Рекомендации по обновлению или переносу служб федерации Active Directory 2.0

  • Article

Дата публикации исходной статьи: вторник, 09 августа 2011 г.

Не так давно я потратил немало времени, чтобы обновить службы федерации Active Directory (в моем случае с Windows Server 2008 до 2008 R2). Как и многие другие пользователи SharePoint, пытавшиеся настроить среду с поддержкой утверждений, я был неприятно удивлен тем, что простые, на первый взгляд, вещи, могут требовать таких затрат усилий. Возможно, мои рекомендации помогут вам сэкономить силы и время:

  • Фактически не существует прямого способа обновить службы федерации Active Directory 2.0 с Windows Server 2008 до Windows Server 2008 R2. У меня получилось лишь полностью удалить эти службы. В связи с этим мне пришлось начинать настройку с нуля. Поэтому я бы порекомендовал сначала создать резервную копию базы данных. Идем дальше.
  • К сожалению, без использования внутренней базы данных Windows в службах федерации Active Directory никак не обойтись. В большинстве случаев она работает в ферме SharePoint без нареканий. Что же следует делать, если вам требуется выполнить резервное копирование и восстановление базы данных? Мне удалось найти бесплатную программу, позволяющую решить эту задачу. По ссылке говорится, что она предназначена для SQL Server 2005, однако и с внутренней базой данных Windows проблем у меня не возникло. Вы можете также загрузить средство SQL Server Management Studio Express со страницы https://www.microsoft.com/download/en/details.aspx?DisplayLang=en&id=8961.
  • Самостоятельно определить строку подключения, которую необходимо указать в этом средстве, достаточно проблематично, поэтому я просто укажу ее здесь. Вставьте строку "\\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query" (без кавычек) в открывающееся диалоговое окно подключения.
  • После завершения установки служб федерации Active Directory с помощью мастера вы можете получить предупреждение о том, что веб-сайт служб федерации уже установлен и его контент перезаписан не был. В этом предупреждении приводится ссылка, которой следует воспользоваться для повторного развертывания сайта. При этом ссылка NEWSFLASH:   АБСОЛЮТНО БЕСПОЛЕЗНА! Неприятный сюрприз, не так ли? Но и это еще не все. Если вы откроете оснастку диспетчера служб IIS, то не найдете там никаких виртуальных каталогов служб федерации Active Directory. Печально! По всей видимости, придется использовать команду appcmd для удаления виртуальных каталогов. Я использовал следующие две команды:
    • C:\Windows\System32\inetsrv>appcmd delete app "Default Web Site/adfs/card"
    • C:\Windows\System32\inetsrv>appcmd delete app "Default Web Site/adfs/ls"
  • После этого можно снова запустить мастер служб федерации Active Directory и завершить настройку. В заключение можно восстановить сохраненные ранее резервные копии баз данных. Здесь у меня также есть пара рекомендаций:
    • Закройте приложение управления службами федерации Active Directory (если оно открыто)
    • Остановите службу служб федерации Active Directory
    • Восстановите сначала базу данных AdfsConfiguration
    • Запустите службу служб федерации Active Directory
    • Восстановите базу данных AdfsArtifactStore
    • Откройте приложение управления службами федерации Active Directory; все компоненты должны быть восстановлены и полностью работоспособны
  • В завершение рассмотрим ситуацию с использованием сертификата для подписания токенов. По умолчанию будет предпринята попытка использовать самозаверяющий сертификат, созданный во время установки. Тем не менее, если вы ранее использовали другой сертификат, это приведет к ошибке при попытке перейти на любой сайт SharePoint, который раньше поддерживал этот сертификат. (Это сообщение об устаревшем ненадежном центре сертификации я описывал в статье https://blogs.technet.com/b/speschka/archive/2010/02/13/root-of-certificate-chain-not-trusted-error-with-claims-authentication.aspx.) Обратите внимание, что перед добавлением нового сертификата для подписания токенов необходимо выполнить следующие команды PowerShell на сервере служб федерации Active Directory:
    • add-pssnapin Microsoft.adfs.Powershell
    • set-adfsproperties -AutoCertificateRollover $false
  • При добавлении сертификата для подписания токенов не забудьте назначить его основным (если ранее была установлена именно такая конфигурация).

Надеюсь, я смог хотя бы немного помочь вам.

Это локализованная запись блога. Исходная статья находится по адресу Tips for Upgrading or Moving ADFS 2.0