- Миграция сервера федерации AD FS 2,0 в AD FS в Windows Server 2012 R2 Migrate the AD FS 2.0 federation server to AD FS on Windows Server 2012 R2
- Экспорт данных конфигурации AD FS и создание их резервной копии Export and backup the AD FS configuration data
- Экспорт параметров службы To export service settings
- Экспорт отношений доверия с поставщиком утверждений и отношений доверия с проверяющей стороной To export claims provider trusts and relying party trusts
- Создание резервных копий пользовательских хранилищ атрибутов To back up custom attribute stores
- Создание фермы сервера федерации Windows Server 2012 R2 Create a Windows Server 2012 R2 federation server farm
- Импорт исходных данных конфигурации в ферму AD FS Windows Server 2012 R2 Import the original configuration data into the Windows Server 2012 R2 AD FS farm
Миграция сервера федерации AD FS 2,0 в AD FS в Windows Server 2012 R2 Migrate the AD FS 2.0 federation server to AD FS on Windows Server 2012 R2
Чтобы перенести сервер AD FS Федерации, который входит в ферму AD FS с одним узлом, ферму WIF или SQL Server ферму на Windows Server 2012 R2, необходимо выполнить следующие задачи. To migrate an AD FS federation server that belongs to a single-node AD FS farm, a WIF farm, or a SQL Server farm to Windows Server 2012 R2, you must perform the following tasks:
Экспорт данных конфигурации AD FS и создание их резервной копии Export and backup the AD FS configuration data
Чтобы экспортировать параметры конфигурации AD FS, необходимо выполнить следующие процедуры: To export the AD FS configuration settings, perform the following procedures:
Экспорт параметров службы To export service settings
Убедитесь, что у вас есть доступ к следующим сертификатам и их закрытым ключам в PFX-файле: Make sure that you have access to the following certificates and their private keys in a .pfx file:
SSL-сертификат, используемый фермой серверов федерации, которую нужно перенести; The SSL certificate that is used by the federation server farm that you want to migrate
сертификат для связи со службой (если он не совпадает с SSL-сертификатом), используемый фермой серверов федерации, которую нужно перенести; The service communication certificate (if it is different from the SSL certificate) that is used by the federation server farm that you want to migrate
все сертификаты для подписи маркера или сертификаты для шифрования или расшифровки, используемые фермой серверов федерации, которую нужно перенести. All third-party party token-signing or token-encryption/decryption certificates that are used by the federation server farm that you want to migrate
Чтобы найти SSL-сертификат, откройте консоль управления служб IIS, выберите на левой панели элемент Веб-сайт по умолчанию , щелкните элемент Привязки… To find the SSL certificate, open the Internet Information Services (IIS) management console, Select Default Web Site in the left pane, click Bindings… на панели Действие , найдите и выберите HTTPS-привязки, нажмите Изменить, а затем — Просмотр. in the Action pane, find and select the https binding, click Edit, and then click View.
Вам нужно экспортировать SSL-сертификат, используемый службой федерации, и его закрытый ключ в PFX-файл. You must export the SSL certificate used by the federation service and its private key to a .pfx file. Дополнительные сведения см. в разделе Export the Private Key Portion of a Server Authentication Certificate. For more information, see Export the Private Key Portion of a Server Authentication Certificate.
Если вы планируете развернуть службу регистрации устройств как часть работы AD FS в Windows Server 2012 R2, необходимо получить новый SSL-сертификат. Дополнительные сведения см. в статье Регистрация SSL-сертификата для AD FS и Настройка сервера федерации с помощью службы регистрации устройств. If you plan to deploy the Device Registration Service as part of running your AD FS in Windows Server 2012 R2, you must obtain a new SSL cert. For more information, see Enroll an SSL Certificate for AD FS and Configure a federation server with Device Registration Service.
Чтобы просмотреть используемые сертификаты для подписи маркеров и для связи со службой, создайте список всех используемых сертификатов в отдельном файле с помощью следующей команды Windows PowerShell: To view the token signing, token decryption and service communication certificates that are used, run the following Windows PowerShell command to create a list of all certificates in use in a file:
- Экспортируйте такие свойства службы федерации AD FS, как имя службы федерации, отображаемое имя службы федерации и идентификатор службы федерации в файл. Export AD FS federation service properties, such as the federation service name, federation service display name, and federation server identifier to a file.
