средство быстрого восстановления службы федерации Active Directory (AD FS)

  • Статья

службы федерации Active Directory (AD FS) (AD FS) становится высокодоступным путем настройки фермы AD FS. Некоторые организации предпочитают развертывание AD FS на одном сервере, чтобы устранить необходимость в нескольких серверах AD FS и инфраструктуре балансировки нагрузки сети. Этот подход помогает обеспечить быстрое восстановление службы после устранения потенциальных проблем.

Средство быстрого восстановления AD FS предоставляет способ восстановления данных AD FS без полного резервного копирования и восстановления состояния операционной системы или системы. Используйте средство для экспорта конфигурации AD FS в Azure или в локальное расположение. Вы можете применить экспортированные данные к новой установке AD FS и повторно создать или дублировать среду AD FS.

Варианты использования

Средство быстрого восстановления AD FS можно использовать в различных сценариях:

  • Быстрое восстановление функциональных возможностей AD FS после проблем. Используйте средство быстрого восстановления для создания холодной резервной установки AD FS, которая может быть быстро развернута вместо сервера AD FS в Сети.

  • Развертывание идентичных тестовых и рабочих сред. Быстро создайте точную копию рабочей службы AD FS в тестовой среде. Средство быстрого восстановления также можно использовать для быстрого развертывания проверенной тестовой конфигурации в рабочей среде.

  • Перенос конфигураций интегрированной базы данных SQL и Windows (WID). Перенос данных с помощью средства быстрого восстановления и переход с конфигурации фермы на основе SQL в WID или наоборот.

Примечание.

Если вы используете репликацию слиянием SQL или группы доступности Always on, средство быстрого восстановления не поддерживается. Мы рекомендуем резервные копии на основе SQL и резервную копию SSL-сертификата.

Содержимое резервного копирования

Средство быстрого восстановления выполняет резервное копирование следующей конфигурации AD FS:

  • База данных конфигурации AD FS (SQL или WID)
  • Файл конфигурации (расположен в папке AD FS)
  • Список установленных настраиваемых поставщиков проверки подлинности, хранилищ атрибутов и доверия локальных поставщиков утверждений
  • Автоматическое создание подписи и расшифровки сертификатов и закрытых ключей из контейнера Диспетчера распределенных ключей Active Directory (DKM)
  • SSL-сертификат и все внешние зарегистрированные сертификаты (подписывание маркеров, расшифровка маркеров и обмен данными между службами) и соответствующие закрытые ключи

Примечание.

Закрытые ключи должны быть экспортируемыми. Пользователь, выполняя скрипт, должен иметь разрешение на доступ к ключам.

Шифрование резервной копии

Все данные резервного копирования шифруются перед отправкой в облако или хранятся в файловой системе.

Каждый документ, созданный в составе резервной копии, шифруется с помощью AES-256. Пароль, предоставленный средству быстрого восстановления, используется в качестве парольной фразы для создания нового пароля с помощью Rfc2898DeriveBytes класса.

Класс RngCryptoServiceProvider создает соль (двоичный BLOB-объект), используемый AES и классом Rfc2898DeriveBytes .

Начать

Чтобы приступить к работе с средством быстрого восстановления AD FS, сначала ознакомьтесь со следующими требованиями к системе и инструментам.

  • Это средство работает для AD FS в Windows Server 2016 и более поздних версиях.
  • Для этого средства требуется .NET Framework 4.0 или более поздней версии.
  • При использовании WID средство должно выполняться на основном сервере AD FS. Get-AdfsSyncProperties Используйте командлет, чтобы проверка, если сервер является основным сервером.
  • Восстановление должно выполняться на сервере AD FS той же версии, что и сервер резервного копирования, и использовать ту же учетную запись Active Directory, что и учетная запись службы AD FS.

Выполните следующие действия, чтобы настроить средство:

  1. Скачайте и установите MSI на сервер AD FS.

  2. После установки средства выполните следующую команду из командной строки PowerShell:

    Import-Module 'C:\Program Files (x86)\ADFS Rapid Recreation Tool\ADFSRapidRecreationTool.dll'

Создание резервных копий: Backup-ADFS

Чтобы создать резервную копию, используйте командлет PowerShell Backup-ADFS. Командлет резервного копирования резервирует конфигурацию AD FS, базу данных, SSL-сертификаты и т. д.

Перед использованием командлета резервного копирования ознакомьтесь со следующими требованиями к доступу и разрешениям.

  • Запустите от имени локального администратора. Чтобы запустить командлет резервного копирования, пользователь должен быть по крайней мере локальным администратором.

  • Резервное копирование от имени администратора домена. Чтобы создать резервную копию контейнера DKM Active Directory (который требуется в конфигурации AD FS по умолчанию), привилегии пользователя должны соответствовать одному или нескольким из следующих критериев:

    • Пользователь должен быть администратором домена.
    • Пользователь должен передать учетные данные учетной записи службы AD FS.
    • Пользователь должен иметь доступ к контейнеру DKM.

