Sauvegarde et récupération avec l'outil de restauration rapide AD FS – Bien choisir son serveur d impression

Sorti de l'écurie Microsoft récemment et sans grande fanfare, l'outil AD FS Rapid Restore. Comme son nom l'indique, il s'agit d'un outil conçu pour vous aider à récupérer votre configuration / environnement AD FS en cas de panne ou de sinistre du serveur. À ce jour, le fait de sauvegarder du matériel clé et / ou des parties en confiance constituait une source de proverbe pour les administrateurs AD FS. Le lancement de cet utilitaire est donc très intéressant.

Est-ce que cet outil fait l'affaire? Essayons-le…

Téléchargez le fichier MSI et installez l'outil. Vous pouvez obtenir le MSI à partir d'ici. Les versions prises en charge sont AD FS 2012 R2 et AD FS 2016. L'outil est directement installé sur le nœud de la batterie de serveurs et le processus d'installation est très simple (à la suite, suivant, suivant, suivant).

2016-10-01_15-04-32 "width =" 420 "height =" 343 "srcset =" https://ipsts.files.wordpress.com/2016/10/2016-10-01_15-04-32.png ? w = 420 & h = 343 420w, https://ipsts.files.wordpress.com/2016/10/2016-10-01_15-04-32.png?w=840&h=686 840w, https: //ipsts.files .wordpress.com / 2016/10 / 2016-10-01_15-04-32.png? w = 150 & h = 122 150w, https://ipsts.files.wordpress.com/2016/10/2016-10-01_15- 04-32.png? W = 300 & h = 245 300w, https://ipsts.files.wordpress.com/2016/10/10-10-01_15-04-32.png?w=768&h=627 768w "tailles = "(largeur maximale: 420px) 100vw, 420px" /></p>
<p>Une fois l’outil installé, vous pouvez lancer une invite administrative PowerShell, puis importer le module.</p>
<p><img data-attachment-id=Comme l'illustre le graphique ci-dessus, lorsque nous appelons l'applet de commande Backup-ADFS, la sauvegarde de la configuration AD FS est possible à la fois pour le système de fichiers ou pour Azure. Dans ces scénarios de test, le système de fichiers local est utilisé.

Un dossier de sauvegarde (par exemple C: ADFSExport) est créé manuellement en tant qu’emplacement de sauvegarde / restauration. le Sauvegarde-ADFS La cmdlet est ensuite exécutée. Voici la syntaxe utilisée pour les tests.

Backup-ADFS -StorageType «FileSystem» -StoragePath «C: ADFSExport » -EncryptionPassword «12345678» -BackupComment «Installation propre d'ADFS (FS)» -BackupDKM

2016-10-01_18-07-26 "srcset =" https://ipsts.files.wordpress.com/2016/10/2016-10-01_18-07-261.png?w=604 604w, https: // ipsts.files.wordpress.com/2016/10/2016 10-01_18-07-261.png?w=1208 1208w, https://ipsts.files.wordpress.com/2016/10/2016-10-01_18 -07-261.png? W = 150 150w, https://ipsts.files.wordpress.com/2016/10/2016-10-01_18-07-261.png?w=300 300w, https: // ipsts .files.wordpress.com / 2016/10 / 2016-10-01_18-07-261.png? w = 768 768w, https://ipsts.files.wordpress.com/2016/10/2016-10-01_18- 07-261.png? W = 1024 1024w "tailles =" (largeur maximale: 604 pixels) 100vw, 604 pixels "/></p>
<p style=Oups .. un avertissement. Comme le souligne la documentation de Microsoft, votre certificat AD FS SSL / TLS ne sera sauvegardé lors de l’exportation que si les clés privées sont marquées comme exportables et le nom associé. Gérer les clés privées l'autorisation est donnée à l'utilisateur qui exécute le script. Dans l'exemple ci-dessus, mon certificat ne correspond pas à ce critère. Un moyen simple de vérifier au préalable est d’essayer d’exporter le certificat SSL via l’assistant d’exportation de certificat. Si "Oui, exporter la clé privée"Est grisé, ce n’est pas exportable. Maintenant, allez trouver ce PFX ……

