Compartir vía


Agrupación en clústeres del servidor secreto maestro

Se recomienda seguir las instrucciones contenidas en esta sección para agrupar el servicio de inicio de sesión único (SSO) empresarial correctamente en el servidor secreto principal.

Al organizar por clústeres el servidor secreto principal, los servidores de inicio de sesión único se comunican con la instancia agrupada activa del servidor secreto principal. De forma similar, la instancia agrupada activa del servidor secreto principal se comunica con la base de datos de SSO.

Deberá ser administrador de SSO para realizar este procedimiento.

Precaución

El servidor secreto principal no puede instalarse en un clúster de equilibrio de carga de red (NLB).

Para instalar y configurar SSO empresarial en los nodos de clúster

  1. Instale BizTalk Server en cada nodo de clúster. En Instalación de componentes, seleccione Enterprise Single Sign-On Administration Module y Enterprise Single Sign-On Master Secret Server. Una vez completada correctamente la instalación, no ejecute la configuración de BizTalk Server.

  2. Cree administradores de SSO y grupos de dominios de administradores afiliados de SSO . Para crear una instancia en clúster del servicio SSO empresarial, debe crear estos grupos como grupos de dominio.

  3. Cree o designe una cuenta de dominio que sea miembro del grupo de dominio Administradores de SSO . El Servicio SSO empresarial de cada nodo está configurado para iniciar sesión como esta cuenta de dominio. Esta cuenta debe tener el inicio de sesión como servicio directamente en cada nodo del clúster.

  4. Agregue la cuenta que usa para iniciar sesión durante el proceso de configuración al grupo administradores de SSO del dominio.

    Importante

    Si no se completan los pasos 3 y 4, la configuración del servicio SSO empresarial no se lleva a cabo correctamente.

  5. Inicie la configuración de BizTalk Server.

  6. Seleccione la opción Configuración personalizada y escriba los valores nombre del servidor de base de datos, Nombre de usuario y Contraseña . Seleccione Configurar para continuar.

    Nota

    Puesto que solo va a configurar el servicio de inicio de sesión único de empresa en este momento, solo puede escribir la cuenta de dominio que creó anteriormente aquí.

  7. Seleccione la opción Enterprise SSO en el panel izquierdo y establezca las siguientes opciones para la característica SSO empresarial:

    1. Active la casilla Habilitar Sign-On única de empresa en este equipo .

    2. Seleccione Create a new SSO system (Crear un nuevo sistema de SSO).

    3. Escriba los valores Data stores (Almacenes de datos) para Server Name (Nombre del servidor) y Database Name (Nombre de base de datos).

    4. Compruebe que la cuenta de dominio creada anteriormente es la cuenta asociada con el servicio SSO empresarial.

    5. Escriba el grupo Administradores de SSO de dominio creado anteriormente como el grupo asociado con el rol Administradores de SSO.

    6. Escriba el grupo Administradores afiliados de SSO de dominio creado anteriormente como el grupo asociado con el rol Administradores afiliados de SSO.

  8. Seleccione la opción Copia de seguridad secreta de SSO empresarial en el panel izquierdo y proporcione los parámetros adecuados para realizar copias de seguridad del secreto de SSO empresarial. De forma predeterminada, se realiza una copia de seguridad del secreto de inicio de sesión único de empresa en <drive>:\Program Files\Common Files\Enterprise Single Sign-On\SSOxxxx.bak.

  9. Haga clic en Aplicar configuración y revise el resumen.

  10. Haga clic en Siguiente para aplicar la configuración.

  11. Haga clic en Finalizar para cerrar el Asistente para configuración.

  12. Cierre la configuración de BizTalk Server.

  13. Inicie sesión en el nodo de clúster pasivo e inicie la configuración de BizTalk Server.

  14. Elija la opción Configuración personalizada y escriba los mismos valores para el nombre del servidor de base de datos, el nombre de usuario y la contraseña que especificó al configurar el primer nodo de clúster. Después de escribir estos valores, haga clic en Configurar para continuar.

