Alat Pemulihan Cepat Layanan Federasi Direktori Aktif

  • Artikel
  • 9 menit untuk membaca

Gambaran Umum

Saat ini Layanan Federasi Direktori Aktif dibuat sangat tersedia dengan menyiapkan farm Layanan Federasi Direktori Aktif. Beberapa organisasi menginginkan cara untuk memiliki penyebaran LAYANAN Federasi Direktori Aktif satu server, menghilangkan kebutuhan akan beberapa server Layanan Federasi Direktori Aktif dan infrastruktur penyeimbang beban jaringan, sambil tetap memiliki beberapa jaminan bahwa layanan dapat dipulihkan dengan cepat jika ada masalah. Alat Pemulihan Cepat Layanan Federasi Direktori Aktif baru menyediakan cara untuk memulihkan data Layanan Federasi Direktori Aktif tanpa memerlukan pencadangan penuh dan pemulihan sistem operasi atau status sistem. Anda dapat menggunakan alat baru untuk mengekspor konfigurasi Layanan Federasi Direktori Aktif baik ke Azure atau ke lokasi lokal. Kemudian Anda dapat menerapkan data yang diekspor ke penginstalan LAYANAN Federasi Direktori Aktif baru, membuat ulang, atau menduplikasi lingkungan Layanan Federasi Direktori Aktif.

Skenario

Alat Pemulihan Cepat Layanan Federasi Direktori Aktif dapat digunakan dalam skenario berikut:

  1. Memulihkan fungsionalitas LAYANAN Federasi Direktori Aktif dengan cepat setelah masalah
    • Gunakan alat untuk membuat instalasi layanan federasi direktori aktif siaga dingin yang dapat dengan cepat disebarkan sebagai pengganti server AD FS online
  2. Menyebarkan lingkungan pengujian dan produksi yang identik
    • Gunakan alat ini untuk membuat salinan AD FS produksi yang akurat dengan cepat di lingkungan pengujian, atau untuk menyebarkan konfigurasi pengujian yang divalidasi dengan cepat ke produksi
  3. Bermigrasi dari konfigurasi berbasis SQL ke WID dan sebaliknya
    • Gunakan alat untuk berpindah dari konfigurasi farm berbasis SQL ke WID atau sebaliknya.

Catatan

Jika Anda menggunakan SQL Merge Replication atau Grup Ketersediaan Always on, alat Pemulihan Cepat tidak didukung. Sebaiknya gunakan cadangan berbasis SQL dan cadangan sertifikat SSL sebagai alternatif.

Apa yang dicadangkan

Alat ini mencadangkan konfigurasi LAYANAN Federasi Direktori Aktif berikut

  • Database konfigurasi Layanan Federasi Direktori Aktif (SQL atau WID)
  • File konfigurasi (terletak di folder Layanan Federasi Direktori Aktif)
  • Penandatanganan token yang dibuat secara otomatis dan mendekripsi sertifikat dan kunci privat (dari kontainer DKM Direktori Aktif)
  • Sertifikat SSL dan sertifikat yang terdaftar secara eksternal (penandatanganan token, dekripsi token, dan komunikasi layanan) dan kunci privat yang sesuai (catatan: kunci privat harus dapat diekspor dan pengguna yang menjalankan skrip harus memiliki izin untuk mengaksesnya)
  • Daftar penyedia autentikasi kustom, penyimpanan atribut, dan kepercayaan penyedia klaim lokal yang diinstal.

Cara menggunakan alat ini

Pertama, unduh dan instal MSI ke server LAYANAN Federasi Direktori Aktif Anda.

Jalankan perintah berikut dari prompt PowerShell:

import-module 'C:\Program Files (x86)\ADFS Rapid Recreation Tool\ADFSRapidRecreationTool.dll'

Catatan

Jika Anda menggunakan Windows Integrated Database (WID), maka alat ini perlu dijalankan di server AD FS utama. Anda dapat menggunakan Get-AdfsSyncProperties cmdlet PowerShell untuk menentukan apakah server yang Anda gunakan adalah server utama atau tidak.

Persyaratan sistem

  • Alat ini berfungsi untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2 dan yang lebih baru.
  • .NET framework yang diperlukan setidaknya 4.0.
  • Pemulihan harus dilakukan pada server LAYANAN Federasi Direktori Aktif dengan versi yang sama dengan cadangan dan yang menggunakan akun Direktori Aktif yang sama dengan akun layanan Ad FS.