2016-10-01_18-16-45 "width =" 387 "height =" 253 "srcset =" https://ipsts.files.wordpress.com/2016/10/2016-10-01.png ? w = 387 & h = 253 387w, https://ipsts.files.wordpress.com/2016/10/2016-10-01_18-16-45.png?w=774&h=506 774w, https: //ipsts.files .wordpress.com / 2016/10 / 2016-10-01_18-16-45.png? w = 150 & h = 98 150w, https://ipsts.files.wordpress.com/2016/10/2016-10-01_18- 16-45.png? W = 300 & h = 196 300w, https://ipsts.files.wordpress.com/2016/10/2016-10-01_18-16-45.png?w=768&h=502 768w "tailles = "(largeur maximale: 387px) 100vw, 387px" /></p>
<p>Lorsque le script ne peut pas gérer la migration du certificat de communication de service, le PFX doit être importé manuellement sur le serveur de remplacement avant l'exécution du script de restauration.</p>
<p>Soit dit en passant, les certificats de signature de jeton et de déchiffrement (y compris les clés privées) utilisés par AD FS sont stockés dans la base de données de configuration AD FS elle-même. Ces certificats sont ensuite chiffrés à l’aide d’un outil appelé Distributed Key Manager (DKM). Un conteneur est créé dans l’Active Directory local de votre AD FS lors de l’installation du premier noeud AD FS de la batterie. La clé principale DKM est ensuite stockée dans ce conteneur. L’outil de récupération permet la sauvegarde de la facilité DKM et dans la ligne de commande d’exportation au-dessus de «<em>Backup-DKM</em>" est utilisé. Je ne suis pas un expert en DKM, donc si vous souhaitez des informations plus détaillées, je vous suggère de partir à la chasse ici.</p>
<p>Sur la reprise. Ici, je voulais tester un certain nombre de changements.</p>
<p><strong>Récupération identique du serveur</strong></p>
<p>Pour ce test simple, nous avons choisi de supprimer le rôle de la batterie de serveurs AD FS (principal) dans chaque cas et de nettoyer le conteneur AD FS dans Active Directory (<em>CN = ADFS, CN = Microsoft, CN = Données du programme</em>). Une nouvelle installation d'AD FS a ensuite été effectuée, l'outil a été installé, puis l'opération de restauration a été lancée. Toute base de données de configuration existante a été écrasée.</p>
<p><span style=Restaurer 1 – Basic

Pour commencer, lors de la première restauration, nous aidons un peu l'outil en reconstruisant partiellement le serveur AD FS. J'ai ajouté manuellement le rôle AD FS via le Gestionnaire de serveur, spécifié le nom du service de fédération, le certificat SSL à utiliser et le compte de service correspondant. Ici, le script de récupération était le suivant:

Restore-ADFS -StorageType «FileSystem» -StoragePath «C: ADFSExport » -DecryptionPassword «12345678» -RestoreDKM

La restauration a bien fonctionné. Aucune erreur et le WAP connecté à la «nouvelle» batterie sans problèmes.

Restaurer 2 – Terminé

Cette option nécessitait de fournir un peu plus d’informations à la ligne de commande car le rôle n’était pas préinstallé. Par conséquent, ces éléments manquants, à l'exception du pré-chargement du certificat de communication du service SSL / TLS, devaient être spécifiés.

Restore-ADFS -StorageType "FileSystem" -StoragePath "C: ADFSExport " -DecryptionPassword "12345678" -RestoreDKM -ADFSName "adfs.mydomain.com" -DBConnectionString "WID" -GroupServiceAccountIdentif

Encore une fois, pas de problèmes. Impressionnant.

