Mettre en cluster l’authentification unique et un hôte BizTalk dans le même groupe de clusters

Avec BizTalk Server vous pouvez mettre en cluster un ou plusieurs hôtes BizTalk et le service Enterprise Single Sign-On (SSO) sur le même cluster Windows Server.

Notes

Pour implémenter correctement cette stratégie, vous devez créer les instances de l'hôte BizTalk et le service SSO comme ressources du cluster dans le même groupe de clusters.

L'utilisation du Clustering Windows avec un ou plusieurs hôtes BizTalk et SSO tombe généralement dans l'une des catégories suivantes :

1. Clustering du serveur de secret principal SSO et d'un ou plusieurs hôtes BizTalk dans le même groupe de clusters.

   Dans ce scénario, la dépendance entre les hôtes BizTalk en cluster et le service d’authentification unique en cluster est maintenue de sorte que si le groupe de clusters est basculé, toutes les ressources se déplacent avec le groupe.

   Si le service d’authentification unique est configuré en tant que ressource en cluster sur un ordinateur BizTalk Server, vous devez créer un service web IIS en cluster dans le même groupe de clusters. Cela est nécessaire pour s'assurer que toutes les instances de l'hôte isolées s'exécutent sur le même nœud de cluster que le service SSO. Cela garantit que tout adaptateur s'exécutant dans une instance de l'hôte isolée aura accès au service SSO, puisque les instances de l'hôte isolées s'exécutent dans IIS.

   Notes

   Si une instance non cluster d’un hôte BizTalk s’exécute sur le même nœud de cluster qu’un instance cluster du service d’authentification unique est en cours d’exécution, la instance en cluster du service d’authentification unique ne peut pas être basculée, sauf si la instance non cluster de l’hôte BizTalk est arrêtée. Une instance non cluster de l’hôte BizTalk maintient une dépendance sur la instance en cluster du service d’authentification unique s’exécutant sur le nœud de cluster et empêche le basculement de la instance en cluster du service d’authentification unique. Il est donc recommandé de ne pas créer d'instance sans cluster d'un hôte BizTalk à exécuter sur le nœud de cluster exécutant une instance en cluster du service SSO.

2. Clustering du service SSO (serveur de secret non principal) et d'un ou plusieurs hôtes BizTalk dans le même groupe de clusters. Ce scénario requiert qu'un serveur de secret principal distant soit disponible. Dans ce scénario, la dépendance entre les hôtes BizTalk en cluster et le service SSO en cluster est maintenue de façon à ce qu'en cas de basculement du groupe de clusters, toutes les ressources soient déplacées avec le groupe.

   Si le service d’authentification unique est configuré en tant que ressource en cluster sur un ordinateur BizTalk Server, vous devez créer un service web IIS en cluster dans le même groupe de clusters. Cela est nécessaire pour s'assurer que toutes les instances de l'hôte isolées s'exécutent sur le même nœud de cluster que le service SSO. Cela garantit que tout adaptateur s'exécutant dans une instance de l'hôte isolée aura accès au service SSO, puisque les instances de l'hôte isolées s'exécutent dans IIS.

   Notes

   Si une instance sans cluster d'un hôte BizTalk s'exécute sur le même nœud de cluster qu'une instance en cluster du service SSO, le basculement de cette dernière n'est possible que si l'instance sans cluster de l'hôte BizTalk est arrêtée. Une instance sans cluster de l'hôte BizTalk maintient une dépendance sur l'instance en cluster du service SSO s'exécutant sur le nœud de cluster et empêche le basculement de l'instance en cluster du service SSO. Pour cette raison, il est recommandé de ne pas créer de instance non cluster d’un hôte BizTalk à exécuter sur le même nœud de cluster que celui qui exécute un instance cluster du service d’authentification unique.

3. Clustering d'un ou plusieurs hôtes BizTalk sur un cluster Windows Server sans clustering du service SSO. Dans ce scénario, un ou plusieurs hôtes BizTalk sont configurés comme ressources du cluster, mais le service SSO n'est pas configuré comme ressource en cluster. Cette conception offre une haute disponibilité pour les hôtes BizTalk en cluster, mais pas pour le service SSO. Dans ce scénario, une défaillance du service SSO sur un nœud entraîne la défaillance des composants de BizTalk Server qui dépendent du service SSO sur ce nœud. Pour plus d’informations sur la configuration d’un hôte BizTalk Server en tant que ressource de cluster, consultez Configurer un hôte BizTalk en tant que ressource de cluster.

