Dela via

Snabba återställningsverktyget för Active Directory Federation Services

Active Directory Federation Services (AD FS) görs mycket tillgängligt genom att konfigurera en AD FS-servergrupp. Vissa organisationer föredrar en AD FS-distribution med en enda server för att eliminera behovet av flera AD FS-servrar och infrastruktur för nätverksbelastningsutjämning. Den här metoden hjälper till att säkerställa snabb återställning av tjänsten efter att du har löst potentiella problem.

Verktyget för snabb återställning i AD FS är ett sätt att återställa AD FS-data utan att kräva fullständig säkerhetskopiering och återställning av operativsystemet eller systemtillståndet. Använd verktyget för att exportera en AD FS-konfiguration till Azure eller till en lokal plats. Du kan använda exporterade data på en ny AD FS-installation och återskapa eller duplicera AD FS-miljön.

Användningsfallsscenarier

Du kan använda verktyget för snabb återställning i AD FS i olika scenarier:

  • Återställ snabbt AD FS-funktioner efter problem. Använd verktyget Snabb återställning för att skapa en kall väntelägesinstallation av AD FS som snabbt kan distribueras i stället för AD FS-onlineservern.

  • Distribuera identiska test- och produktionsmiljöer. Skapa snabbt en korrekt kopia av AD FS för produktion i en testmiljö. Du kan också använda verktyget Snabb återställning för att snabbt distribuera en validerad testkonfiguration till produktion.

  • Migrera SQL- och Windows Integrated Database-konfigurationer (WID). Migrera dina data med verktyget Snabb återställning och gå från en SQL-baserad servergruppskonfiguration till WID eller vice versa.

Anmärkning

Om du använder SQL Merge Replication eller Always on Availability Groups stöds inte verktyget Snabb återställning. Vi rekommenderar SQL-baserade säkerhetskopior och en säkerhetskopia av SSL-certifikatet.

Säkerhetskopieringsinnehåll

Verktyget Snabb återställning säkerhetskopierar följande AD FS-konfiguration:

  • AD FS-konfigurationsdatabas (SQL eller WID)
  • Konfigurationsfil (finns i AD FS-mappen)
  • Lista över installerade anpassade autentiseringsleverantörer, atributförråd och lokala tillitsrelationer för anspråk
  • Automatiskt genererad tokensignering och dekryptering av certifikat och privata nycklar från containern Active Directory Distributed Key Manager (DKM)
  • SSL-certifikat och eventuella externt registrerade certifikat (tokensignering, tokendekryptering och tjänstkommunikation) och motsvarande privata nycklar

Anmärkning

Privata nycklar måste kunna exporteras. Användaren som kör skriptet måste ha behörighet att komma åt nycklarna.

Säkerhetskopieringskryptering

Alla säkerhetskopierade data krypteras innan de skickas till molnet eller lagras i filsystemet.

Varje dokument som skapas som en del av säkerhetskopian krypteras med hjälp av AES-256. Lösenordet som anges i verktyget Snabb återställning används som en lösenfras för att generera ett nytt lösenord via Rfc2898DeriveBytes-klassen.

Klassen RngCryptoServiceProvider genererar saltet (binär blob) som används av AES och Rfc2898DeriveBytes-klassen.

Kom igång

Om du vill komma igång med verktyget för snabb återställning av AD FS granskar du först följande system- och verktygskrav.

  • Verktyget fungerar för AD FS i Windows Server 2016 och senare.
  • Verktyget kräver .NET Framework 4.6 eller senare.
  • Om du använder en WID måste verktyget köras på den primära AD FS-servern. Använd cmdleten Get-AdfsSyncProperties för att kontrollera om servern är den primära servern.
  • En återställning måste köras på en AD FS-server med samma version som säkerhetskopieringsservern och använda samma Active Directory-konto som AD FS-tjänstkontot.

