set-AdfsSyncProperties.

    Set-AdfsSyncProperties -Role PrimaryComputer

  4. Acesse qualquer outro servidor de federação na fazenda e abra uma sessão elevada do PowerShell.

  5. Defina a função como o computador secundário executando o comando a seguir.

    Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName "<primary-server-FQDN>"

  6. Atualize qualquer balanceador de carga, DNS ou configurações de rede para usar os novos servidores de federação, verificando se o servidor está operacional. Para obter mais informações, consulte Verificar se o Servidor de Federação do Windows Server 2012 R2 está operacional.

  7. Desinstale a função de servidor do Serviço de Federação do Active Directory dos servidores anteriores e execute o comando a seguir para remover as entradas obsoletas.

    Set-AdfsFarmInformation -RemoveNode "<old-server-FQDN>"

Agora que você tem seu novo servidor de federações para farmar e removeu os anteriores, você está pronto para atualizar o FBL. Para obter mais informações sobre o descomissionamento, consulte Etapas para desativar os servidores do AD FS.

Atualizar o nível de comportamento da fazenda

Depois de coletar as informações atuais do farm da federação, você estará pronto para iniciar o processo de atualização. Para iniciar a atualização:

  1. Entre no servidor de federação principal e abra uma sessão do PowerShell com privilégios elevados.

  2. Execute o seguinte comando para testar se você pode aumentar o nível de comportamento de um farm.

    Test-AdfsFarmBehaviorLevelRaise

  3. Depois de revisar a saída, para atualizar o nível de comportamento do farm, execute o seguinte comando. Você receberá uma solicitação se quiser continuar.

    Invoke-AdfsFarmBehaviorLevelRaise

  4. Examine a saída do comando para confirmar se a operação foi bem-sucedida. Para verificar o novo nível de comportamento do farm, execute o seguinte comando do PowerShell para retornar as informações atuais do FBL e do nó do farm.

    Get-AdfsFarmInformation

Agora você atualizou o FBL para corresponder à sua versão de destino do Windows Server. Se você também estiver usando o serviço de função Proxy de Aplicativo Web do Windows Server, continue para a próxima seção.

Atualizar Proxy de Aplicativo Web

Agora que você atualizou o FBL, precisará atualizar o WAP (Proxy de Aplicativo Web) para o nível mais recente.

  1. Entre no servidor proxy de aplicativo Web recém-implantado e abra uma sessão do PowerShell com privilégios elevados.

  2. Importe o certificado usado pelo certificado de federação e anote a impressão digital do certificado.

  3. Para configurar o WAP, execute o seguinte comando do PowerShell, substituindo o espaço reservado <value> por seus próprios valores. Repita esta etapa para qualquer outro servidor do Web Application Proxy.

    $trustcred = Get-Credential -Message "<Enter Domain Administrator credentials>"
Install-WebApplicationProxy -CertificateThumbprint "<SSLCertThumbprint>" -FederationServiceName "<FScomputername>" -FederationServiceTrustCredential $trustcred

  4. Para revisar os servidores de Proxy de Aplicativo Web atualmente conectados, execute o seguinte comando e anote os valores de ConnectedServerName e ConfigurationVersion.

    Get-WebApplicationProxyConfiguration

    Observação

    Pule a próxima etapa se o ConfigurationVersion estiver com o valor de Windows Server 2016. Esse é o valor correto para o Proxy de Aplicativo Web no Windows Server 2016 e posterior.

  5. Remova servidores proxy de aplicativo Web antigos, mantendo apenas os novos servidores configurados nas etapas anteriores executando o seguinte cmdlet do PowerShell:

    Set-WebApplicationProxyConfiguration -ConnectedServersName "WAPServerName1", "WAPServerName2"

  6. Para atualizar o ConfigurationVersion dos servidores WAP, execute o seguinte comando do PowerShell:

    Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion

Agora você concluiu a atualização do Proxy de Aplicativo Web.

Modelo de confiança de certificado com o Windows Hello para Empresas

Se você estiver usando o AD FS no Windows Server 2019 ou posterior e o Windows Hello para Empresas em um modelo de confiança de certificado, poderá encontrar a seguinte mensagem de erro do log de eventos.

Received invalid Oauth request. The client 'NAME' is forbidden to access the resource with scope 'ugs'.

Para corrigir este erro:

  1. Abra o console de gerenciamento do AD FS. Vá para descrições de escopo de serviços>.

  2. Clique com o botão direito do mouse em Descrições de Escopo e selecione Adicionar Descrição do Escopo.

  3. No campo nome, insira ugs e, em seguida, selecione Aplicar > OK.

  4. Inicie o PowerShell como Administrador e execute os comandos a seguir.

    $id = (Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
Set-AdfsApplicationPermission -TargetIdentifier $id -AddScope 'ugs'

  5. Reinicie o serviço do AD FS.

  6. Reinicie o cliente. O usuário deve ser solicitado a configurar o Windows Hello para Empresas.

Próximas etapas

Agora que você atualizou sua implantação do AD FS, aqui estão alguns artigos que você pode achar úteis.

  • Last updated on