   Les procédures suivantes décrivent comment regrouper un hôte BizTalk et le service SSO dans le même cluster Windows Server.

Mettre en cluster un hôte BizTalk et l’authentification unique master serveur secret sur le même cluster Windows Server

1. Si le cluster n’est pas configuré avec une ressource MSDTC (Clustered Distributed Transaction Coordinator), cluster MSDTC sur un cluster de basculement Windows Server en suivant les étapes décrites dans Liste de contrôle : Création d’une ressource MS DTC dans un cluster de basculement Windows Server 2008 (https://go.microsoft.com/fwlink/p/?LinkID=129677).

2. Installez et configurez le service d’authentification unique sur le cluster Windows Server en suivant les étapes décrites dans Cluster the Master Secret Server. Comme vous allez exécuter BizTalk Server sur le cluster Windows Server, installez tous les composants de BizTalk Server requis, même si, à ce stade, vous allez uniquement configurer les composants de SSO.

3. Cluster IIS sur l’ordinateur BizTalk Server en suivant les étapes décrites dans l’article de la Base de connaissances Microsoft 970759 « Configuration d’IIS 7.0 dans un cluster de basculement Microsoft Windows Server 2008 » (https://go.microsoft.com/fwlink/p/?LinkId=152793). Créez le service Web IIS en cluster dans le même groupe de clusters que le service SSO en cluster.

4. Déplacez le groupe de clusters qui contient le service d’authentification unique en cluster vers l’un des nœuds de cluster, puis connectez-vous à ce nœud de cluster.

5. Démarrez le programme Configuration de BizTalk Server, puis effectuez la configuration de BizTalk Server sur ce nœud de cluster. Comme il s’agit du premier ordinateur BizTalk Server du groupe, cliquez sur Créer un groupe BizTalk lors de la configuration du groupe BizTalk.

6. Une fois la configuration de BizTalk Server correctement effectuée, déplacez le groupe de clusters contenant le service SSO en cluster vers l'autre nœud de cluster, puis connectez-vous à ce dernier.

7. Démarrez le programme Configuration de BizTalk Server, puis effectuez la configuration de BizTalk Server sur ce nœud de cluster. Cliquez sur Joindre un groupe BizTalk existant lors de la configuration du composant Groupe BizTalk sur ce nœud de cluster, puis spécifiez le groupe BizTalk que vous avez créé sur le premier nœud.

8. Une fois la configuration BizTalk Server terminée, créez un ou plusieurs hôtes BizTalk en cluster en suivant les étapes décrites dans Configurer un hôte BizTalk en tant que ressource de cluster.

   Notes

   Dans ce scénario, tous les hôtes BizTalk doivent être créés comme ressources du cluster dans le même groupe de clusters que la ressource du service SSO en cluster. L’exécution d’un hôte BizTalk non cluster instance sur un nœud de cluster Windows Server où le service d’authentification unique est en cluster n’est pas une configuration prise en charge. Cela est dû au fait que l'exécution de l'instance de l'hôte BizTalk sans cluster échouera lors du basculement du service SSO en cluster vers un autre nœud, parce qu'une instance de l'hôte BizTalk dépend du service SSO.

Mettre en cluster un hôte BizTalk et une authentification unique (serveur secret non master) sur le même cluster Windows Server lorsque l’authentification unique master serveur secret est distant

1. Si le cluster n’est pas configuré avec une ressource MSDTC (Clustered Distributed Transaction Coordinator), cluster MSDTC sur un cluster de basculement Windows Server en suivant les étapes décrites dans Liste de contrôle : Création d’une ressource MS DTC dans un cluster de basculement Windows Server 2008 (https://go.microsoft.com/fwlink/p/?LinkID=129677).

2. Créez des groupes de domaines avec les noms Administrateurs de l’authentification unique et Administrateurs affiliés à l’authentification unique. Pour créer un instance cluster du service d’authentification unique, vous devez créer les groupes Administrateurs de l’authentification unique et Administrateurs affiliés à l’authentification unique en tant que groupes de domaines.