Membuat cadangan

Untuk membuat cadangan, gunakan cmdlet Backup-ADFS. Cmdlet ini mencadangkan konfigurasi AD FS, database, sertifikat SSL, dll.

Pengguna harus setidaknya admin lokal untuk menjalankan cmdlet ini. Untuk mencadangkan kontainer DKM Direktori Aktif (diperlukan dalam konfigurasi AD FS default), pengguna harus menjadi admin domain, perlu meneruskan kredensial akun layanan Layanan Federasi Direktori Aktif, atau memiliki akses ke kontainer DKM. Jika Anda menggunakan akun gMSA, pengguna harus menjadi admin domain atau memiliki izin ke kontainer; Anda tidak dapat memberikan kredensial gMSA.

Cadangan akan diberi nama sesuai dengan pola "adfsBackup_ID_Date-Time". Ini akan berisi nomor versi, tanggal dan waktu pencadangan dilakukan. Cmdlet mengambil parameter berikut:

Set Parameter

Screenshot that shows the parameter sets that the cmdlet accepts.

Deskripsi terperinci

  • BackupDKM - Mencadangkan kontainer DKM Direktori Aktif yang berisi kunci LAYANAN Federasi Direktori Aktif dalam konfigurasi default (penandatanganan token yang dihasilkan secara otomatis dan mendekripsi sertifikat). Ini menggunakan Alat AD 'ldifde' untuk mengekspor Kontainer AD dan semua subtree-nya.

  • -String StorageType <> - Jenis penyimpanan yang ingin digunakan pengguna. "FileSystem" menunjukkan bahwa pengguna ingin menyimpannya di folder secara lokal atau di jaringan "Azure" menunjukkan pengguna ingin menyimpannya di kontainer Azure Storage Ketika pengguna melakukan pencadangan, mereka memilih lokasi cadangan, baik Sistem File atau di cloud. Agar Azure dapat digunakan, kredensial Azure Storage harus diteruskan ke cmdlet . Kredensial penyimpanan berisi nama dan kunci akun. Selain itu, nama kontainer juga harus diteruskan. Jika kontainer tidak ada, kontainer dibuat selama pencadangan. Agar sistem file dapat digunakan, jalur penyimpanan harus diberikan. Dalam direktori tersebut, direktori baru akan dibuat untuk setiap cadangan. Setiap direktori yang dibuat akan berisi file yang dicadangkan.

  • String EncryptionPassword <> - Kata sandi yang akan digunakan untuk mengenkripsi semua file yang dicadangkan sebelum menyimpannya

  • AzureConnectionCredentials <pscredential> - Nama dan kunci akun untuk akun penyimpanan Azure

  • String> AzureStorageContainer - Kontainer < penyimpanan tempat cadangan akan disimpan di Azure

  • String> StoragePath < - Lokasi tempat cadangan akan disimpan

  • ServiceAccountCredential <pscredential> - menentukan akun layanan yang digunakan untuk Layanan Federasi Direktori Aktif yang berjalan saat ini. Parameter ini hanya diperlukan jika pengguna ingin mencadangkan DKM dan bukan admin domain atau tidak memiliki akses ke konten kontainer.

  • BackupComment <string[]> - String informasi tentang cadangan yang akan ditampilkan selama pemulihan, mirip dengan konsep penamaan titik pemeriksaan Hyper-V. Defaultnya adalah string kosong

Contoh pencadangan

Berikut ini adalah contoh cadangan untuk menggunakan Alat Pemulihan Cepat Layanan Federasi Direktori Aktif.

Cadangkan konfigurasi Layanan Federasi Direktori Aktif, dengan DKM, ke Sistem File, dan memiliki akses ke konten kontainer DKM (baik admin domain atau didelegasikan)

Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -EncryptionPassword "password" -BackupComment "Clean Install of AD FS (FS)" -BackupDKM

Cadangkan konfigurasi Layanan Federasi Direktori Aktif, dengan DKM, ke sistem file dengan kredensial akun layanan, berjalan sebagai admin lokal

Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -EncryptionPassword "password" -BackupComment "Clean Install of AD FS (FS)" -BackupDKM -ServiceAccountCredential $cred

Cadangkan konfigurasi Layanan Federasi Direktori Aktif tanpa DKM ke kontainer Azure Storage.

