Delen via

Active Directory Federation Services Rapid Restore-hulpprogramma

Active Directory Federation Services (AD FS) wordt maximaal beschikbaar gemaakt door een AD FS-farm in te stellen. Sommige organisaties geven de voorkeur aan een AD FS-implementatie van één server om de noodzaak voor meerdere AD FS-servers en netwerktaakverdelingsinfrastructuur te elimineren. Deze aanpak helpt bij het snel herstellen van de service na het oplossen van mogelijke problemen.

Het hulpprogramma Snel herstel van AD FS biedt een manier om AD FS-gegevens terug te zetten zonder een volledige back-up en herstel van het besturingssysteem of de systeemstatus te vereisen. Gebruik het hulpprogramma om een AD FS-configuratie te exporteren naar Azure of naar een on-premises locatie. U kunt de geëxporteerde gegevens toepassen op een nieuwe AD FS-installatie en de AD FS-omgeving opnieuw maken of dupliceren.

Gebruiksscenario's

U kunt het AD FS Rapid Restore-hulpmiddel in verschillende scenario's gebruiken.

  • Snel de AD FS-functionaliteit herstellen na problemen. Gebruik het hulpprogramma Snelle herstel om een koude stand-by-installatie van AD FS te maken die snel kan worden geïmplementeerd in plaats van de online AD FS-server.

  • Identieke test- en productieomgevingen implementeren. Maak snel een nauwkeurige kopie van de productie AD FS in een testomgeving. U kunt ook het hulpprogramma Snelle herstel gebruiken om snel een gevalideerde testconfiguratie naar productie te implementeren.

  • SQL- en Windows Integrated Database-configuraties (WID) migreren. Migreer uw gegevens met het hulpprogramma Snelle herstel en verplaats van een op SQL gebaseerde farmconfiguratie naar WID of omgekeerd.

Notitie

Als u SQL Merge Replication of AlwaysOn-beschikbaarheidsgroepen gebruikt, wordt het hulpprogramma Snelle herstel niet ondersteund. U wordt aangeraden back-ups op basis van SQL en een back-up van het SSL-certificaat te maken.

Backupinhoud

Het hulpprogramma Snelle herstel maakt een back-up van de volgende AD FS-configuratie:

  • AD FS-configuratiedatabase (SQL of WID)
  • Configuratiebestand (in de map AD FS)
  • Lijst met geïnstalleerde aangepaste authenticatieproviders, kenmerkopslagplaatsen en lokale claims provider trustrelaties
  • Automatisch gegenereerde tokenondertekening en ontsleuteling van certificaten en persoonlijke sleutels uit de DKM-container (Active Directory Distributed Key Manager)
  • SSL-certificaat en eventuele extern ingeschreven certificaten (tokenondertekening, tokenontsleuteling en servicecommunicatie) en bijbehorende persoonlijke sleutels

Notitie

Persoonlijke sleutels moeten kunnen worden geëxporteerd. De gebruiker die het script uitvoert, moet gemachtigd zijn om toegang te krijgen tot de sleutels.

Back-upversleuteling

Alle back-upgegevens worden versleuteld voordat ze naar de cloud worden gepusht of worden opgeslagen in het bestandssysteem.

Elk document dat als onderdeel van de back-up wordt gemaakt, wordt versleuteld met behulp van AES-256. Het wachtwoord dat is opgegeven voor het hulpprogramma Snelle herstel wordt gebruikt als wachtwoordzin om een nieuw wachtwoord te genereren via de Rfc2898DeriveBytes-klasse.

De RngCryptoServiceProvider Klasse genereert het zout (binaire blob) dat wordt gebruikt door AES en de Rfc2898DeriveBytes-klasse.

Aan de slag

Bekijk eerst de volgende systeem- en hulpprogrammavereisten om aan de slag te gaan met het hulpprogramma AD FS Rapid Restore.

  • Het hulpprogramma werkt voor AD FS in Windows Server 2016 en hoger.
  • Voor het hulpprogramma is .NET Framework 4.6 of hoger vereist.
  • Als u een WID gebruikt, moet het hulpprogramma worden uitgevoerd op de primaire AD FS-server. Gebruik de cmdlet Get-AdfsSyncProperties om te controleren of uw server de primaire server is.
  • Een herstelbewerking moet worden uitgevoerd op een AD FS-server van dezelfde versie als de back-upserver en hetzelfde Active Directory-account gebruiken als het AD FS-serviceaccount.