Чтобы экспортировать свойства службы федерации, откройте Windows PowerShell и выполните следующую команду: To export federation service properties, open Windows PowerShell and run the following command:
Выходной файл будет содержать следующие важные значения конфигурации: The output file will contain the following important configuration values:
| Имя свойства службы федерации, возвращенное командой Get-ADFSPropertiesFederation Service Property name as reported by Get-ADFSProperties | Имя свойства службы федерации в консоли управления AD FSFederation Service Property name in AD FS management console |
|---|---|
| HostName HostName | Имя службы федерации Federation Service name |
| Идентификатор Identifier | Идентификатор службы федерации Federation Service identifier |
| DisplayName DisplayName | Отображаемое имя службы федерации Federation Service display name |
- Создайте резервную копию файла конфигурации приложения. Back up the application configuration file. Вместе с другими параметрами этот файл содержит строку подключения к базе данных политик. Among other settings, this file contains the policy database connection string.
Чтобы создать резервную копию файла конфигурации приложения, необходимо вручную скопировать файл %programfiles%\Active Directory Federation Services 2.0\Microsoft.IdentityServer.Servicehost.exe.config в надежное расположение на резервном сервере. To back up the application configuration file, you must manually copy the %programfiles%\Active Directory Federation Services 2.0\Microsoft.IdentityServer.Servicehost.exe.config file to a secure location on a backup server.
Запишите строку подключения к базе данных, которая находится в этом файле сразу после строки «policystore connectionstring=». Make note of the database connection string in this file, located immediately after “policystore connectionstring=”. Если эта строка подключения указывает на базу данных SQL Server, то это значение понадобится при восстановлении исходной конфигурации AD FS на сервере федерации. If the connection string specifies a SQL Server database, the value is needed when restoring the original AD FS configuration on the federation server.
Ниже приводится пример строки подключения к базе данных WID: “Data Source=\\.\pipe\mssql$microsoft##ssee\sql\query;Initial Catalog=AdfsConfiguration;Integrated Security=True» . The following is an example of a WID connection string: “Data Source=\\.\pipe\mssql$microsoft##ssee\sql\query;Initial Catalog=AdfsConfiguration;Integrated Security=True» . Следующий пример — строка подключения к базе данных SQL Server: «Data Source=databasehostname;Integrated Security=True» . The following is an example of a SQL Server connection string: «Data Source=databasehostname;Integrated Security=True» .
- Запишите удостоверение учетной записи службы федерации AD FS и пароль этой учетной записи. Record the identity of the AD FS federation service account and the password of this account.
Чтобы найти значение удостоверения, просмотрите столбец Вход от имени****службы Windows AD FS 2.0 в консоли Службы. Запишите это значение. To find the identity value, examine the Log On As column of AD FS 2.0 Windows Service in the Services console and manually record this value.
Для автономной службы федерации используется встроенная учетная запись NETWORK SERVICE. For a stand-alone federation service, the built-in NETWORK SERVICE account is used. В этом случае пароль не нужен. In this case, you do not need to have a password.
- Экспортируйте список задействованных конечных точек AD FS в файл. Export the list of enabled AD FS endpoints to a file.
Для этого откройте Windows PowerShell и выполните следующую команду: To do this, open Windows PowerShell and run the following command:
- Экспортируйте все пользовательские описания утверждений в файл. Export any custom claim descriptions to a file.
Для этого откройте Windows PowerShell и выполните следующую команду: To do this, open Windows PowerShell and run the following command:
- Если в файле web.config настроены особые параметры, например useRelayStateForIdpInitiatedSignOn, обязательно сохраните резервную копию файла web.config для справки. If you have custom settings such as useRelayStateForIdpInitiatedSignOn configured in the web.config file, ensure you back up the web.config file for reference. Этот файл можно скопировать из каталога, соответствующего виртуальному пути «/adfs/ls» в IIS. You can copy the file from the directory that is mapped to the virtual path “/adfs/ls” in IIS. По умолчанию он находится в каталоге %systemdrive%\inetpub\adfs\ls. By default, it is in the %systemdrive%\inetpub\adfs\ls directory.
