Durante il processo di migrazione a ADFS 2016/2019, anche il Web Application Proxy (WAP) deve essere aggiornato opportunamente per allineare tutti i componenti alla stessa versione.
In un ambiente Office 365, il componente WAP è utilizzato per effettuare l'autenticazione SSO esterna alla LAN.
Anche se la procedura indicata utilizza Windows Server 2016, l'operazione di aggiornamento del WAP è la stessa anche per Windows Server 2019.
Installare WAP nel nuovo server
Il primo step della procedura prevede l'installazione del service Web Application Proxy (WAP) nel nuovo Windows Server 2016. Da Server Manager cliccare Manage nella parte in altro a destra dello schermo e selezionare la voce Add Roles and Features.
Cliccare Next per avviare il wizard.
Selezionare Roles-based or feature-based installation e cliccare su Next.
Selezionare il server da installare e cliccare su Next.
Selezionare il ruolo Remote Access e cliccare Next.
Non è richiesta nessuna funzionalità aggiuntiva. Cliccare Next.
Cliccare Next.
Selezionare il ruolo Web Application Proxy e cliccare Add Features per includere le funzioni richieste.
Assicurarsi che la voce Web Application Proxy sia selezionata e cliccare Next.
Selezionare Restart the destination server automatically if required e cliccare Yes per confermare.
Cliccare Install per procedere con l'installazione del WAP.
Il ruolo selezionato viene installato nel sistema.
Quando l'installazione viene completata, cliccare su Close per uscire dal wizard.
Cliccare sul punto esclamativo nel menu e selezionare il link Open the Web Application Proxy Wizard.
Cliccare Next per continuare.
Specificare il Federation service name da usare e le credenziali dell'account local admin dei federation server.
Selezionare dal menu a tendina il certificato SSL da utilizzare dall'ADFS Proxy.
Una volta che il certificato SSL è stato selezionato, cliccare su Next.
Cliccare Configure per procedere con la configurazione del WAP.
L'ADFS Proxy viene configurato.
Quando il ruolo WAP è stato correttamente configurato, cliccare Close per uscire dal wizard.
Verifica della connessione dei server
Dal nuovo Windows Server 2016, eseguire il seguente cmdlet per verificare i server correntemente connessi che fanno parte del cluster. Sono visualizzati il vecchio (2012R2) e il nuovo (2016) WAP server come connessi. Da notare che la ConfigurationVersion è indicata come Windows Server 2012 R2.
PS: C:\> Get-WebApplicationProxyConfiguration
Eseguire lo stesso comando anche dal vecchio WAP Server:
PS: C:\> Get-WebApplicationProxyConfiguration
Rimuovere il vecchio server
Per rimuovere il vecchio server dal cluster, eseguire il seguente cmdlet dal vecchio server (2012R2):
PS: C:\> Set-WebApplicationProxyConfiguration -ConnectedServersName <new-server>
Verificare nuovamente i server connessi che fanno parte del cluster. Questa volta il campo ConnectServersName indica solamente il nuovo Windows Server 2016 configurato.
PS: C:\> Get-WebApplicationProxyConfiguration
Effettuare la stessa verifica anche nel nuovo Windows Server 2016 per avere maggiori dettagli.
PS: C:\> Get-WebApplicationProxyConfiguration
Decommissione del vecchio server
Se non si hanno particolari esigenze nel dover mantenere il vecchio server, è possibile rimuoverlo senza problemi. Da Server Manager selezionare la voce Manage > Remove Roles and Features.
Seguire i vari step del wizard e rimuovere il ruolo Remote Access.
Cliccare infine su Remove per confermare la rimozione.
Aggiornare la ConfigurationVersion
Because the current version is still configured as Windows Server 2012 R2, we need to upgrade to 2016 to complete the upgrade procedure. From the Windows Server 2016 run the following cmdlet:
PS: C:\> Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
Check the configured version with the following cmdlet:
PS: C:\> Get-WebApplicationProxyConfiguration
The current ConfigurationVersion is now reported as Windows Server 2016.
The upgrade procedure of the WAP Server has been completed successfully. If you don't have any, you can now publish your Web Applications.