Volg deze stappen om het hulpprogramma in te stellen:

  1. Download en installeer de MSI op uw AD FS-server.

  2. Nadat u het hulpprogramma hebt geïnstalleerd, voert u de volgende opdracht uit vanaf een PowerShell-prompt:

    Import-Module 'C:\Program Files (x86)\ADFS Rapid Recreation Tool\ADFSRapidRecreationTool.dll'

back-ups maken: Back-up-ADFS-

Als u een back-up wilt maken, gebruikt u de Backup-ADFS PowerShell-cmdlet. De back-up-cmdlet maakt een back-up van de AD FS-configuratie, database, SSL-certificaten, enzovoort.

Voordat u de back-up-cmdlet gebruikt, moet u de volgende vereisten voor toegang en machtigingen controleren.

  • uitvoeren als lokale beheerder. Als u de back-up-cmdlet wilt uitvoeren, moet de gebruiker ten minste een lokale beheerder zijn.

  • back-up maken als domeinbeheerder. Als u een back-up wilt maken van de Active Directory DKM-container (die is vereist in de standaard AD FS-configuratie), moeten de gebruikersbevoegdheden voldoen aan een of meer van de volgende criteria:

    • De gebruiker moet een domeinbeheerder zijn.
    • De gebruiker moet de referenties van het AD FS-serviceaccount doorgeven.
    • De gebruiker moet toegang hebben tot de DKM-container.

  • GMSA-account gebruiken als domeinbeheerder. Voor een groep beheerd serviceaccount (gMSA) moet de gebruiker een domeinbeheerder zijn of machtigingen hebben voor de container. De gebruiker kan de gMSA-referenties niet opgeven.

Backup-ADFS cmdlet-parameters

Elke back-up heeft een naam volgens het patroon adfsBackup_ID_Date-Time. De naam bevat het versienummer, de datum en het tijdstip van de back-up.

Hier volgen de parameters voor de cmdlet Backup-ADFS:

Backup-ADFS 
  -StorageType {FileSystem | Azure} 
  -EncryptionPassword <string> 
  -AzureConnectionCredentials <pscredential> 
  -AzureStorageContainer <string> 
  [-BackupComment <string>] 
  [-ServiceAccountCredential <pscredential>]
  [-BackupDKM]
  [<CommonParameters>]
    
Backup-ADFS -StorageType {FileSystem | Azure} 
  -EncryptionPassword <string>
  -StoragePath <string> 
  [-BackupComment <string>]
  [-ServiceAccountCredential <pscredential>]
  [-BackupDKM]
  [<CommonParameters>]

In de volgende lijst worden de parameterdetails voor de cmdlet Backup-ADFS beschreven.

  • BackupDKM: maakt een back-up van de Active Directory DKM-container die de AD FS-sleutels in de standaardconfiguratie bevat (automatisch gegenereerde certificaten voor tokenondertekening en ontsleuteling). Deze benadering maakt gebruik van het hulpprogramma Microsoft Entra ldifde om de Microsoft Entra-container en alle bijbehorende substructuren te exporteren.

  • StorageType <string>: wanneer de gebruiker de back-up uitvoert, selecteert hij de back-uplocatie:

    • Bestandssysteem geeft aan dat de gebruiker de back-up wil opslaan in een lokale map of in het netwerk. De gebruiker moet aan de volgende vereisten voldoen om de back-up op te slaan in het bestandssysteem:

      • Er moet een opslagpad worden opgegeven.

      In het pad wordt voor elke backup een nieuwe map gemaakt. In elke gemaakte map bevinden zich de geback-upte bestanden.

    • Azure geeft aan dat de gebruiker de back-up wil opslaan in de Azure Storage-container. Voor het opslaan van de back-up in de cloud moet de gebruiker aan de volgende vereisten voldoen:

      • Azure Storage-referenties moeten worden doorgegeven aan de cmdlet. De opslagreferenties bevatten de accountnaam en -sleutel.
      • Er moet ook een containernaam worden doorgegeven. Als de container niet bestaat, wordt deze gemaakt tijdens de back-up.

  • EncryptionPassword <string>: het wachtwoord dat moet worden gebruikt om alle back-upbestanden te versleutelen voordat ze worden opgeslagen.

  • AzureConnectionCredentials <pscredential>: de accountnaam en -sleutel voor het Azure-opslagaccount.

