Cyber​​Ark的特权访问安全(PAS)解决方案是一个完整的生命周期解决方案,用于管理企业中最特权的帐户和SSH密钥。它使组织能够保护,供应,管理,控制和监视与所有类型的特权身份相关的所有活动,例如:
  • 视窗服务器上的管理员
  • UNIX服务器上的根
  • 在Cisco设备上启用Cisco
  • 在应用程序和脚本中找到的嵌入式密码

在本文中,我总结了灾难恢复,高可用性,备份,故障转移和故障回复的一些常见设置步骤。它专注于PAS解决方案的主要组件。

实验室拓扑

高可用性或负载平衡


对于PVWA – HA /负载平衡
PVWA正在使用IIS。所有PVWA服务器都使用相同的配置信息,该信息保存在保管箱保险箱PVWAConfig中。 PVWA更改的任何一项设置,所有PVWA都会收到这些更改。 


为PVWA进行负载平衡的最简单方法是使用DNS轮询方法,如以下屏幕截图所示:

要重定向iis主页,请根据您的PVWA网址设置以下错误代码重定向配置:
对于Vault.ini文件,它位于 C:\ Cyber​​Ark \ Password Vault Web访问\ VaultInfo
VAULT = "51sec Vault"                
Address=192.168.2.21,172.17.2.21
Port=1858
注意:192.168.2.21是主要保管库。 172.17.2.21是辅助(DR)保管库。 PVWA将按照文件库ip顺序自动连接到活动文件库。 
对于CPM –手动负载平衡
您可以在分布式环境中安装多个CPM,但是不幸的是,它不支持高可用性。可以手动配置负载平衡,这意味着您可以使用一个CPM管理一定数量的保险箱或帐户,而另一个CPM可以处理其他数量的保险箱和帐户。典型的实现是一个CPM处理Windows帐户,另一个CPM处理* NIX帐户。
对于PSM – HA /负载平衡
您可以安装多个PSM。例如,PSM1和PSM2。您可以从PVWA –管理–选项–中找到您的PSM服务器名称。 特权会话管理–已配置的PSM服务器 

1.手动PSM故障转移。

更改平台的设置以使用其他PSM服务器。
PVWA –管理–平台管理–<Platform Name> – UI &工作流程–特权会话管理– ID
对于PSM名称,可以在以下文件夹中检查basic_psm.ini: C:\ Program档案(x86)\ Cyber​​Ark \ PSM
[Main]
PSMVaultFile="C:\ Program档案(x86)\ Cyber​​Ark \ PSM\Vault\Vault.ini"
PSMAppCredFile="C:\ Program档案(x86)\ Cyber​​Ark \ PSM\Vault\psmapp.cred"
PSMGWCredFile="C:\ Program档案(x86)\ Cyber​​Ark \ PSM\Vault\psmgw.cred"
LogsFolder="C:\ Program档案(x86)\ Cyber​​Ark \ PSM\Logs"
TempFolder="C:\ Program档案(x86)\ Cyber​​Ark \ PSM\Temp"
PSMServerId="PSM-BCP-PSMP01"
PSMServerAdminId="PSMA-BCP-PSMP01"
ConfigurationSafe="PVWAConfig"
ConfigurationFolder=Root
PVConfigurationFileName=PVConfiguration.xml
PoliciesConfigurationFileName=Policies.xml

2.自动PSM负载平衡

首先,您可能需要使用一个重要的PSM dns名称配置您的负载平衡器,以使用多个PSM服务器。
转到“ PVWA –管理–选项– 特权会话管理–已配置的PSM服务器 “
复制现有的PSM服务器并粘贴为新的PSM服务器,并将其更改为新的虚拟PSM服务器场服务器名称

展开PSM-Farm。选择连接详细信息>服务器,然后将IP地址更改为PSM服务器场虚拟主机名PSM-Farm.51sec.local的IP地址。单击“应用”,然后单击“确定”以保存更改。

编辑所有目标平台,以将PSM ID更改为PSM-Farm。




注意:有一个与RDP服务证书有关的关键步骤。您需要为远程桌面服务部署分配证书,以支持PSM服务器场虚拟主机名。步骤如下:

1.登录到PSM Server Comp01c或Comp01d。
2.打开服务器管理器,然后在左侧导航窗格中选择“远程桌面服务”。
3.在部署概述中,选择任务>编辑部署属性。在“配置部署”窗口中,选择“证书”>选择现有证书>选择其他证书。浏览到C:\ Cyber​​ArkInstallationFiles。

4.选择扩展名为.pfx的预生成证书文件,然后单击“打开”。在“密码:”字段中,输入Cyber​​ark1,选择“允许将证书添加到受信任的根证书颁发机构…”框,然后选择“确定”关闭“部署属性”窗口。






对于保险柜– HA(DR)

从主Vault服务器到DR Vault服务器的故障转移高级步骤
1.确保启用了活动的Vault服务器DR用户,并且密码已更改,例如,更改为Cyber​​ark1
2.在辅助(DR)库服务器上安装PADR软件。在此之前,Vault服务器和Vault客户端 应该已经安装了。 灾难恢复保管库服务器已手动停止。
3.在安装PADR期间,它将要求活动的保管库服务器的IP,用户名(DR)和密码用于复制。
4.停止活动的保管库服务器以模拟故障以启用自动故障转移。 DR服务器PADR服务需要5分钟(5次)检测到此故障。
5. 灾难恢复保管库服务器应通过PADR服务启动它。

================================================== ==================

从DR库服务器到主库服务器的故障回复:

1.确保启用了活动DR Vault服务器的DR用户,并且密码已重置为Cyber​​ark1。
2.如果以前在主保管库服务器上未安装PADR,请首先安装PADR软件。主保管库服务器应仍处于停止状态。在PADR安装期间,它将为DR帐户创建user.ini。重新启动主保管库服务器。

注意:如果已安装PADR,则在启动服务之前,请使用createcredfile.exe将user.ini DR密码重置为Cyber​​ark1。

3.启动PADR服务,验证padr.log文件以检查是否已复制所有更改。您的主要保管库PADR服务将使用DR帐户来验证与DR站点的连接。如果成功,它将灾难恢复数据库复制到主保管库。如果失败,它将在五分钟内尝试五次,然后,它将启动故障转移过程以启动Vault服务器。我们不希望这种情况发生。我们希望PADR服务从DR库复制数据库。在这种情况下,由于DR Vault服务器已启动并正在运行,因此它必须是DR用户帐户密码问题。您将需要使用CreateCredFile.exe在DR Vault上重置DR用户密码,并在Primary Vault上重新创建user.ini文件。
4.验证所有复制成功后,请编辑PADR.ini。此时,主保管库服务器仍处于停止状态。

一种。设置EnableFailover =否
b。添加以下行:ActivateManualFailover = Yes。保存并退出文件。

5.在主服务器上重新启动Cyber​​Ark灾难恢复服务。此服务将启动Vault服务器,然后将其自身停止。验证保管库服务器已成功启动。
6.此时,Primary Vault和DR Vault服务器服务均已启动。
7.登录到DR服务器以编辑PADR.ini文件

一种。将故障转移模式从“是”更改为“否”。这将使Vault Server停止启动。
b。删除文件中的最后两行(上次成功复制的日志号和时间戳)。
C。保存并退出文件。

8.在DR Vault服务器上,通过单击交通灯,打开PrivateArk Server GUI并停止PrivateArk Server服务。退出PrivateArk Server GUI。使用CreateCredfile.exe更改DR Vault服务器上的DR用户密码,以在以下位置更改user.ini中的密码: C:\ Program Files(x86)\ PrivateArk \ PADR \ Conf
9.在DR保管库上,打开Windows服务并启动Cyber​​Ark Vault灾难恢复服务。此服务将监视您的主要保管库服务器的状态。一旦检测到故障五次,它将启动DR Vault服务器。服务启动后,您可以检查padr.log以验证数据已完全复制。用于监视/尾部padr.log的Powershell命令:“获取内容。\ logs \ padr.log –wait”

