Upgrade to the latest Azure Multi-Factor Authentication Server (Uaktualnianie do najnowszej wersji serwera Azure Multi-Factor Authentication)

W tym artykule przedstawiono proces uaktualniania serwera Azure Multi-Factor Authentication w wersji 6.0 lub nowszej. Jeśli musisz uaktualnić starą wersję agenta Telefon Factor, zapoznaj się z tematem Uaktualnianie agenta Telefon Factor do serwera usługi Azure Multi-Factor Authentication.

W przypadku uaktualniania z wersji 6.x lub nowszej do wersji 7.x lub nowszej wszystkie składniki zmieniają się z .NET 2.0 na .NET 4.5. Wszystkie składniki wymagają również pakietu redystrybucyjnego Microsoft Visual C++ 2015 Update 1 lub nowszego. Instalator serwera MFA instaluje zarówno wersje x86, jak i x64 tych składników, jeśli nie zostały jeszcze zainstalowane. Jeśli portal użytkowników i usługa sieci Web aplikacji mobilnej działają na oddzielnych serwerach, należy zainstalować te pakiety przed uaktualnieniem tych składników. Najnowszą aktualizację pakietu redystrybucyjnego programu Microsoft Visual C++ 2015 można wyszukać w Centrum pobierania Microsoft.

Ważne

We wrześniu 2022 r. firma Microsoft ogłosiła wycofanie serwera usługi Azure Multi-Factor Authentication. Od 30 września 2024 r. wdrożenia serwera usługi Azure Multi-Factor Authentication nie będą już obsługiwać żądań uwierzytelniania wieloskładnikowego, co może spowodować niepowodzenie uwierzytelniania w organizacji. Aby zapewnić nieprzerwane usługi uwierzytelniania i pozostać w obsługiwanym stanie, organizacje powinny migrować dane uwierzytelniania użytkowników do usługi Azure MFA opartej na chmurze przy użyciu najnowszej aktualizacji serwera usługi Azure MFA. Aby uzyskać więcej informacji, zobacz Azure MFA Server Migration (Migracja serwera usługi Azure MFA).

Aby rozpocząć pracę z uwierzytelnianiem wieloskładnikowym opartym na chmurze, zobacz Samouczek: zabezpieczanie zdarzeń logowania użytkownika przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft.

Błyskawiczne kroki uaktualniania:

• Uaktualnianie serwerów usługi Azure MFA (podwładnych, a następnie podstawowych)
• Uaktualnianie wystąpień portalu użytkowników
• Uaktualnianie wystąpień adaptera usług AD FS

Uaktualnianie serwera usługi Azure MFA

1. Aby uzyskać najnowszą wersję instalatora serwera usługi Azure MFA, skorzystaj z instrukcji w temacie Pobieranie serwera usługi Azure Multi-Factor Authentication.

2. Utwórz kopię zapasową pliku danych serwera MFA znajdującego się w lokalizacji C:\Program Files\Multi-Factor Authentication Server\Data\Telefon Factor.pfdata (przy założeniu domyślnej lokalizacji instalacji) na podstawowym serwerze usługi MFA.

3. Jeśli uruchamiasz wiele serwerów w celu zapewnienia wysokiej dostępności, zmień systemy klienckie, które uwierzytelniają się na serwerze usługi MFA, tak aby przestały wysyłać ruch do uaktualnianych serwerów. Jeśli używasz modułu równoważenia obciążenia, usuń podrzędny serwer MFA z modułu równoważenia obciążenia, wykonaj uaktualnienie, a następnie dodaj serwer z powrotem do farmy.

4. Uruchom nowy instalator na każdym serwerze usługi MFA. Najpierw uaktualnij serwery podrzędne, ponieważ mogą odczytywać stary plik danych replikowany przez serwer podstawowy.

   Uwaga

   Podczas uaktualniania serwera należy go usunąć z dowolnego równoważenia obciążenia lub udostępniania ruchu innym serwerom usługi MFA.

   Przed uruchomieniem instalatora nie trzeba odinstalować bieżącego serwera usługi MFA. Instalator wykonuje uaktualnienie w miejscu. Ścieżka instalacji jest pobierana z rejestru z poprzedniej instalacji, więc jest instalowana w tej samej lokalizacji (na przykład C:\Program Files\Multi-Factor Authentication Server).

5. Jeśli zostanie wyświetlony monit o zainstalowanie pakietu aktualizacji pakietu redystrybucyjnego programu Microsoft Visual C++ 2015, zaakceptuj monit. Instalowane są wersje pakietu x86 i x64.