  • AzureStorageContainer <string>: de opslagcontainer voor de back-up in Azure.

  • StoragePath <string>: de opslaglocatie voor de back-ups.

  • ServiceAccountCredential <pscredential>: het serviceaccount dat wordt gebruikt voor de huidige actieve AD FS-service. Deze parameter is alleen nodig wanneer de gebruiker een back-up van de DKM wil maken en geen domeinbeheerder is of geen toegang heeft tot de inhoud van de container.

  • BackupComment <string[]>: een informatieve tekenreeks over de back-up die tijdens het herstellen moet worden weergegeven. Deze reeks is vergelijkbaar met het concept van Hyper-V-controlepuntbenaming. De standaardwaarde is een lege tekenreeks.

Voorbeelden van back-ups

In de volgende PowerShell-voorbeelden ziet u back-upopties voor een AD FS-configuratie met het hulpprogramma Snelle herstel van AD FS en de Backup-ADFS-cmdlet.

Back-up naar bestandssysteem met DKM als domeinbeheerder

Met de volgende cmdlet wordt een back-up gemaakt van de AD FS-configuratie naar het bestandssysteem met de DKM met behulp van de parameter -BackupDKM. Deze benadering biedt toegang tot de inhoud van de DKM-container als domeinbeheerder of een gebruiker met gedelegeerde machtigingen.

Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -EncryptionPassword "password" -BackupComment "Clean Install of AD FS (FS)" -BackupDKM

Een back-up maken van het bestandssysteem met DKM als lokale beheerder

De volgende cmdlet maakt ook een back-up van de AD FS-configuratie naar het bestandssysteem met de DKM, maar maakt gebruik van een iets andere benadering. In deze optie geeft u de referenties van het serviceaccount op met behulp van de parameter -ServiceAccountCredential $cred en voert u de bewerking uit als een lokale beheerder.

Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -EncryptionPassword "password" -BackupComment "Clean Install of AD FS (FS)" -BackupDKM -ServiceAccountCredential $cred

Een back-up maken naar Azure Storage-container zonder DKM

Met de volgende cmdlet wordt een back-up gemaakt van de AD FS-configuratie naar de Azure Storage-container zonder de DKM te gebruiken. Gebruik de parameter -AzureStorageContainer "adfsbackups" om de container op te geven.

Backup-ADFS -StorageType "Azure" -AzureConnectionCredentials $cred -AzureStorageContainer "adfsbackups"  -EncryptionPassword "password" -BackupComment "Clean Install of AD FS"

Een back-up maken van het bestandssysteem zonder DKM

Met de volgende cmdlet wordt een back-up gemaakt van de AD FS-configuratie naar het bestandssysteem zonder de DKM te gebruiken. U ziet dat de parameter -BackupDKM niet is opgegeven.

Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -EncryptionPassword "password" -BackupComment "Clean Install of AD FS (FS)"

Back-ups herstellen: Restore-ADFS

Als u een configuratie wilt toepassen die is gemaakt met behulp van de Backup-ADFS cmdlet op een nieuwe AD FS-installatie, gebruikt u de Restore-ADFS cmdlet. De cmdlet voor herstellen maakt een nieuwe AD FS-farm met behulp van de Install-AdfsFarm cmdlet en herstelt de AD FS-configuratie, database, certificaten, enzovoort.

De herstel-cmdlet controleert de herstellocatie voor bestaande back-ups. De cmdlet vraagt de gebruiker om een geschikte back-up te kiezen op basis van de datum en tijd waarop deze is gemaakt en eventuele back-upcommentaar die de gebruiker mogelijk aan de back-up heeft gekoppeld. Als er meerdere AD FS-configuraties met verschillende federation-servicenamen zijn, wordt de gebruiker eerst gevraagd om de juiste AD FS-configuratie te kiezen.

Raadpleeg de volgende vereisten voordat u de cmdlet voor herstellen gebruikt.

  • Als de AD FS-functie niet op de server is geïnstalleerd, installeert de cmdlet de rol.
  • De gebruiker moet zowel een lokale beheerder als een domeinbeheerder zijn om deze cmdlet uit te voeren.

Belangrijk

Voordat u het hulpprogramma snelle herstel van AD FS gebruikt om een back-up te herstellen, moet u ervoor zorgen dat de server lid is van het domein.

