Инструмент быстрого восстановления Active Directory Federation Services

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Службы федерации Active Directory (AD FS) становятся высокодоступными за счет настройки фермы AD FS. Некоторые организации предпочитают развертывание AD FS на одном сервере, чтобы устранить необходимость в нескольких серверах AD FS и инфраструктуре балансировки нагрузки сети. Этот подход помогает обеспечить быстрое восстановление службы после устранения потенциальных проблем.

Средство быстрого восстановления AD FS предоставляет способ восстановления данных AD FS без полного резервного копирования и восстановления состояния операционной системы или системы. Используйте средство для экспорта конфигурации AD FS в Azure или в локальное расположение. Вы можете применить экспортированные данные к новой установке AD FS и повторно создать или дублировать среду AD FS.

Сценарии использования

Средство быстрого восстановления AD FS можно использовать в различных сценариях:

• быстро восстановить функциональные возможности AD FS после проблем. Используйте средство быстрого восстановления для создания холодной резервной установки AD FS, которая может быть быстро развернута вместо сервера AD FS в Сети.

• Разверните идентичные тестовые и производственные среды. Быстро создайте точную копию рабочей службы AD FS в тестовой среде. Средство быстрого восстановления также можно использовать для быстрого развертывания проверенной тестовой конфигурации в рабочей среде.

• Перенос конфигураций интегрированной базы данных SQL и Windows (WID). Переносите данные с помощью инструмента Rapid Restore и переходите с конфигурации фермы на основе SQL на WID или наоборот.

Примечание.

Если вы используете репликацию слиянием SQL или группы доступности Always On, средство быстрого восстановления не поддерживается. Мы рекомендуем резервные копии на основе SQL и резервную копию SSL-сертификата.

Содержимое резервного копирования

Средство быстрого восстановления выполняет резервное копирование следующей конфигурации AD FS:

• База данных конфигурации AD FS (SQL или WID)
• Файл конфигурации (расположен в папке AD FS)
• Список установленных настраиваемых поставщиков проверки подлинности, хранилищ атрибутов и доверия локальных поставщиков утверждений
• Автоматически генерируемые сертификаты и закрытые ключи для подписи токенов и расшифровки данных из контейнера Диспетчера распределенных ключей Active Directory (DKM)
• SSL-сертификат и все внешние зарегистрированные сертификаты (подписывание маркеров, расшифровка маркеров и обмен данными между службами) и соответствующие закрытые ключи

Примечание.

Закрытые ключи должны быть экспортируемыми. Пользователь, выполняя скрипт, должен иметь разрешение на доступ к ключам.

Шифрование резервной копии

Все данные резервного копирования шифруются перед отправкой в облако или хранятся в файловой системе.

Каждый документ, созданный в составе резервной копии, шифруется с помощью AES-256. Пароль, предоставленный средству быстрого восстановления, используется в качестве парольной фразы для создания нового пароля с помощью класса Rfc2898DeriveBytes.

Класс RngCryptoServiceProvider создает соль (двоичный объект), используемый AES и классом Rfc2898DeriveBytes.

Начало работы

Чтобы приступить к работе с средством быстрого восстановления AD FS, сначала ознакомьтесь со следующими требованиями к системе и инструментам.

• Это средство работает для AD FS в Windows Server 2016 и более поздних версиях.
• Для этого средства требуется .NET Framework 4.6 или более поздней версии.
• При использовании WID средство должно выполняться на основном сервере AD FS. Используйте командлет Get-AdfsSyncProperties, чтобы проверить, является ли сервер основным сервером.
• Восстановление должно выполняться на сервере AD FS той же версии, что и сервер резервного копирования, и использовать ту же учетную запись Active Directory, что и учетная запись службы AD FS.

Выполните следующие действия, чтобы настроить средство:

1. Скачайте и установите MSI на сервер AD FS.

2. После установки средства выполните следующую команду из командной строки PowerShell:

   Import-Module 'C:\Program Files (x86)\ADFS Rapid Recreation Tool\ADFSRapidRecreationTool.dll'
   

Создайте резервные копии: backup-ADFS

Чтобы создать резервную копию, используйте командлет PowerShell Backup-ADFS. Командлет резервного копирования создает резервную копию конфигурации AD FS, базы данных, SSL-сертификатов и т. д.

Перед тем как использовать командлет резервного копирования, ознакомьтесь со следующими требованиями к доступу и разрешениям.

• запуск от имени локального администратора. Чтобы запустить командлет резервного копирования, пользователь должен быть по крайней мере локальным администратором.

• Резервное копирование от имени администратора домена. Чтобы создать резервную копию контейнера DKM Active Directory (который требуется в конфигурации AD FS по умолчанию), привилегии пользователя должны соответствовать одному или нескольким из следующих критериев:

  • Пользователь должен быть администратором домена.
  • Пользователь должен передать учетные данные учетной записи службы AD FS.
  • Пользователь должен иметь доступ к контейнеру DKM.

