Bonjour à tous, aujourd'hui nous allons démarrer une série d'articles pour migrer les services utilisés pour Office 365.
L’objectif est de changer de système d'exploitation pour plus de sécurité et de pouvoir profiter des nouvelles fonctionnalités qu'apportent les dernières versions.
Les migrations ci-dessous seront donc effectuées et décrites sur plusieurs articles.
- Migration ADFS de la version Windows 2012 R2 vers Windows Server 2019.
- Migration Azure AD Connect de la version Windows 2012 R2 vers Windows Server 2019.
- Migration reverse proxy WAP de la version Windows 2012 R2 vers Windows Server 2019.
- Migration du serveur Exchange 2013 en mode Hybride vers un serveur Windows Server 2019 avec Exchange 2019.
Le premier article ci-dessous concerne donc la mise à jour de notre serveur ADFS en Windows 2012 R2 Server vers un nouveau serveur ADFS en Windows 2019 Server.
Ci-dessous le rappel de notre architecture avec nos serveurs .
Le plan de migration sera le suivant:
- Sauvegarde ADFS
- Import nouveau certificat sur le futur serveur ADFS.
- Ajout du nouveau serveur ADFS à la ferme (mode mixte).
- Modifier le serveur ADFS par défaut.
- Reconfigurer le WAP.
- Mise à jour du Schéma en version 88 (Windows 2019).
- Suppression de l'ancien serveur ADFS 2012.
- Augmenter le niveau de comportement de la batterie (FBL).
- Test du bon fonctionnement.
Dans un premier temps comme toujours, avant toutes migrations nous devons avoir une sauvegarde.
Il faudra sauvegarder la machine virtuelle et en plus nous allons sauvegarder la structure "ADFS" avec l'utilitaire "ADFS Rapid Restore Tool"
L'utilitaire est téléchargeable sur le lien suivant: https://www.microsoft.com/en-us/download/details.aspx?id=56569
L'installation est toute simple, il vous suffit de lancer le MSI précédemment téléchargé et de suivre les écrans ci-dessous.
Une fois l'installation terminée nous allons lancer une console Powershell sur le serveur ADFS.
Nous allons ensuite importer le module de sauvegarde avec la commande suivante:
Import-Module 'C:\Program Files (x86)\ADFS Rapid Recreation Tool\ADFSRapidRecreationTool.dll'
Nous vérifions ensuite le bon import avec la commande "Get-Module"
Nous allons maintenant lancer la sauvegarde de notre serveur ADFS avec la commande suivante:
Backup-ADFS -StorageType "FileSystem" -StoragePath C:\temp\backup_ADFS -EncryptionPassword "Password@123" -BackupComment "Backup_ADFS" -BackupDKM
La sauvegarde s'est terminée correctement (j'ai juste une erreur sur le certificat mais lié à un bug sur ma machine virtuelle, mais cela ne pose pas de problème car mon certificats est déjà sauvegardé).
On peut vérifier le bon export de la sauvegarde.
Nous allons maintenant nous positionner sur le nouveau serveur "ADFS2019" (voir schéma plus haut).
Nous allons importer notre certificat sur notre serveur.
Le certificat a correctement été importé.
Sur ce même serveur, nous allons maintenant ajouter le rôle "ADFS".
Le fait d'installer un serveur ADFS en Windows 2019 Server dans une ferme avec un serveur ADFS en Windows 2012 R2 est un mode appelé ferme ADFS en mode mixte.
Nous avons un serveur plus récent mais nous ne pourrons pas utiliser les dernières fonctionnalités tant que nous possédons des serveurs ADFS en "Windows 2012 R2" dans notre ferme.
Une fois l'installation terminée, nous allons pouvoir configurer notre serveur pour l'ajouter dans la ferme existante.
Cocher "Ajouter un serveur de fédération à une batterie de serveurs de fédération"
Ajouter un compte ayant des droits "admin du domaine" sur l'Active Directory.
Entrer le nom de "serveur de fédération principal", pour ma part "adfs.dude16.fr"
Sélectionner le certificat précédemment importé.
Entrer votre compte service ADFS.
Comme toujours, je vous recommande d'utiliser les comptes de services "gMSA" (https://ffo365.blogspot.com/2018/12/mise-en-place-de-comptes-gmsa.html)
Nous avons également la possibilité d'afficher le script de configuration de l'ADFS.
Pas d'erreurs sur les "conditions préalables".
Une fois la configuration terminée, il faudra redémarrer le serveur.
Nous allons nous connecter à nouveau sur le nouveau serveur ADFS et passer ce serveur en "Serveur ADFS principal"
Pour cela, lancer la commande suivante:
"Set-AdfsSyncProperties -Role PrimaryComputer "
Sur le serveur ADFS d'origine, nous allons lui indiquer qui est le nouveau serveur principal avec la commande suivante:
"Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName ADFS2019"
Nous vérifions sur le nouveau serveur qu'il possède bien le rôle principal.
"Get-AdfsSyncProperties"
Nous vérifions également sur le serveur d'origine avec la commande suivante:
"Get-AdfsSyncProperties"
Nous allons devoir reconfigurer notre reverse proxy "WAP"
Lancer une console "PowerShell" sur le serveur "WAP" et lancer la commande suivante pour récupérer le "Certificate Thumbprint"
"dir Cert:\LocalMachine\My\"
lancer ensuite les lignes de commandes suivantes:
$trustcred = Get-Credential -Message "Enter Domain Administrator credentials"
Install-WebApplicationProxy -CertificateThumbprint "EE94546695BB75C11B4AB78E6FF49BB5285FF580" -FederationServiceName adfs.dude16.fr -FederationServiceTrustCredential $trustcred
Restart-Service adfssrv
Il faudra vous authentifier avec votre compte de service ADFS.
La reconfiguration c'est correctement terminée.
Lorsque nous mettons à niveau une ferme ADFS, il est impératif de mettre à jour notre Schéma Active Directory.
Pour cela, insérer l'iso de système "Windows Server 2019" et lancer la commande suivante:
"adprep /forestprep"
Même chose pour le domaine.
"adprep /domainprep"
Une fois la mise à jour du schéma terminée, nous allons nous connecter sur notre serveur "Azure AD Connect" et "Actualisé le schéma de l'annuaire"
Vérifier le bon fonctionnement de votre ADFS.
Nous allons maintenant supprimer notre ancien serveur ADFS pour le supprimer de la ferme.
Nous avons deux solutions:
- Le supprimer de la ferme avec la commande "Set-AdfsFarmInformation -RemoveNode "adfs2012.labdude.local""
- En désinstallant le rôle ADFS en mode graphique (ce que l'on va faire) ou en PowerShell avec la commande "Uninstall-WindowsFeature adfs-federation -IncludeManagementTools"
La désinstallation du rôle ADFS sur l'ancien serveur Windows 2012 R2 est maintenant terminée.
Nous allons maintenant donc pouvoir augmenter le niveau fonctionnel de la ferme ADFS avec la commande suivante:
"Invoke-AdfsFarmBehaviorLevelRaise"
Nous vérifions le bon fonctionnement avec la commande suivante:
"Get-AdfsFarmInformation"
Nous vérifions le bon fonctionnement du portail ADFS.
Dans cet article nous avons pu voir la migration d'une ferme ADFS 201R2 vers une ferme ADFS 2019.
A très bientôt pour la suite de nos migrations. 😉😊
Aucun commentaire:
Enregistrer un commentaire