Table of contents
TOC
Свернуть оглавление
Развернуть оглавление

Средство восстановления AD FS частых

Bill Mathers|Последнее обновление: 10.03.2017
|
1 Участник

Применимо к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Общие сведения

Сегодня AD FS осуществляется высокодоступные настройке ферме AD FS. Некоторым организациям требуется способ AD FS развертывания с одним сервером, исключая необходимость нескольких серверов службы федерации Active Directory и сетевых балансировки инфраструктуры, но по-прежнему некоторые гарантию того, что службы могут быть восстановлены быстро Если возникла проблема. Новые средства быстрого восстановления AD FS позволяет восстановить данные службы федерации Active Directory без необходимости полного резервного копирования и восстановления состояния системы или операционной системы. Новое средство можно использовать для экспорта конфигурации службы федерации Active Directory в Azure или в расположение локальной. Затем можно применить экспортируемых данных для новой установки AD FS повторного создания или дублирования среде AD FS.

Сценарии

Средства быстрого восстановления AD FS можно использовать в следующих случаях:

  1. Быстро восстановить функций службы федерации Active Directory после возникла проблема
    • Используйте средство для создания холодного ожидания установки AD FS, который можно быстро развернуть вместо сети сервера службы федерации Active Directory
  2. Развертывание идентичные тестовой и рабочей среды
    • Используйте средство для быстрого создания точную копию рабочей AD FS в тестовой среде или быстро развернуть Удостоверенная тестовой конфигурации в рабочей среде

Что резервное копирование выполняется?

Средство выполняет резервное копирование следующие конфигурации службы федерации Active Directory

  • ADFS конфигурация базы данных (SQL или WID)
  • Файл конфигурации (находится в папке ADFS)
  • Автоматически создается маркер подписи и расшифровка сертификаты и закрытые ключи (из контейнер Active Directory DKM)
  • SSL-сертификата и все внешние регистрации сертификатов (маркер подписи, маркер расшифровки и службы связи) и закрытых ключей (Примечание: закрытые ключи необходимо экспортировать и запустив сценарий, пользователь должен иметь доступ к ним)
  • Список поставщиков пользовательской проверки подлинности, атрибут магазинах и локальные утверждения поставщика доверия, которые установлены.

Как использовать средство

Во-первых, скачать и установки MSI-ФАЙЛ на сервер службы федерации Active Directory.

В командной строке PowerShell, импорта модуля ADFSRapidRecreationTool.dll

Примечание

Если вы используете Windows интегрированной базы данных (код рабочей ГРУППЫ), это средство необходимо запускать на сервере первичного AD FS. Вы можете использовать Get-ADFSSyncPropertiesкомандлет PowerShell для определения ли сервер находитесь в основной сервер.

Требования к системе

  • Это средство работает служба AD FS компьютера Windows Server 2012 R2 и более поздних версий.
  • Требуется .NET framework — по крайней мере 4.0.
  • Восстановление должны выполняться на сервере AD FS ту же версию резервное копирование и использует ту же учетную запись Active Directory учетной записи службы AD FS.

Создание резервной копии

Для создания резервной копии, используйте командлет Backup-ADFS. Этот командлет резервное копирование конфигурации службы федерации Active Directory, база данных, сертификаты SSL, и т. д.

Пользователь должен быть по крайней мере локального администратора для выполнения этого командлета. Для резервного копирования Active Directory DKM контейнера (требуется в конфигурации по умолчанию AD FS), пользователь должен быть также администратор домена, либо необходимо передать в учетной записи службы AD FS.

Резервное копирование будет называться в соответствии с шаблоном «adfsBackup_ID_Date время». Он будет содержать номер версии, Дата и время, которое было выполнено резервное копирование. Командлет использует следующие параметры:

Наборы параметров

Средство восстановления AD FS частых

Подробное описание

  • BackupDKM -резервного копирования Active Directory DKM контейнер, который содержит ключи AD FS в конфигурации по умолчанию (автоматически генерируемый маркер подписи и расшифровка сертификаты). Для экспорта контейнера Рекламы и всех поддеревьях используется средство AD «ldifde».

  • -StorageType <строки> -тип хранилища, пользователю необходимо использовать. «Файловой системы» указывает, что пользователь хочет сохранить его в папке локально или в сети, к которой «Azure» указывает пользователь хочет сохранить его в контейнере хранилища Azure, когда пользователь выполняет резервное копирование, они выберите расположение, в файловой системе или в облаке. Для Azure для использования учетных данных для хранения данных Azure должны быть переданы в командлет. Хранилище учетных данных содержит имя учетной записи и ключа. В дополнение к этому название контейнера должны быть переданы в. Если контейнер не существует, он создается во время резервного копирования. Для использования файловой системы должно быть задано путь хранилища. В этом каталоге будет создан каталог для каждой резервной копии. Каждый созданный каталог будет содержать резервной копии файлов.

  • EncryptionPassword <строки> -пароль, который будет использоваться для шифрования всех резервной копии файлов перед ее сохранением

  • AzureConnectionCredentials <pscredential> — имя учетной записи и ключ для учетной записи Azure хранилища

  • AzureStorageContainer <строки> -контейнер хранения, в которой резервное копирование будет храниться в Azure

  • StoragePath <строки> -расположение резервные копии будут храниться в

  • ServiceAccountCredential <pscredential> -указывает учетная запись службы используется в службе ADFS, работающие в настоящее время. Этот параметр необходим только в том случае, если пользователю требуется создать резервную копию DKM и не администратора домена.