Backup-ADFS -StorageType "Azure" -AzureConnectionCredentials $cred -AzureStorageContainer "adfsbackups"  -EncryptionPassword "password" -BackupComment "Clean Install of AD FS"

Cadangkan konfigurasi Layanan Federasi Direktori Aktif tanpa DKM ke Sistem File

Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -EncryptionPassword "password" -BackupComment "Clean Install of AD FS (FS)"

Pulihkan dari cadangan

Untuk menerapkan konfigurasi yang dibuat menggunakan Backup-ADFS ke penginstalan AD FS baru, gunakan cmdlet Restore-ADFS.

Cmdlet ini membuat farm AD FS baru menggunakan cmdlet Install-AdfsFarm dan memulihkan konfigurasi AD FS, database, sertifikat, dll. Jika peran Layanan Federasi Direktori Aktif belum diinstal di server, cmdlet akan menginstalnya. Cmdlet memeriksa lokasi pemulihan untuk cadangan yang ada dan meminta pengguna untuk memilih cadangan yang sesuai berdasarkan tanggal/waktu yang diambil dan komentar cadangan apa pun yang mungkin telah dilampirkan pengguna ke cadangan. Jika ada beberapa konfigurasi Layanan Federasi Direktori Aktif dengan nama layanan federasi yang berbeda, maka pengguna diminta untuk terlebih dahulu memilih konfigurasi LAYANAN Federasi Direktori Aktif yang sesuai. Pengguna harus menjadi admin lokal dan domain untuk menjalankan cmdlet ini.

Catatan

Sebelum menggunakan Alat Pemulihan Cepat Layanan Federasi Direktori Aktif, pastikan server bergabung ke domain sebelum memulihkan cadangan.

Cmdlet mengambil parameter berikut:

AD FS Rapid Restore Tool

Deskripsi terperinci

  • String StorageType <> - Jenis penyimpanan yang ingin digunakan pengguna. "FileSystem" menunjukkan bahwa pengguna ingin menyimpannya di folder secara lokal atau di jaringan "Azure" menunjukkan pengguna ingin menyimpannya di kontainer Azure Storage

  • String DecryptionPassword <> - Kata sandi yang digunakan untuk mengenkripsi semua file yang dicadangkan

  • AzureConnectionCredentials <pscredential> - Nama dan kunci akun untuk akun penyimpanan Azure

  • String> AzureStorageContainer - Kontainer < penyimpanan tempat cadangan akan disimpan di Azure

  • String> StoragePath < - Lokasi tempat cadangan akan disimpan

  • String >ADFSName < - Nama federasi yang dicadangkan dan akan dipulihkan. Jika ini tidak disediakan dan hanya ada satu nama layanan federasi maka yang akan digunakan. Jika ada lebih dari satu layanan federasi yang dicadangkan ke lokasi, maka pengguna diminta untuk memilih salah satu Layanan Federasi yang dicadangkan.

  • ServiceAccountCredential < pscredential > - menentukan akun layanan yang akan digunakan untuk Layanan Federasi Direktori Aktif baru yang sedang dipulihkan

  • String> GroupServiceAccountIdentifier < - GMSA yang ingin digunakan pengguna untuk Layanan Federasi Direktori Aktif baru yang sedang dipulihkan. Secara default, jika tidak ada yang disediakan maka nama akun yang dicadangkan digunakan jika itu GMSA, jika tidak, pengguna diminta untuk memasukkan akun layanan

  • String> DBConnectionString < - Jika pengguna ingin menggunakan DB yang berbeda untuk pemulihan, mereka harus melewati String Koneksi SQL atau mengetik wid untuk WID.

  • Paksa <bool> - Lewati perintah yang mungkin dimiliki alat setelah cadangan dipilih

  • RestoreDKM <bool> - Pulihkan Kontainer DKM ke AD, harus diatur jika masuk ke AD baru dan DKM dicadangkan pada awalnya.