Restore-ADFS cmdlet-parameters

Hier volgen de parameters voor de cmdlet Restore-ADFS:

Restore-ADFS 
  -StorageType {FileSystem | Azure} 
  -DecryptionPassword <string> 
  -AzureConnectionCredentials <pscredential>
  -AzureStorageContainer <string>
  [-ADFSName <string>]
  [-ServiceAccountCredential <pscredential>]
  [-GroupServiceAccountIdentifier <string>]
  [-DBConnectionString <string>]
  [-Force]
  [-RestoreDKM]  
  [<CommonParameters>]
    
Restore-ADFS 
  -StorageType {FileSystem | Azure} 
  -DecryptionPassword <string>
  -StoragePath <string>
  [-ADFSName <string>]
  [-ServiceAccountCredential <pscredential>]
  [-GroupServiceAccountIdentifier <string>]
  [-DBConnectionString <string>]
  [-Force]
  [-RestoreDKM]
  [<CommonParameters>]

In de volgende lijst worden de parameterdetails voor de cmdlet Restore-ADFS beschreven.

  • StorageType <string>: het type opslag dat moet worden gebruikt:

    • Bestandssysteem de back-up opslaat in een lokale map of in het netwerk.
    • Azure slaat de back-up op in de Azure Storage Container.

  • DecryptionPassword <string>: het wachtwoord dat wordt gebruikt om alle back-upbestanden te versleutelen.

  • AzureConnectionCredentials <pscredential>: de accountnaam en -sleutel voor het Azure-opslagaccount.

  • AzureStorageContainer <string>: de opslagcontainer voor het opslaan van de back-up in Azure.

  • StoragePath <string>: de opslaglocatie voor de back-up.

  • ADFSName <string>: de naam van de federatie waarvan een reservekopie is gemaakt en die nu moet worden hersteld.

    • Als er geen naam is opgegeven en er slechts één naam voor de federation-service bestaat, wordt die naam van de federation-service gebruikt.
    • Als er meer dan één federatieservice op de locatie wordt geback-upt, wordt de gebruiker gevraagd een geback-upte federatieservice te kiezen.

  • ServiceAccountCredential <pscredential>: hiermee geeft u het serviceaccount op dat moet worden gebruikt voor de nieuwe AD FS-service die wordt hersteld.

  • GroupServiceAccountIdentifier <string>: de gMSA die de gebruiker wil gebruiken voor de nieuwe AD FS-service die wordt hersteld.

    • Als er geen waarde is opgegeven, wordt standaard de naam van het back-upaccount gebruikt als het account gMSA is.
    • Als er geen waarde is opgegeven en het account niet gMSA is, wordt de gebruiker gevraagd een serviceaccount op te geven.

  • DBConnectionString <string>: Als u een andere database wilt gebruiken voor het herstellen, geeft u de SQL-verbindingsreeks op of voert u WID in.

  • Force <bool>: sla alle prompts van het hulpprogramma over nadat u het back-upproces hebt geselecteerd.

  • RestoreDKM <bool>: herstel de DKM-container naar de Active Directory. Stel deze optie in wanneer u herstelt naar een nieuwe Active Directory en de DKM oorspronkelijk is geback-upt.

Voorbeelden herstellen

In de volgende PowerShell-voorbeelden ziet u herstelopties voor een AD FS-configuratie met het hulpprogramma Snelle herstel van AD FS en de Restore-ADFS-cmdlet.

Herstellen naar bestandssysteem met DKM als domeinbeheerder

Met de volgende cmdlet wordt de AD FS-configuratie hersteld naar het bestandssysteem met de DKM met behulp van de parameter -RestoreDKM.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -RestoreDKM

Herstellen in het bestandssysteem zonder DKM

Met de volgende cmdlet wordt de AD FS-configuratie hersteld naar het bestandssysteem zonder de DKM te gebruiken. U ziet dat de parameter -RestoreDKM niet is opgegeven.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password"

Herstellen naar Azure Storage-container zonder DKM

Met de volgende cmdlet wordt de AD FS-configuratie hersteld naar de Azure Storage-container zonder de DKM te gebruiken. Gebruik de parameter -AzureStorageContainer "adfsbackups" om de container op te geven.

