- 视窗服务器上的管理员
- UNIX服务器上的根
- 在Cisco设备上启用Cisco
- 在应用程序和脚本中找到的嵌入式密码
在本文中,我总结了灾难恢复,高可用性,备份,故障转移和故障回复的一些常见设置步骤。它专注于PAS解决方案的主要组件。
实验室拓扑
高可用性或负载平衡
PVWA正在使用IIS。所有PVWA服务器都使用相同的配置信息,该信息保存在保管箱保险箱PVWAConfig中。 PVWA更改的任何一项设置,所有PVWA都会收到这些更改。
为PVWA进行负载平衡的最简单方法是使用DNS轮询方法,如以下屏幕截图所示:
VAULT = "51sec Vault"
Address=192.168.2.21,172.17.2.21
Port=1858
1.手动PSM故障转移。
[Main]
PSMVaultFile="C:\ Program档案(x86)\ CyberArk \ PSM\Vault\Vault.ini"
PSMAppCredFile="C:\ Program档案(x86)\ CyberArk \ PSM\Vault\psmapp.cred"
PSMGWCredFile="C:\ Program档案(x86)\ CyberArk \ PSM\Vault\psmgw.cred"
LogsFolder="C:\ Program档案(x86)\ CyberArk \ PSM\Logs"
TempFolder="C:\ Program档案(x86)\ CyberArk \ PSM\Temp"
PSMServerId="PSM-BCP-PSMP01"
PSMServerAdminId="PSMA-BCP-PSMP01"
ConfigurationSafe="PVWAConfig"
ConfigurationFolder=Root
PVConfigurationFileName=PVConfiguration.xml
PoliciesConfigurationFileName=Policies.xml
2.自动PSM负载平衡
展开PSM-Farm。选择连接详细信息>服务器,然后将IP地址更改为PSM服务器场虚拟主机名PSM-Farm.51sec.local的IP地址。单击“应用”,然后单击“确定”以保存更改。
编辑所有目标平台,以将PSM ID更改为PSM-Farm。
1.登录到PSM Server Comp01c或Comp01d。
2.打开服务器管理器,然后在左侧导航窗格中选择“远程桌面服务”。
3.在部署概述中,选择任务>编辑部署属性。在“配置部署”窗口中,选择“证书”>选择现有证书>选择其他证书。浏览到C:\ CyberArkInstallationFiles。
4.选择扩展名为.pfx的预生成证书文件,然后单击“打开”。在“密码:”字段中,输入Cyberark1,选择“允许将证书添加到受信任的根证书颁发机构…”框,然后选择“确定”关闭“部署属性”窗口。
从主Vault服务器到DR Vault服务器的故障转移高级步骤
1.确保启用了活动的Vault服务器DR用户,并且密码已更改,例如,更改为Cyberark1
2.在辅助(DR)库服务器上安装PADR软件。在此之前,Vault服务器和Vault客户端 应该已经安装了。 灾难恢复保管库服务器已手动停止。
3.在安装PADR期间,它将要求活动的保管库服务器的IP,用户名(DR)和密码用于复制。
4.停止活动的保管库服务器以模拟故障以启用自动故障转移。 DR服务器PADR服务需要5分钟(5次)检测到此故障。
5. 灾难恢复保管库服务器应通过PADR服务启动它。
================================================== ==================
从DR库服务器到主库服务器的故障回复:
1.确保启用了活动DR Vault服务器的DR用户,并且密码已重置为Cyberark1。
2.如果以前在主保管库服务器上未安装PADR,请首先安装PADR软件。主保管库服务器应仍处于停止状态。在PADR安装期间,它将为DR帐户创建user.ini。重新启动主保管库服务器。
注意:如果已安装PADR,则在启动服务之前,请使用createcredfile.exe将user.ini DR密码重置为Cyberark1。
3.启动PADR服务,验证padr.log文件以检查是否已复制所有更改。您的主要保管库PADR服务将使用DR帐户来验证与DR站点的连接。如果成功,它将灾难恢复数据库复制到主保管库。如果失败,它将在五分钟内尝试五次,然后,它将启动故障转移过程以启动Vault服务器。我们不希望这种情况发生。我们希望PADR服务从DR库复制数据库。在这种情况下,由于DR Vault服务器已启动并正在运行,因此它必须是DR用户帐户密码问题。您将需要使用CreateCredFile.exe在DR Vault上重置DR用户密码,并在Primary Vault上重新创建user.ini文件。