3. Créez ou désignez un compte de domaine membre du groupe de domaine Administrateurs de l’authentification unique. Le service SSO sur chaque nœud sera configuré pour ouvrir une session en tant que ce compte de domaine. Ce compte doit avoir le droit Se connecter en tant que service sur chaque nœud du cluster.

4. Ajoutez le compte que vous utilisez pour vous connecter pendant le processus d’installation et de configuration au groupe Administrateurs de l’authentification unique du domaine.

   Important

   La configuration du service SSO échoue si les étapes 3 et 4 ne sont pas terminées.

5. Connectez-vous à l’un des nœuds de cluster et installez BizTalk Server. Sélectionnez l'option pour démarrer le programme de configuration une fois l'installation correctement effectuée.

6. Choisissez l’option Configuration personnalisée et entrez les valeurs appropriées pour les champs Nom du serveur de base de données, Nom d’utilisateur et Mot de passe . Après avoir entré ces valeurs, cliquez sur le bouton Configurer pour continuer.

7. Définissez les options suivantes pour la fonction SSO :

   1. Cochez la case activée la case en regard de Activer l'Sign-On unique d’entreprise sur cet ordinateur.

   2. Cliquez sur l’option Rejoindre un système d’authentification unique existant.

   3. Entrez des valeurs pour le nom du serveur de base de données SSO et le nom de base de données existants.

   4. Entrez le compte de service d’authentification unique existant lorsque vous spécifiez le compte à utiliser pour le service enterprise single Sign-On.

8. Étant donné qu’il s’agit de la première BizTalk Server dans le groupe, choisissez l’option Créer un groupe BizTalk lors de la configuration du composant BizTalk Group.

9. Spécifiez les options de configuration restantes nécessaires, puis appliquez la configuration de BizTalk Server à ce nœud.

10. Une fois la configuration BizTalk Server terminée sur le premier nœud, connectez-vous au deuxième nœud et installez BizTalk Server. Sélectionnez l'option pour démarrer le programme de configuration une fois l'installation correctement effectuée.

11. Choisissez l’option Configuration personnalisée , puis entrez les valeurs appropriées pour les champs Nom du serveur de base de données, Nom d’utilisateur et Mot de passe . Après avoir entré ces valeurs, cliquez sur le bouton Configurer pour continuer.

12. Définissez les options suivantes pour la fonction SSO :

    1. Cochez la case activée la case en regard de Activer l'Sign-On unique d’entreprise sur cet ordinateur.

    2. Cliquez sur Joindre un système d’authentification unique existant.

    3. Entrez des valeurs pour le nom du serveur de base de données SSO et le nom de base de données existants.

    4. Entrez le compte de service d’authentification unique existant lorsque vous spécifiez le compte à utiliser pour le service enterprise single Sign-On.

13. Choisissez l’option Joindre un groupe BizTalk existant lors de la configuration du composant Groupe BizTalk sur ce nœud de cluster, puis spécifiez le groupe BizTalk que vous avez créé sur le premier nœud.

14. Spécifiez les options de configuration restantes nécessaires, puis appliquez la configuration de BizTalk Server à ce nœud.

15. Une fois la configuration BizTalk Server terminée, procédez comme suit pour mettre en cluster le service d’authentification unique :

    1. Arrêtez le service SSO sur chaque nœud de cluster en tapant ce qui suit à partir d'une invite de commandes :

       net stop entsso
       

    2. Dans Gestion du cluster de basculement, déplacez tous les groupes de cluster vers un seul nœud, puis ouvrez une session sur ce dernier.

    3. Dans le volet gauche, cliquez pour sélectionner un service ou une application en cluster, contenant une ressource Nom de réseau et une ressource Adresse IP. Ce service ou cette application en cluster contiendra le service SSO en cluster et l'hôte BizTalk en cluster.

       Notes

       Un service SSO en cluster ne requiert pas explicitement l'utilisation d'une ressource Disque physique en cluster dans le même groupe.

    4. Cliquez avec le bouton droit sur le service ou l’application en cluster, pointez sur Ajouter une ressource, puis cliquez sur Service générique pour afficher la boîte de dialogue Assistant Nouvelle ressource .

    5. Dans la page Sélectionner un service de l’Assistant Nouvelle ressource, sélectionnez Enterprise Single Sign-On Service, puis cliquez sur Suivant.

