Tipps für ein Upgrade auf oder einen Wechsel zu Active Directory-Verbunddienste (AD FS) 2.0




Veröffentlichung des Originalartikels: 09.08.2011

Ich habe vor kurzem zu viel Zeit für das Upgrade meines Servers mit AD FS benötigt, in meinem Fall von Windows Server 2008 auf 2008 R2. Wie viele SharePoint-Benutzer, die einfach nur in einer Ansprüche unterstützenden Umgebung arbeiten möchten, können scheinbar einfache Aufgaben wie diese überraschend viel Aufwand mit sich bringen. Hier nun ein paar Tipps, die das Leben ggf. erleichtern:

  • Es gibt im Grunde keinen direkten Upgradepfad von AD FS 2.0 für Windows Server 2008 auf Windows Server 2008 R2. Zunächst wurde AD FS einfach vollständig deinstalliert. Danach muss man praktisch von vorn anfangen. Ich empfehle, zuerst die Datenbank zu sichern. Mehr dazu später.
  • AD FS will unbedingt diese verdammte interne Windows-Datenbank verwenden. Wenn Sie lediglich versuchen, Ihre SharePoint-Farm am Laufen zu halten, ist das zumeist in Ordnung. Was müssen Sie aber tun, wenn Sie die Datenbank sichern und wiederherstellen müssen? Zum Glück gibt es für diesen Vorgang ein kostenlos herunterladbares Tool. Der Link, den ich gefunden habe, deutet zwar auf SQL Server 2005, doch das Tool funktionierte auch reibungslos mit der internen Windows-Datenbank. Ich habe das Tool von der Website http://www.microsoft.com/download/en/details.aspx?DisplayLang=en&id=8961 heruntergeladen, auf der es „SQL Server Management Studio Express“ genannt wird.
  • Die beim Öffnen des Tools zu verwendende Verbindung ist alles andere als intuitiv, weshalb ich sie hier einfüge. Kopieren Sie einfach von hier, und fügen Sie sie in das Tool ein, wenn das Verbindungsdialogfeld geöffnet wird: \.pipeMSSQL$MICROSOFT##SSEEsqlquery
  • Wenn Sie AD FS erneut installieren, erhalten Sie nach Abschluss des AD FS-Assistenten ggf. eine Warnung, die besagt, dass die AD FS-Website bereits installiert ist, weshalb deren Inhalt nicht überschrieben wurde. Anschließend wird ein Link angeboten, den Sie befolgen sollen, wenn Sie die Website erneut bereitstellen möchten. ACHTUNG Der Link ist NUTZLOS. Schockierend, ich weiß. Halten Sie sich doch bitte mit Unmutsbekundungen zurück:) Noch störender ist, dass Sie beim Untersuchen des Snap-Ins Internetinformationsdienste-Manager feststellen werden, dass keine virtuellen AD FS-Verzeichnisse vorhanden sind. Das nervt! Wie sich herausstellte, muss appcmd zum Löschen der virtuellen Verzeichnisse verwendet werden, was ich mit diesen beiden Befehlen erreicht habe:
    • C:WindowsSystem32inetsrv>appcmd delete app "Default Web Site/adfs/card"
    • C:WindowsSystem32inetsrv>appcmd delete app "Default Web Site/adfs/ls"
  • Nachdem Sie all diese Schritte ausgeführt haben, können Sie den AD FS-Assistenten erneut ausführen, um die Einrichtung vorzunehmen. Anschließend können Sie die Datenbanken wiederherstellen, die Sie zuvor gesichert haben. Hier noch ein hilfreicher Tipp:
    • Schließen Sie die AD FS-Verwaltungsanwendung, sollte diese geöffnet sein.
    • Beenden Sie den AD FS-Dienst.
    • Stellen Sie zunächst die Datenbank AdfsConfiguration wieder her.
    • Starten Sie den AD FS-Dienst.
    • Stellen Sie die Datenbank AdfsArtifactStore wieder her.
    • Öffnen Sie die AD FS-Verwaltungsanwendung, woraufhin alles funktionieren und wiedergestellt sein sollte.
  • Zum Schluss können Sie prüfen, welches Tokensignaturzertifikat verwendet wird. AD FS versucht wiederum, dass selbstsignierte Zertifikat zu verwenden, das zum Installationszeitpunkt erstellt wird. Wenn Sie jedoch zuvor ein anderes Zertifikat verwendet haben, funktioniert dieses allerdings nicht, wenn Sie SharePoint-Websites besuchen, mit denen Sie zuvor gearbeitet haben (die alte Meldung zur nicht vertrauenswürdigen Stammzertifizierungsstelle, die ich im Beitrag http://blogs.technet.com/b/speschka/archive/2010/02/13/root-of-certificate-chain-not-trusted-error-with-claims-authentication.aspx beschrieben habe). Doch bevor Sie ein neues Tokensignaturzertifikat hinzufügen können, müssen Sie auf dem Server mit AD FS diese PowerShell-Befehle ausführen:
    • add-pssnapin Microsoft.adfs.Powershell
    • set-adfsproperties -AutoCertificateRollover $false
  • Wenn Sie ein Tokensignaturzertifikat hinzufügen, müssen Sie es als primäres Zertifikat einrichten, wenn es zuvor so konfiguriert war.

Ich hoffe, dieser Beitrag war für Sie hilfreich.

Es handelt sich hierbei um einen übersetzten Blogbeitrag. Sie finden den Originalartikel unter Tips for Upgrading or Moving ADFS 2.0


Comments (0)

Skip to main content