Cyber​​ Ark的特权访问安全性(PAS)解决方案是一个完整的生命周期解决方案,用于管理企业中最特权的帐户和SSH键。它使组织能够安全,提供,管理,控制和监控与所有类型特权标识相关的所有活动,例如:
  • 视窗服务器上的管理员
  • root在UNIX服务器上
  • 思科在思科设备上启用
  • 应用程序和脚本中的嵌入密码

在此帖子中,我总结了灾难恢复,高可用性,备份,故障转移和故障回复的一些常见设置步骤。它专注于PAS解决方案的主要组成部分。

实验室拓扑

高可用性或负载平衡


对于PVWA - HA /负载平衡
PVWA正在使用IIS。所有PVWA服务器都使用相同的配置信息,该信息保存在Vault Safe,Pvwaconfig中。 PVWA中的任何一个更改设置,所有PVWA都将收到这些更改。 


PVWA负载平衡的最简单方法是使用DNS循环方法作为屏幕截图的显示:

要将IIS主页重定向,请按照PVWA URL设置以下错误代码重定向配置:
对于Vault.ini文件,它位于C:\ Cyber​​Ark \ Password Vault Web Access \ VaultInfo
VAULT = "51sec Vault"                
Address=192.168.2.21,172.17.2.21
Port=1858
注意:192.168.2.21是主拱顶。 172.17.2.21是次要(DR)拱顶。 PVWA将由Vault IP订单自动连接到Active Vault。 
用于CPM - 手动负载平衡
您可以在分布式环境中安装多个CPM,不幸的是它不支持高可用性。它可以手动配置负载平衡,这意味着您可以使用一个CPM来管理某些量的保险柜或帐户,另一个CPM可以处理其他保险箱和帐户。典型的实现是一个CPM处理Windows帐户,另一个CPM处理* NIX帐户。
对于PSM - HA /负载平衡
您可以安装多个PSM。例如,PSM1和PSM2。您可以从PVWA - 管理 - 选项 - 选项 - Privileged会话管理 - 配置的PSM服务器中找到您的PSM服务器名称 

1.手动PSM故障转移。

更改您的平台设置以使用不同的PSM服务器。
PVWA - 管理 - 平台管理 - <Platform Name> – UI &工作流 - 特权会话管理 - ID
对于PSM名称,您可以在文件夹中查看BASIC_PSM.INI:C:\ Program Files(x86)\ cyberark \ psm
[Main]
PSMVaultFile="C:\Program Files (x86)\CyberArk\PSM\Vault\Vault.ini"
PSMAppCredFile="C:\Program Files (x86)\CyberArk\PSM\Vault\psmapp.cred"
PSMGWCredFile="C:\Program Files (x86)\CyberArk\PSM\Vault\psmgw.cred"
LogsFolder="C:\Program Files (x86)\CyberArk\PSM\Logs"
TempFolder="C:\Program Files (x86)\CyberArk\PSM\Temp"
PSMServerId="PSM-BCP-PSMP01"
PSMServerAdminId="PSMA-BCP-PSMP01"
ConfigurationSafe="PVWAConfig"
ConfigurationFolder=Root
PVConfigurationFileName=PVConfiguration.xml
PoliciesConfigurationFileName=Policies.xml

2.自动PSM LoadBalancing

首先,您可能需要使用一个恶作剧PSM DNS名称配置LoadBalacer以使用多个PSM服务器。
Go to “PVWA – Administration – Options –  Privileged Session Management –配置PSM服务器 “
将现有的PSM服务器和粘贴作为新的PSM服务器复制,并将其更改为新的虚拟PSM Farm服务器名称

展开PSM-Farm。选择连接详细信息>服务器并将IP地址更改为PSM Farm Virtual Hostname PSM-Farm.51Sec.local。单击“应用”并确定以保存更改。

编辑所有目标平台以将PSM ID更改为PSM-Farm。




注意:有一个与RDP服务证书有关的关键步骤。您需要将证书分配给远程桌面服务部署以支持PSM Farm Virtual HostName。以下是步骤:

1.登录PSM Server Comp01c或comp01d。
2.打开服务器管理器,然后在左侧导航窗格中选择远程桌面服务。
3.在部署概述中选择任务>编辑部署属性。在“配置部署”窗口中,选择“证书”>选择现有证书>选择不同的证书。浏览到C:\ Cyber​​ knipstallationFiles。

4.使用.pfx扩展选择预先生成的证书文件,然后单击“打开”。在密码:字段中,输入Cyber​​Ask1,选择框以“允许将证书添加到可信Root Certification Autorities ...”,然后选择“确定”关闭“部署属性”窗口。






对于金库 - 哈(Dr)

从主Vault服务器到DR Vault Server的故障转移高级步骤
1.确保启用了Active Vault Server DR用户,例如,已更改密码,例如,更改为Cyber​​Ark1
2.在辅助(DR)Vault Server上安装PADR软件。在此之前,应安装Vault Server和Vault客户端。 Vault Server Dr已被手动停止。
3.在安装PACR期间,它将询问Active Vault Server的IP,用户名(DR)和密码用于进行复制。
4.停止Active Vault Server以模拟功能启用自动故障转移。 DR服务器PADR服务需要5分钟,以检测此故障(5次)。
5. Vault Server Dr应通过PADR服务启动它。

================================================== ==================.

从Vault Server到Primary Vault服务器的故障恢复:

1.确保启用了Active Dr Vault Server的DR用户,密码已重置为Cyber​​Ark1。
2.如果在主Vault服务器上未安装PADR,请先安装PADR软件。主Vault服务器应仍处于停止状态。在PADR安装期间,它将为Dr帐户创建User.ini。重新启动主保管库服务器。

注意:如果在启动服务之前安装了PACR,请使用CreateCredFile.exe Reset Uset.ini Dr密码到Cyber​​Ask1。

3.启动PADR服务,验证padr.log文件以检查所有更改是否已复制。您的主Vault PADR服务将使用DR帐户验证与DR站点的连接。如果成功,它将将DR数据库恢复为主Vault。如果失败,它将在五分钟内尝试五次,之后,它将启动故障转移过程来启动Vault服务器。我们不希望发生这种情况。我们希望来自Vault博士的Padr服务复制数据库。在这种情况下,由于DR Vault服务器已启动并运行,因此它必须是DR用户帐户密码问题。您需要在Mast Vault上重置DR用户密码,并使用CreateCredFile.exe在主Vault上重新创建user.ini文件。
4.验证所有复制成功,编辑Padr.ini。此刻,主Vault服务器仍然停止。

一种。 set EnableFailover =否
湾添加以下行:activatemanualfailover = YES。保存并退出文件。

5.在主服务器上重新启动Cyber​​ark灾难恢复服务。此服务将带上保险库服务器,然后它将停止。验证Vault Server已成功启动。
6.此时,主要保管库和Vault Server服务都已启动。
7.登录DR服务器以编辑PADR.INI文件

一种。将故障转移模式从YES更改为No.这将停止Vault Server启动。
湾删除文件中的最后两行(日志编号和时间戳)文件中的最后一行。
C。保存并退出文件。

8.在DR Vault Server上,打开PrivateArk Server GUI并通过单击滚灯,停止PrivateArk服务器服务。退出privateark服务器GUI。使用CreateCredFile.exe更改DR用户密码,使用CreateCredFile.exe在C:\ Program Files(x86)\ privateark \ padr \ conf中更改user.ini中的密码。
9.在DR Vault上,打开Windows服务并启动Cyber​​Ark Vault灾难恢复服务。此服务将监控您的主Vault服务器的状态。检测到失败五次后,它将启动Vault Server Dr。您可以检查Padr.log以验证数据已完全复制一旦服务启动。 PowerShell命令监视/尾PADR.log:“Get-Content。\ logs \ padr.log -wait”

备份 - Pareparicate.


