Överväganden för hög tillgänglighet och haveriberedskap i skyddsmiljönHigh availability and disaster recovery considerations for the bastion environment

I den här artikeln beskrivs överväganden för hög tillgänglighet och haveriberedskap när du distribuerar Active Directory Domain Services (AD DS) och Microsoft Identity Manager 2016 (MIM) för Privileged Access Management PAM.This article describes considerations for high availability and disaster recovery when deploying Active Directory Domain Services (AD DS) and Microsoft Identity Manager 2016 (MIM) for Privileged Access Management (PAM).

Företag fokuserar på hög tillgänglighet och haveriberedskap för arbetsbelastningar i Windows Server, SQL Server och Active Directory.Enterprises focus on high availability and disaster recover for workloads in Windows Server, SQL Server, and Active Directory. Men det är också viktigt att tillgängligheten till skyddsmiljön för privilegierad åtkomsthantering är tillförlitlig.But the reliable availability of the bastion environment for Privileged Access Management is also important. Skyddsmiljön är en viktig del av organisationens IT-infrastruktur eftersom användarna interagerar med dess komponenter för att använda administrativa roller.The bastion environment is a critical part of the organization's IT infrastructure, as users interact with its components in order to take on administrative roles. Mer information om hög tillgänglighet i allmänhet finns i faktabladet Microsoft – översikt över hög tillgänglighet.For more information on high availability in general, you can download the white paper Microsoft High Availability Overview.

Scenarier för hög tillgänglighet och haveriberedskapHigh availability and disaster recovery scenarios

När du planerar för hög tillgänglighet och haveriberedskap ska du ta hänsyn till följande frågor:When planning for high availability and disaster recovery, take the following questions into consideration:

  • Vilka funktioner kan påverkas av ett avbrott?Which functions could be impacted by an outage?
  • Vilka funktioner är verksamhetskritiska och/eller kritiska för IT-uppgifter?Which functions are business critical and/or critical to IT operations?
  • Vilka risker finns det som kan leda till avbrott i de systemen?What are the risks that could lead to an outage in these systems?

Omfånget för dessa överväganden påverkar den totala kostnaden för distribution och användning. Det gör att organisationer kan prioritera vissa funktioner framför andra, och även godta risken för tillfälliga avbrott för funktioner med lägre prioritet.The scope of these considerations impacts the total cost for deployment and operations, so organizations may prioritize certain functions higher than others, and also accept the risk of temporary outages for lower priority functions. I följande tabell beskrivs en prioritetsordning som organisationen skulle kunna använda:The following table outlines one potential priority ranking an organization might use:

SkyddsskogsfunktionBastion forest function Relativ prioritet under återställningenRelative priority during recovery Skydd om funktionen är inte tillgängligMitigation if function unavailable
Upprätta förtroendeTrust establishment LågLow Vänta tills skyddsmiljön har återställtsWait until bastion environment is restored
Skydd för användare och grupperUser and group mitigation LågLow Vänta tills skyddsmiljön har återställtsWait until bastion environment is restored
MIM-administrationMIM administration LågLow Vänta tills skyddsmiljön har återställtsWait until bastion environment is restored
Aktivering av privilegierade rollerPrivileged role activation MedelMedium Dedikerade smartkortstödda konton för att manuellt lägga till användare i administrativa grupperDedicated smartcard-backed accounts to manually add users to administrative groups
ResurshanteringResource management HögHigh Dedikerade smartkortstödda konton för att manuellt lägga till användare i administrativa grupperDedicated smartcard-backed accounts to manually add users to administrative groups
Övervakning av användare och grupper i en befintlig skogMonitoring of users and groups in existing forest LågLow Vänta tills skyddsmiljön har återställtsWait until bastion environment is restored

Nu ska vi ta en titt på var och en av de här funktionerna i skyddsskogen.Now let's take a look at each one of these bastion forest functions in turn.

Upprätta förtroendeTrust establishment

Det måste finnas ett skogsförtroende mellan domänerna i den befintliga skogen och skyddsmiljöns skog.There needs to be a forest trust between the domains of the existing forest and the bastion environment's forest. Det är för att användare som autentiseras i skyddsmiljön ska kunna administrera resurser i de befintliga skogarna.This is so that users authenticating to the bastion environment can administer resources in the existing forests. Det kan krävas ytterligare konfiguration, bland annat för att tillåta migrering av användare från befintliga domäner i tidigare versioner av Windows Server.Additional configuration may be required, for instance, to permit migration of users from existing domains on earlier versions of Windows Server.