Contoh pemulihan

Memulihkan konfigurasi Layanan Federasi Direktori Aktif tanpa DKM dari kontainer Azure Storage

Restore-ADFS -StorageType "Azure" -AzureConnectionCredential $cred -DecryptionPassword "password" -AzureStorageContainer "adfsbackups"

Memulihkan konfigurasi Layanan Federasi Direktori Aktif tanpa DKM dari Sistem File

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password"

Memulihkan konfigurasi Layanan Federasi Direktori Aktif dengan DKM ke Sistem File

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -RestoreDKM

Memulihkan Konfigurasi Layanan Federasi Direktori Aktif ke WID

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -DBConnectionString "WID"

Memulihkan Konfigurasi Layanan Federasi Direktori Aktif ke SQL

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -DBConnectionString "Data Source=TESTMACHINE\SQLEXPRESS; Integrated Security=True"

Memulihkan Konfigurasi Layanan Federasi Direktori Aktif dengan GMSA yang ditentukan

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -GroupServiceAccountIdentifier "mangupd1\adfsgmsa$"

Memulihkan Konfigurasi Layanan Federasi Direktori Aktif dengan kredensial akun layanan yang ditentukan

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -ServiceAccountCredential $cred

Informasi enkripsi

Semua data cadangan dienkripsi sebelum mendorongnya ke cloud atau menyimpannya dalam sistem file.

Setiap dokumen yang dibuat sebagai bagian dari cadangan dienkripsi menggunakan AES-256. Kata sandi yang diteruskan ke alat ini digunakan sebagai frasa sandi untuk menghasilkan kata sandi baru menggunakan Kelas Rfc2898DeriveBytes.

RngCryptoServiceProvider digunakan untuk menghasilkan garam yang digunakan oleh AES dan Kelas Rfc2898DeriveBytes.

File Log

Setiap kali pencadangan atau pemulihan dilakukan, file log dibuat. Ini dapat ditemukan di lokasi berikut:

  • %LOCALAPPDATA%\ADFSRapidRecreationTool

Catatan

Saat melakukan pemulihan, file PostRestore_Instructions mungkin dibuat berisi gambaran umum penyedia autentikasi tambahan, penyimpanan atribut, dan kepercayaan penyedia klaim lokal untuk diinstal secara manual sebelum memulai layanan Ad FS.

Riwayat Rilis Versi

Versi 1.0.82.3

Rilis: April 2020

Masalah yang diperbaiki:

  • Menambahkan dukungan untuk sertifikat berbasis CNG

Versi 1.0.82.0

Rilis: Juli 2019

Masalah yang diperbaiki:

  • Perbaikan bug untuk nama akun layanan Layanan Federasi Direktori Aktif yang berisi karakter escape LDAP

Versi: 1.0.81.0

Rilis: April 2019

Masalah yang diperbaiki:

  • Perbaikan bug untuk pencadangan dan pemulihan sertifikat
  • Informasi pelacakan tambahan ke file log

Versi: 1.0.75.0

Rilis: Agustus 2018

Masalah yang diperbaiki:

  • Perbarui Backup-ADFS saat menggunakan sakelar -BackupDKM. Alat ini akan menentukan apakah konteks saat ini memiliki akses ke kontainer DKM. Jika demikian, itu tidak akan memerlukan hak istimewa Admin Domain atau kredensial akun layanan. Ini memungkinkan pencadangan otomatis terjadi tanpa secara eksplisit memberikan kredensial atau berjalan sebagai akun Administrator Domain.

Versi: 1.0.73.0

Rilis: Agustus 2018

Masalah yang diperbaiki:

  • Perbarui algoritma enkripsi sehingga aplikasi mematuhi FIPS

    Catatan

    Cadangan lama tidak akan berfungsi dengan versi baru karena perubahan algoritma enkripsi sesuai kepatuhan FIPS

  • Menambahkan dukungan untuk kluster SQL yang menggunakan replikasi penggabungan

Versi: 1.0.72.0

Rilis: Juli 2018

Masalah yang diperbaiki:

  • Perbaikan bug: Memperbaiki alat penginstal .MSI untuk mendukung peningkatan di tempat

1.0.18.0

Rilis: Juli 2018

Masalah yang diperbaiki:

  • Perbaikan bug: menangani kata sandi akun layanan yang memiliki karakter khusus di dalamnya (yaitu, '&')
  • Perbaikan bug: pemulihan gagal karena Microsoft.IdentityServer.Servicehost.exe.config sedang digunakan oleh proses lain

1.0.0.0

Dirilis: Oktober 2016

Rilis awal Alat Pemulihan Cepat Layanan Federasi Direktori Aktif