Verschieben des Servers für den geheimen Hauptschlüssel
Dieses Thema dokumentiert die Schritte, mit denen Sie den geheimen Hauptschlüssel von einem Server auf einen anderen bzw. von einem Server auf einen Windows Server-Cluster verschieben können.
So verschieben Sie den geheimen Hauptschlüssel von einem Server auf einen anderen
Installieren Sie auf dem neuen Server für den geheimen Hauptschlüssel Einmaliges Anmelden für Unternehmen (Enterprise Single Sign-On, SSO) von Microsoft, wenn es nicht bereits installiert ist. Starten Sie das Microsoft Enterprise Single Sign-On Server-Setup von \Platform\SSO\setup.exe auf der BizTalk Server CD.
Konfigurieren Sie auf dem neuen Server für den geheimen Hauptschlüssel Einmaliges Anmelden für Unternehmen (Enterprise Single Sign-On, SSO), wenn es nicht bereits konfiguriert ist. Führen Sie folgende Schritte aus, um Einmaliges Anmelden für Unternehmen zu konfigurieren:
Öffnen Sie das Konfigurationstool. Standardmäßig befindet sich das Konfigurationstool unter <Laufwerk>:\Programme\Common Files\Enterprise Single Sign-On\Configuration.exe.
Klicken Sie im linken Bereich auf Enterprise SSO .
Aktivieren Sie im rechten Bereich das Kontrollkästchen neben Enterprise Single Sign-On auf diesem Computer aktivieren .
Klicken Sie auf die Option Zum Verknüpfen eines vorhandenen SSO-Systems.
Geben Sie den vorhandenen Servernamen und den Datenbanknamen für die SSO-Datenbankoptionen an.
Geben Sie das vorhandene Enterprise SSO-Dienstkonto für die Option Enterprise Single Sign-On Server für die Windows-Dienstoption an .
Hinweis
Hierbei muss es sich um ein Domänenkonto handeln.
Klicken Sie auf die Option Konfiguration anwenden , und klicken Sie im Dialogfeld Konfigurations-Assistent auf Konfigurieren , um die Konfiguration abzuschließen.
Klicken Sie auf Fertig stellen , und schließen Sie das Konfigurationstool.
Sichern Sie das vorhandene master Geheimnis, indem Sie die Schritte unter Sichern des Geheimen Hauptschlüssels ausführen.
Ändern Sie den Namen des Servers für den geheimen Hauptschlüssel in der SSO-Datenbank so, dass er auf den neuen Server für den geheimen Hauptschlüssel verweist. Der Name des neuen master Geheimservers kann beispielsweise NewMSSServer sein. Führen Sie dann hierzu folgende Schritte auf dem Originalserver für den geheimen Hauptschlüssel aus:
Fügen Sie folgenden Code in einen Texteditor, wie z. B. Editor (notepad.exe), ein:
<sso> <globalInfo> <secretServer>NewMSSServer</secretServer> </globalInfo> </sso>
Speichern Sie die Datei als .xml Datei. Speichern Sie die Datei beispielsweise als NewMSSServer.xml.
Wechseln Sie an einer Eingabeaufforderung in den Installationsordner von Einmaliges Anmelden für Unternehmen. Standardmäßig lautet <der Installationsordner laufwerk>:\Programme\Common Files\Enterprise Single Sign-On.
Geben Sie ssomanage -updatedbXMLFile ein, um den namen des master Geheimservers in der Datenbank zu aktualisieren.
Hinweis
Ersetzen Sie XMLFile durch den Namen der .xml Datei, die Sie gespeichert haben.
Hinweis
Auf einem System, das Unterstützung für die Benutzerkontensteuerung (User Account Control, UAC) bietet, müssen Sie das Tool möglicherweise mit Administratorrechten ausführen.
Starten Sie den Dienst für Einmaliges Anmelden (SSO) für Unternehmen auf dem neuen Server für den geheimen Hauptschlüssel neu.
Stellen Sie das gesicherte master Geheimnis auf dem neuen master Geheimnisserver wieder her, indem Sie die Schritte unter Wiederherstellen des Geheimen Hauptschlüssels auf dem neuen master Geheimserver ausführen.
So verschieben Sie den geheimen Hauptschlüssel von einem Server auf einen Windows Server-Cluster
Installieren und konfigurieren Sie den Enterprise SSO-Dienst in einem Windows Server-Cluster, indem Sie die Schritte unter Clustern des Master Secret Servers ausführen. Führen Sie alle Schritte in diesem Thema mit Ausnahme der Schritte aus, die im Abschnitt Wiederherstellen des master Geheimnisses auf dem zweiten Clusterknoten beschrieben werden. Da Sie den vorhandenen master geheimen Server in den Cluster verschieben, wählen Sie beim Konfigurieren des einmaligen Anmeldens für Unternehmen auf den Clusterknoten nicht die Option Erstellen eines neuen SSO-Systems aus. Beim Konfigurieren der einzelnen Clusterknoten legen Sie folgende Optionen für das Feature Einmaliges Anmelden für Unternehmen im BizTalk Server-Konfigurationsprogramm fest:
Aktivieren Sie das Kontrollkästchen Neben Enterprise Single Sign-On auf diesem Computer aktivieren.