När du ska upprätta förtroende måste de befintliga domänkontrollanterna i skogen vara online, liksom MIM- och AD-komponenterna i skyddsmiljön.Trust establishment requires that the existing forest domain controllers be online, as well as the MIM and AD components of the bastion environment. Om det sker ett avbrott i någon av dessa när förtroendet upprättas kan administratören försöka igen när avbrottet åtgärdats.If there is an outage of any of these during trust establishment, the administrator can retry once the outage has been addressed. Om de befintliga domänkontrollanterna i skogen eller skyddsmiljön har återställts efter ett avbrott har MIM även PowerShell-cmdletarna Test-PAMTrust och Test-PAMDomainConfiguration som kan användas för att kontrollera att ett förtroende fortfarande är upprättat.In case the existing forest domain controllers or bastion environment have been recovered following an outage, MIM also includes PowerShell cmdlets Test-PAMTrust and Test-PAMDomainConfiguration that can be used to verify that a trust is still in place.

Migrering av användare och grupperUser and group migration

När förtroende har upprättats kan du skapa skuggrupper i skyddsmiljön, samt användarkonton för medlemmarna i dessa grupper och godkännare.Once trust has been established, shadow groups can be created in the bastion environment, as well as user accounts for members of those groups and approvers. Det gör att användarna kan aktivera privilegierade roller och återfå giltiga gruppmedlemskap.This enables those users to activate privileged roles and re-gain effective group memberships.

När du ska migrera användare och grupper måste de befintliga domänkontrollanterna i skogen vara online, liksom MIM- och AD-komponenterna i skyddsmiljön.User and group migration requires that the existing forest domain controllers be online, as well as the MIM and AD components of the bastion environment. Om det inte går att nå de befintliga domänkontrollanterna i skogen går det inte att lägga till fler användare och grupper i skyddsmiljön, men befintliga användare och grupper påverkas inte.If the existing forest domain controllers are unreachable, then no additional users and groups can be added to the bastion environment, but existing users and groups are unaffected. Om det sker ett avbrott i någon av komponenterna under migreringen kan administratören försöka igen när avbrottet åtgärdats.If an outage of any of the components occurs during the migration, the administrator can retry once the outage has been addressed.

MIM-administrationMIM administration

När användare och grupper har migrerats kan en administratör göra ytterligare konfigurering av rolltilldelningen i MIM och koppla användare som kandidater för att aktiveras för roller.Once users and groups have been migrated, then an administrator can further configure in MIM the role assignments linking users as candidates for activation into roles. De kan även konfigurera MIM-principer för godkännande och Azure MFA.They can also configure the MIM policies for approval and Azure MFA.

När du ska administrera MIM måste skyddsmiljöns MIM- och AD-komponenter vara online.MIM administration requires that the MIM and AD components of the bastion environment be online.

Aktivering av privilegierade rollerPrivileged role activation

När användare vill aktivera en privilegierad roll måste de autentiseras för skyddsmiljöns domän, och skicka en begäran till MIM.When a user wishes to activate a privileged role, they must authenticate to the bastion environment domain, and submit a request to MIM. I MIM ingår SOAP- och REST-API:er samt användargränssnitt i PowerShell och på en webbsida.MIM includes SOAP and REST APIs, as well as user interfaces in PowerShell and in a web page.

När du ska aktivera privilegierade roller måste skyddsmiljöns MIM- och AD-komponenter vara online.Privileged role activation requires that the MIM and AD components of the bastion environment be online. Om MIM är konfigurerat att använda Azure MFA för aktivering av den valda rollen krävs dessutom internetåtkomst för att kontakta tjänsten Azure MFA.In addition, if MIM is configured to use Azure MFA for activation of the selected role, then Internet access is required to contact the Azure MFA service.

ResurshanteringResource Management

När en användare har aktiverats i rollen kan domänkontrollanten generera en Kerberos-biljett för användaren som kan användas av domänkontrollanter i de befintliga domänerna och identifierar användarens nya tillfälliga gruppmedlemskap.Once a user has been successfully activated into the role, the domain controller can generate a Kerberos ticket for them that is usable by domain controllers in the existing domains, and will recognize the user's new temporary group memberships.

För resurshantering krävs det att en domänkontrollant för resursen är online, samt en domänkontrollant i skyddsmiljön.Resource management requires that a domain controller for the resource domain be online, as well as a domain controller in the bastion environment. När användare har aktiverats måste inte MIM eller SQL vara online i skyddsmiljön för att utfärda deras Kerberos-biljetter.Once a user is activated, issuing their Kerberos ticket does not require MIM or SQL to be online in the bastion environment. (Obs! Med Windows Server 2012 R2 som funktionsnivå för skyddsmiljön måste MIM vara online för att avsluta tillfälliga gruppmedlemskap.)(Note that with Windows Server 2012 R2 as the functional level for the bastion environment, MIM is required to be online, to terminate the temporary group membership.)

