Hohe Verfügbarkeit des Servers für den geheimen Hauptschlüssel

Auch wenn Sie die SSO-Funktionalität (Enterprise Single Sign-On) nicht für die Zuordnung von Anmeldeinformationen und einmaliges Anmelden verwenden, ist einmaliges Anmelden ein wichtiger Bestandteil der gesamten Microsoft BizTalk Server-Infrastruktur, da BizTalk Server einmaliges Anmelden verwendet, um Informationen für die Portkonfiguration zu schützen. Die Portkonfigurationsdaten werden verschlüsselt und in der SSO-Datenbank gespeichert. Jeder BizTalk-Server verfügt über einen SSO-Dienst (ENTSSO.exe), der zum Verschlüsseln und Entschlüsseln der Portkonfigurationsdaten verwendet wird.

Wenn ein SSO-Dienst gestartet wird, ruft er den Verschlüsselungsschlüssel vom master Geheimserver ab. Dieser Verschlüsselungsschlüssel wird als master Geheimnis bezeichnet. Der master Geheimservers ist ein weiterer SSO-Dienst, der über einen zusätzlichen Unterdienst verfügt, der den master Geheimnis verwaltet und verteilt. Nachdem ein master Geheimnis abgerufen wurde, speichert der SSO-Dienst ihn zwischen. Alle 60 Sekunden synchronisiert der SSO-Dienst das master Geheimnis mit dem master Geheimnisserver.

Wenn der master geheimen Server ausfällt und der SSO-Dienst den Fehler in einem seiner Aktualisierungsintervalle erkennt, werden der SSO-Dienst und alle Laufzeitvorgänge, die vor dem Fehler des Servers ausgeführt wurden, einschließlich der Entschlüsselung der Anmeldeinformationen, erfolgreich fortgesetzt. Sie können jedoch keine neuen Anmeldeinformationen oder Portkonfigurationsdaten verschlüsseln. Daher ist die BizTalk Server-Umgebung von der Verfügbarkeit des master Geheimservers abhängig.

Verfügbarmachen des Servers für den geheimen Hauptschlüssel

Um die Verfügbarkeit des SSO-Systems und damit der BizTalk Server-Umgebung zu gewährleisten, müssen Sie sofort nach dem Erstellen des geheimen Hauptschlüssels unbedingt eine Sicherungskopie anlegen. Wenn Sie den geheimen Hauptschlüssel verlieren, gehen auch die Daten verloren, die vom SSO-System mithilfe dieses Schlüssels verschlüsselt wurden. Weitere Informationen zum Sichern des master Geheimnisses finden Sie unter Sichern des Geheimen Hauptschlüssels (https://go.microsoft.com/fwlink/?LinkID=151934) in BizTalk Server Hilfe.

Zum Verfügbarmachen des Servers für den geheimen Hauptschlüssel stehen Ihnen zwei Möglichkeiten zur Verfügung:

• Verfügbar, aber nicht hochverfügbar. Sie können ein Microsoft System Center Operations Manager-Ereignis erstellen, um Sie zu benachrichtigen, wenn der master Geheimserver nicht mehr verfügbar ist. Anschließend können Sie einen anderen SSO-Server manuell höherstufen, um master geheimen Server zu erhalten und das master Geheimnis auf diesem Server wiederherzustellen.

  Obwohl diese Konfiguration nicht hochverfügbar ist, kann sie für die meisten Szenarien zufriedenstellend sein und ist konsistent mit dem Hochskalieren der Empfangs-, Sende- und Verarbeitungshosts.

• Hochverfügbar. Verwenden Sie die Windows-Clusterdienste auf einem separaten Cluster für den Server für den geheimen Hauptschlüssel, oder konfigurieren Sie den Server für den geheimen Hauptschlüssel auf einem vorhandenen Datenbankcluster, um Redundanz für den Server für den geheimen Hauptschlüssel zu gewährleisten. Die vom Server für den geheimen Hauptschlüssel bereitgestellten Dienste beanspruchen nur wenige Ressourcen und beeinträchtigen im Normalfall weder Datenbankfunktionen noch Leistung, wenn sie auf einem Datenbankcluster installiert sind. In der folgenden Abbildung wird gezeigt, wie Sie den Server für den geheimen Hauptschlüssel hoch verfügbar machen können:

  

  Diese Konfiguration gewährleistet zwar hohe Verfügbarkeit, erfordert jedoch zusätzliche Hardwareressourcen. Weitere Informationen zu Hochverfügbarkeitsoptionen für einmaliges Anmelden finden Sie unter Installationsoptionen für hochverfügbarkeitsbasiertes Anmelden (https://go.microsoft.com/fwlink/?LinkId=156838) in BizTalk Server Hilfe.

  Dieser Abschnitt umfasst detaillierte Informationen zum Konfigurieren des SSO-Servers für den geheimen Hauptschlüssel als hoch verfügbare Clusterressource in einem Windows Server-Cluster.

  Hinweis

  Um die Hardwareressourcen für eine hoch verfügbare Lösung zu reduzieren, können Sie den Server für den geheimen Hauptschlüssel als Clusterressource im SQL Server-Cluster hinzufügen. Beachten Sie, dass Sie keine zusätzlichen BizTalk Server Lizenzen erwerben müssen, um den SSO-Dienst auf dem Computer zu installieren, auf dem die SQL Server ausgeführt wird.

In diesem Abschnitt

• Clustern des Servers für den geheimen Hauptschlüssel

• Manuelles Festlegen eines neuen Servers für den geheimen Hauptschlüssel

Weitere Informationen

Planen von Hochverfügbarkeit2Hochverfügbarkeit für BizTalk-HostsHochverfügbarkeit für Datenbanken