Экспорт отношений доверия с поставщиком утверждений и отношений доверия с проверяющей стороной To export claims provider trusts and relying party trusts
- Чтобы экспортировать AD FS доверия поставщиков утверждений и отношения доверия с проверяющей стороной, необходимо войти в систему с учетной записью администратора (но не администратора домена) на сервере федерации и запустить следующий сценарий Windows PowerShell, расположенный в папке Media/server_support/адфс установочного компакт-диска Windows Server 2012 R2: export-federationconfiguration.ps1 . To export AD FS claims provider trusts and relying party trusts, you must log in as Administrator (however, not as the Domain Administrator) onto your federation server and run the following Windows PowerShell script that is located in the media/server_support/adfs folder of the Windows Server 2012 R2 installation CD: export-federationconfiguration.ps1 .
Сценарий экспорта принимает следующие параметры: The export script takes the following parameters:
Export-FederationConfiguration.ps1-Path [-ComputerName ] [-Credential
] [-Force] [-CertificatePassword ] Export-FederationConfiguration.ps1 -Path [-ComputerName ] [-Credential
- Export-FederationConfiguration.ps1-Path [-ComputerName ] [-Credential
] [-Force] [-CertificatePassword ] [-релингпартитрустидентифиер ] [-клаимспровидертрустидентифиер ] Export-FederationConfiguration.ps1 -Path [-ComputerName ] [-Credential
] [-Force] [-CertificatePassword ] [-RelyingPartyTrustIdentifier ] [-ClaimsProviderTrustIdentifier ]
Export-FederationConfiguration.ps1-Path [-ComputerName ] [-Credential
] [-Force] [-CertificatePassword ] [-релингпартитрустнаме ] [-клаимспровидертрустнаме ] Export-FederationConfiguration.ps1 -Path [-ComputerName ] [-Credential
] [-Force] [-CertificatePassword ] [-RelyingPartyTrustName ] [-ClaimsProviderTrustName ]
-RelyingPartyTrustIdentifier — командлет экспортирует только те отношения доверия с проверяющей стороной, идентификаторы которых указаны в массиве строк. -RelyingPartyTrustIdentifier — the cmdlet only exports relying party trusts whose identifiers are specified in the string array. Значение по умолчанию NONE, то есть не экспортируется ни одно отношение доверия с проверяющей стороной. The default is to export NONE of the relying party trusts. Если не указаны параметры RelyingPartyTrustIdentifier, ClaimsProviderTrustIdentifier, RelyingPartyTrustName и ClaimsProviderTrustName, сценарий экспортирует все отношения доверия с проверяющей стороной и отношения доверия с поставщиком утверждений. If none of RelyingPartyTrustIdentifier, ClaimsProviderTrustIdentifier, RelyingPartyTrustName, and ClaimsProviderTrustName is specified, the script will export all relying party trusts and claims provider trusts.
-ClaimsProviderTrustIdentifier — командлет экспортирует только те отношения доверия с поставщиком утверждений, идентификаторы которых указаны в массиве строк. -ClaimsProviderTrustIdentifier — the cmdlet only exports claims provider trusts whose identifiers are specified in the string array. Значение по умолчанию NONE, то есть не экспортируется ни одно отношение доверия с поставщиком утверждений. The default is to export NONE of the claims provider trusts.
-RelyingPartyTrustName — командлет экспортирует только те отношения доверия с проверяющей стороной, имена которых указаны в массиве строк. -RelyingPartyTrustName — the cmdlet only exports relying party trusts whose names are specified in the string array. Значение по умолчанию NONE, то есть не экспортируется ни одно отношение доверия с проверяющей стороной. The default is to export NONE of the relying party trusts.
-ClaimsProviderTrustName — командлет экспортирует только те отношения доверия с поставщиком утверждений, имена которых указаны в массиве строк. -ClaimsProviderTrustName — the cmdlet only exports claims provider trusts whose names are specified in the string array. Значение по умолчанию NONE, то есть не экспортируется ни одно отношение доверия с поставщиком утверждений. The default is to export NONE of the claims provider trusts.
