Hallo Leser ;)

Nachdem ich also erfolgreich meinen WAP-Server auf Server 2016 umgezogen habe, steht nun die ADFS-Migration auf Server 2016 an. Meine Umgebung ist nach der Installation des Serversystems für ADFS auf Basis von Server 2016 wie folgt aufgebaut:

ADFS-Migration Serveraufbau

 

Das Betriebssystem ist Windows Server 2016 Technical Preview 4. Ich gehe mal davon aus, dass sich bis zur finalen Version von dem was ich jetzt hier beschreibe nicht allzu viel bis gar nichts ändern wird.

ADFS-Migration

Schritt 1 – ADFS-Server vorbereiten

Wie ich bereits in meinem allerersten Beitrag (Server 2012 R2: Webanwendungsproxy mit Exchange 2013)beschrieben habe, muss ich sowohl ein Zertifikat als auch ein ServiceAccount auf dem Server einrichten. Dieser Beitrag baut zudem auf dem eben genannten Beitrag auf.

  1. das für ADFS ausgestellte Zertifikat auf  dem neuen Server importieren (Bild 2)
  2. Zertifikats-Fingerabdruck herausfinden und kopieren
    dir cert:localmachine\my
  3. Server zum Mitglied der Gruppe „ADFS Server“ machen und System neustarten! (Bild 3)
  4. Managed Service Account installieren:
    1. PowerShell öffnen und RSAT AD PowerShell installieren:
      Install-WindowsFeature RSAT-AD-PowerShell
    2. Managed ServiceAccount installieren:
      Install-ADServiceAccount "ADFS-Service"
    3. Managed ServiceAccount testen:
      Test-ADServiceAccount "ADFS-Service"
    4. Die Abfrage sollte „True“ ergeben! (Bild 4)
  5. Fertig

Schritt 2 – ADFS-Rolle installieren

Nachdem nun alle Vorbereitungen getroffen sind, kann die ADFS-Rolle installiert werden.

  1. PowerShell öffnen
  2. Windows Feature installieren (Bild 5):
    Install-WindowsFeature ADFS-Federation
  3. Rolle konfigurieren mit Hilfe der PowerShell, Zertifikats-Fingerabdruck wird benötigt! (Bild 6):
    Add-AdfsFarmNode -CertificateThumbprint:"FDB348602631A3F64F219FF2F40D2A93D934D38E" -GroupServiceAccountIdentifier:"SICHEL\ADFS-Service$" -PrimaryComputerName:"adfs.sichel.loc"
  4. Rolle wurde erfolgreich konfiguriert (Bild 7)
  5. Fertig

Schritt 3 – ADFS PrimaryRole

In einer ADFS-Farm, unabhängig von der Anzahl der Farmmitglieder, existiert immer ein ADFS-Server mit der Rolle „PrimaryComputer“. Weitere Farmmitglieder gehören der Rolle „SecondaryComputer“ an! (Bild 8)

Um den Weg der ADFS-Migration einzuschlagen, sprich den „alten“ ADFS-Server auf Windows Server 2012 R2 abzulösen, muss ich die Rolle des „PrimaryComputer“ auf ADFS2 verschieben

  1. PowerShell auf ADFS2 öffnen
  2. ADFS2 zum PrimaryComputer heraufstufen und überprüfen (Bild 9):
    Set-AdfsSyncProperties -Role PrimaryComputer
    Get-AdfsSyncProperties
  3. ADFS zum SecondaryComputer herunterstufen (Bild 10):
    Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName adfs2.sichel.loc
  4. Fertig

Bitte daran denken, eventuell vorhandene DNS-Einträge auf den primären Server in der Farm umzustellen ;)

Schritt 4 – ADFS entfernen

Beim vorletzten Punkt der Migration muss nun der „alte“ ADFS-Server entfernt werden:

  1. PowerShell auf ADFS öffnen
  2. ADFS-Rolle entfernen:
    Remove-WindowsFeature ADFS-Federation
  3. Server neu starten
  4. Überprüfung auf ADFS2 (Bild 11):
    Get-AdfsFarmInformation
  5. Fertig

Schritt 5 – ADFS-Schema aktualisieren

Für die Schema-Aktualisierung nicht ganz unwichtig ist die eingesetzte ADFS-Version. Folgende Tabelle zeigt die für das jeweilige Serverbetriebssystem eingesetzte ADFS-version:

Server OS ADFS-Version
Windows Server 2003 R2 ADFS Version 1.0
Windows Server 2008 ADFS Version 1.1
Windows Server 2008 R2 ADFS Version 1.1
Download für Server 2008 / 2008 R2 ADFS Version 2.0
Windows Server 2012 ADFS Version 2.1
Windows Server 2012 R2 ADFS Version 3.0
Windows Server 2016 (TP) ADFS Version 4.0

Damit steht fest, dass das Schema aktualisiert werden kann, da nach dem Entfernen des ADFS auf Server 2012 R2 keine „alte“ ADFS-Version mehr existiert.

Die Aktualisierung erfordert zudem auch die Aktualisierung des AD-Schemas (ForestPrep) von der Windows Server 2016 DVD (x:\support\adprep\)
  1. Schema-Version ausfindig machen (Bild 12):
    Get-AdfsProperties  | fl *farm*
  2. Schema-Version aktualisieren (Bild 13):
    Invoke-AdfsFarmBehaviorLevelRaise
  3. Schema-Version überprüfen (Bild 14):
    Get-AdfsProperties  | fl *farm*
  4. Fertig
 Der Aktualisierungsbefehl funktioniert nur, wenn das Active Directory-Schema passt (auch zu sehen im Bild 13). Active Directory Federarion Services sind nun mal stark im AD integriert. Desweiteren kann es möglich sein, dass die Aktualisierung fehlschlägt, wenn der ServiceAccount nicht über administrative Berechtigungen auf dem Server verfügt. Ich habe dies temporär geändert. Sollte jedoch die Datenbank bereits angelegt worden sein, schlägt der Befehl eventuell erneut fehl, und er muss mit einem „-Force“ wiederholt werden (Bild 15

Damit ist auch diese Migration erfolgreich abgeschlossen. Dies war nicht meine erste ADFS-Migration, jedoch die erste zu Server 2016 und ADFS 4.0. Sollte eine Migration von ADFS 2.0 auf 3.0 / 4.0 erfolgen, so muss noch einiges mehr getan werden: Migrating Active Directory Federation Services Role Service to Windows Server 2012 R2

Der „alte“ Server kann nun nach erfolgreicher ADFS-Migration ausgeschaltet / entfernt werden. Zu guter Letzt steht noch ein Funktionstest an, Login an OWA via Extern über den neuen WAP / ADFS, aber auch der ist selbstverständlich positiv ausgefallen.Funktionstest nach ADFS-Migration

 

Folgender Hinweis noch:

Ist bei der ADFS-Migration alles gut gegangen, so muss am Exchange-Server keine Veränderung vorgenommen werden. Sowohl das  Token-Signing- als auch das Token-Decrypting-Zertifikat ist auf dem neuen ADFS-Server eingespielt und weiterhin gültig (Bild 17).

Viel Erfolg und schon viel Vorfreude auf Teil 3: WAP: Migration auf Server 2016 Teil 3 (DirectAccess Migration)

Administrative Grüße aus Bielefeld

Andi