Freigeben über


Clustern des Geheimen Masterschlüsselservers

Es wird empfohlen, die Anweisungen in diesem Abschnitt zum erfolgreichen Clustern des Enterprise SSO-Diensts (Einmaliges Anmelden für Unternehmen) auf dem Server für den geheimen Hauptschlüssel zu verwenden.

Wenn Sie den Server mit dem geheimen Hauptschlüssel clustern, kommunizieren die SSO-Server mit der aktiven Clusterinstanz des Servers für den geheimen Hauptschlüssel. Die aktive Clusterinstanz des Servers für den geheimen Hauptschlüssel kommuniziert analog dazu mit der SSO-Datenbank.

Dieses Verfahren können Sie nur als SSO-Administrator ausführen.

Achtung

Sie können den Server für den geheimen Hauptschlüssel nicht auf einem Netzwerklastenausgleich-Cluster (Network Load Balancing, NLB) installieren.

So installieren und konfigurieren Sie das Einmalige Anmelden für Unternehmen (SSO) auf den Clusterknoten

  1. Installieren Sie BizTalk Server auf jedem Clusterknoten. Wählen Sie unter Komponenteninstallationdie Option Enterprise Single Sign-On Administration Module und Enterprise Single Sign-On Master Secret Server aus. Nachdem die Installation erfolgreich abgeschlossen wurde, führen Sie die BizTalk Server-Konfiguration nicht aus.

  2. Erstellen sie SSO-Administratoren und SSO-Partneradministratoren-Domänengruppen . Um eine geclusterte Instanz des Dienstes für Einmaliges Anmelden für Unternehmen zu erzeugen, müssen Sie diese Gruppen als Domänengruppen erstellen.

  3. Erstellen oder festlegen Sie ein Domänenkonto, das Mitglied der Domänengruppe SSO-Administratoren ist. Der Dienst für Einmaliges Anmelden für Unternehmen wird auf jedem Knoten so konfiguriert, dass er sich als dieses Domänenkonto anmeldet. Dieses Konto muss auf jedem Knoten im Cluster über das Recht Anmelden als Dienst verfügen.

  4. Fügen Sie das Konto, das Sie für die Anmeldung während des Konfigurationsvorgangs verwenden, der Gruppe " Domänen-SSO-Administratoren" hinzu.

    Wichtig

    Es tritt ein Konfigurationsfehler des Diensts für Einmaliges Anmelden für Unternehmen auf, wenn die Schritte 3 und 4 nicht abgeschlossen sind.

  5. Starten Sie die BizTalk Server-Konfiguration.

  6. Wählen Sie die Option Benutzerdefinierte Konfiguration aus, und geben Sie die Werte Datenbankservername, Benutzername und Kennwort ein. Wählen Sie Konfigurieren aus, um den Vorgang fortzusetzen.

    Hinweis

    Da Sie zu diesem Zeitpunkt nur den Enterprise SSO-Dienst konfigurieren, können Sie einfach das Domänenkonto eingeben, das Sie zuvor erstellt haben.

  7. Wählen Sie im linken Bereich die Option Enterprise SSO aus, und legen Sie die folgenden Optionen für das Feature Enterprise SSO fest:

    1. Aktivieren Sie das Kontrollkästchen Enterprise Single Sign-On auf diesem Computer aktivieren .

    2. Wählen Sie Neues SSO-System erstellen aus.

    3. Geben Sie die Datenspeicher für Servername und Datenbankname ein .

    4. Vergewissern Sie sich, dass das Domänenkonto, das Sie zuvor erstellt haben, das Konto ist, das dem Dienst für Einmaliges Anmelden für Unternehmen zugeordnet ist.

    5. Geben Sie die zuvor erstellte Domänengruppe "SSO-Administratoren" als die Gruppe an, die der Rolle "SSO-Administrator(en)" zugeordnet ist.

    6. Geben Sie die zuvor erstellte Domänengruppe "SSO-Partneradministratoren" als die Gruppe an, die der Rolle "SSO-Partneradministrator(en)" zugeordnet ist.

  8. Wählen Sie im linken Bereich die Option Enterprise SSO Secret Backup aus, und geben Sie die entsprechenden Parameter für die Sicherung des Enterprise SSO-Geheimnisses an. Standardmäßig wird das Enterprise SSO-Geheimnis auf <laufwerk>:\Programme\Common Files\Enterprise Single Sign-On\SSOxxxx.bak gesichert.

  9. Klicken Sie auf Konfiguration anwenden, und überprüfen Sie die Zusammenfassung.

  10. Klicken Sie auf Weiter , um die Konfiguration anzuwenden.

  11. Klicken Sie auf Fertig stellen , um den Konfigurations-Assistenten zu schließen.

  12. Schließen Sie die BizTalk Server konfiguration.

  13. Melden Sie sich beim passiven Clusterknoten an, und starten Sie die BizTalk Server-Konfiguration.

  14. Wählen Sie die Option Benutzerdefinierte Konfiguration aus, und geben Sie die gleichen Werte für Datenbankservername, Benutzername und Kennwort ein, die Sie beim Konfigurieren des ersten Clusterknotens eingegeben haben. Klicken Sie nach der Eingabe dieser Werte auf Konfigurieren , um den Vorgang fortzusetzen.

