Upgrade to the latest Azure Multi-Factor Authentication Server (Uaktualnianie do najnowszej wersji serwera Azure Multi-Factor Authentication)

W tym artykule przedstawiono proces uaktualniania serwera usługi Azure Multi-Factor Authentication (MFA) w wersji 6.0 lub nowszej. Jeśli musisz uaktualnić starą wersję agenta PhoneFactor, zapoznaj się z tematem Uaktualnianie agenta PhoneFactor do serwera usługi Azure Multi-Factor Authentication.

W przypadku uaktualniania z wersji 6.x lub starszej do wersji 7.x lub nowszej wszystkie składniki zmieniają się z platformy .NET 2.0 na .NET 4.5. Wszystkie składniki wymagają również Microsoft Visual C++ 2015 Redistributable Update 1 lub nowszej wersji. Instalator serwera MFA instaluje zarówno wersje x86, jak i x64 tych składników, jeśli nie zostały jeszcze zainstalowane. Jeśli portal użytkowników i usługa sieci Web aplikacji mobilnej działają na oddzielnych serwerach, należy zainstalować te pakiety przed uaktualnieniem tych składników. Możesz wyszukać najnowszą aktualizację pakietu redystrybucyjnego Microsoft Visual C++ 2015 w Centrum pobierania Microsoft.

Ważne

Od 1 lipca 2019 r. firma Microsoft nie będzie już oferować aplikacji MFA Server na potrzeby nowych wdrożeń. Nowi klienci, którzy chcą wymagać uwierzytelniania wieloskładnikowego (MFA) podczas zdarzeń logowania, powinni korzystać z usługi Azure AD Multi-Factor Authentication opartej na chmurze.

Aby rozpocząć pracę z usługą MFA opartą na chmurze, zobacz Samouczek: zabezpieczanie zdarzeń logowania użytkowników przy użyciu usługi Azure AD Multi-Factor Authentication.

Istniejący klienci, którzy aktywowali serwer MFA przed 1 lipca 2019 r., mogą pobrać najnowszą wersję, przyszłe aktualizacje i wygenerować poświadczenia aktywacji tak jak zwykle.

Kroki uaktualniania są błyskawiczne:

  • Uaktualnianie serwerów usługi Azure MFA (podwładnych i podstawowych)
  • Uaktualnianie wystąpień portalu użytkowników
  • Uaktualnianie wystąpień adaptera usług AD FS

Uaktualnianie serwera usługi Azure MFA

  1. Skorzystaj z instrukcji w temacie Pobieranie serwera usługi Azure Multi-Factor Authentication , aby uzyskać najnowszą wersję instalatora serwera usługi Azure MFA.

  2. Utwórz kopię zapasową pliku danych serwera MFA znajdującego się w lokalizacji C:\Program Files\Multi-Factor Authentication Server\Data\PhoneFactor.pfdata (przy założeniu domyślnej lokalizacji instalacji) na podstawowym serwerze uwierzytelniania wieloskładnikowego.

  3. Jeśli uruchamiasz wiele serwerów pod kątem wysokiej dostępności, zmień systemy klienckie, które uwierzytelniają się na serwerze MFA, tak aby przestały wysyłać ruch do serwerów, które są uaktualniane. Jeśli używasz modułu równoważenia obciążenia, usuń podrzędny serwer MFA z modułu równoważenia obciążenia, wykonaj uaktualnienie, a następnie dodaj serwer z powrotem do farmy.

  4. Uruchom nowego instalatora na każdym serwerze uwierzytelniania wieloskładnikowego. Najpierw uaktualnij serwery podrzędne, ponieważ mogą odczytywać stary plik danych replikowany przez serwer podstawowy.

    Uwaga

    Podczas uaktualniania serwera należy go usunąć z dowolnego równoważenia obciążenia lub udostępniania ruchu innym serwerom usługi MFA.

    Nie musisz odinstalować bieżącego serwera MFA przed uruchomieniem instalatora. Instalator wykonuje uaktualnienie w miejscu. Ścieżka instalacji jest pobierana z rejestru z poprzedniej instalacji, dlatego jest instalowana w tej samej lokalizacji (na przykład C:\Program Files\Multi-Factor Authentication Server).

  5. Jeśli zostanie wyświetlony monit o zainstalowanie pakietu aktualizacji redystrybucyjnego pakietu redystrybucyjnego Microsoft Visual C++ 2015, zaakceptuj monit. Instalowane są wersje pakietu x86 i x64.