• Используйте учетную запись gMSA в качестве администратора домена. Для групповой управляемой учетной записи (gMSA) пользователь должен быть администратором домена или иметь разрешения на соответствующий контейнер. Пользователь не может предоставить учетные данные gMSA.

параметры командлета Backup-ADFS

Каждая резервная копия называется в соответствии с шаблоном adfsBackup_ID_Date-Time. Имя содержит номер версии, дату и время резервной копии.

Ниже приведены параметры для командлета Backup-ADFS:

Backup-ADFS 
  -StorageType {FileSystem | Azure} 
  -EncryptionPassword <string> 
  -AzureConnectionCredentials <pscredential> 
  -AzureStorageContainer <string> 
  [-BackupComment <string>] 
  [-ServiceAccountCredential <pscredential>]
  [-BackupDKM]
  [<CommonParameters>]
    
Backup-ADFS -StorageType {FileSystem | Azure} 
  -EncryptionPassword <string>
  -StoragePath <string> 
  [-BackupComment <string>]
  [-ServiceAccountCredential <pscredential>]
  [-BackupDKM]
  [<CommonParameters>]

В следующем списке описаны сведения о параметрах для командлета Backup-ADFS.

• BackupDKM: создает резервную копию контейнера DKM Active Directory, содержащего ключи AD FS в конфигурации по умолчанию (автоматически созданные сертификаты для подписания и расшифрования токенов). Этот подход использует средство Microsoft Entra ldifde для экспорта контейнера Microsoft Entra и всех его поддерев.

• StorageType <string>: когда пользователь выполняет резервное копирование, он выбирает расположение резервного копирования:

  • FileSystem указывает, что пользователь хочет сохранить резервную копию в локальной папке или в сети. Чтобы сохранить резервную копию в файловой системе, пользователь должен удовлетворить следующие требования:

    • Необходимо указать путь к хранилищу.

    В каталоге пути создается новый каталог для каждой резервной копии. Каждый каталог, созданный, содержит резервные копии файлов.

  • Azure указывает, что пользователь хочет сохранить резервную копию в контейнере службы хранилища Azure. Чтобы сохранить резервную копию в облаке, пользователь должен удовлетворить следующие требования:

    • Учетные данные Azure Storage должны быть переданы командлету. Учетные данные хранения содержат имя и ключ учетной записи.
    • Имя контейнера также должно быть передано. Если контейнер не существует, он создается во время резервной копии.

• EncryptionPassword <string>: пароль, используемый для шифрования всех резервных файлов перед их сохранением.

• AzureConnectionCredentials <pscredential>: имя и ключ учетной записи хранения Azure.

• AzureStorageContainer <string>: контейнер хранилища для резервной копии в Azure.

• StoragePath <string>: расположение хранилища для резервных копий.

• ServiceAccountCredential <pscredential>: учетная запись службы, используемая для текущей работающей службы AD FS. Этот параметр необходим только в том случае, если пользователь хочет создать резервную копию DKM, и он не является администратором домена или не может получить доступ к содержимому контейнера.

• BackupComment <string[]>: информационная строка о резервной копии, отображаемой во время восстановления. Эта строка похожа на концепцию именования Hyper-V контрольных точек. Значение по умолчанию — пустая строка.

Примеры резервного копирования

В следующих примерах PowerShell показаны параметры резервного копирования конфигурации AD FS с помощью средства быстрого восстановления AD FS и командлета Backup-ADFS.

Резервное копирование в файловую систему с помощью DKM, действуя в качестве администратора домена

Следующий командлет выполняет резервное копирование конфигурации AD FS в файловую систему с помощью DKM с помощью параметра -BackupDKM. Этот подход обеспечивает доступ к содержимому контейнера DKM в качестве администратора домена или пользователя с делегированными разрешениями.

Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -EncryptionPassword "password" -BackupComment "Clean Install of AD FS (FS)" -BackupDKM

Резервное копирование в файловую систему с помощью DKM в качестве локального администратора

Следующий командлет также выполняет резервное копирование конфигурации AD FS в файловую систему с помощью DKM, но использует немного другой подход. В этом параметре необходимо указать учетные данные учетной записи службы с помощью параметра -ServiceAccountCredential $cred и запустить операцию от имени локального администратора.

Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -EncryptionPassword "password" -BackupComment "Clean Install of AD FS (FS)" -BackupDKM -ServiceAccountCredential $cred

Резервное копирование в контейнер хранилища Azure без DKM

Следующий командлет создает резервную копию конфигурации AD FS в контейнере хранилища Azure без использования DKM. Используйте параметр -AzureStorageContainer "adfsbackups" для указания контейнера.