  • Используйте учетную запись gMSA в качестве администратора домена. Для учетной записи управляемой группы (gMSA) пользователь должен быть администратором домена или иметь разрешения на контейнер. Пользователь не может предоставить учетные данные gMSA.

Параметры командлета Backup-ADFS

Каждое резервное копирование называется в соответствии с шаблоном adfsBackup_ID_Date-Time. Имя содержит номер версии, дату и время резервной копии.

Ниже приведены параметры для командлета Backup-ADFS:

Backup-ADFS 
  -StorageType {FileSystem | Azure} 
  -EncryptionPassword <string> 
  -AzureConnectionCredentials <pscredential> 
  -AzureStorageContainer <string> 
  [-BackupComment <string>] 
  [-ServiceAccountCredential <pscredential>]
  [-BackupDKM]
  [<CommonParameters>]
    
Backup-ADFS -StorageType {FileSystem | Azure} 
  -EncryptionPassword <string>
  -StoragePath <string> 
  [-BackupComment <string>]
  [-ServiceAccountCredential <pscredential>]
  [-BackupDKM]
  [<CommonParameters>]

В следующем списке описаны сведения о параметрах для командлета Backup-ADFS.

  • BackupDKM: создает резервную копию контейнера DKM Active Directory, содержащего ключи AD FS в конфигурации по умолчанию (автоматически создаваемые сертификаты подписывания и расшифровки маркеров). Этот подход использует средство Microsoft Entra для экспорта контейнера Microsoft Entra ldifde и всех его поддерев.

  • StorageType <string>: когда пользователь выполняет резервное копирование, он выбирает расположение резервного копирования:

    • FileSystem указывает, что пользователь хочет сохранить резервную копию в локальной папке или в сети. Чтобы сохранить резервную копию в файловой системе, пользователь должен удовлетворить следующие требования:

      • Необходимо указать путь к хранилищу.

      В каталоге пути создается новый каталог для каждой резервной копии. Каждый каталог, созданный, содержит резервные копии файлов.

    • Azure указывает, что пользователь хочет сохранить резервную копию в контейнере служба хранилища Azure. Чтобы сохранить резервную копию в облаке, пользователь должен удовлетворить следующие требования:

      • служба хранилища Azure учетные данные должны передаваться командлету. Учетные данные хранения содержат имя и ключ учетной записи.
      • Имя контейнера также должно быть передано. Если контейнер не существует, он создается во время резервной копии.

  • EncryptionPassword <string>: пароль, используемый для шифрования всех резервных файлов перед их сохранением.

  • AzureConnectionCredentials <pscredential>: имя и ключ учетной записи хранения Azure.

  • AzureStorageContainer <string>: контейнер хранилища для резервной копии в Azure.

  • StoragePath <string>: расположение хранилища для резервных копий.

  • ServiceAccountCredential <pscredential>: учетная запись службы, используемая для текущей работающей службы AD FS. Этот параметр необходим только в том случае, если пользователь хочет создать резервную копию DKM, и он не является администратором домена или не может получить доступ к содержимому контейнера.

  • BackupComment <string[]>: информационная строка о резервной копии, отображаемой во время восстановления. Эта строка похожа на концепцию именования Hyper-V проверка point. Значением по умолчанию является пустая строка.

Примеры резервного копирования

В следующих примерах PowerShell показаны параметры резервного копирования для конфигурации AD FS с помощью средства быстрого восстановления AD FS и командлета Backup-ADFS.

Резервное копирование в файловую систему с помощью DKM в качестве администратора домена

Следующий командлет выполняет резервное копирование конфигурации AD FS в файловую систему с помощью DKM с помощью -BackupDKM параметра. Этот подход обеспечивает доступ к содержимому контейнера DKM в качестве администратора домена или пользователя с делегированными разрешениями.

Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -EncryptionPassword "password" -BackupComment "Clean Install of AD FS (FS)" -BackupDKM

Резервное копирование в файловую систему с помощью DKM в качестве локального администратора

Следующий командлет также выполняет резервное копирование конфигурации AD FS в файловую систему с помощью DKM, но использует немного другой подход. В этом параметре необходимо указать учетные данные учетной записи службы с помощью -ServiceAccountCredential $cred параметра и запустить операцию в качестве локального администратора.

Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -EncryptionPassword "password" -BackupComment "Clean Install of AD FS (FS)" -BackupDKM -ServiceAccountCredential $cred

Резервное копирование до контейнера служба хранилища Azure без DKM

Следующий командлет выполняет резервное копирование конфигурации AD FS в контейнер служба хранилища Azure без использования DKM. -AzureStorageContainer "adfsbackups" Используйте параметр, чтобы указать контейнер.