  6. Jeśli używasz zestawu SDK usługi sieci Web, zostanie wyświetlony monit o zainstalowanie nowego zestawu SDK usługi sieci Web. Podczas instalowania nowego zestawu SDK usługi sieci Web upewnij się, że nazwa katalogu wirtualnego jest zgodna z wcześniej zainstalowanym katalogiem wirtualnym (na przykład MultiFactorAuthWebServiceSdk).

  7. Powtórz kroki na wszystkich serwerach podrzędnych. Podwyższ poziom jednego z podwładnych jako nowy podstawowy, a następnie uaktualnij stary serwer podstawowy.

Uaktualnianie portalu użytkowników

Przed przejściem do tej sekcji ukończ uaktualnienie serwerów usługi MFA.

  1. Utwórz kopię zapasową pliku web.config, który znajduje się w katalogu wirtualnym lokalizacji instalacji portalu użytkowników (na przykład C:\inetpub\wwwroot\MultiFactorAuth). Jeśli wprowadzono jakiekolwiek zmiany w motywie domyślnym, utwórz również kopię zapasową folderu App_Themes\Default. Lepiej jest utworzyć kopię folderu Domyślne i utworzyć nowy motyw niż zmienić motyw domyślny.

  2. Jeśli portal użytkowników działa na tym samym serwerze co inne składniki serwera MFA, instalacja serwera MFA monituje o zaktualizowanie portalu użytkowników. Zaakceptuj monit i zainstaluj aktualizację portalu użytkowników. Sprawdź, czy nazwa katalogu wirtualnego jest zgodna z wcześniej zainstalowanym katalogiem wirtualnym (na przykład MultiFactorAuth).

  3. Jeśli portal użytkowników znajduje się na własnym serwerze, skopiuj plik MultiFactorAuthenticationUserPortalSetup64.msi z lokalizacji instalacji jednego z serwerów uwierzytelniania wieloskładnikowego i umieść go na serwerze internetowym portalu użytkowników. Uruchom instalatora.

    Jeśli wystąpi błąd z informacją"Microsoft Visual C++ 2015 Redistributable Update 1 lub nowsza jest wymagana", pobierz i zainstaluj najnowszy pakiet aktualizacji z Centrum pobierania Microsoft. Zainstaluj zarówno wersje x86, jak i x64.

  4. Po zainstalowaniu zaktualizowanego oprogramowania portalu użytkowników porównaj kopię zapasową web.config utworzoną w kroku 1 z nowym plikiem web.config. Jeśli w nowym web.config nie istnieją żadne nowe atrybuty, skopiuj web.config kopii zapasowej do katalogu wirtualnego, aby zastąpić nowy. Inną opcją jest skopiowanie/wklejenie wartości appSettings oraz adres URL zestawu SDK usługi internetowej z pliku kopii zapasowej do nowej web.config.

Jeśli masz portal użytkowników na wielu serwerach, powtórz instalację na wszystkich serwerach.

Uaktualnianie usługi internetowej aplikacji mobilnej

Uwaga

Podczas uaktualniania z wersji serwera Usługi Azure MFA starszej niż 8.0 do 8.0 lub nowszej można odinstalować usługę internetową aplikacji mobilnej po uaktualnieniu

Uaktualnianie kart usług AD FS

Przed przejściem do tej sekcji ukończ uaktualnienie serwerów usługi MFA i portalu użytkowników.

Jeśli uwierzytelnianie wieloskładnikowe działa na różnych serwerach niż usługi AD FS

Te instrukcje mają zastosowanie tylko w przypadku uruchamiania serwera Multi-Factor Authentication oddzielnie od serwerów usług AD FS. Jeśli obie usługi działają na tych samych serwerach, pomiń tę sekcję i przejdź do kroków instalacji.

  1. Zapisz kopię pliku MultiFactorAuthenticationAdfsAdapter.config zarejestrowanego w usługach AD FS lub wyeksportuj konfigurację przy użyciu następującego polecenia programu PowerShell: Export-AdfsAuthenticationProviderConfigurationData -Name [adapter name] -FilePath [path to config file]. Nazwa karty to "WindowsAzureMultiFactorAuthentication" lub "AzureMfaServerAuthentication" w zależności od zainstalowanej wcześniej wersji.