  15. Seleccione la opción Enterprise SSO en el panel izquierdo y establezca las siguientes opciones para la característica SSO empresarial:

    1. Seleccione la opción Habilitar enterprise Single Sign-On en este equipo .

    2. Seleccione Unirse a un sistema SSO existente.

    3. Escriba los mismos valores para el nombre del servidor de base de datos SSO y el nombre de la base de datos que especificó al configurar el primer nodo de clúster.

    4. Especifique el mismo valor para la cuenta de dominio que el especificado al configurar el primer nodo de clúster.

  16. Seleccione Aplicar configuración para mostrar el resumen.

  17. Seleccione Siguiente para aplicar la configuración.

  18. Seleccione Finalizar para cerrar el Asistente para configuración.

  19. Cierre la configuración de BizTalk Server.

Para actualizar el nombre del servidor secreto principal en la base de datos de SSO

  1. Escriba los comandos siguientes en un símbolo del sistema del nodo de clúster activo para detener y reiniciar el servicio SSO empresarial:

    net stop entsso
    

    y

    net start entsso
    
  2. Cambie el nombre del servidor secreto maestro en la base de datos de SSO por el nombre de red de SSO configurado en el clúster siguiendo estos pasos:

    Nota

    Especifique el recurso de nombre de red que ha creado en el mismo rol de clúster que contendrá el recurso de SSO agrupado. Por ejemplo, el nombre puede ser SSONETWORKNAME.

    1. Pegue el código siguiente en un editor de texto:

      <sso>
        <globalInfo>
          <secretServer>SSONETWORKNAME</secretServer>
        </globalInfo>
      </sso>
      

      Nota

      Reemplace SSONETWORKNAME por el nombre de red real que se crea en el rol de clúster para SSO.

    2. Guarde el archivo con la extensión .xml. Por ejemplo, puede guardar el archivo con el nombre SSOCLUSTER.xml.

    3. En el símbolo del sistema, desplácese a la carpeta de instalación de SSO empresarial. De forma predeterminada, la carpeta de instalación es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

    4. Escriba el comando siguiente en el símbolo del sistema para actualizar el servidor secreto principal en la base de datos:

      ssomanage -updatedb XMLFile
      

      Nota

      XMLFile es un marcador de posición para el nombre del archivo .xml que guardó anteriormente.

Para crear el recurso SSO empresarial agrupado

  1. Si el clúster no está configurado con un recurso de Coordinador de transacciones distribuidas en clúster (MSDTC), siga los pasos descritos en las notas del producto "Mejorar la tolerancia a errores en BizTalk Server mediante un clúster de Windows Server" en https://go.microsoft.com/fwlink/?LinkId=69207 para crear un recurso MSDTC agrupado.

  2. Haga clic en Inicio, Programas, Herramientas administrativasy, a continuación, en Administración de clústeres de conmutación por error para iniciar el programa de administración de clústeres de conmutación por error.

  3. En el panel izquierdo, haga clic con el botón derecho en Administración de clústeres de conmutación por error y haga clic en Administrar un clúster.

  4. En el cuadro de diálogo Seleccionar un clúster para administrar , escriba el clúster que se va a administrar y haga clic en Aceptar.

  5. En el panel izquierdo, haga clic para seleccionar un servicio o aplicación en clúster que contenga un recurso de dirección IP y nombre de red. Siga los pasos descritos en Creación de un grupo de clústeres con un disco, una dirección IP y un recurso de nombre para crear un grupo con una dirección IP y un recurso de nombre de red si aún no existe uno.

    Nota

    Un servicio SSO empresarial en clúster no necesita de forma explícita el uso de un recurso de disco físico en clúster en el mismo grupo.