Övervakning av användare och grupper i den befintliga skogenMonitoring of users and groups in the existing forest

MIM innehåller också en PAM-övervakningstjänst som regelbundet kontrollerar användarna och grupperna i de befintliga domänerna och uppdaterar MIM-databasen och AD.MIM also includes a PAM monitoring service which regularly checks the users and groups in the existing domains, and updates the MIM database and AD accordingly. Den här tjänsten behöver inte vara online för rollaktivering och under resurshantering.This service does not need to be online for role activation or during resource management.

När du ska övervaka begäran måste de befintliga domänkontrollanterna i skogen vara online, liksom MIM- och AD-komponenterna i skyddsmiljön.Monitoring requires that the existing forest domain controllers be online, as well as the MIM and AD components of the bastion environment.

DistributionsalternativDeployment options

I miljööversikten illustreras en grundläggande topologi som visar tekniken som inte är avsedd för hög tillgänglighet.The Environment overview illustrates a basic topology suitable for learning the technology that is not intended for high availability. Det här avsnittet beskriver hur organisationer med en enda plats och organisationer med flera befintliga platser utökar den topologin för att tillhandahålla hög tillgänglighet.This section describes how to expand upon that topology for providing high availability, for organizations with a single site as well as those with multiple existing sites.

NätverkNetworking

Nätverkstrafiken mellan datorer i skyddsmiljön bör separeras från de befintliga nätverken, till exempel genom att använda ett annat fysiskt eller virtuellt nätverk.The network traffic between the computers in the bastion environment should be isolated from the existing networks, such as by using a different physical or virtual network. Beroende på riskerna för skyddsmiljön kan det även krävas oberoende fysiska anslutningar mellan datorerna.Depending on the risks to the bastion environment, it may be also necessary to have independent physical interconnects between the computers. En del redundansklusterteknik har ytterligare krav på nätverksgränssnitt.Certain failover cluster technologies have additional requirements on network interfaces.

Värddatorerna för Active Directory Domain Services och MIM-tjänsterna i skyddsmiljön måste ha dubbelriktad anslutning till resurser i den befintliga skogen om:The computers hosting Active Directory Domain Services and those hosting the MIM Services in the bastion environment require bidirectional connectivity to resources in the existing forest for:

  • användare ska kunna autentiseras av PRIV-skogens domänkontrollanterusers to be authenticated by the PRIV forest domain controllers
  • användare ska kunna begära aktiveringusers to request activation
  • användare ska kunna ha Kerberos-biljetter som kan användas av resurser i den befintliga skogenusers to have Kerberos tickets consumable by resources in existing forest
  • MIM ska kunna övervaka den befintliga skogens domänerMIM to monitor the existing forest domains
  • MIM ska kunna skicka e-post via e-postservrarna i den befintliga skogen.MIM to send email vail mail servers located in the existing forest.

Minimitopologier för hög tillgänglighetMinimal high availability topologies

En organisation kan välja vilka funktioner i skyddsmiljön som kräver hög tillgänglighet, med följande begränsningar:An organization can select which functions in their bastion environment require high availability, with the following constraints:

  • Det krävs minst två domänkontrollanter för hög tillgänglighet för en funktion som tillhandahålls av skyddsmiljön.High availability for any function provided by the bastion environment requires at least two domain controllers.
  • För hög tillgänglighet för aktiveringsbegäran krävs det minst två datorer som är värdar för MIM-tjänsten och hög tillgänglighet för SQL Server.High availability for activation requests requires at least two computers hosting the MIM Service and also requires high availability for the SQL Server.
  • För hög tillgänglighet för SQL Server med redundanskluster krävs det minst två servrar som tillhandahåller SQL Server och de måste vara andra än domänkontrollanten.SQL Server high availability with failover clusters requires at least two servers providing SQL Server, and these cannot be the same as a domain controller.
  • För att minska risken för angrepp på servrarna bör MIM-tjänsten inte installeras på domänkontrollanten.MIM Service should not be installed on the domain controller, in order to minimize the attack surface of each server.

Den minsta topologin för hög tillgänglighet för alla funktioner i en skyddsmiljö består av minst fyra servrar och delat lagringsutrymme.The smallest high availability topology for all functions in a bastion environment comprises at least four servers, and shared storage. Två servrar måste konfigureras som domänkontrollanter för att tillhandahålla Active Directory Domain Services.Two of the servers must be configured as domain controllers, providing Active Directory Domain Services. De andra två servrarna kan konfigureras som ett redundanskluster för SQL Server och MIM-tjänsten.The other two servers can be configured as a failover cluster providing SQL Server, and provide the MIM Service.