  • BackupComment <string []> -информационного строки о резервной копии, которая будет отображаться в ходе восстановления аналогично концепции именования контрольной точки Hyper-V. По умолчанию является пустой строкой

Примеры

  1. Резервное копирование конфигурацию ADFS с DKM, в файловой системе, при выполнении в качестве администратора домена

    Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -EncryptionPassword "password" -BackupComment "Clean Install of ADFS (FS)" -BackupDKM

  2. Резервное копирование конфигурацию ADFS с DKM, в файловой системе с помощью учетных данных учетной записи службы, работающие под учетной записью локального администратора

    Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -EncryptionPassword "password" -BackupComment "Clean Install of ADFS (FS)" -BackupDKM -ServiceAccountCredential $cred

  3. Создайте резервную копию конфигурации ADFS без DKM контейнере хранилища Azure.

    Backup-ADFS -StorageType "Azure" -AzureConnectionCredentials $cred -AzureStorageContainer "adfsbackups" -EncryptionPassword "password" -BackupComment "Clean Install of ADFS"

  4. Это приводит к резервному копированию конфигурации ADFS без DKM в файловой системе

    Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -EncryptionPassword "password" -BackupComment "Clean Install of ADFS (FS)"

Восстановление из резервной копии

Чтобы применить конфигурации, созданный с помощью Backup-ADFS в новую установку службы федерации Active Directory, используйте командлет Restore-ADFS.

Этот командлет создает новый фермы AD FS с помощью командлета Install-AdfsFarmи восстанавливает конфигурации службы федерации Active Directory, база данных, сертификаты, и т. д. Если не было установлено на сервере роли AD FS, командлет будет установить. Командлет проверяет расположение для существующих резервных копий для восстановления и пользователю предлагается выбрать соответствующий резервного копирования, на основе даты и времени съемки его и любой пользователь может присоединен к резервной копии комментарий резервного копирования. Если имеется несколько конфигураций AD FS с федерации различные имена службы, пользователю предлагается выбрать соответствующую конфигурацию AD FS. Пользователь может быть локальной и доменной администратора для выполнения этого командлета.

Примечание

Перед использованием средства быстрого восстановления AD FS, убедитесь, что сервер будет присоединен к домену до восстановления резервной копии.

Командлет использует следующие параметры:

Средство восстановления AD FS частых

Подробное описание

  • StorageType <строки> -тип хранилища, пользователю необходимо использовать. «Файловой системы» означает, что пользователь хочет сохранить его в папке локально или в сети «Azure» означает, что пользователь хочет сохранить его в контейнере хранилища Azure

  • DecryptionPassword <строки> -пароль, который использовался для шифрования всех файлов резервных копий

  • AzureConnectionCredentials <pscredential> — имя учетной записи и ключ для учетной записи Azure хранилища

  • AzureStorageContainer <строки> -контейнер хранения, в которой резервное копирование будет храниться в Azure

  • StoragePath <строки> -расположение резервные копии будут храниться в

  • ADFSName <строки > -имя федерации, резервная копия и будет восстановить. Если это не указано, а имя службы федерации только один затем, будет использоваться. Если существует более одной службы федерации архивированы в расположение, а затем пользователю предлагается выбрать один из резервной копии служб федерации.

  • ServiceAccountCredential <pscredential > -указывает учетной записи службы, который будет использоваться для новой службы ADFS восстанавливается

  • GroupServiceAccountIdentifier <строки> -GMSA, которое пользователь хочет использовать для новой службы ADFS при восстановлении. По умолчанию Если ни один предоставляется резервной копии имя учетной записи используется, если он был GMSA, другой пользователь получает запрос для размещения в учетной записи службы

  • DBConnectionString <строки> : Если пользователь хотелось бы использовать разные DB для восстановления, то они должны передать строку подключения SQL или тип WID для WID.

  • Принудительное <bool> -пропустить запросов, которые могут иметь средство после выбора резервной копии

  • RestoreDKM <bool> - восстановление контейнера DKM объявление, необходимо задать при переходе на новую AD и DKM резервная копия изначально.

Примеры

  1. Это позволяет восстановить конфигурацию ADFS без DKM в контейнере хранилища Azure.

    Restore-ADFS -StorageType "Azure" -AzureConnectionCredential $cred -DecryptionPassword "password" -AzureStorageContainer "adfsbackups"

  2. Это позволяет восстановить конфигурацию ADFS без DKM из файловой системы

    Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\uSERS\administrator\testExport\" -DecryptionPassword "password"

  3. Это позволяет восстановить конфигурацию ADFS с DKM в файл

    Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\uSERS\administrator\testExport\" -DecryptionPassword "password" -RestoreDKM

  4. Это позволяет восстановить конфигурацию ADFS для WID

    Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\uSERS\administrator\testExport\" -DecryptionPassword "password" -DBConnectionString “WID”

  5. Это позволяет восстановить конфигурацию ADFS для SQL

    Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\uSERS\administrator\testExport\" -DecryptionPassword "password" -DBConnectionString “Data Source=TESTMACHINE\SQLEXPRESS; Integrated Security=True”

  6. Это позволяет восстановить конфигурацию ADFS с указанным GMSA

    Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\uSERS\administrator\testExport\" -DecryptionPassword "password" -GroupServiceAccountIdentifier “mangupd1\adfsgmsa$”

  7. Это позволяет восстановить конфигурация ADFS с использованием учетных данных учетной записи службы

    Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\uSERS\administrator\testExport\" -DecryptionPassword "password" -ServiceAccountCredential $cred

В приложении: Сведения о шифровании

Все данные резервной копии, шифруются перед его отправке в облаке или сохранить его в файловой системе.

Каждый документ, который создается в рамках резервной копии зашифрован с помощью AES-256. Пароль передается в средство для создания нового пароля, с помощью класса Rfc2898DeriveBytes служит парольную фразу.

RngCryptoServiceProvider используется для создания salt, используется класс Rfc2898DeriveBytes и AES.

© 2017 Microsoft