Вопрос или проблема
У меня есть единственный сервер ADFS, работающий на Windows Server 2012 R2. Я пытаюсь добавить второй сервер ADFS в ферму, работающий на Windows Server 2019. Однако я сталкиваюсь со следующими ошибками во время проверки предварительных требований в мастере настройки ADFS, которые мешают мне продолжить:
Ошибки:
- Проблема с SPN: “На следующих учетных записях службы не было установлено SPN. Укажите учетную запись службы, используемую для настройки других серверов федерации в ферме, или установите SPN хоста для фермы на учетной записи службы.”
- Ошибка при согласовании безопасности SOAP: “Согласование безопасности SOAP не удалось с
http://[имя_хоста]/adfs/services/policystoretransferдля цели[имя_хоста]/adfs/services/policystoretransfer. Подробности смотрите во внутреннем исключении.” - Несоответствие учетной записи службы: “Указанная учетная запись службы не может быть использована для безопасного установления соединения с основным сервером федерации в ферме. Убедитесь, что вы используете ту же учетную запись службы, что и указанная на основном сервере федерации.”
- Проблема уровня поведения фермы: “Невозможно определить текущий уровень поведения фермы. Согласование безопасности SOAP не удалось.”
- Ошибка извлечения конфигурации: “Не удается извлечь конфигурацию с основного сервера.”
Попытки устранения неполадок:
- Проверены SPN, сертификаты и разрешения учетной записи службы.
- Попытка добавить
host/hostnameк учетной записи gMSA, но это привело к удалению машины из домена. - Добавлен
http/hostname, но ошибка осталась. - Убедились, что требуемые учетные записи машин добавлены для учетной записи gMSA.
- Столкнулись с ошибкой дублирования SPN при попытке назначить SPN учетной записи gMSA, так как он уже был определен на учетной записи машины.
Вопросы:
- Может ли временное переключение на учетную запись без gMSA помочь решить проблему дублирования SPN? Если да, каковы правильные шаги для возврата к gMSA после успешного добавления сервера ADFS 2019?
- После успешного добавления сервера ADFS 2019 я планирую удалить сервер 2012 R2. Поскольку учетная запись gMSA изначально была настроена на старом сервере, как лучше всего обеспечить плавный переход без перебоев в обслуживании?
- Следует ли мне использовать существующую учетную запись gMSA с моего текущего сервера ADFS, чтобы добавить новый сервер в ферму, или можно использовать другую учетную запись gMSA, добавить сервер, а затем поменять учетные записи впоследствии?
- Какой рекомендуемый подход для поддержания непрерывности и избежания проблем с аутентификацией в этом процессе миграции?
Буду признателен за любые советы или лучшие практики для успешного добавления сервера ADFS 2019 в существующую ферму.
Ответ или решение
Переход с ADFS на Windows Server 2012 R2 к ADFS на Windows Server 2019 может вызывать несколько сложностей, связанных с проблемами совместимости, настроек учетных записей и управления SPN (Service Principal Name). Для успешного добавления нового сервера в ферму ADFS необходимо учитывать несколько критически важных аспектов.
Теория
Основы ADFS и SPN: Active Directory Federation Services (ADFS) предоставляет web-based разграничение доступа через федеративные удостоверения. При настройке ADFS, критически важно правильно настроить Service Principal Names (SPNs), так как они используются Kerberos для аутентификации услуг. Неправильная конфигурация SPN может привести к ошибкам соединения и аутентификации.
Использование gMSA: Групповые управляемые учетные записи служб (gMSA) предоставляют автоматическое управление паролями и упрощают управление службами в домене. Однако в контексте ADFS убедитесь, что gMSA правильно настроена и имеет необходимые разрешения.
SOAP Security Negotiation: Безопасность веб-служб обеспечивает конфиденциальность и целостность путём заключения безопасности через технологии, такие как SOAP. Ошибки в этом процессе могут быть вызваны плохой конфигурацией SSL или неправильными параметрами аутентификации.
Пример
Предположим, у вас есть существующий сервер ADFS на Windows Server 2012 R2 с созданной gMSA учетной записью для управления услугами. При добавлении нового сервера ADFS на Windows Server 2019 вы сталкиваетесь с ошибками, такими как дублирование SPN, проблемы с SOAP и несовпадение учетных записей сервисов.
Приложение
Шаги для решения проблемы:
-
Проверка SPN и gMSA: Убедитесь, что SPN настроены правильно и не дублируются. Попробуйте временно переключиться с gMSA на обычную учетную запись службы, если это необходимо для устранения конфликтов SPN. Для этого:
- Создайте временную учетную запись службы с необходимыми правами.
- Назначьте ей SPN, ранее используемые для gMSA.
- Добавьте сервер 2019 в ферму.
-
Проверка SOAP и сертификатов:
- Убедитесь, что все сертификаты актуальны и доверены обеими системами. SSL сертификаты должны быть правильно установлены и соответствовать требованиям безопасности.
- Проверьте настройки федерации и доступа, убедитесь, что все необходимые порты и службы доступны.
-
Настройка и использование gMSA:
- После успешного добавления сервера 2019 в ферму, переключите услуги обратно на gMSA перед удалением старого сервера.
- Убедитесь, что gMSA имеет все необходимые разрешения на выполнения операций в новой конфигурации.
-
Удаление старого сервиса:
- Перед удалением сервера 2012 R2 убедитесь, что все данные конфигурации и журналов сохранены или перенесены.
- Удостоверьтесь, что новая конфигурация полностью функциональна, и что старый сервер может быть деактивирован без потери данных или функциональности.
-
Планировние и тестирование:
- Создайте детальный план миграции, включающий все этапы, от создания новых записей до тестирования работы фермы.
- Проведите тестирование после изменений, чтобы удостовериться в отсутствии проблем с аутентификацией и доступом.
Таким образом, соблюдение этих рекомендаций поможет минимизировать риски и обеспечить гладкое и безопасное обновление фермы ADFS.