I en typisk distribution av skyddsmiljön skulle det dessutom finnas en arbetsstation för privilegierad administration för hantering av dessa servrar, samt en övervakningskomponentIn addition, a typical deployment of the bastion environment would also include a privileged administration workstation for management of these servers, as well as a monitoring component

I följande diagram visas en möjlig arkitektur:The following diagram illustrates one possible architecture:

skyddstopologi – diagram

Ytterligare servrar kan konfigureras för var och en av dessa funktioner för att ge högre prestanda under belastningstillstånd eller för geografisk redundans, vilket beskrivs nedan.Additional servers can be configured for each of these functions, in order to provide higher performance under load conditions, or for geographic redundancy as described below.

Distributioner med stöd för flera platserDeployments supporting multiple sites

Valet av rätt distributionstopologi för resurser som distribueras på flera platser beror på tre faktorer:Choosing the right deployment topology for resources that are deployed across multiple sites depends on three factors:

  • Mål och risker med hög tillgänglighet och haveriberedskapGoals and risks for high availability and disaster recovery
  • Maskinvarukapaciteten för hantering av skyddsmiljönThe hardware capability for hosting the bastion environment
  • Den administrativa arbetsmodellen för varje plats.The administrative work model for each site.

En av de enklaste metoderna är att hantera skyddsmiljön på en viss plats.One of the simplest approaches would be to host the bastion environment at a particular site. Under normala förhållanden ansluter användare till MIM-distributionen i platsens skyddsmiljö och begär aktivering och aktiveringen gäller för resurser på varje plats.Under normal conditions, users would connect to the MIM deployment in that site's bastion environment and request activation, and the activations would have effect across resources at each site. Om nätverkslänken bryts eller webbplatsen som är värd för skyddsmiljön inte är tillgänglig kan autentiseringsuppgifter som är offline kommas åt på en annan plats så att det går att utföra tillfällig administration tills nätverket är anslutet igen.In case the network link is broken or the site hosting the bastion environment is unavailable, offline credentials could be accessed at another site, in order to perform temporary administration until the network is reconnected. Den här metoden kan vara lämplig för situationer när lokal administration för en viss plats, till exempel ett avdelningskontor, förväntas vara sällsynt och begränsad till att återansluta platsen till resten av företagets nätverk.This approach might be suitable for situations where local administration of a particular site, such as a branch office, is anticipated to be rare and limited to reconnecting that site to the remainder of an organization's network.

Enkel skyddsmiljö för topologi för flera platser – diagram

För hög tillgänglighet och haveriberedskap mellan platser kan du också distribuera skyddsmiljöns komponenter på varje plats genom att dela en gemensam PRIV-katalog och SQL-databas.For high availability and disaster recovery across sites, it is also possible to deploy the components of the bastion environment in each site, sharing a common PRIV directory and common SQL database. I den här topologin kan användare på de olika platserna fortsätta arbeta avskilt om nätverkslänken bryts.In this topology, should the network link be broken, users at each site can continue to operate independently.

Flerskyddsmiljö för topologi för flera platser – diagram

En begränsning med den här distributionsmetoden är att SQL Server kräver ett kluster som täcker båda platserna, vilket kan vara komplicerat att distribuera.One constraint on this deployment approach is that SQL Server requires a cluster that spans both sites, which may be complex to deploy. I så fall kan du överväga att enbart replikera skyddsmiljöns Active Directory (PRIV-skog).In that situation, consider as an alternative only replicating the Active Directory (PRIV forest) of the bastion environment. Om det sker ett nätverksavbrott mellan platser kan användare på plats B som redan tidigare har aktiverat sina privilegierade roller fortsätta att administrera resurser på plats B.In case there is a network break between sites, users in site B who have previously already activated their privileged roles would be able to continue to operate for administering resources in site B.

Replikerad skyddsmiljö för topologi för flera platser – diagram

Om varje plats representerar en separat administrativ gräns, är det också möjligt att distribuera flera oberoende skyddsmiljöer.If each site represents a separate administrative boundary, then it is also possible to deploy multiple independent bastion environments. Även om varje skyddsmiljö skulle ha samma programvara skulle domännamnen för dem vara olika och det skulle inte finnas några gemensamma faktorer mellan katalogerna och databaserna i de olika skyddsmiljöerna.While each bastion environment would have the same software, the domain names of each would be different, and there would be no commonality between the directories and databases of each bastion environment. En användare som vill hantera resurser på en viss plats får aktivera ett användarkonto i platsens skyddsmiljö.A user who wishes to manage resources in a particular site would activate a user account in the bastion environment in that site.

