Mengupgrade ke Server Azure Multi-Factor Authentication terbaru

Artikel ini memandu Anda melalui proses peningkatan Azure Multi-Factor Authentication (MFA) Server v6.0 atau yang lebih tinggi. Jika Anda perlu meningkatkan versi lama Agen PhoneFactor, lihat Meningkatkan Agen PhoneFactor ke Azure Multi-Factor Authentication Server.

Jika Anda meningkatkan dari v6.x atau yang lebih lama ke v7.x atau yang lebih baru, semua komponen berubah dari .NET 2.0 ke .NET 4.5. Semua komponen juga memerlukan Microsoft Visual C++ 2015 Redistributable Update 1 atau yang lebih tinggi. Penginstal MFA Server menginstal versi x86 dan x64 dari komponen ini jika belum diinstal. Jika Portal Pengguna dan Layanan Web Aplikasi Ponsel berjalan di server terpisah, Anda perlu menginstal paket tersebut sebelum meningkatkan komponen tersebut. Anda dapat mencari pembaruan Microsoft Visual C++ 2015 Redistributable terbaru di Pusat Unduh Microsoft.

Penting

Pada 1 Juli 2019, Microsoft tidak lagi menawarkan MFA Server untuk penyebaran baru. Pelanggan baru yang ingin memakai autentikasi multifaktor (MFA) selama peristiwa masuk harus menggunakan Azure AD Multi-Factor Authentication berbasis cloud.

Untuk memulai MFA berbasis cloud, lihat Tutorial: Mengamankan peristiwa masuk pengguna dengan Azure AD Multi-Factor Authentication.

Pelanggan yang ada dan telah mengaktifkan MFA Server sebelum 1 Juli 2019 dapat mengunduh versi terbaru, pembaruan yang akan datang, dan menghasilkan info masuk aktivasi seperti biasa.

Sekilas langkah-langkah peningkatan:

  • Meningkatkan Azure MFA Server (Subordinat lalu Utama)
  • Meningkatkan instans Portal Pengguna
  • Meningkatkan instans Adaptor AD FS

Meningkatkan Azure MFA Server

  1. Gunakan instruksi di Mengunduh Azure Multi-Factor Authentication Server untuk mendapatkan versi terbaru penginstal Azure MFA Server.

  2. Buat cadangan file data MFA Server yang terletak di C:\Program Files\Multi-Factor Authentication Server\Data\PhoneFactor.pfdata (dengan asumsi lokasi penginstalan default) di MFA Server utama Anda.

  3. Jika Anda menjalankan beberapa server untuk ketersediaan tinggi, ubah sistem klien yang mengautentikasi ke MFA Server sehingga mereka berhenti mengirim lalu lintas ke server yang sedang meningkatkan. Jika Anda menggunakan penyeimbang muatan, hapus MFA Server subordinat dari penyeimbang muatan, lakukan peningkatan, lalu tambahkan server kembali ke farm.

  4. Jalankan penginstal baru di setiap MFA Server. Tingkatkan server subordinat terlebih dahulu karena dapat membaca file data lama yang direplikasi oleh primer.

    Catatan

    Ketika meningkatkan server, server itu harus dihapus dari penyeimbangan beban atau berbagi lalu lintas dengan MFA Server lainnya.

    Anda tidak perlu menghapus instalan MFA Server saat ini sebelum menjalankan penginstal. Penginstal melakukan peningkatan di tempat. Jalur penginstalan diambil dari registri dari penginstalan sebelumnya, jadi ini diinstal di lokasi yang sama (misalnya, C:\Program Files\Multi-Factor Authentication Server).

  5. Jika Anda diminta untuk menginstal paket pembaruan Microsoft Visual C++ 2015 Redistributable, terima prompt tersebut. Baik versi x86 dan x64 dari paket diinstal.

  6. Jika Anda menggunakan SDK Layanan Web, Anda diminta untuk menginstal SDK Layanan Web baru. Ketika Anda menginstal SDK Layanan Web baru, pastikan nama direktori virtual cocok dengan direktori virtual yang diinstal sebelumnya (misalnya, MultiFactorAuthWebServiceSdk).

  7. Ulangi langkah-langkah di semua server subordinat. Promosikan salah satu subordinat untuk menjadi primer baru, lalu tingkatkan server utama lama.

Meningkatkan Portal Pengguna

Selesaikan peningkatan MFA Server sebelum pindah ke bagian ini.

  1. Buat cadangan file web.config yang ada di direktori virtual lokasi penginstalan Portal Pengguna (misalnya, C:\inetpub\wwwroot\MultiFactorAuth). Jika ada perubahan yang dilakukan pada tema default, buat cadangan folder App_Themes\Default juga. Lebih baik membuat salinan folder Default dan membuat tema baru daripada mengubah tema Default.

  2. Jika Portal Pengguna berjalan di server yang sama dengan komponen Server MFA lainnya, penginstalan MFA Server meminta Anda untuk memperbarui Portal Pengguna. Terima prompt dan instal pembaruan Portal Pengguna. Periksa apakah nama direktori virtual cocok dengan direktori virtual yang diinstal sebelumnya (misalnya, MultiFactorAuth).

  3. Jika Portal Pengguna berada di servernya sendiri, salin file MultiFactorAuthenticationUserPortalSetup64.msi dari lokasi penginstalan salah satu MFA Server dan masukkan ke server web Portal Pengguna. Jalankan penginstal.

    Jika terjadi kesalahan yang menyatakan, "Microsoft Visual C++ 2015 Redistributable Update 1 atau yang lebih tinggi diperlukan," unduh dan instal paket pembaruan terbaru dari Pusat Unduh Microsoft. Instal versi x86 dan x64.

