Апгрейд на R2 сервера Windows 2012 с проинсталлированными на нём Exchange 2013, DirSync, ADFS 2.1

  • Article

В моей тестовой лаборатории есть небольшая on-premise инфраструктура:

Сервер

Основные сервисы

Операционка

DC

DC, DNS

Win2K8 ENT R2 SP1

ES13

ES2013 CU2, DIRSYNC, ADFS 2.1

Win2012 DC

TMG

TMG

Win2K8 ENT R2 SP1

Решил я проапгрейдить Win2012 до R2 и посмотреть, будут ли дальше работать установленные на нём сервисы и что для этого нужно будет подкрутить.

Без особой подготовки стартовал апгрейд ОС.

clip_image002

Инсталлятор запросил скачать апдейт самого себя, я согласился:

clip_image004

Сетап предупредил о возможных несовместимостях:

clip_image006

Я это сообщение проигнорировал и запустил основную фазу апгрейда.

clip_image008

В процессе сервер несколько раз перезагружался. Никаких дополнительных вопросов не задавал. В целом апгрейд занял около 1 часа 20 минут.

По его окончании я выяснил, что:

  • Все сервисы Exchange 2013 стартовали нормально
  • Dirsync не работал
  • ADFS не работал

Настройка Dirsync

Сперва я решил починить Dirsync. В недрах Интернета вычитал, что требуется переинсталлировать его заново. Что я и сделал:

  1. Запустил «c:\program files\windows azure active directory sync\synchronizationservice.msi» чтобы удалить службу синхронизации Dirsync
  2. Запустил «c:\program files\windows azure active directory sync\uninstalldirectorysync.exe» для удаления Dirsync как такового
  3. Загрузил последнюю версию Dirsync с портала O365 и проинсталлировал её
  4. Запустил мастер настройки
  5. Проверил что Dirsync отработал корректно

clip_image010

clip_image011

clip_image012

clip_image014

clip_image016

clip_image018

clip_image020

Настройка ADFS

Вторым номером я взялся за починку ADFS. Соответствующая серверная роль была проинсталлирована но не настроена. Консоль ADFS показывала пустоту и намекала куда пойти для конфигурирования:

clip_image022

Я открыл Server Manager:

clip_image024

И стартовал мастер настройки:

clip_image026

clip_image028

clip_image030

Очень важно, чтобы имя в поле Federation service name отличалось от имени сервера ADFS. В противном случае вы получите такую ошибку в самом конце:

clip_image031

Это ведёт к задваиванию SPN, и невозможности аутентификации с использованием протокола Kerberos. Исправить эту ошибку потом будет гораздо сложнее, чем уберечься от неё в начале.

На страничке Specify Service Account можно выбрать две опции: либо по старинке назначить учётную запись для управления сервисом, либо – только если в домене есть контроллер под управлением Win2012 – создать Group Managed Service Account. Во втором случае обещано автоматическое управление паролями и создание правильных SPN-записей.

clip_image032

clip_image034

Далее задаём использовать WID или SQL DB.

clip_image036

clip_image038

В моём случае старые базы WID не были удалены. Система не смогла их правильно идентифицировать и процедура инициализации завершилась с ошибкой:

clip_image040

Я отправился в папку “C:\Windows\WID\Data” и переименовал (на всякий случай) старые базы, добавив им расширение .old:

  • AdfsArtifactStore.mdf и соответствующий лог
  • AdfsConfiguration.mdf и соответствующий лог

Наши разработчики не предлагают нам лёгких путей. Если в процессе выполнения настройщика произошла ошибка, приходится начинать визард с самого начала. Это с моей точки зрения плохо. Но вы, будучи подготовлены моим опытом, сможете минимизировать количество фальстартов Smile

clip_image042

clip_image044

clip_image046

clip_image048

После того как настройщик отработал, я немедленно создал соответствующие записи типа А в DNS (внутреннем и внешнем) для имени хоста Federation Service name. В Интернете рекомендуют именно А, а не CNAME. Завязал я эту запись на IP-адрес сервера STS, понятное дело.

Потом я решил проинсталлировать последнюю версию MSOL Powershell add-in. Чтобы это сделать, старую требуется сначала удалить.

clip_image050

clip_image051

Так как фактически мы имеем новую конфигурацию ADFS, нужно подключиться к MSOL Service и проапдейтить relying party trust:

clip_image052

Теперь самое время внести правки в публикацию ADFS. Нужно разрешить публикацию на имя хоста Federation Service.

clip_image053

Проверка показала, что всё работает отлично!

clip_image055

Однако у меня не получилось проверить доступ по тестовому URL: https://fs.аpеstr.infо/аdfs/ls/IdpInitiatedSignоn.аspx

Почему-то всё время была вот эта ошибка:

clip_image057

В то время как работа по аутентификации в продуктиве шла без ошибок.

Но через некоторое время она исчезла.

Exchange 2013 issues

Вообще, Exchange 2013 будет официально поддерживаться на Windows 2012 R2 после выхода ES2013 SP1. Но фактически он работает и сейчас. Однако не без косяков. Один из них я словил. При перезагрузке сервера почтовые базы демонтируются некорректно и остаются в состоянии Dirty Shutdown:

clip_image059

clip_image061

И их приходится восстанавливать:

clip_image063

clip_image064

clip_image066

После восстановления они монтируются автоматически сами.

UPDATE

Вы спросите - а как же быть если на старом ADFS-сервере были сделаны кастомизированные настройки? Описанный сценарий не предполагает их экспорта-импорта! И будете правы. Если нужно сохранить и потом восстановить кастомизированную конфигурацию ADFS, то Вам сюда. Все подробности касательно миграции ADFS (и прокси тоже).