Oberoende skyddsmiljöer för topologier för flera platser – diagram

Slutligen är mer komplexa distributioner möjliga, eftersom flera skyddsmiljöer kan konfigureras separat för att hantera resurser i en viss domän.Finally, more complex deployments are possible, as multiple bastion environments may be configured independently to manage resources in a particular domain.

Komplex skyddsmiljö för topologier för flera platser – diagram

Värdbaserad skyddsmiljöHosted bastion environment

En del organisationer har också övervägt att upprätta skyddsmiljön separat från deras befintliga platser.Some organizations have also considered establishing the bastion environment separate from any of their existing sites. Programvaran för skyddsmiljön kan finnas på en virtualiseringsplattform i företagets nätverk eller hos ett externt webbhotell.The bastion environment software can be hosted on a virtualization platform either within the organization's networks, or at an external hosting provider. När du utvärderar den här metoden ska du tänka på att:When evaluating this approach, keep in mind that:

  • Administrationen av skyddsmiljön måste isoleras från administratörskontona i den befintliga domänen om du ska kunna ge skydd mot attacker från de befintliga domänerna.In order to protect against attacks originating from the existing domains, administration of the bastion environment must be isolated from the administrative accounts of the existing domain.
  • Skyddsmiljön kräver TCP/IP-anslutning till domänkontrollanterna i den befintliga domänen.The bastion environment requires TCP/IP connectivity to the domain controllers in the existing domain. Du hittar en lista med portar i Konfigurera en brandvägg för domäner och förtroenden.A list of ports can be found at How to configure a firewall for domains and trusts.
  • För en virtualiserad distribution av Active Directory Domain Services krävs specifika funktioner från virtualiseringsplattform. Mer information om det finns i Distribution och konfiguration av virtualiserad domänkontrollant.A virtualized deployment of Active Directory Domain Services requires specific features from the virtualization platform, as described in Virtualized Domain Controller Deployment and Configuration.
  • För en distribution med hög tillgänglighet för SQL Server för MIM-tjänsten krävs särskild lagringskonfiguration, vilket beskrivs i avsnittet SQL Server-databaslagring nedan.A high availability deployment of SQL Server for MIM Service requires specialized storage configuration, described in the section SQL Server database storage below. För närvarande kan inte alla webbhotell erbjuda värdtjänster för Windows Server med diskkonfigurationer som är lämpliga för SQL Server-redundanskluster.Not all hosting providers may currently offer Windows Server hosting with disk configurations suitable for SQL Server failover clusters.

Procedurer för förberedelse och återställning av distributionDeployment preparation and recovery procedures

När du förbereder dig för att distribuera en skyddsmiljö med hög tillgänglighet och haveriberedskap måste du överväga hur du ska installera Windows Server Active Directory, SQL Server och dess databas i ett delat lagringsutrymme, samt MIM-tjänsten och dess PAM-komponenter.Preparing for a high availability or disaster recovery-ready deployment of the bastion environment requires consideration for how to install Windows Server Active Directory, SQL Server and its database on shared storage, and the MIM Service and its PAM components.

Windows ServerWindows Server

Windows Server innehåller en inbyggd funktion för hög tillgänglighet som gör att flera datorer tillsammans fungerar som ett redundanskluster.Windows Server contains a built-in feature for high availability, enabling multiple computers to work together as a failover cluster. De klustrade servrarna är sammankopplade med fysiska kablar och programvara.The clustered servers are connected by physical cables and by software. Om det blir fel på en eller flera av klusternoderna börjar andra noder att tillhandahålla tjänsten (en process som kallas redundans).If one or more of the cluster nodes fail, other nodes begin to provide service (a process known as failover). Mer information finns i Översikt över redundansklustring.More details can be found at the Failover Clustering overview.

Kontrollera att operativsystemet och programmen i skyddsmiljön tar emot uppdateringar för säkerhetsproblem.Make sure the operating system and applications in the bastion environment receive updates for security issues. Vissa av dessa uppdateringar kan kräva en omstart av servern. Därför ska du koordinera tiderna för när uppdateringarna tillämpas på servrar för att undvika långvariga avbrott.Some of these updates may require a server restart, so coordinate the times in which updates are applied across the servers to avoid extended outages. En metod är att använda Klustermedveten uppdatering för servrarna i ett redundanskluster i Windows Server.One approach is to use Cluster-Aware Updating for the servers in a Windows Server failover cluster.