  4. Setelah perangkat lunak Portal Pengguna yang diperbarui diinstal, bandingkan cadangan web.config yang Anda buat di langkah 1 dengan file web.config baru. Jika tidak ada atribut baru di web.config baru, salin web.config cadangan ke direktori virtual untuk menimpa yang baru. Opsi lain adalah menyalin/menempelkan nilai appSettings dan URL SDK Layanan Web dari file cadangan ke dalam web.config baru.

Jika Anda memiliki Portal Pengguna di beberapa server, ulangi penginstalan pada semuanya.

Meningkatkan Layanan Web Aplikasi Seluler

Catatan

Saat meningkatkan dari versi Azure MFA Server yang lebih lama dari 8.0 ke versi di atas 8.0, layanan web aplikasi seluler dapat dihapus instalannya setelah peningkatan

Meningkatkan Adaptor AD FS

Selesaikan peningkatan MFA Server dan Portal Pengguna sebelum pindah ke bagian ini.

Jika MFA berjalan di server yang berbeda dari AD FS

Instruksi ini hanya berlaku jika Anda menjalankan Multi-Factor Authentication Server secara terpisah dari server AD FS Anda. Jika kedua layanan berjalan di server yang sama, lewati bagian ini dan buka langkah-langkah penginstalan.

  1. Simpan salinan file MultiFactorAuthenticationAdfsAdapter.config yang terdaftar di AD FS, atau ekspor konfigurasi menggunakan perintah PowerShell berikut: Export-AdfsAuthenticationProviderConfigurationData -Name [adapter name] -FilePath [path to config file]. Nama adaptor adalah "WindowsAzureMultiFactorAuthentication" atau "AzureMfaServerAuthentication" tergantung pada versi yang sebelumnya diinstal.

  2. Salin file berikut dari lokasi penginstalan MFA Server ke server AD FS:

    • MultiFactorAuthenticationAdfsAdapterSetup64.msi
    • Register-MultiFactorAuthenticationAdfsAdapter.ps1
    • Unregister-MultiFactorAuthenticationAdfsAdapter.ps1
    • MultiFactorAuthenticationAdfsAdapter.config
  3. Edit skrip Register-MultiFactorAuthenticationAdfsAdapter.ps1 dengan menambahkan -ConfigurationFilePath [path] ke akhir perintah Register-AdfsAuthenticationProvider. Ganti [jalur] dengan jalur lengkap ke file MultiFactorAuthenticationAdfsAdapter.config atau file konfigurasi yang diekspor pada langkah sebelumnya.

    Periksa atribut di MultiFactorAuthenticationAdfsAdapter.config baru untuk melihat apakah cocok dengan file konfigurasi lama. Jika ada atribut yang ditambahkan atau dihapus dalam versi baru, salin nilai atribut dari file konfigurasi lama ke baru atau ubah file konfigurasi lama agar sesuai.

Menginstal adaptor AD FS baru

Penting

Pengguna tidak akan diminta untuk melakukan verifikasi dua langkah selama langkah 3-8 dalam bagian ini. Jika Anda mengonfigurasi AD FS di beberapa kluster, Anda dapat menghapus, meningkatkan, dan memulihkan setiap kluster di farm secara terpisah dari kluster lain untuk menghindari waktu henti.

  1. Hapus beberapa server AD FS dari farm. Perbarui server ini saat yang lain masih berjalan.

  2. Instal adaptor AD FS baru di setiap server yang dihapus dari layanan AD FS. Jika Server MFA diinstal di setiap server AD FS, Anda dapat memperbarui melalui UX admin MFA Server. Jika tidak, perbarui dengan menjalankan MultiFactorAuthenticationAdfsAdapterSetup64.msi.

    Jika terjadi kesalahan yang menyatakan, "Microsoft Visual C++ 2015 Redistributable Update 1 atau yang lebih tinggi diperlukan," unduh dan instal paket pembaruan terbaru dari Pusat Unduh Microsoft. Instal versi x86 dan x64.

  3. Buka AD FS>Kebijakan Autentikasi>Edit Kebijakan Autentikasi Multifaktor Global. Hapus centang WindowsAzureMultiFactorAuthentication atau AzureMFAServerAuthentication (tergantung pada versi saat ini yang diinstal).

    Setelah langkah ini selesai, verifikasi dua langkah melalui MFA Server tidak tersedia di kluster AD FS ini hingga Anda menyelesaikan langkah 8.

  4. Batalkan pendaftaran versi lama adaptor AD FS dengan menjalankan skrip PowerShell Unregister-MultiFactorAuthenticationAdfsAdapter.ps1. Pastikan parameter -Name (baik "WindowsAzureMultiFactorAuthentication" atau "AzureMFAServerAuthentication") cocok dengan nama yang ditampilkan di langkah 3. Ini berlaku untuk semua server di kluster AD FS yang sama karena ada konfigurasi pusat.

  5. Daftarkan versi lama adaptor AD FS dengan menjalankan skrip PowerShell Register-MultiFactorAuthenticationAdfsAdapter.ps1. Ini berlaku untuk semua server di kluster AD FS yang sama karena ada konfigurasi pusat.

  6. Mulai ulang layanan AD FS di setiap server yang dihapus dari farm AD FS.

  7. Tambahkan server yang diperbarui kembali ke farm AD FS dan hapus server lain dari farm.

  8. Buka AD FS>Kebijakan Autentikasi>Edit Kebijakan Autentikasi Multifaktor Global. Periksa AzureMfaServerAuthentication.

  9. Ulangi langkah 2 untuk memperbarui server yang sekarang dihapus dari farm AD FS dan mulai ulang layanan AD FS di server tersebut.

  10. Menambahkan server tersebut kembali ke farm AD FS.

Langkah berikutnya