  2. Skopiuj następujące pliki z lokalizacji instalacji serwera MFA do serwerów usług AD FS:

    • MultiFactorAuthenticationAdfsAdapterSetup64.msi
    • Register-MultiFactorAuthenticationAdfsAdapter.ps1
    • Unregister-MultiFactorAuthenticationAdfsAdapter.ps1
    • MultiFactorAuthenticationAdfsAdapter.config
  3. Edytuj skrypt Register-MultiFactorAuthenticationAdfsAdapter.ps1, dodając -ConfigurationFilePath [path] go na końcu Register-AdfsAuthenticationProvider polecenia. Zastąp ciąg [path] pełną ścieżką do pliku MultiFactorAuthenticationAdfsAdapter.config lub pliku konfiguracji wyeksportowanego w poprzednim kroku.

    Sprawdź atrybuty w nowej MultiFactorAuthenticationAdfsAdapter.config, aby sprawdzić, czy są zgodne ze starym plikiem konfiguracji. Jeśli jakiekolwiek atrybuty zostały dodane lub usunięte w nowej wersji, skopiuj wartości atrybutów ze starego pliku konfiguracji do nowego lub zmodyfikuj stary plik konfiguracji tak, aby był zgodny.

Instalowanie nowych kart usług AD FS

Ważne

Użytkownicy nie będą musieli przeprowadzać weryfikacji dwuetapowej podczas wykonywania kroków 3–8 tej sekcji. Jeśli usługi AD FS są skonfigurowane w wielu klastrach, możesz usunąć, uaktualnić i przywrócić każdy klaster w farmie niezależnie od innych klastrów, aby uniknąć przestojów.

  1. Usuń niektóre serwery usług AD FS z farmy. Zaktualizuj te serwery, gdy inne są nadal uruchomione.

  2. Zainstaluj nową kartę usług AD FS na każdym serwerze usuniętym z farmy usług AD FS. Jeśli serwer MFA jest zainstalowany na każdym serwerze usług AD FS, można zaktualizować za pośrednictwem środowiska użytkownika administratora serwera MFA. W przeciwnym razie zaktualizuj, uruchamiając MultiFactorAuthenticationAdfsAdapterSetup64.msi.

    Jeśli wystąpi błąd z informacją"Microsoft Visual C++ 2015 Redistributable Update 1 lub nowsza jest wymagana", pobierz i zainstaluj najnowszy pakiet aktualizacji z Centrum pobierania Microsoft. Zainstaluj zarówno wersje x86, jak i x64.

  3. Przejdź do pozycji AD FSAuthentication>PoliciesEdit Global MultiFactor Authentication Policy (Zasady globalnego uwierzytelniania wieloskładnikowego).> Usuń zaznaczenie pola wyboru WindowsAzureMultiFactorAuthentication lub AzureMFAServerAuthentication (w zależności od zainstalowanej bieżącej wersji).

    Po zakończeniu tego kroku weryfikacja dwuetapowa za pośrednictwem serwera MFA nie jest dostępna w tym klastrze usług AD FS do momentu ukończenia kroku 8.

  4. Wyrejestruj starszą wersję adaptera usług AD FS, uruchamiając skrypt programu PowerShell Unregister-MultiFactorAuthenticationAdfsAdapter.ps1. Upewnij się, że parametr -Name (WindowsAzureMultiFactorAuthentication" lub "AzureMFAServerAuthentication") jest zgodny z nazwą wyświetlaną w kroku 3. Dotyczy to wszystkich serwerów w tym samym klastrze usług AD FS, ponieważ istnieje centralna konfiguracja.

  5. Zarejestruj nową kartę ad FS, uruchamiając skrypt programu PowerShell Register-MultiFactorAuthenticationAdfsAdapter.ps1. Dotyczy to wszystkich serwerów w tym samym klastrze usług AD FS, ponieważ istnieje centralna konfiguracja.

  6. Uruchom ponownie usługę AD FS na każdym serwerze usuniętym z farmy usług AD FS.

  7. Dodaj zaktualizowane serwery z powrotem do farmy usług AD FS i usuń inne serwery z farmy.

  8. Przejdź do pozycji AD FSAuthentication>PoliciesEdit Global MultiFactor Authentication Policy (Zasady globalnego uwierzytelniania wieloskładnikowego).> Sprawdź pozycję AzureMfaServerAuthentication.

  9. Powtórz krok 2, aby zaktualizować serwery usunięte z farmy usług AD FS i ponownie uruchomić usługę AD FS na tych serwerach.

  10. Dodaj te serwery z powrotem do farmy usług AD FS.

Następne kroki