-Path — путь к папке, которая будет содержать экспортированные файлы. -Path — the path to a folder that will contain the exported files.
-ComputerName — Указывает имя узла сервера STS. -ComputerName — specifies the STS server host name. По умолчанию это локальный компьютер. The default is the local computer. При переносе AD FS 2.0 или AD FS в Windows Server 2012 на AD FS в Windows Server 2012 R2 здесь указывается имя компьютера, на котором установлен сервер AD FS прежних версий. If you are migrating AD FS 2.0 or AD FS in Windows Server 2012 to AD FS in Windows Server 2012 R2, this is the host name of the legacy AD FS server.
— Указывает учетную запись пользователя, имеющую разрешение на выполнение этого действия. -Credential
— specifies a user account that has permission to perform this action. По умолчанию используется текущий пользователь. The default is the current user.
-Force — запрещает вывод запросов на подтверждение для пользователя. -Force – specifies to not prompt for user confirmation.
-CertificatePassword — Указывает пароль для экспорта закрытых ключей сертификатов AD FS. -CertificatePassword — specifies a password for exporting AD FS certificates’ private keys. Если этот параметр не определен, то при необходимости экспортировать сертификат AD FS с закрытым ключом сценарий выведет запрос на ввод пароля. If not specified, the script will prompt for a password if an AD FS certificate with private key needs to be exported.
Inputs: None Inputs: None
Outputs: string — командлет возвращает путь к папке экспорта. Outputs: string — this cmdlet returns the export folder path. Возвращаемый объект можно передать методу Import-FederationConfiguration. You can pipe the returned object to Import-FederationConfiguration.
Создание резервных копий пользовательских хранилищ атрибутов To back up custom attribute stores
- Необходимо вручную экспортировать все хранилища настраиваемых атрибутов, которые вы хотите сохранить в новой ферме AD FS в Windows Server 2012 R2. You must manually export all custom attribute stores that you want to keep in your new AD FS farm in Windows Server 2012 R2.
В Windows Server 2012 R2 AD FS требуются пользовательские хранилища атрибутов, основанные на .NET Framework 4,0 или более поздней версии. In Windows Server 2012 R2, AD FS requires custom attribute stores that are based on .NET Framework 4.0 or above. Чтобы установить и настроить платформу .Net Framework 4.5, выполните инструкции на странице установки Microsoft .NET Framework 4.5 . Follow the instructions in Microsoft .NET Framework 4.5 to install and setup .Net Framework 4.5.
Дополнительные сведения об используемых службами AD FS пользовательских хранилищах атрибутов можно получить, выполнив следующую команду Windows PowerShell: You can find information about custom attribute stores in use by AD FS by running the following Windows PowerShell command:
Действия по обновлению или переносу пользовательских хранилищ атрибутов могут быть разными. The steps to upgrade or migrate custom attribute stores vary.
- Также необходимо вручную экспортировать все DLL-файлы хранилищ настраиваемых атрибутов, которые необходимо сохранить в новой ферме AD FS в Windows Server 2012 R2. You must also manually export all .dll files of the custom attribute stores that you want to keep in your new AD FS farm in Windows Server 2012 R2. Действия по обновлению или переносу DLL-файлов пользовательских хранилищ атрибутов могут быть разными. The steps to upgrade or migrate .dll files of custom attribute stores vary.
Создание фермы сервера федерации Windows Server 2012 R2 Create a Windows Server 2012 R2 federation server farm
- Установите операционную систему Windows Server 2012 R2 на компьютер, который будет функционировать как сервер федерации, а затем добавьте роль сервера AD FS. Install the Windows Server 2012 R2 operating system on a computer that you want to function as a federation server and then add the AD FS server role. Дополнительную информацию см. в статье об установке службы роли AD FS. For more information, see Install the AD FS Role Service. Затем настройте новую службу федерации при помощи мастера настройки служб федерации Active Directory или через Windows PowerShell. Then configure your new federation service either through the Active Directory Federation Service Configuration Wizard or via Windows PowerShell. Дополнительную информацию см. в разделе, посвященном настройке первого сервера федерации в новой ферме серверов федерации в статье о настройке сервера федерации. For more information, see “Configure the first federation server in a new federation server farm” in Configure a Federation Server.