  15. Wählen Sie im linken Bereich die Option Enterprise SSO aus, und legen Sie die folgenden Optionen für das Feature Enterprise SSO fest:

    1. Wählen Sie die Option Enterprise Single Sign-On auf diesem Computer aktivieren aus.

    2. Wählen Sie Vorhandenes SSO-System beitreten aus.

    3. Geben Sie dieselben Werte für SSO-Datenbankservername und Datenbankname ein, die Sie beim Konfigurieren des ersten Clusterknotens eingegeben haben.

    4. Geben Sie den gleichen Wert für das Domänenkonto ein, den Sie beim Konfigurieren des ersten Clusterknotens verwendet haben.

  16. Wählen Sie Konfiguration anwenden aus, um die Zusammenfassung anzuzeigen.

  17. Wählen Sie Weiter aus, um die Konfiguration anzuwenden.

  18. Wählen Sie Fertig stellen aus, um den Konfigurations-Assistenten zu schließen.

  19. Schließen Sie die BizTalk Server-Konfiguration.

So aktualisieren Sie den Namen des Servers für den geheimen Hauptschlüssel in der SSO-Datenbank

  1. Geben Sie die folgenden Befehle in einer Eingabeaufforderung auf dem aktiven Clusterknoten ein, um den Dienst für Einmaliges Anmelden für Unternehmen zu beenden und dann neu zu starten:

    net stop entsso
    

    und

    net start entsso
    
  2. Ändern Sie den Namen des master geheimen Servers in der SSO-Datenbank in den im Cluster konfigurierten SSO-Netzwerknamen, indem Sie die folgenden Schritte ausführen:

    Hinweis

    Geben Sie die Netzwerknamenressource an, die Sie in derselben Clusterrolle erstellt haben, die die gruppierte SSO-Ressource enthält. Der Name kann beispielsweise SSONETWORKNAME sein.

    1. Fügen Sie den folgenden Code in einem Texteditor ein:

      <sso>
        <globalInfo>
          <secretServer>SSONETWORKNAME</secretServer>
        </globalInfo>
      </sso>
      

      Hinweis

      Ersetzen Sie SSONETWORKNAME durch den tatsächlichen Netzwerknamen, der in der Clusterrolle für SSO erstellt wird.

    2. Speichern Sie die Datei als XML-Datei. Speichern Sie die Datei beispielsweise als SSOCLUSTER.xml.

    3. Wechseln Sie an einer Eingabeaufforderung in den Installationsordner von Einmaliges Anmelden für Unternehmen. Standardmäßig lautet <der Installationsordner laufwerk>:\Programme\Common Files\Enterprise Single Sign-On.

    4. Geben Sie den folgenden Befehl ein, um den Namen des Servers für den geheimen Hauptschlüssel in der Datenbank zu aktualisieren:

      ssomanage -updatedb XMLFile
      

      Hinweis

      XMLFile ist ein Platzhalter für den Namen der .xml Datei, die Sie zuvor gespeichert haben.

So erstellen Sie die Clusterressource für das Einmalige Anmelden für Unternehmen (SSO)

  1. Wenn der Cluster nicht mit einer gruppierten DISTRIBUTED Transaction Coordinator-Ressource (MSDTC) konfiguriert ist, führen Sie die Schritte im Whitepaper "Verbessern der Fehlertoleranz in BizTalk Server durch Verwenden eines Windows Server-Clusters" unter https://go.microsoft.com/fwlink/?LinkId=69207 aus, um eine gruppierte MSDTC-Ressource zu erstellen.

  2. Klicken Sie auf Start, Programme, Verwaltung und dann auf Failoverclusterverwaltung , um das Failoverclusterverwaltungsprogramm zu starten.

  3. Klicken Sie im linken Bereich mit der rechten Maustaste auf Failoverclusterverwaltung , und klicken Sie auf Cluster verwalten.

  4. Geben Sie im Dialogfeld Zu verwaltenden Cluster auswählen den zu verwaltenden Cluster ein, und klicken Sie auf OK.

  5. Klicken Sie im linken Bereich, um einen Clusterdienst oder eine Anwendung auszuwählen, der oder die eine IP-Adressen- und Netzwerknamenressource enthält. Führen Sie die Schritte unter Erstellen einer Clustergruppe mit einem Datenträger, einer IP-Adresse und einer Namensressource aus, um eine Gruppe mit einer IP-Adresse und einer Netzwerknamenressource zu erstellen, falls noch keine vorhanden ist.

    Hinweis

    Für einen Clusterdienst für Einmalige Anmelden für Unternehmen ist die Verwendung einer physikalischen Clusterdatenträgerressource in der gleichen Gruppe nicht ausdrücklich erforderlich.

  6. Klicken Sie mit der rechten Maustaste auf den gruppierten Dienst oder die gruppierte Anwendung, zeigen Sie auf Ressource hinzufügen, und klicken Sie auf Generischer Dienst , um das Dialogfeld Assistent für neue Ressourcen anzuzeigen.