Servrarna i skyddsmiljön är anslutna till en domän och beroende av domäntjänsterna.The servers in the bastion environment will be joined to a domain, and dependent on the domain services. Kontrollera att de inte av misstag har konfigurerats med ett beroende av en viss domänkontrollant för till exempel DNS-tjänster.Make sure that they are not inadvertently configured with a dependency on a particular domain controller for services such as DNS.

Active Directory i skyddsmiljöBastion environment Active Directory

Windows Server Active Directory Domain Services har inbyggt stöd för hög tillgänglighet och haveriberedskap.Windows Server Active Directory Domain Services natively includes support for high availability and disaster recovery.

FörberedelsePreparation

I en typisk produktionsdistribution av Privileged Access Management ingår minst två domänkontrollanter i skyddsmiljön.A typical production deployment of privileged access management includes at least two domain controllers in the bastion environment. Anvisningar för hur du konfigurerar den första domänkontrollanten i skyddsmiljön finns i steg 2 i distributionsartiklarna, Förbereda PRIV-domänkontrollanten.Instructions for setting up the first domain controller in the bastion environment are included in step 2 of the deployment articles, Prepare the PRIV domain controller.

Anvisningar för att lägga till en ytterligare domänkontrollant finns i Installera en replikerad Windows Server 2012-domänkontrollant på en befintlig domän (nivå 200).The procedure for adding an additional domain controller can be found at Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200).

Anteckning

Om domänkontrollanten ska finnas på en virtualiseringsplattform som Hyper-V läser du varningarna i Distribution och konfiguration av virtualiserad domänkontrollant.If the domain controller is to be hosted on a virtualization platform such as Hyper-V, review the caveats in Virtualized Domain Controller Deployment and Configuration.

ÅterställningRecovery

Se till att minst en domänkontrollant finns i skyddsmiljön innan du startar om andra servrar efter ett avbrott.After an outage, ensure that at least one domain controller is available in the bastion environment before restarting other servers.

Active Directory distribuerar FSMO-rollerna ( Flexible Single Master Operation) mellan domänkontrollanter inom en domän enligt beskrivningen i Så här fungerar åtgärdshanterare.Within a domain, Active Directory distributes the Flexible Single Master Operation (FSMO) roles across domain controllers, as described in How Operations Masters Work. Vid ett avbrott för en domänkontrollant kan du behöva överföra en eller flera av de Domänkontrollant-roller som har tilldelats domänkontrollanten.If a domain controller has failed, it may be necessary to transfer one or more of the Domain Controller Roles which that domain controller was assigned.

När du har fastställt att en domänkontrollant inte kan återgå i produktion ska du kontrollera om några roller har tilldelats domänkontrollanten och överföra dem efter behov.After determining that a domain controller will not be returned to production, be sure to check whether any roles were assigned to that domain controller and reassign them as necessary. Anvisningar finns i Visa de aktuella innehavarna av verksamhetshanterarrollen och relaterade artiklar.Instructions can be found in View the Current Operations Master Role Holders and its related articles.

Du rekommenderas också att kontrollera DNS-inställningarna för datorer som är anslutna till skyddsmiljön, samt domänkontrollanterna i CORP-domäner som har en förtroenderelation till den domänkontrollanten, så inga av dem har inbyggda beroenden på IP-adressen för domänkontrollantens datorn.It is also recommended to check DNS settings of computers joined to the bastion environment, as well as the domain controllers in CORP domains which have a trust relationship to that domain controller, to ensure none are hard coded with a dependency on that domain controller computer's IP address.

SQL Server-databaslagringSQL Server database storage

För en distribution med hög tillgänglighet krävs SQL Server-redundanskluster, och instanser för SQL Server-redundanskluster svarar på delad lagring mellan alla noder för databas- och logglagring.A high availability deployment requires SQL Server failover clusters, and SQL Server failover cluster instances reply upon shared storage between all nodes for database and log storage. Det delade lagringsutrymmet kan bestå av WSFC-klusterdiskar (Windows Server Failover Clustering), diskar på ett SAN-nätverk (Storage Area Network) eller filer som delas på en SMB-server.The shared storage can be in the form of Windows Server Failover Clustering cluster disks, disks on a Storage Area Network (SAN), or file shares on an SMB server. Obs! De måste vara tilldelade särskilt för skyddsmiljön. Vi rekommenderar inte att lagringsutrymmet delas med andra arbetsbelastningar utanför skyddsmiljön eftersom det kan äventyra skyddsmiljöns integritet.Note that these must be dedicated to the bastion environment; sharing storage with other workloads outside of the bastion environment is not recommended as it could jeopardize the integrity of the bastion environment.