    6. Dans la page Confirmation , cliquez sur Suivant.

    7. Dans la page Résumé, cliquez sur Terminer. Une instance cluster du service d'Sign-On unique d’entreprise s’affiche sous Autres ressources dans le volet central de l’interface de gestion du cluster de basculement.

    8. Cliquez avec le bouton droit sur le instance cluster du service de Sign-On unique d’entreprise, puis sélectionnez Propriétés pour afficher la boîte de dialogue Propriétés du service Sign-On unique d’entreprise.

    9. Cliquez sur l’onglet Dépendances de la boîte de dialogue propriétés, puis sur Insérer.

    10. Cliquez sur la zone de liste déroulante sous Ressource, sélectionnez la ressource Nom : ressource, puis cliquez sur OK.

        Important

        Si vous n’ajoutez pas la dépendance à la ressource Nom :, les ordinateurs clients SSO génèrent une erreur similaire à la suivante lorsqu’ils essaient de contacter cette instance cluster du service d’authentification unique :

        Impossible d'extraire les secrets principaux.

        Vérifiez que le nom de serveur de secret principal est correct et disponible. Nom du serveur de secret : Code d'erreur ENTSSO : 0x800706D9, le mappeur de point final n'a plus de point final disponible.

16. Cluster IIS sur l’ordinateur BizTalk Server en suivant les étapes décrites dans l’article de la Base de connaissances Microsoft 970759 « Configuration d’IIS 7.0 dans un cluster de basculement Microsoft Windows Server 2008 » (https://go.microsoft.com/fwlink/p/?LinkId=152793). Créez le service web IIS en cluster dans le même groupe de clusters que le service d’authentification unique en cluster.

17. Dans Gestion du cluster de basculement, cliquez avec le bouton droit sur le service ou l’application en cluster qui contient le service de Sign-On d’entreprise en cluster, puis cliquez sur Mettre ce service ou cette application en ligne pour démarrer toutes les ressources du service ou de l’application en cluster.

18. Cliquez avec le bouton droit sur le service ou l’application en cluster, pointez sur Déplacer ce service ou cette application vers un autre nœud, puis cliquez sur le deuxième nœud. Cette opération déplace le service ou l'application en cluster contenant le service d'authentification unique de l'entreprise en cluster du premier nœud vers le second.

19. Cliquez avec le bouton droit sur le service de Sign-On unique d’entreprise en cluster, cliquez sur Mettre ce service ou cette application hors connexion, puis cliquez avec le bouton droit sur le instance cluster du service d’authentification unique et cliquez sur Mettre ce service ou cette application en ligne.

20. Définissez le nom du serveur sSO pour tous les utilisateurs sur le service d’authentification unique en cluster avec l’utilitaire de ligne de commande ssomanage. Vous devez exécuter cette commande à partir du dossier d'installation de SSO sur chaque serveur BizTalk du groupe. Par exemple, la ligne de commande suivante définit le nom de serveur SSO pour tous les utilisateurs sur le service SSO en cluster :

    ssomanage -serverall SSOCLUSTER
    

    Notes

    SSOCLUSTER est un espace réservé pour la ressource de nom de réseau réelle qui est créée dans le groupe de clusters qui contient le service d’authentification unique en cluster.

21. Mettez à jour le nom du serveur d’authentification unique accessible dans la page Propriétés du groupe BizTalk pour référencer le service d’authentification unique en cluster. Ouvrez BizTalk Server Administration, cliquez avec le bouton droit sur le groupe BizTalk, sélectionnez l’élément de menu Propriétés, mettez à jour l’entrée nom du serveur SSO, puis cliquez sur OK.

22. Suivez les étapes décrites dans Configurer un hôte BizTalk en tant que ressource de cluster pour créer une ou plusieurs instances d’hôte BizTalk en cluster dans le même groupe de clusters que celui que vous avez créé le service d’authentification unique en cluster.

    Notes

    Dans ce scénario, tous les hôtes BizTalk doivent être créés comme ressources du cluster dans le même groupe de clusters que la ressource du service SSO en cluster. L'exécution d'une instance de l'hôte BizTalk sans cluster sur un nœud de cluster Windows Server où le service SSO est en cluster n'est pas une configuration prise en charge. Cela est dû au fait que l'exécution de l'instance de l'hôte BizTalk sans cluster échouera lors du basculement du service SSO en cluster vers un autre nœud, parce qu'une instance de l'hôte BizTalk dépend du service SSO.