Restore-ADFS -StorageType "Azure" -AzureConnectionCredential $cred -DecryptionPassword "password" -AzureStorageContainer "adfsbackups"

Herstellen naar WID

Met de volgende cmdlet wordt de AD FS-configuratie hersteld naar WID. Let op de WID waarde die is doorgegeven aan de parameter -DBConnectionString.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -DBConnectionString "WID"

Herstellen naar SQL

Met de volgende cmdlet wordt de AD FS-configuratie hersteld naar SQL. Let op de Data Source- en Integrated Security-waarden die zijn doorgegeven aan de parameter -DBConnectionString.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -DBConnectionString "Data Source=TESTMACHINE\SQLEXPRESS; Integrated Security=True"

Herstelt met opgegeven gMSA-account

Met de volgende cmdlet wordt de AD FS-configuratie hersteld en wordt een opgegeven gMSA-account gebruikt. Let op het gebruik van de parameter -GroupServiceAccountIdentifier.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -GroupServiceAccountIdentifier "mangupd1\adfsgmsa$"

Herstellen met opgegeven serviceaccountreferenties

De volgende cmdlet herstelt de AD FS-configuratie en gebruikt de opgegeven serviceaccountreferenties. Let op het gebruik van de parameter -ServiceAccountCredential.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -ServiceAccountCredential $cred

Logboekbestanden

Er wordt een logboekbestand gemaakt voor elke back-up- en herstelbewerking. De logboekbestanden zijn te vinden op %LOCALAPPDATA%\ADFSRapidRecreationTool.

Notitie

Wanneer u een herstelbewerking uitvoert, kan er een PostRestore_Instructions-bestand worden gemaakt. Dit bestand bevat een overzicht van de aanvullende gegevens of services die handmatig moeten worden geïnstalleerd voordat u de AD FS-service start. In het bestand worden authenticatieproviders, attributenopslag, en lokale vertrouwensrelaties met claimproviders opgegeven.

Versiegeschiedenis

In de volgende secties worden versiedetails voor het hulpprogramma Snelle herstel van AD FS geïdentificeerd.

Versie 2.0.2464.1

Uitgave: december 2023

Problemen opgelost:

  • Opgeloste fout: CNG-& CSP-sleutels onderscheiden tijdens het herstellen

Versie 1.0.82.3

Publicatiedatum: april 2020

Problemen opgelost:

  • Ondersteuning toevoegen voor certificaten op basis van CNG

Versie 1.0.82.0

Uitgave: juli 2019

Problemen opgelost:

  • Opgeloste fout voor AD FS-serviceaccountnamen die LDAP-escapetekens bevatten

Versie 1.0.81.0

Releasedatum: april 2019

Problemen opgelost:

  • Opgeloste fouten voor back-up en herstel van certificaten
  • Meer traceringsinformatie toevoegen aan het logboekbestand

Versie 1.0.75.0

Uitgave: augustus 2018

Problemen opgelost:

  • Werk de Backup-ADFS-cmdlet voor de -BackupDKM-switch bij. Het hulpprogramma bepaalt of de huidige context toegang heeft tot de DKM-container. Wanneer toegang beschikbaar is, zijn voor het hulpprogramma geen domeinbeheerdersbevoegdheden of serviceaccountreferenties vereist. Met deze update kunnen geautomatiseerde back-ups worden gemaakt waarvoor de gebruiker geen referenties hoeft op te geven of de bewerking als een domeinbeheerder hoeft uit te voeren.

Versie 1.0.73.0

Uitgave: augustus 2018

Problemen opgelost:

  • Werk de versleutelingsalgoritmen bij om ervoor te zorgen dat de toepassing compatibel is met FIPS

    Belangrijk

    Eerdere back-ups werken niet met de nieuwste versie van het hulpprogramma, vanwege wijzigingen in versleutelingsalgoritmen voor FIPS-naleving.

  • Ondersteuning toevoegen voor SQL-clusters die gebruikmaken van samenvoegreplicatie

Versie 1.0.72.0

Uitgave: juli 2018

Problemen opgelost:

  • Bugfix: .MSI-installatieprogramma gerepareerd voor ondersteuning van in-place upgrades

Versie 1.0.18.0

Uitgave: juli 2018

Problemen opgelost:

  • Opgeloste fout: wachtwoorden van serviceaccounts verwerken met speciale tekens (dat wil gezegd: '&')
  • Opgeloste fout: los problemen op met betrekking tot herstelfouten omdat Microsoft.IdentityServer.Servicehost.exe.config wordt gebruikt door een ander proces

Versie 1.0.0.0

Release: oktober 2016

eerste release van AD FS Rapid Restore Tool