Cette erreur SSL lors de l’exportation initiale me perturbait toujours. Juste pour m'assurer que l'exportation SSL était vraiment prise en charge, j'ai basculé le certificat Service Communications dans AD FS en un certificat avec une clé privée exportable (le certificat de remplacement était celui d'une autorité de certification test locale, complet avec Server Authentication EKU). Le certificat devait ensuite être affecté à AD FS via PowerShell.

dir cert: LocalMachine My
Set-AdfsCertificate -CertificateType Service-Communications -Empreinte d'empreinte numérique
Set-AdfsSslCertificate -Thumbprint empreinte

Après un redémarrage d'AD FS, avec le nouveau certificat en place, j'ai réexécuté une nouvelle exportation:

2016-10-01_21-28-23.png "srcset =" https://ipsts.files.wordpress.com/2016/10/2016-10-01_21-28-23.png?w=604 604w, https: //ipsts.files.wordpress.com/2016/10/2016 10-01_21-28-23.png?w=1202 1202w, https://ipsts.files.wordpress.com/2016/10/2016-10 -01_21-28-23.png? W = 150 150w, https://ipsts.files.wordpress.com/2016/10/2016-10-01_21-28-23.png?w=300 300w, https: / /ipsts.files.wordpress.com/2016/10/2016 10-01_21-28-23.png?w=768 768w, https://ipsts.files.wordpress.com/2016/10/2016-10- 01_21-28-23.png? W = 1024 1024w "tailles =" (largeur maximale: 604 pixels) 100vw, 604 pixels "/></p>
<p>Comme le montre la capture d'écran ci-dessus, avec le certificat exportable en place, il n'y a pas eu d'erreur SSL cette fois-ci. Suppression des services AD FS, puis réexécution de la <em>Restaurer-ADFS</em> La cmdlet a ensuite montré que le certificat SSL avait été importé dans le cadre de la récupération. Agréable.</p>
<p><strong>Nouvelle récupération de serveur</strong></p>
<p>Bien sûr, aucun test ne vaut son prix en crème anglaise à moins que nous ne fassions un effort supplémentaire pour tenter de casser des choses. Dans les scénarios suivants, nous allons modifier un peu la configuration, en déplaçant AD FS sur un tout nouveau serveur et en effectuant une restauration de la base de données dans un nouveau format.</p>
<p><span style=Restaurer 1 – WID en SQL

En plus d'introduire un nouveau serveur, avec une adresse IP différente, un nom d'ordinateur, etc., nous allons également migrer la solution récupérée vers un nouveau facteur de forme de base de données, dans le cadre de la récupération. À l'aide du script, la solution AD FS d'origine basée sur la base de données interne Windows (WID) sera refactorisée dans SQL Server.

Restore-ADFS -StorageType «FileSystem» -StoragePath «C: ADFSExport » -DecryptionPassword «12345678» -RestoreDKM -ADFSName «fed.route443.net» -DBConnectionString «source de données = sqlserverFQDN; catalogue initial = adfsconfiguration; ”-GroupServiceAccountIdentifier“ MYDOMAIN gmadfs ”

Le changement dans le script est minime par rapport aux cas précédents. Pour effectuer la transition de WID à SQL, nous fournissons simplement la chaîne de connexion nécessaire dans le Cmdlet Restore-ADFS afin que l'outil de récupération puisse provisionner la configuration AD FS et la base de données Artifact sur SQL Server. Exécution du script de restauration avec l’ID de sauvegarde 8 (dans cet exemple).

2016-10-02_7-50-31 "srcset =" https://ipsts.files.wordpress.com/2016/10/2016-10-02_7-50-31.png?w=604 604w, https: // ipsts.files.wordpress.com/2016/10/2016 10-02_7-50-31.png?w=1208 1208w, https://ipsts.files.wordpress.com/2016/10/2016 10-02_7 -50-31.png? W = 150 150w, https://ipsts.files.wordpress.com/2016/10/10-10-02_7-50-31.png?w=300 300w, https: // ipsts .files.wordpress.com / 2016/10 / 2016-10-02_7-50-31.png? w = 768 768w, https://ipsts.files.wordpress.com/2016/10/2016-10-02_7- 50-31.png? W = 1024 1024w "tailles =" (largeur maximale: 604px) 100vw, 604px "/></p>
<p style=La restauration est complète sans erreurs. Sur le serveur SQL Server dans Management Studio, les bases de données sont correctement configurées.