Klicken Sie auf die Option Zum Verknüpfen eines vorhandenen SSO-Systems.
Geben Sie Werte für den vorhandenen Namen des SSO-Datenbankservers sowie für den Datenbanknamen ein.
Geben Sie das vorhandene SSO-Dienstkonto ein, wenn Sie das Konto angeben, das für den Dienst für Einmaliges Anmelden (SSO) für Unternehmen verwendet werden soll.
Kopieren Sie die vorhandene Sicherungsdatei des geheimen Hauptschlüssels auf jedem Clusterknoten in den Ordner \Enterprise Single Sign-On.
Wenn dieser Windows Server-Cluster mindestens einen geclusterten BizTalk-Host aufnehmen soll, legen Sie den Namen des SSO-Servers für alle Benutzer mithilfe des Befehlszeilentools „ssomanage“ auf den des Clusterservers für den geheimen Hauptschlüssel fest. Führen Sie diesen Befehl auf jedem Computer mit BizTalk Server in der Gruppe im Installationsordner von Einmaliges Anmelden für Unternehmen aus. Folgende Befehlszeile legt beispielsweise den Namen des SSO-Servers für alle Benutzer auf den Clusterserver für den geheimen Hauptschlüssel fest:
ssomanage -serverall SSOCLUSTER
Hinweis
SSOCLUSTER ist ein Platzhalter für die tatsächliche Netzwerknamenressource, die in der Clustergruppe erstellt wird, die die gruppierte master geheime Serverressource enthält. In diesem Szenario müssen alle BizTalk-Hosts als Clusterressourcen in derselben Clustergruppe wie die gruppierte Enterprise SSO-Dienstressource erstellt werden. Eine Konfiguration, in der eine nicht geclusterte BizTalk-Hostinstanz auf einem Windows Server-Clusterknoten, auf dem der Dienst für Einmaliges Anmelden (SSO) für Unternehmen geclustert ist, ausgeführt wird, wird nicht unterstützt. Der Grund hierfür ist, dass die nicht geclusterte BizTalk-Hostinstanz bei einem Failover des geclusterten Diensts für Einmaliges Anmelden (SSO) für Unternehmen auf einen anderen Knoten fehlschlägt, weil eine BizTalk-Hostinstanz vom SSO-Dienst abhängig ist.
Hinweis
Auf einem System, das Unterstützung für die Benutzerkontensteuerung (User Account Control, UAC) bietet, müssen Sie das Tool möglicherweise mit Administratorrechten ausführen.
Klicken Sie im Clusteradministrator mit der rechten Maustaste auf die Clustergruppe, die die gruppierte Enterprise SSO-Dienstressource enthält, und klicken Sie auf Online schalten , um alle Ressourcen in der Clustergruppe zu starten.
Wenn dieser Windows Server-Cluster einen oder mehrere gruppierte BizTalk-Hosts hostet, aktualisieren Sie den SSO-Servernamen, auf den auf der Seite BizTalk-Gruppeneigenschaften zugegriffen werden kann, um auf den gruppierten master geheimen Server zu verweisen. Starten Sie BizTalk Server Verwaltung, klicken Sie mit der rechten Maustaste auf die BizTalk-Gruppe, und wählen Sie das Menüelement Eigenschaften aus, aktualisieren Sie dann den Eintrag für SSO-Servername, und klicken Sie auf OK.
Hinweis
In diesem Szenario müssen alle BizTalk-Hosts als Clusterressourcen in derselben Clustergruppe wie die Dienstressource für Einmaliges Anmelden (SSO) für Unternehmen erstellt werden. Eine Konfiguration, in der eine nicht geclusterte BizTalk-Hostinstanz auf einem Windows Server-Clusterknoten, auf dem der Dienst für Einmaliges Anmelden (SSO) für Unternehmen geclustert ist, ausgeführt wird, wird nicht unterstützt. Der Grund hierfür ist, dass die nicht geclusterte BizTalk-Hostinstanz bei einem Failover des geclusterten Diensts für Einmaliges Anmelden (SSO) für Unternehmen auf einen anderen Knoten fehlschlägt, weil eine BizTalk-Hostinstanz vom SSO-Dienst abhängig ist.
Klicken Sie mit der rechten Maustaste auf die gruppierte instance des Enterprise SSO-Diensts, und klicken Sie dann auf Offline schalten, klicken Sie dann mit der rechten Maustaste auf den gruppierten instance des Enterprise SSO-Diensts, und klicken Sie auf Online schalten.
Hinweis
Wenn dieser Schritt nicht ausgeführt wird, schlagen Versuche zum Wiederherstellen des geheimen Hauptschlüssels möglicherweise fehl.
Stellen Sie den gesicherten geheimen Hauptschlüssel auf jedem Knoten des Windows-Clusters wieder her, in dem sich der Clusterserver für den geheimen Hauptschlüssel befindet. Führen Sie die Schritte unter Wiederherstellen des Geheimen Hauptschlüssels auf jedem Knoten des Windows-Clusters aus, auf dem sich der gruppierte master Geheimserver befindet.