4.验证所有复制成功后,请编辑PADR.ini。此时,主保管库服务器仍处于停止状态。
一种。设置EnableFailover =否
b。添加以下行:ActivateManualFailover = Yes。保存并退出文件。
6.此时,Primary Vault和DR Vault服务器服务均已启动。
7.登录到DR服务器以编辑PADR.ini文件
一种。将故障转移模式从“是”更改为“否”。这将使Vault Server停止启动。
b。删除文件中的最后两行(上次成功复制的日志号和时间戳)。
C。保存并退出文件。
备份– PAReplicate
DR故障转移
场景:
– PROD Vault is down
– 灾难恢复保管库已启动
预配置:
PVWA均已配置为使用PROD Vault和DR Vault。它会自动按记录顺序检测活动的保管库并建立连接。
在DR PVWA上,评估的第一个记录是DR保险库。在Prod PVWA上,第一个记录是PROD库。
确保CPM和PSM,vault.ini文件也已更改。
故障转移过程:
1.导航到DR PVWA UI – 10.1.7.18/PasswordVault
2.以Admin2身份登录(即)
3.浏览到系统配置->平台管理-> 平台名称 -> Edit
– Edit UI& Workflows ->特权会话管理:
将ID更改为PSMServer对象名(如“选项->特权会话管理->配置的PSM服务器
用于灾难恢复故障的YouTube视频:
产品故障回复
请参考以下CyberArk文章:
如何执行手动DR故障转移 (Backup Link)
对产品PVWA和PSM过程进行故障回复:
1. 使用Vault桌面上的PrivateArkServer控制台启动PROD Vault
2. 使用DR VAult桌面上的PrivateArkServer控制台停止DR VAult服务器
3. 打开c:\ Program Files(x86)\ PrivateArk \ PADR \ conf \ padr.ini并编辑文件:
故障转移Mode =是 -> 将是更改为否
NextBinaryLogNumberToStartAt = 0 –删除此行
LastDataReplicationTimestamp = 1570820901835879-> remove this line
保存文件。
3. 在DR VAult上启动Cyberark灾难恢复服务。
4. 通过导航到c:\ Program Files(x86)\ PrivateArk \ PADR \ logs \ padr.log确认复制。 打开此文件以确认:
[11/10/2019 15:37:22.532136] :: PADR0010I复制结束。
[11/10/2019 15:37:23.534770] :: PADR0099I元数据复制正在成功运行。
以上两行显示在padr.log文件的末尾
5.登录到主pvwa UI并编辑平台以更改UI& Workflows->特权会话管理ID PROD PSM服务器 (PSMServer)
正常 模式 (Prod Vault已启动并处于活动状态) |
故障转移 模式 (产品仓库已关闭) |
|
灾难恢复保管库 服务 |
CyberArk Vault灾难恢复–运行 网络方舟ENE –已停止 网络方舟强化Windows防火墙-正在运行 CyberArk逻辑容器–运行 PrivateArk数据库–运行 PrivateArk远程控制代理–运行 PrivateArk服务器–已停止 |
CyberArk Vault灾难恢复–已停止 赛博方舟ENE –跑步 网络方舟强化Windows防火墙-正在运行 CyberArk逻辑容器–运行 PrivateArk数据库–运行 PrivateArk远程控制代理–运行 PrivateArk服务器–运行 |
灾难恢复保管库 PADR.ini |
故障转移Mode =否 | 故障转移Mode =是 |
产品库 服务 |
赛博方舟 保管库灾难恢复–已停止 赛博方舟ENE –跑步 网络方舟强化Windows防火墙-正在运行 CyberArk逻辑容器–运行 PrivateArk数据库–运行 PrivateArk远程控制代理–运行 PrivateArk服务器–运行 |
赛博方舟 保管库灾难恢复–运行 网络方舟ENE –已停止 网络方舟强化Windows防火墙-正在运行 CyberArk逻辑容器–运行 PrivateArk数据库–运行 PrivateArk远程控制代理–运行 PrivateArk服务器–已停止 |
产品库 PADR.ini |
故障转移Mode =是 | 故障转移Mode =否 |
参考文献
来自Blogger //blog.fabiandinkins.com/2019/10/cyberark-failover-and-failback-process.html