Backup-ADFS -StorageType "Azure" -AzureConnectionCredentials $cred -AzureStorageContainer "adfsbackups"  -EncryptionPassword "password" -BackupComment "Clean Install of AD FS"

Резервное копирование в файловую систему без DKM

Следующий командлет выполняет резервное копирование конфигурации AD FS в файловую систему без использования DKM. Обратите внимание, что параметр -BackupDKM не указан.

Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -EncryptionPassword "password" -BackupComment "Clean Install of AD FS (FS)"

Восстановление резервных копий: Restore-ADFS

Чтобы применить конфигурацию, созданную с помощью командлета Backup-ADFS к новой установке AD FS, используйте командлет Restore-ADFS. Командлет восстановления создает новую ферму AD FS с помощью командлета Install-AdfsFarm и восстанавливает конфигурацию AD FS, базу данных, сертификаты и т. д.

Командлет восстановления проверяет место восстановления для существующих резервных копий. Командлет предложит пользователю выбрать подходящую резервную копию на основе даты, времени её создания и любого комментария, который пользователь мог прикрепить к резервной копии. Если существует несколько конфигураций AD FS с разными именами служб федерации, пользователю сначала будет предложено выбрать соответствующую конфигурацию AD FS.

Перед использованием командлета восстановления ознакомьтесь со следующими требованиями.

• Если роль AD FS не установлена на сервере, командлет устанавливает эту роль.
• Для выполнения этого командлета пользователь должен быть как локальным, так и администратором домена.

Это важно

Прежде чем использовать средство быстрого восстановления AD FS для восстановления резервной копии, убедитесь, что сервер присоединен к домену.

параметры командлета Restore-ADFS

Ниже приведены параметры для командлета Restore-ADFS:

Restore-ADFS 
  -StorageType {FileSystem | Azure} 
  -DecryptionPassword <string> 
  -AzureConnectionCredentials <pscredential>
  -AzureStorageContainer <string>
  [-ADFSName <string>]
  [-ServiceAccountCredential <pscredential>]
  [-GroupServiceAccountIdentifier <string>]
  [-DBConnectionString <string>]
  [-Force]
  [-RestoreDKM]  
  [<CommonParameters>]
    
Restore-ADFS 
  -StorageType {FileSystem | Azure} 
  -DecryptionPassword <string>
  -StoragePath <string>
  [-ADFSName <string>]
  [-ServiceAccountCredential <pscredential>]
  [-GroupServiceAccountIdentifier <string>]
  [-DBConnectionString <string>]
  [-Force]
  [-RestoreDKM]
  [<CommonParameters>]

В следующем списке описаны сведения о параметрах для командлета Restore-ADFS.

• StorageType <string>: тип используемого хранилища:

  • FileSystem сохраняет резервную копию в локальной папке или в сети.
  • Azure сохраняет резервную копию в контейнере службы хранилища Azure.

• DecryptionPassword <string>: пароль, используемый для шифрования всех резервных файлов.

• AzureConnectionCredentials <pscredential>: имя и ключ учетной записи хранения Azure.

• AzureStorageContainer <string>. Контейнер хранилища для хранения резервной копии в Azure.

• StoragePath <string>: расположение хранилища для резервной копии.

• ADFSName <string>: имя федерации, которая была создана и теперь восстановлена.

  • Если имя не указано и существует только одно имя службы федерации, используется это имя службы федерации.
  • Если в одном месте находится резервная копия более чем одной службы федерации, пользователю будет предложено выбрать одну из этих служб федерации.

• ServiceAccountCredential <pscredential>. Указывает учетную запись службы, которую использовать для восстановления новой службы AD FS.

• GroupServiceAccountIdentifier <string>: gMSA, которую пользователь хочет использовать для новой службы AD FS, подлежащей восстановлению.

  • По умолчанию, если значение не указано, используется имя учетной записи из резервной копии, если учетная запись является gMSA.
  • Если значение не указано, а учетная запись не gMSA, пользователю будет предложено указать учетную запись службы.

• DBConnectionString <string>. Чтобы использовать другую базу данных для восстановления, укажите строку подключения SQL или введите WID.

• Force <bool>: пропустите любые запросы из средства после выбора процесса резервного копирования.

• RestoreDKM <bool>. Восстановление контейнера DKM в Active Directory. Задайте этот параметр при восстановлении в новом каталоге Active Directory, если DKM было изначально сохранено в резервной копии.

Восстановить примеры

В следующих примерах PowerShell показаны параметры восстановления конфигурации AD FS с помощью средства быстрого восстановления AD FS и командлета Restore-ADFS.