C:\ Program Files(x86)\ privateark \复制

pareplate.exe vault.ini / logonfromfile user.ini / fullbackup / tsparmfile tsparm.ini

故障转移博士

设想:
 – PROD Vault is down
  - Vault博士开始了

预配置:
两个PVWA都配置为使用Prod Vault和Vault Dr。它将自动通过记录顺序检测Alive Vault并进行连接。

在Pvwa博士上,罗福特的第一个记录是杜拉博尔博士。在Prod Pvwa上,第一个记录是Prod Vault。

确保CPM和PSM,Vault.ini文件也已更改。

故障转移程序:
1.导航到Pvwa ui博士 - 10.1.7.18/passwordVault
2.以admin2登录(即)

3.浏览到系统配置 - >平台管理 - > Platform Name -> Edit
 – Edit UI& Workflows ->特权会话管理:

将ID更改为PSMServer对象名称(如选项中定义 - >特权会话管理 - >配置PSM服务器

YouTube Video for Dr故障转移:

刺激故障返还

请参阅以下Cyber​​ Ark文章:
如何执行手动故障转移 (Backup Link)

故障回复刺激PVWA和PSM程序:

1.使用Vault桌面上的PrivateArkerver控制台启动Produpault

2.在DR Vault桌面上使用PrivateArkerver控制台停止DR Vault Server

3.打开C:\ Program Files(x86)\ privateark \ padr \ conf \ padr.ini并编辑文件:

failovermode =是 - >  改变是的
NextBinaryLognumbertostAtTAT = 0 - 删除此行
LastDatareplicationTimestamp = 1570820901835879 - > remove this line

保存文件。

3.在DR Vault上启动Cyber​​Ark灾难恢复服务。

4.通过导航到C:\ Program Files(x86)\ privateark \ padr \ logs \ padr.log来确认复制。打开此文件以确认:
[11/10/2019 15:37:22.532136] :: padr0010i复制结束。
[11/10/2019 15:37:23.534770] :: padr0099i元数据复制已成功运行。

在padr.log文件的末尾出现在两行上方

5.登录主PVWA UI并编辑平台以更改UI& Workflows->特权会话管理ID到 PROD PSM服务器 (PSMServer)

普通的
模式
(Prod Vault正在上升和活动)
故障转移
模式
(Prod Vault下降)
Vault博士
服务 
Cyber​​ Ark Vault灾难恢复 - 运行
网络方程 - 停止了
Cyber​​-Ark硬化了Windows防火墙-Running
Cyber​​ Ark Logic Container - 跑步
Privateark数据库 - 运行
Privateark遥控器 - 运行
privateark服务器 - 停止
Cyber​​ Ark Vault灾难恢复 - 停止
网络 - 轴 - 跑步

Cyber​​-Ark硬化了Windows防火墙-Running
Cyber​​ Ark Logic Container - 跑步
Privateark数据库 - 运行
Privateark遥控器 - 运行
Privateark服务器 - 运行
Vault博士
padr.ini.
failovermode = no. failovermode =是的
刺五
服务
Cyber​​ Ark.
金库灾难恢复 - 停止
网络 - 轴 - 跑步
Cyber​​-Ark硬化了Windows防火墙-Running
Cyber​​ Ark Logic Container - 跑步
Privateark数据库 - 运行
Privateark遥控器 - 运行
Privateark服务器 - 运行
Cyber​​ Ark.
金库灾难恢复 - 运行
网络方程 - 停止了
Cyber​​-Ark硬化了Windows防火墙-Running
Cyber​​ Ark Logic Container - 跑步
Privateark数据库 - 运行
Privateark遥控器 - 运行
privateark服务器 - 停止
刺五
padr.ini.
failovermode =是的 failovermode = no.
YouTube视频为主Vault故障核:





参考

来自Blogger. http://blog.fabiandinkins.com/2019/10/cyberark-failover-and-failback-process.html

经过 jonny.

发表评论