azure-active-directory - ADFS 灾难恢复计划

设置 ADFS 灾难恢复站点

有 2 个选项可以执行此操作，这将为您的方案提供一些想法。

场景：Azure 上的 ADFS 场（ADFS 服务器、代理）设置，需要在另一个区域进行类似设置以准备灾难恢复。

方案 A：在 DR 站点中创建 ADFS 服务器和 WAP 服务器，并加入现有的 Farm。

1. 在 DR 站点中创建 2 个 Azure VM
2. 确保 2 个虚拟机能够通过端口 443 进行通信
3. 确保 ADFS 的服务器已加入同一个域，并且有一行站点连接到您的域控制器（TCP 端口 80 和 443）
4. 确保 ADFS 的服务器能够通过 TCP 端口 80 和 443 与您现有的主 ADFS 服务器通信
5. 安装 ADFS 服务器角色并将其配置为加入现有 ADFS 场
6. 安装 WAP 服务器角色并完成配置向导以建立与 ADFS 的 WAP 信任
7. 在 DR 故障转移练习中，修改内部/外部 DNS 记录以指向 DR 站点 ADFS/WAP 服务器并测试身份验证服务是否正常工作。
8. 之后您可以关闭 DR 站点上的服务器，请确保在生产服务器上发生配置更改时启动机器以同步

B 计划：使用 ADFS 快速还原脚本备份现有的 ADFS 服务器并在以后快速还原

1. 在现有的主 ADFS 服务器上安装 MSI https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/ad-fs-rapid-restore-tool
2. 使用 PowerShell 命令将当前 ADFS 服务备份到受保护的文件系统甚至 Azure 存储容器，如下所示 Backup-ADFS -StorageType "FileSystem" -StoragePath "C:\Users\administrator\testExport" -EncryptionPassword "password" -BackupComment "Clean Install ADFS (FS)"-BackupDKM
3. 备份文件将命名为“adfsBackup_ID_Date-Time”模式
4. 您可以安排任务不时运行此备份，以便始终有最新的备份
5. 万一发生任何事情，请创建具有相同操作系统版本的新 Windows Server，将其加入同一域并利用相同的 PowerShell 模块从备份中恢复
6. 该工具只能备份ADFS服务，您需要添加另一台服务器，安装WAP角色并按照向导重新配置信任。

创建和自定义恢复计划的参考：https ://docs.microsoft.com/en-us/azure/site-recovery/site-recovery-create-recovery-plans