При выполнении этого шага необходимо следовать приведенным ниже указаниям: While completing this step, you must follow these instructions:
Для настройки службы федерации необходимо иметь привилегии администратора домена. You must have Domain Administrator privileges in order to configure your federation service.
Необходимо использовать то же имя службы федерации (имя фермы), которое использовалось в AD FS 2.0 или AD FS в Windows Server 2012. You must use the same federation service name (farm name) as was used in the AD FS 2.0 or AD FS in Windows Server 2012. Если вы не используете одно и то же имя службы федерации, сертификаты, для которых была создана резервная копия, не будут работать в службе Федерации Windows Server 2012 R2, которую вы пытаетесь настроить. If you do not use the same federation service name, the certificates that you backed up will not function in the Windows Server 2012 R2 federation service that you are trying to configure.
Определите, будет ли ферма серверов федерации базироваться на WID или SQL Server. Specify whether this is a WID or SQL Server federation server farm. Для SQL-фермы необходимо указать расположение базы данных SQL Server и имя экземпляра. If it is a SQL farm, specify the SQL Server database location and instance name.
Необходимо указать PFX-файл, содержащий SSL-сертификат проверки подлинности сервера, резервную копию которого вы сохранили при подготовке процесса миграции AD FS. You must provide a pfx file containing the SSL server authentication certificate that you backed up as part of preparing for the AD FS migration process.
Вы должны указать то же удостоверение учетной записи службы, которое использовалось в AD FS 2.0 или AD FS в ферме Windows Server 2012. You must specify the same service account identity that was used in the AD FS 2.0 or AD FS in Windows Server 2012 farm.
- После настройки первого узла можно добавить в новую ферму дополнительные узлы. Once the initial node is configured, you can add additional nodes to your new farm. Дополнительную информацию см. в разделе, посвященном добавлению сервера федерации в существующую ферму серверов федерации в статье о настройке сервера федерации. For more information, see “Add a federation server to an existing federation server farm” in Configure a Federation Server.
Импорт исходных данных конфигурации в ферму AD FS Windows Server 2012 R2 Import the original configuration data into the Windows Server 2012 R2 AD FS farm
Теперь, когда у вас есть AD FS ферма серверов федерации под Windows Server 2012 R2, можно импортировать в нее исходные данные конфигурации AD FS. Now that you have an AD FS federation server farm running in Windows Server 2012 R2, you can import the original AD FS configuration data into it.
- Импортируйте и настройте другие пользовательские сертификаты служб федерации Active Directory, в том числе внешние сертификаты для подписания маркеров и сертификаты для шифрования или расшифровки маркеров, а также сертификат для связи со службой, если он не совпадает с SSL-сертификатом. Import and configure other custom AD FS certificates, including externally enrolled token-signing and token- decryption/encryption certificates, and the service communication certificate if it is different from the SSL certificate.
В консоли управления AD FS выберите пункт Сертификаты. In the AD FS management console, select Certificates. Проверьте сертификаты для связи со службой, для шифрования и расшифровки маркера и для подписи маркера путем сверки значений для каждого из них со значениями, экспортированными в файл certificates.txt при подготовке к миграции. Verify the service communications, token-encryption/decryption, and token-signing certificates by checking each against the values you exported into the certificates.txt file while preparing for the migration.
Чтобы заменить самозаверяющие сертификаты для шифрования или для подписи маркера по умолчанию на внешние сертификаты, необходимо предварительно отключить функцию автоматического переключения сертификатов, которая по умолчанию включена. To change the token-decrypting or token-signing certificates from the default self-signed certificates to external certificates, you must first disable the automatic certificate rollover feature that is enabled by default. Для этого можно использовать следующую команду Windows PowerShell: To do this, you can use the following Windows PowerShell command:
Настройте все пользовательские параметры служб AD FS, например AutoCertificateRollover или SSO lifetime, с помощью командлета Set-AdfsProperties. Configure any custom AD FS service settings such as AutoCertificateRollover or SSO lifetime using the Set-AdfsProperties cmdlet.