Följ dessa steg för att konfigurera verktyget:

  1. Ladda ned och installera MSI på AD FS-servern.

  2. När du har installerat verktyget kör du följande kommando från en PowerShell-prompt:

    Import-Module 'C:\Program Files (x86)\ADFS Rapid Recreation Tool\ADFSRapidRecreationTool.dll'

Skapa säkerhetskopior: Backup-ADFS

Om du vill skapa en säkerhetskopia använder du cmdleten Backup-ADFS PowerShell. Säkerhetskopierings-cmdleten säkerhetskopierar AD FS-konfigurationen, databasen, SSL-certifikaten och så vidare.

Innan du använder cmdleten för säkerhetskopiering läser du följande åtkomst- och behörighetskrav.

  • Kör som lokal administratör. Om du vill köra säkerhetskopierings-cmdleten måste användaren vara minst en lokal administratör.

  • Säkerhetskopiera som domänadministratör. För att säkerhetskopiera Active Directory DKM-containern (vilket krävs i AD FS-standardkonfigurationen) måste användarbehörigheterna uppfylla ett eller flera av följande kriterier:

    • Användaren måste vara domänadministratör.
    • Användaren måste skicka in autentiseringsuppgifterna för AD FS-tjänstkontot.
    • Användaren måste ha åtkomst till DKM-containern.

  • Använd gMSA-konto som domänadministratör. För ett grupphanterat tjänstkonto (gMSA) måste användaren vara domänadministratör eller ha behörighet till containern. Användaren kan inte ange gMSA-autentiseringsuppgifterna.

Backup-ADFS cmdlet parametrar

Varje säkerhetskopia namnges enligt mönstret adfsBackup_ID_Date-Time. Namnet innehåller versionsnummer, datum och tid för säkerhetskopieringen.

Följande är parametrarna för cmdleten Backup-ADFS:

Backup-ADFS 
  -StorageType {FileSystem | Azure} 
  -EncryptionPassword <string> 
  -AzureConnectionCredentials <pscredential> 
  -AzureStorageContainer <string> 
  [-BackupComment <string>] 
  [-ServiceAccountCredential <pscredential>]
  [-BackupDKM]
  [<CommonParameters>]
    
Backup-ADFS -StorageType {FileSystem | Azure} 
  -EncryptionPassword <string>
  -StoragePath <string> 
  [-BackupComment <string>]
  [-ServiceAccountCredential <pscredential>]
  [-BackupDKM]
  [<CommonParameters>]

I följande lista beskrivs parameterinformationen för cmdleten Backup-ADFS.

  • BackupDKM: Säkerhetskopierar Active Directory DKM-containern som innehåller AD FS-nycklarna i standardkonfigurationen (automatiskt genererad tokensignering och dekryptering av certifikat). Den här metoden använder verktyget Microsoft Entra ldifde för att exportera Microsoft Entra-containern och alla dess underträd.

  • StorageType <string>: När användaren utför säkerhetskopieringen väljer de platsen för säkerhetskopieringen:

    • FileSystem anger att användaren vill lagra säkerhetskopian i en lokal mapp eller i nätverket. Om du vill lagra säkerhetskopian i filsystemet måste användaren uppfylla följande krav:

      • En lagringssökväg måste anges.

      I sökvägskatalogen skapas en ny katalog för varje säkerhetskopia. Varje katalog som skapas innehåller de säkerhetskopierade filerna.

    • Azure anger att användaren vill lagra säkerhetskopian i Azure Storage-containern. Om du vill lagra säkerhetskopian i molnet måste användaren uppfylla följande krav:

      • Autentiseringsuppgifter för Azure Storage ska skickas till cmdleten. Autentiseringsuppgifterna för lagring innehåller kontonamnet och nyckeln.
      • Ett containernamn måste också anges. Om containern inte finns skapas den under säkerhetskopieringen.

  • EncryptionPassword <string>: Lösenordet som ska användas för att kryptera alla säkerhetskopierade filer innan de lagras.

  • AzureConnectionCredentials <pscredential>: Kontonamnet och nyckeln för Azure Storage-kontot.