6. Jeśli używasz zestawu SDK usługi sieci Web, zostanie wyświetlony monit o zainstalowanie nowego zestawu SDK usługi sieci Web. Podczas instalowania nowego zestawu SDK usługi sieci Web upewnij się, że nazwa katalogu wirtualnego jest zgodna z wcześniej zainstalowanym katalogiem wirtualnym (na przykład MultiFactorAuthWebServiceSdk).

7. Powtórz kroki na wszystkich serwerach podrzędnych. Podwyższ poziom jednego z podwładnych, aby był nowym podstawowym, a następnie uaktualnij stary serwer podstawowy.

Uaktualnianie portalu użytkowników

Przed przejściem do tej sekcji ukończ uaktualnienie serwerów usługi MFA.

1. Utwórz kopię zapasową pliku web.config, który znajduje się w katalogu wirtualnym lokalizacji instalacji portalu użytkowników (na przykład C:\inetpub\wwwroot\MultiFactorAuth). Jeśli w motywie domyślnym wprowadzono jakiekolwiek zmiany, utwórz również kopię zapasową folderu App_Themes\Default. Lepiej jest utworzyć kopię folderu Domyślne i utworzyć nowy motyw niż zmienić motyw Domyślny.

2. Jeśli portal użytkowników działa na tym samym serwerze co inne składniki serwera MFA, instalacja serwera MFA monituje o zaktualizowanie portalu użytkowników. Zaakceptuj monit i zainstaluj aktualizację portalu użytkowników. Sprawdź, czy nazwa katalogu wirtualnego jest zgodna z wcześniej zainstalowanym katalogiem wirtualnym (na przykład MultiFactorAuth).

3. Jeśli portal użytkowników znajduje się na własnym serwerze, skopiuj plik MultiFactorAuthenticationUserPortalSetup64.msi z lokalizacji instalacji jednego z serwerów usługi MFA i umieść go na serwerze internetowym portalu użytkowników. Uruchom instalatora.

   Jeśli wystąpi błąd" "Wymagany jest pakiet redystrybucyjny Microsoft Visual C++ 2015 Update 1 lub nowszy", pobierz i zainstaluj najnowszy pakiet aktualizacji z Centrum pobierania Microsoft. Zainstaluj zarówno wersje x86, jak i x64.

4. Po zainstalowaniu zaktualizowanego oprogramowania portalu użytkowników porównaj kopię zapasową web.config utworzoną w kroku 1 z nowym plikiem web.config. Jeśli w nowym pliku web.config nie istnieją żadne nowe atrybuty, skopiuj plik web.config kopii zapasowej do katalogu wirtualnego, aby zastąpić nowy. Inną opcją jest skopiowanie/wklejenie wartości aplikacji Ustawienia oraz adres URL zestawu SDK usługi sieci Web z pliku kopii zapasowej do nowej konfiguracji web.config.

Jeśli masz portal użytkowników na wielu serwerach, powtórz instalację na wszystkich serwerach.

Uaktualnianie usługi internetowej aplikacji mobilnej

Uwaga

Podczas uaktualniania z wersji serwera Usługi Azure MFA starszej niż 8.0 do 8.0 lub nowszej można odinstalować usługę internetową aplikacji mobilnej po uaktualnieniu

Uaktualnianie adapterów usług AD FS

Przed przejściem do tej sekcji ukończ uaktualnienie serwerów usługi MFA i portalu użytkowników.

Jeśli uwierzytelnianie wieloskładnikowe działa na różnych serwerach niż usługi AD FS

Te instrukcje mają zastosowanie tylko w przypadku uruchamiania serwera usługi Multi-Factor Authentication niezależnie od serwerów usług AD FS. Jeśli obie usługi działają na tych samych serwerach, pomiń tę sekcję i przejdź do kroków instalacji.

1. Zapisz kopię pliku MultiFactorAuthenticationAdfsAdapter.config zarejestrowanego w usługach AD FS lub wyeksportuj konfigurację przy użyciu następującego polecenia programu PowerShell: Export-AdfsAuthenticationProviderConfigurationData -Name [adapter name] -FilePath [path to config file]. Nazwa karty to "WindowsAzureMultiFactorAuthentication" lub "AzureMfaServerAuthentication" w zależności od zainstalowanej wcześniej wersji.