Backup-ADFS -StorageType "Azure" -AzureConnectionCredentials $cred -AzureStorageContainer "adfsbackups"  -EncryptionPassword "password" -BackupComment "Clean Install of AD FS"

Резервное копирование в файловую систему без DKM

Следующий командлет выполняет резервное копирование конфигурации AD FS в файловую систему без использования DKM. Обратите внимание, что -BackupDKM параметр не указан.

Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -EncryptionPassword "password" -BackupComment "Clean Install of AD FS (FS)"

Восстановление резервных копий: Restore-ADFS

Чтобы применить конфигурацию, созданную с помощью командлета Backup-ADFS, к новой установке AD FS используйте командлет Restore-ADFS. Командлет восстановления создает новую ферму AD FS с помощью командлета Install-AdfsFarm и восстанавливает конфигурацию AD FS, базу данных, сертификаты и т. д.

Командлет восстановления проверка расположение восстановления для существующих резервных копий. Командлет предложит пользователю выбрать соответствующую резервную копию на основе даты и времени его выполнения, а также любой комментарий резервного копирования, который пользователь мог подключить к резервной копии. Если существует несколько конфигураций AD FS с разными именами служб федерации, пользователю сначала будет предложено выбрать соответствующую конфигурацию AD FS.

Перед использованием командлета восстановления ознакомьтесь со следующими требованиями.

  • Если роль AD FS не установлена на сервере, командлет устанавливает эту роль.
  • Для выполнения этого командлета пользователь должен быть как локальным, так и администратором домена.

Внимание

Прежде чем использовать средство быстрого восстановления AD FS для восстановления резервной копии, убедитесь, что сервер присоединен к домену.

Параметры командлета Restore-ADFS

Ниже приведены параметры командлета Restore-ADFS:

Restore-ADFS 
  -StorageType {FileSystem | Azure} 
  -DecryptionPassword <string> 
  -AzureConnectionCredentials <pscredential>
  -AzureStorageContainer <string>
  [-ADFSName <string>]
  [-ServiceAccountCredential <pscredential>]
  [-GroupServiceAccountIdentifier <string>]
  [-DBConnectionString <string>]
  [-Force]
  [-RestoreDKM]  
  [<CommonParameters>]
    
Restore-ADFS 
  -StorageType {FileSystem | Azure} 
  -DecryptionPassword <string>
  -StoragePath <string>
  [-ADFSName <string>]
  [-ServiceAccountCredential <pscredential>]
  [-GroupServiceAccountIdentifier <string>]
  [-DBConnectionString <string>]
  [-Force]
  [-RestoreDKM]
  [<CommonParameters>]

В следующем списке описаны сведения о параметрах для командлета Restore-ADFS.

  • StorageType <string>: тип используемого хранилища:

    • FileSystem сохраняет резервную копию в локальной папке или в сети.
    • Azure сохраняет резервную копию в контейнере служба хранилища Azure.

  • DecryptionPassword <string>: пароль, используемый для шифрования всех резервных файлов.

  • AzureConnectionCredentials <pscredential>: имя и ключ учетной записи хранения Azure.

  • AzureStorageContainer <string>: контейнер хранилища для хранения резервной копии в Azure.

  • StoragePath <string>: расположение хранилища для резервной копии.

  • ADFSName <string>: имя федерации, которая была создана и теперь восстановлена.

    • Если имя не указано и существует только одно имя службы федерации, используется это имя службы федерации.
    • Если в расположении выполняется резервное копирование нескольких служб федерации, пользователю будет предложено выбрать резервную копию службы федерации.

  • ServiceAccountCredential <pscredential>: указывает учетную запись службы, используемую для новой службы AD FS, которая восстанавливается.

  • GroupServiceAccountIdentifier <string>: gMSA, которую пользователь хочет использовать для новой службы AD FS, которая восстанавливается.

    • По умолчанию, если значение не указано, используется имя резервной учетной записи, если учетная запись gMSA.
    • Если значение не указано, а учетная запись не gMSA, пользователю будет предложено указать учетную запись службы.

  • DBConnectionString <string>: чтобы использовать другую базу данных для восстановления, укажите строку Подключение ion SQL или введите WID.

  • Force <bool>: пропустите любые запросы из средства после выбора процесса резервного копирования.

  • RestoreDKM <bool>: восстановите контейнер DKM в Active Directory. Задайте этот параметр при восстановлении в новом Каталоге Active Directory и DKM изначально создано резервное копирование.

Примеры восстановления

В следующих примерах PowerShell показаны параметры восстановления конфигурации AD FS с помощью средства быстрого восстановления AD FS и командлета Restore-ADFS.

