Con Windows Server 2016, tenemos una nueva versi\u00f3n de AD FS disponible para usar con nuestras diversas implementaciones en la nube. Por tal motivo, hoy veremos algunas de las nuevas caracter\u00edsticas y funcionalidad de los Servicios de Federaci\u00f3n de Active Directory (AD FS) en esta nueva versi\u00f3n.<\/p>\n
Con Windows Server 2016 tenemos serias mejoras en el proceso de actualizaci\u00f3n, en la forma de realizar nuestra auditor\u00eda y en las herramientas de restauraci\u00f3n r\u00e1pida de AD FS. Anteriormente, con las versiones anteriores de AD FS, el proceso de actualizar la granja de servidores inclu\u00eda la instalaci\u00f3n de una nueva granja de servidores para luego, cambiar sus registros de DNS para apuntar a ella. Realmente esto no era lo que llamar\u00edamos com\u00fanmente una actualizaci\u00f3n sino mas bien una nueva instalaci\u00f3n que luego reemplazar\u00eda la vieja.<\/p>\n
El proceso de actualizar la granja de servidores de AD FS, con esta nueva versi\u00f3n de Windows Server 2016, es muy similar al proceso de actualizar nuestro Active Directory, por lo que es muy familiar y sencillo. Con Active Directory, hablamos de Forest Function Level (FFL) y Domain Function Level (DFL). Con AD FS, hablamos de Farm Behavior Level (FBL).<\/p>\n
Ya con la version anterior, es decir con Windows Server 2012 R2, podemos agregar nuevos servidores Windows Server 2016 AD FS a nuestra granja de servidores existente y, luego podemos eliminar nuestros servidores Windows Server 2012 R2 AD FS existentes. Una vez que todos los servidores de nuestra arquitectura de AD FS se est\u00e9n ejecutando en Windows Server 2016, podemos actualizar el nivel funcional de nuestros servidores y comenzar a aprovechar las nuevas caracter\u00edsticas de AD FS. Si nuestra arquitectura de servidores de AD FS se est\u00e1 ejecutando sin una base de datos SQL (mediante WID), deberemos designar uno de los servidores de servidor de AD del Windows Server 2016 como nodo principal antes de realizar la promoci\u00f3n FBL ejecutando el siguiente cmdlet de PowerShell:<\/p>\n
Set-AdfsSyncProperties -Role PrimaryComputer<\/font><\/p>\n Una vez que se configuramos el servidor principal de AD FS, necesitaremos hacer una preparaci\u00f3n de bosque y una preparaci\u00f3n de dominio y, a continuaci\u00f3n, ejecutar el cmdlet de PowerShell:<\/p>\n Invoke-AdfsFarmBehaviorLevelRaise<\/font><\/p>\n Con la Auditor\u00eda mejorada que nos frece Windows Server 2016, nos sera mucho mas facil hacer el seguimiento y control de nuestra arquitectura de AD FS. Quedaran registrados varios eventos de auditor\u00eda para un solo evento y, en algunos casos, no registrar\u00e1n nada. Con Windows Server 2016 AD FS, la auditor\u00eda de AD FS est\u00e1 activada de forma predeterminada en el nivel b\u00e1sico. Existen tres posibles niveles de auditor\u00eda para los servidores de AD FS: Ninguno, B\u00e1sico (predeterminado) y Verbose. Siendo Verbose el nivel m\u00e1ximo de auditoria, se registraran todos los eventos, Basic registrar\u00e1 un m\u00e1ximo de 5 eventos para una sola solicitud.<\/p>\n En lo referido a las herramientas de restauraci\u00f3n r\u00e1pida de AD FS, este fue uno de los principales conflictos con una migraci\u00f3n a la nube, y el esfuerzo que deb\u00edamos realizar para ello. Con AD FS, por ejemplo, podemos tener un "inicio de sesi\u00f3n \u00fanico", pero requiere que se implementen varios servidores para garantizar la alta disponibilidad.<\/p>\n Con la nueva herramienta de restauraci\u00f3n r\u00e1pida de AD FS, los administradores tenemos la posibilidad de exportar la configuraci\u00f3n de un solo servidor AD FS para poder implementar un nuevo servidor AD FS en caso de un fallo del servidor o la herramienta de restauraci\u00f3n r\u00e1pida pueda utilizarse para duplicar nuestro AD FS en un entorno de test.<\/p>\n La herramienta de restauraci\u00f3n r\u00e1pida respalda la siguiente informaci\u00f3n<\/p>\n Esta herramienta se puede descargar gratuitamente de Microsoft, y se puede utilizarse en Windows Server 2016 o en windows Server 2012 R2. Requiere .NET 4.0 o superior instalado en el servidor y el servidor recuperado debe estar en la misma versi\u00f3n que el servidor de origen original. Una vez instalado, podemos hacer una copia de seguridad de un servidor AD FS con el cmdlet Backup-ADFS PowerShell. Las restauraciones se realizan a trav\u00e9s del cmdlet Restore-AD FS, tal como hemos visto en el pasado.<\/p>\n Con las Pol\u00edticas de control de acceso, tenemos la capacidad de admitir reglas personalizadas que permiten a algunos usuarios autenticarse bajo condiciones especificadas. El escenario m\u00e1s com\u00fan es que los empleados por hora s\u00f3lo puedan iniciar sesi\u00f3n en su cuenta de correo electr\u00f3nico de Office 365 cuando est\u00e1n f\u00edsicamente en el trabajo.<\/p>\n Esto puede lograrse utilizando pol\u00edticas de emisi\u00f3n de reclamaciones (o por su nombre en ingles: claims issuance policies), pero estas pol\u00edticas son muy dif\u00edciles de configurar y administrar. Con Windows Server 2016 AD FS, tenemos la capacidad de controlar este tipo de autenticaciones a trav\u00e9s de pol\u00edticas de control de acceso que son muy similares a las politicas de grupo en Active Directory.<\/p>\n AD FS tiene plantillas de pol\u00edticas de control de acceso integradas que nos servir\u00e1n para cubrir la mayor\u00eda de los escenarios comunes que nuestra organizaci\u00f3n quiera imponer; tales como permitir que un grupo espec\u00edfico autentique o no se autentique en momentos espec\u00edficos; o que requiera autenticaci\u00f3n de m\u00faltiples factores para los usuarios que autentican fuera de la red corporativa son ejemplos de pol\u00edticas de acceso que puede configurar.<\/p>\n Estas son solo algunas de las nuevas caracter\u00edsticas que trae Windows Server 2016 con respecto a Active Directory Federation Services (ADFS), pr\u00f3ximamente estar\u00e9 publicando un video a modo de demo sobre esta caracter\u00edstica.<\/p>\n Espero les sea de inter\u00e9s y utilidad. Saludos. Roberto Di Lello<\/p>\n","protected":false},"excerpt":{"rendered":" Con Windows Server 2016, tenemos una nueva versi\u00f3n de AD FS disponible para usar con…<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[281],"tags":[324,290],"class_list":["post-3890","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-281","tag-dfs","tag-windows-server-2016"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3890","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3890"}],"version-history":[{"count":1,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3890\/revisions"}],"predecessor-version":[{"id":3891,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3890\/revisions\/3891"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3890"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3890"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3890"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n