Чтобы AD FS импортировать отношения доверия с проверяющей стороной и отношения доверия поставщиков утверждений, необходимо войти в систему с учетной записью администратора (но не администратора домена) на сервер федерации и выполнить следующий сценарий Windows PowerShell, расположенный в папке \суппорт\адфс установочного компакт-диска Windows Server 2012 R2: To import AD FS relying party trusts and claims provider trusts, you must be logged in as Administrator (however, not as the Domain Administrator) onto your federation server and run the following Windows PowerShell script that is located in the \support\adfs folder of the Windows Server 2012 R2 installation CD:
Этот сценарий импорта принимает следующие параметры: The import script takes the following parameters:
- Import-FederationConfiguration.ps1-Path [-ComputerName ] [-Credential
] [-Force] [-logPath ] [-CertificatePassword ] Import-FederationConfiguration.ps1 -Path [-ComputerName ] [-Credential
] [-Force] [-LogPath ] [-CertificatePassword ]
Import-FederationConfiguration.ps1-Path [-ComputerName ] [-Credential
] [-Force] [-logPath ] [-CertificatePassword ] [-релингпартитрустидентифиер ] [-клаимспровидертрустидентифиер Import-FederationConfiguration.ps1 -Path [-ComputerName ] [-Credential
] [-Force] [-LogPath ] [-CertificatePassword ] [-RelyingPartyTrustIdentifier ] [-ClaimsProviderTrustIdentifier
Import-FederationConfiguration.ps1-Path [-ComputerName ] [-Credential
] [-Force] [-logPath ] [-CertificatePassword ] [-релингпартитрустнаме ] [-клаимспровидертрустнаме ] Import-FederationConfiguration.ps1 -Path [-ComputerName ] [-Credential
] [-Force] [-LogPath ] [-CertificatePassword ] [-RelyingPartyTrustName ] [-ClaimsProviderTrustName ]
-RelyingPartyTrustIdentifier — командлет импортирует только те отношения доверия с проверяющей стороной, идентификаторы которых указаны в массиве строк. -RelyingPartyTrustIdentifier — the cmdlet only imports relying party trusts whose identifiers are specified in the string array. Значение по умолчанию NONE, то есть не импортируется ни одно отношение доверия с проверяющей стороной. The default is to import NONE of the relying party trusts. Если не указаны параметры RelyingPartyTrustIdentifier, ClaimsProviderTrustIdentifier, RelyingPartyTrustName и ClaimsProviderTrustName, сценарий импортирует все отношения доверия с проверяющей стороной и отношения доверия с поставщиком утверждений. If none of RelyingPartyTrustIdentifier, ClaimsProviderTrustIdentifier, RelyingPartyTrustName, and ClaimsProviderTrustName is specified, the script will import all relying party trusts and claims provider trusts.
-ClaimsProviderTrustIdentifier — командлет импортирует только те отношения доверия с поставщиком утверждений, идентификаторы которых указаны в массиве строк. -ClaimsProviderTrustIdentifier — the cmdlet only imports claims provider trusts whose identifiers are specified in the string array. Значение по умолчанию NONE, то есть не импортируется ни одно отношение доверия с поставщиком утверждений. The default is to import NONE of the claims provider trusts.
-RelyingPartyTrustName — командлет импортирует только те отношения доверия с проверяющей стороной, имена которых указаны в массиве строк. -RelyingPartyTrustName — the cmdlet only imports relying party trusts whose names are specified in the string array. Значение по умолчанию NONE, то есть не импортируется ни одно отношение доверия с проверяющей стороной. The default is to import NONE of the relying party trusts.
-ClaimsProviderTrustName — командлет импортирует только те отношения доверия с поставщиком утверждений, имена которых указаны в массиве строк. -ClaimsProviderTrustName — the cmdlet only imports claims provider trusts whose names are specified in the string array. Значение по умолчанию NONE, то есть не импортируется ни одно отношение доверия с поставщиком утверждений. The default is to import NONE of the claims provider trusts.
-Path — путь к папке, содержащей импортируемые файлы конфигурации. -Path — the path to a folder that contains the configuration files to be imported.
-LogPath — путь к папке, которая будет содержать файл журнала импорта. -LogPath — the path to a folder that will contain the import log file. В этой папке будет создан файл с именем import.log. A log file named “import.log” will be created in this folder.