SQL ServerSQL Server

För MIM-tjänsten krävs en SQL Server-distribution i skyddsmiljön.MIM Service requires a SQL Server deployment in the bastion environment. För hög tillgänglighet kan SQL distribueras med hjälp av en redundansklusterinstans (FCI).For High Availability, SQL can be deployed using a failover cluster instance (FCI). Till skillnad från i fristående instanser skyddas den höga tillgängligheten för SQL-server av förekomsten av redundanta noder i redundansklusterinstanser.Unlike in standalone instances, in FCIs the high availability of SQL Server is protected by the presence of redundant nodes in the FCI. Vid ett avbrott eller en planerad uppgradering flyttas resursgruppens ägande till en annan nod i Windows Server-redundansklustret.In case of a failure or a planned upgrade, the resource group ownership is moved to another Windows Server Failover Cluster node.

Om du bara behöver stöd för haveriberedskap men inte för hög tillgänglighet kan du använda loggöverföring, transaktionsreplikering, replikering av ögonblicksbilder och databasspegling istället för redundansklustring.If you only need support for disaster recovery but not high availability, then log shipping, transaction replication, snapshot replication, or database mirroring can be used instead of failover clustering.

FörberedelsePreparation

När du installerar SQL Server i skyddsmiljön måste den vara fristående från eventuella andra SQL Server som redan finns i CORP-skogarna.When you install the SQL Server in the bastion environment, it must be independent from any SQL Server already present in the CORP forests. Vi rekommenderar dessutom att SQL Server distribueras på en dedikerad server som inte är samma som för domänkontrollanten.Furthermore, it is recommended that the SQL Server be deployed on a dedicated server, distinct from that of the domain controller. Mer information finns i SQL Server-handboken till AlwaysOn-instanser för redundanskluster.More information is documented in the SQL Server guide to AlwaysOn Failover Cluster Instances.

ÅterställningRecovery

Om SQL Server har konfigurerats för haveriberedskap med hjälp av loggöverföring måste du vidta åtgärder för att uppdatera SQL Server vid återställning.If SQL Server was configured for disaster recovery using log shipping, then action must be taken to update SQL Server during recovery. Dessutom måste varje instans av MIM-tjänsten startas om.Furthermore, restarting each MIM Service instance is required.

Vid ett avbrott för SQL Server eller om anslutningen mellan SQL Server och MIM-tjänsten bryts, rekommenderar vi att du startar om alla MIM-tjänster när SQL Server har återställts.If SQL Server has failed or connectivity between SQL Server and MIM Service has been lost, then after SQL Server has been restored, it is recommended to restart each MIM Service. På så sätt säkerställer du att MIM-tjänsten återupprättar anslutningen till SQL Server.This will ensure that MIM Service re-establishes its connection to SQL Server.

MIM-tjänstMIM Service

MIM-tjänsten måste också bearbeta aktiveringsbegäran.The MIM Service is required to process activation requests. Om värddatorn för MIM-tjänsten ska kunna stängas av för underhåll medan aktiveringsbegäran fortfarande tas emot, kan du distribuera flera datorer för MIM-tjänsten.In order that a computer hosting MIM Service can be taken down for maintenance while activation requests are still being received, multiple MIM Service computers can be deployed. Observera att MIM-tjänsten inte är inblandad i Kerberos-uppgifter när en användare har lagts till i en grupp.Note that MIM Service is not involved in Kerberos operations once a user has been added to a group.

FörberedelsePreparation

Du rekommenderas att distribuera MIM-tjänsten på flera servrar som är anslutna till PRIV-domänen.It is recommended to deploy the MIM Service on multiple servers joined to the PRIV domain. Information om hög tillgänglighet finns i Windows Server-dokumenten Maskinvarukrav och lagringsalternativ för redundanskluster och Skapa ett redundanskluster för Windows Server 2012.For high availability, see the Windows Server documents for Failover Clustering Hardware Requirements and Storage Options and Creating a Windows Server 2012 Failover Cluster.

Vid produktionsdistribution över flera servrar kan du kan använda Utjämning av nätverksbelastning för att distribuera bearbetningsbelastningen.For production deployment across multiple servers, you can use Network Load Balancing (NLB) to distribute the processing load. Du bör även ha ett enda alias (till exempel A- eller CNAME-poster) så att ett allmänt namn visas för användaren.You should also have a single alias (for instance, A or CNAME records) so that one common name is exposed to the user.

Viktigt

Om du använder en annan teknik för belastningsutjämning än funktionen för utjämning av nätverksbelastning i Windows Server 2012 R2, ska du kontrollera att lösningen omdirigerar sessioner till samma server och inte till slumpmässiga servrar.If you use a load-balancing technology other than the NLB feature in Windows Server 2012 R2, make sure your solution will redirect one session to the same server and not to a random server.