  • AzureStorageContainer <string>: Lagringscontainern för säkerhetskopieringen i Azure.

  • StoragePath <string>: Lagringsplatsen för säkerhetskopiorna.

  • ServiceAccountCredential <pscredential>: Tjänstkontot som används för AD FS-tjänsten som för närvarande körs. Den här parametern behövs bara när användaren vill säkerhetskopiera DKM och inte är domänadministratör eller inte kan komma åt containerinnehållet.

  • BackupComment <string[]>: En informationssträng om säkerhetskopian som ska visas under återställningen. Den här strängen liknar konceptet med Hyper-V-kontrollpunktens namngivning. Standardvärdet är en tom sträng.

Exempel på säkerhetskopiering

Följande PowerShell-exempel visar säkerhetskopieringsalternativ för en AD FS-konfiguration med verktyget snabb återställning av AD FS och cmdleten Backup-ADFS.

Säkerhetskopiera till filsystem med DKM som domänadministratör

Följande cmdlet säkerhetskopierar AD FS-konfigurationen till filsystemet med DKM med hjälp av parametern -BackupDKM. Den här metoden ger åtkomst till innehållet i DKM-containern som domänadministratör eller användare med delegerade behörigheter.

Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -EncryptionPassword "password" -BackupComment "Clean Install of AD FS (FS)" -BackupDKM

Säkerhetskopiera till filsystemet med DKM som lokal administratör

Följande cmdlet säkerhetskopierar också AD FS-konfigurationen till filsystemet med DKM, men använder en något annorlunda metod. I det här alternativet anger du autentiseringsuppgifterna för tjänstkontot med hjälp av parametern -ServiceAccountCredential $cred och kör åtgärden som lokal administratör.

Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -EncryptionPassword "password" -BackupComment "Clean Install of AD FS (FS)" -BackupDKM -ServiceAccountCredential $cred

Säkerhetskopiera till en Azure Storage-behållare utan DKM

Följande cmdlet säkerhetskopierar AD FS-konfigurationen till Azure Storage-containern utan att använda DKM. Använd parametern -AzureStorageContainer "adfsbackups" för att ange containern.

Backup-ADFS -StorageType "Azure" -AzureConnectionCredentials $cred -AzureStorageContainer "adfsbackups"  -EncryptionPassword "password" -BackupComment "Clean Install of AD FS"

Säkerhetskopiera till filsystemet utan DKM

Följande cmdlet säkerhetskopierar AD FS-konfigurationen till filsystemet utan att använda DKM. Observera att parametern -BackupDKM inte har angetts.

Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -EncryptionPassword "password" -BackupComment "Clean Install of AD FS (FS)"

Återställa säkerhetskopior: Restore-ADFS

Om du vill använda en konfiguration som skapats med hjälp av cmdleten Backup-ADFS för en ny AD FS-installation använder du cmdleten Restore-ADFS. Återställnings-cmdleten skapar en ny AD FS-servergrupp med hjälp av cmdleten Install-AdfsFarm och återställer AD FS-konfigurationen, databasen, certifikaten och så vidare.

Återställnings-cmdleten kontrollerar återställningsplatsen för befintliga säkerhetskopior. Cmdleten uppmanar användaren att välja en lämplig säkerhetskopia baserat på det datum och den tid det togs samt eventuella kommentarer som användaren kan ha lagt till säkerhetskopian. Om det finns flera AD FS-konfigurationer med olika federationstjänstnamn uppmanas användaren först att välja lämplig AD FS-konfiguration.

Granska följande krav innan du använder återställnings-cmdleten.

  • Om AD FS-rollen inte är installerad på servern installerar cmdleten rollen.
  • Användaren måste vara både lokal administratör och domänadministratör för att kunna köra den här cmdleten.

Viktigt!

Kontrollera att servern är ansluten till domänen innan du använder verktyget snabb återställning i AD FS för att återställa en säkerhetskopia.