-ComputerName — Указывает имя узла сервера STS. -ComputerName — specifies host name of the STS server. По умолчанию это локальный компьютер. The default is the local computer. При переносе AD FS 2.0 или AD FS в Windows Server 2012 на AD FS в Windows Server 2012 R2 этот параметр используется для указания имени узла, на котором установлен сервер AD FS прежних версий. If you are migrating AD FS 2.0 or AD FS in Windows Server 2012 to AD FS in Windows Server 2012 R2, this parameter should be set to the hostname of the legacy AD FS server.
— Указывает учетную запись пользователя, имеющую разрешение на выполнение этого действия. -Credential
— specifies a user account that has permission to perform this action. По умолчанию используется текущий пользователь. The default is the current user.
-Force — запрещает вывод запросов на подтверждение для пользователя. -Force – specifies to not prompt for user confirmation.
-CertificatePassword — Задает пароль для импорта закрытых ключей сертификатов AD FS. -CertificatePassword — specifies a password for importing AD FS certificates’ private keys. Если этот параметр не определен, то при необходимости импортировать сертификат AD FS с закрытым ключом сценарий выведет запрос на ввод пароля. If not specified, the script will prompt for a password if an AD FS certificate with private key needs to be imported.
Inputs: string — эта команда принимает в качестве входного значения путь к папке импорта. Inputs: string — this command takes the import folder path as input. Этой команде можно передать параметр Export-FederationConfiguration. You can pipe Export-FederationConfiguration to this command.
Outputs: None. Outputs: None.
Пробелы после строки свойства WSFedEndpoint отношения доверия с проверяющей стороной могут вызвать ошибку сценария импорта. Any trailing spaces in the WSFedEndpoint property of a relying party trust may cause the import script to error. В этом случае перед импортом вручную удалите пробелы из файла. In this case, manually remove the spaces from the file prior to import. Ошибки могут вызвать, к примеру, следующие записи: For example, these entries cause errors:
Их следует исправить на: They must be edited to:
Если в отношении доверия с поставщиком утверждений в Active Directory исходной системы настроены какие-либо пользовательские правила для утверждений (которые отличаются от правил AD FS по умолчанию), они не будут перенесены данными сценариями. If you have any custom claim rules (rules other than the AD FS default rules) on the Active Directory claims provider trust in the source system, these will not be migrated by the scripts. Это связано с тем, что в Windows Server 2012 R2 установлены новые значения по умолчанию. This is because Windows Server 2012 R2 has new defaults. Все пользовательские правила должны быть объединены путем их ручного добавления в Active Directory отношения доверия поставщиков утверждений в новой ферме Windows Server 2012 R2. Any custom rules must be merged by adding them manually to the Active Directory claims provider trust in the new Windows Server 2012 R2 farm.
Настройте все пользовательские параметры конечных точек служб федерации Active Directory. Configure all custom AD FS endpoint settings. В консоли управления AD FS выберите элемент Конечные точки. In the AD FS Management console, select Endpoints. Проверьте задействованные конечные точки AD FS по списку задействованных конечных точек AD FS, который был экспортирован в файл в процессе подготовки к переносу AD FS. Check the enabled AD FS endpoints against the list of enabled AD FS endpoints that you exported to a file while preparing for the AD FS migration.
Настройте все пользовательские описания утверждений. Configure any custom claim descriptions. В консоли управления AD FS выберите элемент Описания утверждений. In the AD FS Management console, select Claim Descriptions. Сверьте список описаний утверждений AD FS со списком описаний утверждений, который был экспортирован в файл при подготовке к переносу AD FS. Check the list of AD FS claim descriptions against the list of claim descriptions that you exported to a file while preparing for the AD FS migration. Добавьте все пользовательские описания утверждений, содержащиеся в вашем файле, но не включенные в список по умолчанию AD FS. Add any custom claim descriptions included in your file but not included in the default list in AD FS. Обратите внимание, что свойство утверждения Identifier на консоли управления соответствует свойству ClaimType в файле. Note that Claim identifier in the management console maps to the ClaimType in the file.