2016-10-02_7-48-33 "width =" 399 "height =" 98 "srcset =" https://ipsts.files.wordpress.com/2016 10/12/2010-10-02_7-48-33.png ? w = 399 & h = 98 399w, https://ipsts.files.wordpress.com/2016/10/2016 10-02_7-48-33.png?w=798&h=196 798w, https: //ipsts.files .wordpress.com / 2016/10 / 2016-10-02_7-48-33.png? w = 150 & h = 37 150w, https://ipsts.files.wordpress.com/2016/10/2016-10-02_7- 48-33.png? W = 300 & h = 74 300w, https://ipsts.files.wordpress.com/2016/10/2016 10-02_7-48-33.png?w=768&h=188 768w "tailles = "(largeur maximale: 399px) 100vw, 399px" /></p>
<p>Sur notre proxy d'application Web (WAP) dans un fichier HOSTS (ou DNS – YMMV), nous mettons à jour la référence à la batterie de serveurs AD FS pointant vers la nouvelle adresse IP. Excellent! Cue page de test de connexion et connexion réussie.</p>
<p><img data-attachment-id=Restaurer 2 – SQL en WID

Croyez-le ou non, la demande de passer de SQL à Windows, la base de données interne (WID) apparaît de temps en temps sur les forums Technet. Je pensais donc que je validerais également ce scénario. Nous rétablissons ici notre ou nos bases de données de configuration AD FS s'exécutant sur une charge de travail SQL vers WID. Nous sauvegardons notre serveur ADFS / SQL, puis copions le fichier C: ADFSExport dossier sur le serveur nouvellement créé. Ici, la syntaxe suivante est ensuite exécutée:

Restore-ADFS -StorageType «FileSystem» -StoragePath «C: ADFSExport» -DecryptionPassword «12345678» -RestoreDKM -ADFSName «adfs.mydomain.com» -DBConnectionString «WID» -GroupServiceAccountIdentif

2016-10-02_9-37-11 "srcset =" https://ipsts.files.wordpress.com/2016/10/2016-10-02_9-37-11.png?w=604 604w, https: // ipsts.files.wordpress.com/2016/10/2016 10-02_9-37-11.png?w=1206 1206w, https://ipsts.files.wordpress.com/2016/10/2016 10-02_9 -37-11.png? W = 150 150w, https://ipsts.files.wordpress.com/2016/10/2016-10-02_9-37-11.png?w=300 300w, https: // ipsts .files.wordpress.com / 2016/10 / 2016-10-02_9-37-11.png? w = 768 768w, https://ipsts.files.wordpress.com/2016/10/2016-10-02_9- 37-11.png? W = 1024 1024w "tailles =" (largeur maximale: 604px) 100vw, 604px "/></p>
<p>L'élément 9 est la sauvegarde ADFS / SQL que nous souhaitons restaurer. De nouveau, sur le WAP, nous nous éloignons de notre ancienne paire ADFS / SQL pour notre combinaison ADFS / WID fraîchement restaurée et notre connexion de test, et nous sommes opérationnels.</p>
<p><strong>Résumé</strong></p>
<p style=Il s’agit d’un outil exceptionnel dont tous les administrateurs AD FS devraient être en possession. À ne pas sous-estimer, l'outil AD FS Rapid Restore ajoute non seulement une grande valeur au processus de récupération, mais constitue également un excellent moyen de copier / mettre en miroir votre environnement AD FS à des fins de test. De plus, comme le montrent les captures d’écran précédentes, c’est également un excellent moyen de sauvegarder et de représenter graphiquement vos configurations AD FS par rapport à la gestion des modifications.

Sauvegarde et récupération avec l'outil de restauration rapide AD FS – Bien choisir son serveur d impression
4.9 (98%) 32 votes