Restore-ADFS cmdlet-parametrar

Följande är parametrarna för cmdleten Restore-ADFS:

Restore-ADFS 
  -StorageType {FileSystem | Azure} 
  -DecryptionPassword <string> 
  -AzureConnectionCredentials <pscredential>
  -AzureStorageContainer <string>
  [-ADFSName <string>]
  [-ServiceAccountCredential <pscredential>]
  [-GroupServiceAccountIdentifier <string>]
  [-DBConnectionString <string>]
  [-Force]
  [-RestoreDKM]  
  [<CommonParameters>]
    
Restore-ADFS 
  -StorageType {FileSystem | Azure} 
  -DecryptionPassword <string>
  -StoragePath <string>
  [-ADFSName <string>]
  [-ServiceAccountCredential <pscredential>]
  [-GroupServiceAccountIdentifier <string>]
  [-DBConnectionString <string>]
  [-Force]
  [-RestoreDKM]
  [<CommonParameters>]

I följande lista beskrivs parameterinformationen för cmdleten Restore-ADFS.

  • StorageType <string>: Vilken typ av lagring som ska användas:

    • FileSystem lagrar säkerhetskopian i en lokal mapp eller i nätverket.
    • Azure lagrar säkerhetskopian i Azure Storage Container.

  • DecryptionPassword <string>: Lösenordet som används för att kryptera alla säkerhetskopierade filer.

  • AzureConnectionCredentials <pscredential>: Kontonamnet och nyckeln för Azure Storage-kontot.

  • AzureStorageContainer <string>: Lagringscontainern för lagring av säkerhetskopian i Azure.

  • StoragePath <string>: Lagringsplatsen för säkerhetskopian.

  • ADFSName <string>: Namnet på federationen som säkerhetskopierades och som nu ska återställas.

    • När ett namn inte har angetts och endast ett federationstjänstnamn finns används namnet på federationstjänsten.
    • Om fler än en federationstjänst säkerhetskopieras till platsen uppmanas användaren att välja en säkerhetskopierad federationstjänst.

  • ServiceAccountCredential <pscredential>: Anger det tjänstkonto som ska användas för den nya AD FS-tjänsten som återställs.

  • GroupServiceAccountIdentifier <string>: Den gMSA som användaren vill använda för den nya AD FS-tjänsten som återställs.

    • Om ett värde inte anges används som standard det säkerhetskopierade kontonamnet om kontot är gMSA.
    • Om ett värde inte anges och kontot inte är gMSA uppmanas användaren att ange ett tjänstkonto.

  • DBConnectionString <string>: Om du vill använda en annan databas för återställningen anger du SQL-anslutningssträngen eller anger "WID".

  • Force <bool>: Hoppa över alla frågor från verktyget när du har valt säkerhetskopieringsprocessen.

  • RestoreDKM <bool>: Återställ DKM-containern till Active Directory. Ange det här alternativet när du återställer till en ny Active Directory och DKM säkerhetskopierades ursprungligen.

Återställ exempel

Följande PowerShell-exempel visar återställningsalternativ för en AD FS-konfiguration med verktyget snabb återställning av AD FS och cmdleten Restore-ADFS.

Återställa till filsystemet med DKM som domänadministratör

Följande cmdlet återställer AD FS-konfigurationen till filsystemet med DKM med hjälp av parametern -RestoreDKM.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -RestoreDKM

Återställa till filsystemet utan DKM

Följande cmdlet återställer AD FS-konfigurationen till filsystemet utan att använda DKM. Observera att parametern -RestoreDKM inte har angetts.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password"

Återställa till Azure Storage-containern utan DKM

Följande cmdlet återställer AD FS-konfigurationen till Azure Storage-containern utan att använda DKM. Använd parametern -AzureStorageContainer "adfsbackups" för att ange containern.

