Atualizar um farm do AD FS existente usando o Banco de Dados Interno do Windows

Neste artigo, você aprenderá a atualizar o nível de comportamento do farm para os Serviços de Federação do Ative Directory (AD FS) usando o Banco de Dados Interno do Windows (WID). A partir do Windows Server 2016, o nível de comportamento do farm (FBL) foi introduzido no AD FS. A FBL é uma configuração em todo o farm que determina os recursos que o farm do AD FS pode usar.

Os administradores podem adicionar novos servidores de federação a um farm existente do Windows Server em "modo misto". O modo misto opera no mesmo nível de comportamento do farm original para garantir um comportamento consistente. Os recursos das versões mais recentes do AD FS do Windows Server não podem ser configurados ou usados.

Prerequisites

Antes de atualizar o nível de comportamento do farm, você deve atender aos seguintes pré-requisitos:

• Determine para qual versão do Windows Server atualizar.

• Implante a versão de destino do Windows Server em um novo computador, aplique todas as Atualizações do Windows e instale a função de servidor Serviço de Federação do Ative Directory. Para obter mais informações, consulte Adicionar um servidor de federação a um grupo de servidores de federação existente.

• Se você também estiver usando o Proxy de Aplicativo Web do Windows Server, implante a versão de destino do Windows Server em um novo computador, aplique todas as Atualizações do Windows e instale a função de servidor Acesso Remoto e o serviço de função Proxy de Aplicativo Web. Para obter mais informações, consulte Trabalhando com proxy de aplicativo Web.

• Se estiveres a atualizar para o AD FS no Windows Server 2016 ou posterior, a atualização do grupo de servidores exigirá que o esquema do AD tenha pelo menos o nível 85. Se estiver a atualizar para o Windows Server AD FS 2019 ou versões posteriores, o esquema de AD deverá ser no mínimo 88. Para obter mais informações sobre como atualizar seu domínio, consulte Atualizar controladores de domínio para uma versão mais recente do Windows Server.

• Tenha um prazo definido para a conclusão. Não é recomendado operar um estado de modo misto por um longo período de tempo. Deixar o AD FS em modo misto pode causar problemas com a fazenda.

• Faça backup dos servidores de configuração e federação do AD FS.

Níveis de comportamento do farm

Por predefinição, a FBL num novo farm de AD FS corresponde ao valor da versão do Windows Server do primeiro nó do farm instalado.

Você pode integrar um servidor AD FS de uma versão mais recente num farm com um nível de FBL inferior. O farm opera na mesma FBL que o(s) nó(s) existente(s). Quando tem múltiplas versões do Windows Server a operar na mesma farm com o valor FBL da versão mais baixa, a sua farm é "mista". No entanto, não pode aproveitar as funcionalidades das versões mais recentes até aumentar o valor da FBL. Se sua organização está procurando testar os novos recursos antes de criar a FBL, você precisa implantar um farm separado.

A tabela a seguir lista os possíveis valores FBL e nomes de banco de dados de configuração por versão do Windows Server.

Agora que você entendeu o propósito da FBL e completou os pré-requisitos, está pronto para rever sua FBL atual.

Para encontrar a sua FBL atual:

1. Entre no servidor de federação e abra uma sessão do PowerShell com privilégios elevados.

2. Execute o seguinte comando do PowerShell para obter as informações atuais sobre o FBL e o nó da rede de servidores.

   Get-AdfsFarmInformation
   

3. Analise o CurrentFarmBehavior e FarmNodes.

Migrar servidores de federação

Depois de coletar as informações atuais do farm de federação, você estará pronto para iniciar o processo de atualização. Para iniciar a atualização:

1. Adicione o(s) novo(s) servidor(es) de federação ao farm existente. Para obter mais informações, consulte Adicionar um servidor de federação a um grupo de servidores de federação existente.

2. Entre no novo servidor de federação e abra uma sessão do PowerShell com privilégios elevados. Se você tiver mais de um servidor, execute esse comando apenas em um servidor.

3. Defina a propriedade de sincronização do servidor de federação para assumir a função de computador principal executando o seguinte comando. Para obter mais informações, consulte Set-AdfsSyncProperties.

   Set-AdfsSyncProperties -Role PrimaryComputer
   

4. Entre em qualquer outro servidor de federação no farm, abra uma sessão do PowerShell com privilégios elevados.

5. Defina a função como o computador secundário executando o seguinte comando.

   Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName "<primary-server-FQDN>"
   

6. Atualize qualquer balanceador de carga, DNS ou configurações de rede para usar os novos servidores de federação, verificando se o servidor está operacional. Para obter mais informações, consulte Verificar se o servidor de federação do Windows Server 2012 R2 está operacional.