Установите и настройте все сохраненные пользовательские хранилища атрибутов. Install and configure all backed up custom attribute stores. От имени учетной записи администратора обновите все двоичные файлы пользовательских хранилищ атрибутов до версии платформы .NET Framework 4.0 или более поздней версии прежде, чем ссылаться на них в настройках AD FS. As an administrator, ensure any custom attribute store binaries are upgrade to .NET Framework 4.0 or higher before updating the AD FS configuration to point to them.
Настройте свойства служб, которые соответствуют параметрам в файле web.config прежних версий. Configure service properties that map to the legacy web.config file parameters.
Если усерелайстатефоридпинитиатедсигнон был добавлен в файл web.config в AD FS 2,0 или AD FS в ферме Windows Server 2012, то необходимо настроить следующие свойства службы в AD FS в ферме Windows Server 2012 R2: If useRelayStateForIdpInitiatedSignOn was added to the web.config file in your AD FS 2.0 or AD FS in Windows Server 2012 farm, then you must configure the following service properties in your AD FS in Windows Server 2012 R2 farm:
- AD FS в Windows Server 2012 R2 включает файл % systemroot% \ADFS\Microsoft.IdentityServer.Servicehost.exe.config . AD FS in Windows Server 2012 R2 includes a %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config file. Создайте элемент с тем же синтаксисом, что и элемент web.config file: . Create an element with the same syntax as the web.config file element: . Включите этот элемент в раздел файла Microsoft.IdentityServer.Servicehost.exe.config . Include this element as part of section of the Microsoft.IdentityServer.Servicehost.exe.config file.
Если было добавлено в файл web.config в AD FS 2,0 или AD FS в ферме Windows Server 2012, то необходимо настроить следующие свойства службы в AD FS в ферме Windows Server 2012 R2: If
was added to the web.config file in your AD FS 2.0 or AD FS in Windows Server 2012 farm, then you must configure the following service properties in your AD FS in Windows Server 2012 R2 farm:
- В AD FS в Windows Server 2012 R2 выполните следующую команду Windows PowerShell: Set-AdfsWebConfig –HRDCookieEnabled –HRDCookieLifetime . In AD FS in Windows Server 2012 R2, run the following Windows PowerShell command: Set-AdfsWebConfig –HRDCookieEnabled –HRDCookieLifetime .
Если был добавлен в файл web.config в AD FS 2,0 или AD FS в ферме Windows Server 2012, не нужно задавать какие-либо дополнительные свойства службы в AD FS в ферме Windows Server 2012 R2. If was added to the web.config file in your AD FS 2.0 or AD FS in Windows Server 2012 farm, you do not need to set any additional service properties in your AD FS in Windows Server 2012 R2 farm. Единый вход включен по умолчанию в AD FS в ферме Windows Server 2012 R2. Single sign-on is enabled by default in AD FS in Windows Server 2012 R2 farm.
Если параметры Локалаусентикатионтипес были добавлены в файл web.config в AD FS 2,0 или AD FS в ферме windows Server 2012, то необходимо настроить следующие свойства службы в AD FS в ферме windows Server 2012 R2: If localAuthenticationTypes settings were added to the web.config file in your AD FS 2.0 or AD FS in Windows Server 2012 farm, then you must configure the following service properties in your AD FS in Windows Server 2012 R2 farm:
- Интегрированные, Forms, Тлсклиент, базовый список преобразований в эквивалентные AD FS в Windows Server 2012 R2 имеют глобальные параметры политики проверки подлинности для поддержки типов проверки подлинности службы федерации и прокси-сервера. Integrated, Forms, TlsClient, Basic Transform list into equivalent AD FS in Windows Server 2012 R2 has global authentication policy settings to support both federation service and proxy authentication types. Эти параметры можно настроить в AD FS в оснастке «Управление» в разделе Политики проверки подлинности. These settings can be configured in the AD FS in Management snap-in under the Authentication Policies.
После импорта исходных данных конфигурации при необходимости можно настроить страницы входа AD FS. After you import the original configuration data, you can customize the AD FS sign in pages as needed. Дополнительные сведения см. в статье о настройке страниц входа AD FS. For more information, see Customizing the AD FS Sign-in Pages.