Restore-ADFS -StorageType "Azure" -AzureConnectionCredential $cred -DecryptionPassword "password" -AzureStorageContainer "adfsbackups"

Återställa till WID

Följande cmdlet återställer AD FS-konfigurationen till WID. Observera det WID värde som skickas till parametern -DBConnectionString.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -DBConnectionString "WID"

Återställa till SQL

Följande cmdlet återställer AD FS-konfigurationen till SQL. Observera de Data Source- och Integrated Security-värden som skickas till parametern -DBConnectionString.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -DBConnectionString "Data Source=TESTMACHINE\SQLEXPRESS; Integrated Security=True"

Återställer med angivet gMSA-konto

Följande cmdlet återställer AD FS-konfigurationen och använder ett angivet gMSA-konto. Observera användningen av parametern -GroupServiceAccountIdentifier.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -GroupServiceAccountIdentifier "mangupd1\adfsgmsa$"

Återställa med angivna autentiseringsuppgifter för tjänstkonto

Följande cmdlet återställer AD FS-konfigurationen och använder de angivna autentiseringsuppgifterna för tjänstkontot. Observera användningen av parametern -ServiceAccountCredential.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport\" -DecryptionPassword "password" -ServiceAccountCredential $cred

Loggfiler

En loggfil skapas för varje säkerhetskopierings- och återställningsåtgärd. Loggfilerna finns på %LOCALAPPDATA%\ADFSRapidRecreationTool.

Anmärkning

När du gör en återställning kan en PostRestore_Instructions fil skapas. Den här filen innehåller en översikt över ytterligare data eller tjänster som måste installeras manuellt innan du startar AD FS-tjänsten. Filen anger autentiseringsleverantörer, attributlager och tillitsrelationer för lokala anspråksleverantörer.

Versionshistorik

I följande avsnitt identifieras versionsinformation för verktyget snabb återställning i AD FS.

Version 2.0.2464.1

Utgivning: December 2023

Åtgärdade problem:

  • Felkorrigering: Skilja CNG-& CSP-nycklar under återställningen

Version 1.0.82.3

Släpp: April 2020

Åtgärdade problem:

  • Lägga till stöd för CNG-baserade certifikat

Version 1.0.82.0

Version: Juli 2019

Åtgärdade problem:

  • Felkorrigering för AD FS-tjänstkontonamn som innehåller LDAP-escape-tecken

Version 1.0.81.0

Utgivning: April 2019

Åtgärdade problem:

  • Felkorrigeringar för säkerhetskopiering och återställning av certifikat
  • Lägg till mer spårningsinformation i loggfilen

Version 1.0.75.0

Utgåva: Augusti 2018

Åtgärdade problem:

  • Uppdatera cmdleten Backup-ADFS för switchen -BackupDKM. Verktyget avgör om den aktuella kontexten har åtkomst till DKM-containern. När åtkomst är tillgänglig kräver verktyget inte domänadministratörsbehörigheter eller autentiseringsuppgifter för tjänstkontot. Den här uppdateringen gör det möjligt för automatiserade säkerhetskopior som inte användaren uttryckligen anger autentiseringsuppgifter eller kör åtgärden som ett domänadministratörskonto.

Version 1.0.73.0

Utgivning: Augusti 2018

Åtgärdade problem:

  • Uppdatera krypteringsalgoritmerna för att säkerställa att programmet är FIPS-kompatibelt

    Viktigt!

    Tidigare säkerhetskopior fungerar inte med den senaste versionen av verktyget på grund av ändringar i krypteringsalgoritmer för FIPS-efterlevnad.

  • Lägg till stöd för SQL-kluster som använder sammanslagningsreplikering

Version 1.0.72.0

Version: Juli 2018

Åtgärdade problem:

  • Felkorrigering: Åtgärda .MSI installationsprogrammet för att stödja uppgraderingar på plats

Version 1.0.18.0

Version: Juli 2018

Åtgärdade problem:

  • Felkorrigering: Hantera lösenord för tjänstkonto med specialtecken (det vill:&)
  • Felkorrigering: Lösa problem med återställningsfel eftersom Microsoft.IdentityServer.Servicehost.exe.config används av en annan process

Version 1.0.0.0

Version: Oktober 2016

första versionen av AD FS Rapid Restore Tool