备份– PAReplicate


Backup.cmd文件位于 C:\ Program Files(x86)\ PrivateArk \ Replicate

PAReplicate.exe vault.ini / logonFromFile user.ini / fullbackup / tsparmfile tsparm.ini

DR故障转移

场景:
 – PROD Vault is down
 – 灾难恢复保管库已启动

预配置:
PVWA均已配置为使用PROD Vault和DR Vault。它会自动按记录顺序检测活动的保管库并建立连接。

在DR PVWA上,评估的第一个记录是DR保险库。在Prod PVWA上,第一个记录是PROD库。

确保CPM和PSM,vault.ini文件也已更改。

故障转移过程:
1.导航到DR PVWA UI – 10.1.7.18/PasswordVault
2.以Admin2身份登录(即)

3.浏览到系统配置->平台管理-> 平台名称 -> Edit
 – Edit UI& Workflows ->特权会话管理:

将ID更改为PSMServer对象名(如“选项->特权会话管理->配置的PSM服务器

用于灾难恢复故障的YouTube视频:

产品故障回复

请参考以下Cyber​​Ark文章:
如何执行手动DR故障转移 (Backup Link)

对产品PVWA和PSM过程进行故障回复:

1. 使用Vault桌面上的PrivateArkServer控制台启动PROD Vault

2. 使用DR VAult桌面上的PrivateArkServer控制台停止DR VAult服务器

3. 打开c:\ Program Files(x86)\ PrivateArk \ PADR \ conf \ padr.ini并编辑文件:

故障转移Mode =是  ->  将是更改为否
NextBinaryLogNumberToStartAt = 0 –删除此行
LastDataReplicationTimestamp = 1570820901835879-> remove this line

保存文件。

3. 在DR VAult上启动Cyber​​ark灾难恢复服务。

4. 通过导航到c:\ Program Files(x86)\ PrivateArk \ PADR \ logs \ padr.log确认复制。 打开此文件以确认:
[11/10/2019   15:37:22.532136]    ::   PADR0010I复制结束。
[11/10/2019   15:37:23.534770]    ::   PADR0099I元数据复制正在成功运行。

以上两行显示在padr.log文件的末尾

5.登录到主pvwa UI并编辑平台以更改UI& Workflows->特权会话管理ID PROD PSM服务器 (PSMServer)

正常
模式
(Prod Vault已启动并处于活动状态)
故障转移
模式
(产品仓库已关闭)
灾难恢复保管库
服务 
Cyber​​Ark Vault灾难恢复–运行
网络方舟ENE –已停止
网络方舟强化Windows防火墙-正在运行
Cyber​​Ark逻辑容器–运行
PrivateArk数据库–运行
PrivateArk远程控制代理–运行
PrivateArk服务器–已停止
Cyber​​Ark Vault灾难恢复–已停止
赛博方舟ENE –跑步

网络方舟强化Windows防火墙-正在运行
Cyber​​Ark逻辑容器–运行
PrivateArk数据库–运行
PrivateArk远程控制代理–运行
PrivateArk服务器–运行
灾难恢复保管库
PADR.ini
故障转移Mode =否 故障转移Mode =是
产品库
服务
赛博方舟
保管库灾难恢复–已停止
赛博方舟ENE –跑步
网络方舟强化Windows防火墙-正在运行
Cyber​​Ark逻辑容器–运行
PrivateArk数据库–运行
PrivateArk远程控制代理–运行
PrivateArk服务器–运行
赛博方舟
保管库灾难恢复–运行
网络方舟ENE –已停止
网络方舟强化Windows防火墙-正在运行
Cyber​​Ark逻辑容器–运行
PrivateArk数据库–运行
PrivateArk远程控制代理–运行
PrivateArk服务器–已停止
产品库
PADR.ini
故障转移Mode =是 故障转移Mode =否
用于主保险柜故障回复的YouTube视频:





参考文献

来自Blogger //blog.fabiandinkins.com/2019/10/cyberark-failover-and-failback-process.html

通过 约翰扬

发表评论