Восстановление в файловой системе с помощью DKM в качестве администратора домена

Следующий командлет восстанавливает конфигурацию AD FS в файловой системе с DKM с помощью -RestoreDKM параметра.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -RestoreDKM

Восстановление в файловой системе без DKM

Следующий командлет восстанавливает конфигурацию AD FS в файловой системе без использования DKM. Обратите внимание, что -RestoreDKM параметр не указан.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password"

Восстановление в контейнер служба хранилища Azure без DKM

Следующий командлет восстанавливает конфигурацию AD FS в контейнер служба хранилища Azure без использования DKM. -AzureStorageContainer "adfsbackups" Используйте параметр, чтобы указать контейнер.

Restore-ADFS -StorageType "Azure" -AzureConnectionCredential $cred -DecryptionPassword "password" -AzureStorageContainer "adfsbackups"

Восстановление в WID

Следующий командлет восстанавливает конфигурацию AD FS в WID. Обратите внимание, что значение, переданное WID параметру -DBConnectionString .

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -DBConnectionString "WID"

Восстановление в SQL

Следующий командлет восстанавливает конфигурацию AD FS в SQL. Обратите внимание на то, что параметр передает значения Data Source и Integrated Security значения -DBConnectionString .

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -DBConnectionString "Data Source=TESTMACHINE\SQLEXPRESS; Integrated Security=True"

Восстановление с помощью указанной учетной записи gMSA

Следующий командлет восстанавливает конфигурацию AD FS и использует указанную учетную запись gMSA. Обратите внимание на использование -GroupServiceAccountIdentifier параметра.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -GroupServiceAccountIdentifier "mangupd1\adfsgmsa$"

Восстановление с помощью указанных учетных данных учетной записи службы

Следующий командлет восстанавливает конфигурацию AD FS и использует указанные учетные данные учетной записи службы. Обратите внимание на использование -ServiceAccountCredential параметра.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -ServiceAccountCredential $cred

Файлы журналов

Файл журнала создается для каждой операции резервного копирования и восстановления. Файлы журнала можно найти по адресу %LOCALAPPDATA%\ADFSRapidRecreationTool.

Примечание.

При восстановлении может быть создан файл PostRestore_Instructions . Этот файл содержит обзор дополнительных данных или служб, которые необходимо установить вручную перед запуском службы AD FS. В файле указываются поставщики проверки подлинности, хранилища атрибутов и доверие локального поставщика утверждений.

Журнал выпуска версий

В следующих разделах описаны сведения о версии средства быстрого восстановления AD FS.

Версия 2.0.2464.1

Выпуск: декабрь 2023 г.

Исправленные проблемы:

  • Исправление ошибок: различьте ключи CNG и CSP во время восстановления

Версия 1.0.82.3

Выпуск: апрель 2020 г.

Исправленные проблемы:

  • Добавление поддержки сертификатов на основе CNG

Версия 1.0.82.0

Выпуск: июль 2019 г.

Исправленные проблемы:

  • Исправлена ошибка для имен учетных записей службы AD FS, содержащих escape-символы LDAP

Версия 1.0.81.0

Выпуск: апрель 2019 г.

Исправленные проблемы:

  • Исправления ошибок для резервного копирования и восстановления сертификатов
  • Добавление дополнительных сведений трассировки в файл журнала

Версия 1.0.75.0

Выпуск: август 2018 г.

Исправленные проблемы:

  • Обновите командлет Backup-ADFS для параметра -BackupDKM. Средство определяет, имеет ли текущий контекст доступ к контейнеру DKM. Если доступ доступен, средство не требует доступа к домену Администратор привилегий или учетных данных учетной записи службы. Это обновление позволяет автоматически создавать резервные копии, которые не позволяют пользователю явно предоставлять учетные данные или выполнять операцию в качестве учетной записи домена Администратор istrator.

Версия 1.0.73.0

Выпуск: август 2018 г.

Исправленные проблемы:

  • Обновите алгоритмы шифрования, чтобы убедиться, что приложение соответствует FIPS

    Внимание

    Предыдущие резервные копии не будут работать с последней версией средства из-за изменений в алгоритмах шифрования для соответствия FIPS.

  • Добавление поддержки кластеров SQL, использующих слияние реплика tion

Версия 1.0.72.0

Выпуск: июль 2018 г.

Исправленные проблемы:

  • Исправление ошибок: исправление .MSI установщика для поддержки обновлений на месте

Версия 1.0.18.0

Выпуск: июль 2018 г.

Исправленные проблемы:

  • Исправление ошибки. Обработка паролей учетной записи службы с помощью специальных символов (т. е. "&)
  • Исправление ошибок. Устранение проблем с ошибкой восстановления, так как Microsoft.IdentityServer.Servicehost.exe.config используется другим процессом.

Версия 1.0.0.0

Выпуск: октябрь 2016 г.

Первоначальный выпуск средства быстрого восстановления AD FS