Восстановление в файловой системе с помощью DKM в качестве администратора домена

Следующий командлет восстанавливает конфигурацию AD FS в файловой системе с помощью DKM с помощью параметра -RestoreDKM.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -RestoreDKM

Восстановление файловой системы без DKM

Следующий командлет восстанавливает конфигурацию AD FS в файловой системе без использования DKM. Обратите внимание, что параметр -RestoreDKM не указан.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password"

Восстановить в контейнер хранилища Azure без DKM

Следующий командлет восстанавливает конфигурацию AD FS в контейнер хранилища Azure без использования DKM. Используйте параметр -AzureStorageContainer "adfsbackups" для указания контейнера.

Restore-ADFS -StorageType "Azure" -AzureConnectionCredential $cred -DecryptionPassword "password" -AzureStorageContainer "adfsbackups"

Восстановление на WID

Следующий командлет восстанавливает конфигурацию AD FS в WID. Обратите внимание на значение WID, переданное параметру -DBConnectionString.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -DBConnectionString "WID"

Восстановление в SQL

Следующий командлет восстанавливает конфигурацию AD FS в SQL. Обратите внимание на значения Data Source и Integrated Security, передаваемые параметру -DBConnectionString.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -DBConnectionString "Data Source=TESTMACHINE\SQLEXPRESS; Integrated Security=True"

Восстановление с использованием указанной учетной записи gMSA

Следующий командлет восстанавливает конфигурацию AD FS и использует указанную учетную запись gMSA. Обратите внимание на использование параметра -GroupServiceAccountIdentifier.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -GroupServiceAccountIdentifier "mangupd1\adfsgmsa$"

Восстановление с использованием учетных данных указанной служебной учетной записи

Следующий командлет восстанавливает конфигурацию AD FS и использует указанные учетные данные учетной записи службы. Обратите внимание на использование параметра -ServiceAccountCredential.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -ServiceAccountCredential $cred

Файлы журналов

Файл журнала создается для каждой операции резервного копирования и восстановления. Файлы журнала можно найти в %LOCALAPPDATA%\ADFSRapidRecreationTool.

Примечание.

При восстановлении может быть создан файл PostRestore_Instructions. Этот файл содержит обзор дополнительных данных или служб, которые необходимо установить вручную перед запуском службы AD FS. В файле указываются поставщики проверки подлинности, хранилища атрибутов и доверие локального поставщика утверждений.

История выпуска версий

В следующих разделах описаны сведения о версии средства быстрого восстановления AD FS.

Версия 2.0.2464.1

Выпуск: декабрь 2023 г.

Исправлены проблемы:

• Исправление ошибки. Различьте ключи CNG & CSP во время восстановления

Версия 1.0.82.3

Выпуск: апрель 2020 г.

Исправлены проблемы:

• Добавление поддержки сертификатов на основе CNG

Версия 1.0.82.0

Выпуск: июль 2019 г.

Исправлены проблемы:

• Исправлена ошибка для имен учетных записей службы AD FS, содержащих escape-символы LDAP

Версия 1.0.81.0

Выпуск: апрель 2019 г.

Исправлены проблемы:

• Исправления ошибок для резервного копирования и восстановления сертификатов
• Добавить больше сведений трассировки в файл журнала

Версия 1.0.75.0

Выпуск: август 2018 г.

Исправлены проблемы:

• Обновите командлет Backup-ADFS для коммутатора -BackupDKM. Средство определяет, имеет ли текущий контекст доступ к контейнеру DKM. Если доступ доступен, средство не требует привилегий администратора домена или учетных данных учетной записи службы. Это обновление позволяет автоматически создавать резервные копии, которые не позволяют пользователю явно предоставлять учетные данные или выполнять операцию в качестве учетной записи администратора домена.

Версия 1.0.73.0

Выпуск: август 2018 г.

Исправлены проблемы:

• Обновите алгоритмы шифрования, чтобы убедиться, что приложение соответствует FIPS

  Это важно

  Предыдущие резервные копии не будут работать с последней версией средства из-за изменений в алгоритмах шифрования для соответствия FIPS.

• Добавить поддержку кластеров SQL, использующих репликацию слияний

Версия 1.0.72.0

Выпуск: июль 2018 г.

Исправлены проблемы:

• Исправление: исправление .MSI-установщика для поддержки обновлений на месте

Версия 1.0.18.0

Выпуск: июль 2018 г.

Исправлены проблемы:

• Исправлена ошибка. Обработка паролей учетной записи службы с помощью специальных символов (т. е. "&')
• Исправление ошибки: устранение проблем восстановления, так как Microsoft.IdentityServer.Servicehost.exe.config используется другим процессом.

Версия 1.0.0.0

Выпуск: октябрь 2016 г.

Начальный выпуск средства быстрого восстановления AD FS