7. Desinstale a função de servidor Serviço de Federação do Ative Directory dos servidores anteriores e execute o seguinte comando para remover as entradas obsoletas.

   Set-AdfsFarmInformation -RemoveNode "<old-server-FQDN>"
   

Agora que possui um novo servidor de federações para utilizar e removeu os anteriores, está pronto para atualizar o FBL. Para obter mais informações sobre descomissionamento, consulte Etapas para encerrar seus servidores AD FS.

Atualizar o nível de comportamento do farm

Depois de coletar as informações atuais do farm de federação, você estará pronto para iniciar o processo de atualização. Para iniciar a atualização:

1. Entre no servidor de federação principal e abra uma sessão do PowerShell com privilégios elevados.

2. Execute o comando a seguir para testar se é possível elevar o nível de operação de uma granja.

   Test-AdfsFarmBehaviorLevelRaise
   

3. Depois de revisar a saída, para atualizar o nível de comportamento do farm, execute o seguinte comando. Você será perguntado se deseja continuar.

   Invoke-AdfsFarmBehaviorLevelRaise
   

4. Revise a saída do comando para confirmar que a operação foi bem-sucedida. Para verificar o novo nível de comportamento do farm, execute o seguinte comando do PowerShell para retornar as informações atuais do FBL e do nó do farm.

   Get-AdfsFarmInformation
   

Agora você atualizou sua FBL para corresponder à sua versão de destino do Windows Server. Se você também estiver usando o serviço de função Proxy de Aplicativo Web do Windows Server, continue para a próxima seção.

Atualizar proxy de aplicativo Web

Agora que você atualizou seu FBL, você precisa atualizar o Web Application Proxy (WAP) para o nível mais recente.

1. Entre no servidor Proxy de Aplicativo Web recém-implantado e abra uma sessão do PowerShell com privilégios elevados.

2. Importe o certificado usado pelo certificado de federação e anote a impressão digital do certificado.

3. Para configurar o WAP, execute o seguinte comando do PowerShell, substituindo o espaço reservado <value> por seus próprios valores. Repita esta etapa para quaisquer outros servidores de Proxy de Aplicação Web.

   $trustcred = Get-Credential -Message "<Enter Domain Administrator credentials>"
   Install-WebApplicationProxy -CertificateThumbprint "<SSLCertThumbprint>" -FederationServiceName "<FScomputername>" -FederationServiceTrustCredential $trustcred
   

4. Para revisar os servidores Proxy de Aplicação Web conectados atuais, execute o seguinte comando e observe os valores ConnectedServerName e ConfigurationVersion.

   Get-WebApplicationProxyConfiguration
   

   Note

   Ignore a próxima etapa se ConfigurationVersion for Windows Server 2016. Este é o valor correto para o Proxy de Aplicativo Web no Windows Server 2016 e posterior.

5. Remova os servidores Proxy de Aplicativo Web antigos, mantendo apenas os novos servidores configurados nas etapas anteriores executando o seguinte cmdlet do PowerShell:

   Set-WebApplicationProxyConfiguration -ConnectedServersName "WAPServerName1", "WAPServerName2"
   

6. Para atualizar a ConfigurationVersion dos servidores WAP, execute o seguinte comando do PowerShell:

   Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
   

Agora você concluiu a atualização do Proxy de Aplicativo Web.

Modelo de confiança de certificado com o Windows Hello for Business

Se estiver a utilizar o AD FS no Windows Server 2019 ou posterior e o Windows Hello para Empresas num modelo de confiança de certificado, poderá encontrar a seguinte mensagem de erro do registo de eventos.

Received invalid Oauth request. The client 'NAME' is forbidden to access the resource with scope 'ugs'.

Para corrigir este erro:

1. Abra o console de gerenciamento do AD FS. Vá para Descrições do escopo de serviços>.

2. Clique com o botão direito do mouse em Descrições do Escopo e selecione Adicionar Descrição do Escopo.

3. Em nome, digite ugs e selecione Aplicar > OK.

4. Inicie o PowerShell como Administrador e execute os seguintes comandos.

   $id = (Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
   Set-AdfsApplicationPermission -TargetIdentifier $id -AddScope 'ugs'
   

5. Reinicie o serviço AD FS.

6. Reinicie o cliente. O usuário deve ser solicitado a configurar o Windows Hello for Business.

Próximos passos

Agora que você atualizou sua implantação do AD FS, aqui estão alguns artigos que você pode achar úteis.

• Verifique se um servidor de federação está operacional
• Verifique se um proxy do servidor de federação está operacional
• Operações do AD FS