2. Skopiuj następujące pliki z lokalizacji instalacji serwera MFA do serwerów usług AD FS:

   • MultiFactorAuthenticationAdfsAdapterSetup64.msi
   • Register-MultiFactorAuthenticationAdfsAdapter.ps1
   • Unregister-MultiFactorAuthenticationAdfsAdapter.ps1
   • MultiFactorAuthenticationAdfsAdapter.config

3. Edytuj skrypt Register-MultiFactorAuthenticationAdfsAdapter.ps1, dodając -ConfigurationFilePath [path] na końcu Register-AdfsAuthenticationProvider polecenia. Zastąp ciąg [path] pełną ścieżką do pliku MultiFactorAuthenticationAdfsAdapter.config lub pliku konfiguracji wyeksportowanego w poprzednim kroku.

   Sprawdź atrybuty w nowej konfiguracji MultiFactorAuthenticationAdfsAdapter.config, aby sprawdzić, czy pasują do starego pliku konfiguracji. Jeśli jakiekolwiek atrybuty zostały dodane lub usunięte w nowej wersji, skopiuj wartości atrybutów ze starego pliku konfiguracji do nowego lub zmodyfikuj stary plik konfiguracji, aby był zgodny.

Instalowanie nowych adapterów usług AD FS

Ważne

Użytkownicy nie będą musieli przeprowadzać weryfikacji dwuetapowej w krokach 3–8 tej sekcji. Jeśli usługi AD FS są skonfigurowane w wielu klastrach, można usunąć, uaktualnić i przywrócić każdy klaster w farmie niezależnie od innych klastrów, aby uniknąć przestojów.

1. Usuń niektóre serwery usług AD FS z farmy. Zaktualizuj te serwery, gdy inne są nadal uruchomione.

2. Zainstaluj nową kartę usług AD FS na każdym serwerze usuniętym z farmy usług AD FS. Jeśli serwer usługi MFA jest zainstalowany na każdym serwerze usług AD FS, można zaktualizować za pośrednictwem środowiska użytkownika administratora serwera usługi MFA. W przeciwnym razie zaktualizuj polecenie MultiFactorAuthenticationAdfsAdapterSetup64.msi.

   Jeśli wystąpi błąd" "Wymagany jest pakiet redystrybucyjny Microsoft Visual C++ 2015 Update 1 lub nowszy", pobierz i zainstaluj najnowszy pakiet aktualizacji z Centrum pobierania Microsoft. Zainstaluj zarówno wersje x86, jak i x64.

3. Przejdź do pozycji Zasady uwierzytelniania usług>AD FS>Edytuj globalne zasady uwierzytelniania wieloskładnikowego. Usuń zaznaczenie pola wyboru WindowsAzureMultiFactorAuthentication lub AzureMFAServerAuthentication (w zależności od zainstalowanej bieżącej wersji).

   Po zakończeniu tego kroku weryfikacja dwuetapowa za pośrednictwem serwera MFA nie jest dostępna w tym klastrze usług AD FS do momentu ukończenia kroku 8.

4. Wyrejestruj starszą wersję adaptera usług AD FS, uruchamiając skrypt Unregister-MultiFactorAuthenticationAdfsAdapter.ps1 programu PowerShell. Upewnij się, że parametr -Name (WindowsAzureMultiFactorAuthentication" lub "AzureMFAServerAuthentication") jest zgodny z nazwą wyświetlaną w kroku 3. Dotyczy to wszystkich serwerów w tym samym klastrze usług AD FS, ponieważ istnieje centralna konfiguracja.

5. Zarejestruj nową kartę usług AD FS, uruchamiając skrypt Programu PowerShell Register-MultiFactorAuthenticationAdfsAdapter.ps1. Dotyczy to wszystkich serwerów w tym samym klastrze usług AD FS, ponieważ istnieje centralna konfiguracja.

6. Uruchom ponownie usługę AD FS na każdym serwerze usuniętym z farmy usług AD FS.

7. Dodaj zaktualizowane serwery z powrotem do farmy usług AD FS i usuń inne serwery z farmy.

8. Przejdź do pozycji Zasady uwierzytelniania usług>AD FS>Edytuj globalne zasady uwierzytelniania wieloskładnikowego. Sprawdź azureMfaServerAuthentication.

9. Powtórz krok 2, aby zaktualizować serwery usunięte z farmy usług AD FS i ponownie uruchomić usługę AD FS na tych serwerach.

10. Dodaj te serwery z powrotem do farmy usług AD FS.

Następne kroki

• Uzyskiwanie przykładów zaawansowanych scenariuszy z uwierzytelnianiem wieloskładnikowym firmy Microsoft i sieciami VPN innych firm

• Synchronizowanie serwera MFA z usługą Active Directory systemu Windows Server

• Konfigurowanie uwierzytelniania systemu Windows dla aplikacji