I en MIM distribution med flera servrar har varje MIM-tjänst ett externt värdnamn, ett tjänstnamn och ett tjänstpartitionsnamn.In a multi-server MIM deployment, each MIM Service has an external host name, a service name, and a service partition name. Standardvärdet för tjänstnamnet är datorns namn och standardvärdet för det externa värdnamnet och tjänstpartitionsnamnet konfigureras under installationen av MIM-tjänsten på skärmen där du uppmanas att ange MIM-tjänstserverns adress.The default value of the service name is the computer's name, and the default value of the external hostname and service partition name are configured during MIM Service installation on the screen that asks for the MIM Service Server address. Dessa tre namn lagras i filen %ProgramFiles%\Microsoft Forefront Identity Manager\Service\Microsoft.ResourceManagementService.exe.config som attribut externalHostName, serviceName och servicePartitionName i konfigurationsnoden resourceManagementService.These three names are stored in file %ProgramFiles%\Microsoft Forefront Identity Manager\Service\Microsoft.ResourceManagementService.exe.config file as attributes externalHostName, serviceName and servicePartitionName of the resourceManagementService configuration node.

När en MIM-tjänst tar emot en begäran lagras tjänstpartitionens namn som ett attribut i begäran.When a MIM Service receives a request, the service partition name is stored as an attribute on that request. Därefter tillåts bara andra installationer av MIM-tjänsten med samma tjänstpartitionsnamn att samverka med begäran.Subsequently, only other MIM Service installations that have the same service partition name are permitted to interact with that request. Om PAM-scenariot omfattar manuella godkännanden eller annan bearbetning av långvariga begäranden måste du därför se till att varje MIM-tjänsten har samma servicePartitionName-attribut i konfigurationsfilen.As a result, if the PAM scenario includes manual approvals or other long-lived request processing, ensure that each MIM Service has the same servicePartitionName attribute in that configuration file.

ÅterställningRecovery

Se till att minst en Active Directory-domänkontrollant och SQL Server är tillgängliga i skyddsmiljön innan du startar om MIM-tjänsten efter ett avbrott.After an outage, ensure that at least one Active Directory domain controller and SQL Server are available in the bastion environment prior to restarting MIM Service.

En arbetsflödesinstans kan endast slutföras av en MIM-tjänstserver som har samma tjänstpartitionsnamn och tjänstnamn som MIM-tjänstservern som startade den.A workflow instance can only be completed by a MIM Service server that has the same service partition name and service name as the MIM Service server which started it. Om en dator som är värd för MIM-tjänsten som bearbetar begäranden inte kan återtas i bruk efter ett avbrott måste du installera MIM-tjänsten på en ny dator.If a particular computer fails while hosting a MIM Service that was processing requests, and that computer will not be returned to service, then it will be necessary to install MIM Service on a new computer. Efter installationen redigerar du filen resourcemanagementservice.exe.config och anger attributen serviceName och servicePartitionName för den nya MIM-distributionen på den nya MIM-tjänsten till samma värdnamn och tjänstpartitionsnamn som för den dator som tagits ur bruk.On the new MIM Service after installation, edit the resourcemanagementservice.exe.config file and set the serviceName and servicePartitionName attributes of the new MIM deployment to be the same as the host name and service partition name of the computer which failed.

MIM PAM-komponenterMIM PAM components

Installationsprogrammet för MIM-tjänsten och -portalen innehåller också ytterligare PAM-komponenter, inklusive PowerShell-moduler och två tjänster.The MIM Service and Portal installer also incorporates additional PAM components, including PowerShell modules and two services.

FörberedelsePreparation

Komponenterna i Privileged Access Management ska installeras på varje dator i skyddsmiljön där MIM-tjänsten installeras.The Privileged Access Management components should be installed on each computer in the bastion environment where MIM Service is being installed. De kan inte läggas till senare.They cannot be added subsequently.

ÅterställningRecovery

Se till att MIM-tjänsten körs på minst en server efter återställning efter ett avbrott.After recovery from an outage, ensure that the MIM Service is running on at least one server. Se till att MIM PAM-övervakningstjänsten körs även på den servern med hjälp av net start "PAM Monitoring service".Then ensure that the MIM PAM monitoring service is also running on that server, using net start "PAM Monitoring service".

Om funktionsnivån för skyddsmiljöns skog är Windows Server 2012 R2, använder du kommandot net start "PAM Component service" till att kontrollera att MIM PAM-komponenttjänsten också körs på den servern.If the bastion environment forest functional level is Windows Server 2012 R2, ensure that the MIM PAM component service is also running on that server, using the command net start "PAM Component service".