    Wichtig

    Wenn Sie im Dialogfeld Generische Dienstparameter nicht klicken, um das Kontrollkästchen Netzwerknamen für Computernamen verwenden zu aktivieren, generieren SSO-Clientcomputer einen Fehler ähnlich dem folgenden, wenn sie versuchen, diese gruppierte instance des Enterprise SSO-Diensts zu kontaktieren:

    Fehler beim Abrufen des geheimen Hauptschlüssels.

    Stellen Sie sicher, dass der Name des Servers für den geheimen Hauptschlüssel richtig und der Server verfügbar ist. Name des Servers für den geheimen Hauptschlüssel: ENTSSO-Fehlercode: 0x800706D9, es sind keine weiteren Endpunkte von der Endpunktzuordnung verfügbar.

  7. Klicken Sie auf der Seite Dienst auswählen des Assistenten für neue Ressourcen auf Enterprise Single Sign-On Service , und klicken Sie auf Weiter.

  8. Klicken Sie auf der Seite Bestätigung auf Weiter.

  9. Klicken Sie auf der Seite Zusammenfassung auf Fertig stellen. Eine gruppierte instance des Enterprise Single Sign-On Service wird unter Andere Ressourcen im mittleren Bereich der Failoverclusterverwaltungsschnittstelle angezeigt.

  10. Klicken Sie mit der rechten Maustaste auf die gruppierte instance des Enterprise Single Sign-On Service, und wählen Sie Eigenschaften aus, um das Dialogfeld Enterprise Single Sign-On Service Properties (Enterprise Single Sign-On Service Properties) anzuzeigen.

  11. Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Abhängigkeiten , und klicken Sie auf Einfügen.

  12. Klicken Sie auf das Dropdownfeld unter Ressource, wählen Sie name: ressource aus , und klicken Sie auf OK.

So stellen Sie den geheimen Hauptschlüssel auf dem zweiten Clusterknoten wieder her

  1. Klicken Sie unter Failoverclusterverwaltung mit der rechten Maustaste auf den gruppierten Dienst oder die Anwendung, die den gruppierten Enterprise Single Sign-On-Dienst enthält, und klicken Sie dann auf Diesen Dienst oder diese Anwendung online schalten , um alle Ressourcen im gruppierten Dienst oder der gruppierten Anwendung zu starten.

  2. Klicken Sie mit der rechten Maustaste auf den gruppierten Dienst oder die gruppierte Anwendung, zeigen Sie auf Diesen Dienst oder die Anwendung auf einen anderen Knoten verschieben, und klicken Sie auf den zweiten Knoten. In diesem Schritt wird der Clusterdienst oder die Anwendung, der bzw. die den Clusterdienst für Einmaliges Anmelden für Unternehmen enthält, vom ersten Knoten auf den zweiten Knoten verschoben.

  3. Klicken Sie mit der rechten Maustaste auf den gruppierten Enterprise Single Sign-On-Dienst, und klicken Sie auf Diesen Dienst oder diese Anwendung offline schalten, klicken Sie dann mit der rechten Maustaste auf den gruppierten instance des Enterprise SSO-Diensts, und klicken Sie auf Diesen Dienst oder diese Anwendung online schalten.

    Hinweis

    Wenn dieser Schritt nicht abgeschlossen wird, ist der Versuch, den geheimen Hauptschlüssel wiederherzustellen, ggf. nicht erfolgreich.

  4. Kopieren Sie die Sicherungsdatei des geheimen Hauptschlüssels aus dem ersten Knoten in den Installationsordner \Enterprise Single Sign-On auf dem zweiten Knoten. Standardmäßig lautet <der Installationsordner laufwerk>:\Programme\Common Files\Enterprise Single Sign-On.

  5. Melden Sie sich am zweiten Knoten an, und wechseln Sie dann an einer Eingabeaufforderung in den Installationsordner von Einmaliges Anmelden für Unternehmen.

  6. Geben Sie den folgenden Befehl an der Eingabeaufforderung ein, um den geheimen Hauptschlüssel auf dem zweiten Knoten wiederherzustellen:

    ssoconfig -restoresecret RestoreFile
    

    Hinweis

    Ersetzen Sie RestoreFile durch den Pfad und den Namen der Sicherungsdatei, die den master Geheimnis enthält.

    Der geheime Hauptschlüssel ist in der Registrierung unter dem folgenden Pfad gespeichert:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ENTSSO\SSOSS

  7. Verschieben Sie den Clusterdienst oder die Anwendung, der bzw. die den Clusterdienst für Einmaliges Anmelden für Unternehmen enthält, von diesem Clusterknoten auf einen anderen Clusterknoten, um die Failoverfunktionen zu gewährleisten. Verschieben Sie die Clustergruppe dann zurück, um die Failoverfunktionen zu überprüfen.

Weitere Informationen

Erstellen einer Clustergruppe mit einer Datenträger-, IP-Adress- und Namenressource