  6. Haga clic con el botón derecho en el servicio o la aplicación en clúster, seleccione Agregar un recurso y haga clic en Servicio genérico para mostrar el cuadro de diálogo Asistente para nuevo recurso .

    Importante

    En el cuadro de diálogo Parámetros de servicio genérico , si no hace clic para activar la casilla Usar nombre de red para el nombre del equipo , los equipos cliente de SSO generarán un error similar al siguiente cuando intenten ponerse en contacto con esta instancia en clúster del servicio SSO de empresa:

    No se pudieron recuperar los secretos principales.

    Compruebe que el nombre del servidor secreto principal es correcto y está disponible. Nombre del servidor secreto: ENTSSO Código de error: 0x800706D9. No hay más extremos disponibles desde el asignador de extremos.

  7. En la página Seleccionar servicio del Asistente para nuevos recursos, haga clic para seleccionar Enterprise Single Sign-On Service y haga clic en Siguiente.

  8. En la página Confirmación , haga clic en Siguiente.

  9. En la página Resumen , haga clic en Finalizar. Una instancia en clúster del servicio Enterprise Single Sign-On aparecerá en Otros recursos en el panel central de la interfaz de administración de clústeres de conmutación por error.

  10. Haga clic con el botón derecho en la instancia en clúster del servicio Enterprise Single Sign-On y seleccione Propiedades para mostrar el cuadro de diálogo Propiedades de servicio de Sign-On único de empresa.

  11. Haga clic en la pestaña Dependencias del cuadro de diálogo de propiedades y haga clic en Insertar.

  12. Haga clic en el cuadro desplegable en Recurso, seleccione el recurso Nombre: y haga clic en Aceptar.

Para restaurar el secreto principal en el segundo nodo de clúster

  1. En Administración de clústeres de conmutación por error, haga clic con el botón derecho en el servicio o la aplicación en clúster que contiene el servicio enterprise single Sign-On y, a continuación, haga clic en Bring this service or application online (Traer este servicio o aplicación en línea ) para iniciar todos los recursos del servicio o la aplicación en clúster.

  2. Haga clic con el botón derecho en el servicio o la aplicación en clúster, seleccione Mover este servicio o aplicación a otro nodo y haga clic en el segundo nodo. Este paso mueve el servicio o la aplicación en clúster que contiene el servicio Inicio de sesión único empresarial en clúster del primer nodo al segundo.

  3. Haga clic con el botón derecho en el servicio Enterprise Single Sign-On y haga clic en Desconectar este servicio o aplicación y, a continuación, haga clic con el botón derecho en la instancia en clúster del servicio Enterprise SSO y haga clic en Poner en línea este servicio o aplicación.

    Nota

    Si no se completa este paso, es posible que el intento de restaurar el secreto principal resulte infructuoso.

  4. Copie el archivo de copia de seguridad del secreto principal del primer nodo a la carpeta de instalación \Enterprise Single Sign-On del segundo nodo. De forma predeterminada, la carpeta de instalación es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  5. Inicie sesión en el segundo nodo y, en un símbolo del sistema, cambie a la carpeta de instalación de SSO empresarial.

  6. Para restaurar el secreto principal en el segundo nodo, escriba el comando siguiente en el símbolo del sistema:

    ssoconfig -restoresecret RestoreFile
    

    Nota

    Reemplace RestoreFile por la ruta de acceso de y el nombre del archivo de copia de seguridad que contiene el secreto maestro.

    El secreto principal se almacena en el Registro en la siguiente ubicación:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ENTSSO\SSOSS

  7. Mueva la aplicación o servicio en clúster que contiene el servicio de inicio de sesión único empresarial en clúster de este nodo de clúster a otro nodo de clúster para garantizar la funcionalidad de conmutación por error. A continuación, mueva el grupo de clúster en el sentido contrario para comprobar la funcionalidad de conmutación por recuperación.

Consulte también

Cómo crear un grupo de clústeres con un disco, una dirección IP y un recurso de nombre