Partager via


Comment mettre en cluster le serveur secret principal

Il est recommandé de suivre les instructions dans cette section pour mettre en cluster le service d'authentification unique de l'entreprise sur le serveur de secret principal.

Lorsque vous mettez en cluster le serveur de secret principal, les serveurs d'authentification unique communiquent avec l'instance en cluster active sur le serveur de secret principal. De même, l'instance en cluster active du serveur de secret principal communique avec la base de données de l'authentification unique.

Seul un administrateur de l'authentification unique peut effectuer cette procédure.

Attention

Vous ne pouvez pas installer le serveur de secret principal sur un cluster d'équilibrage de la charge réseau.

Pour installer et configurer l'authentification unique de l'entreprise sur les nœuds de cluster

  1. Installez BizTalk Server sur chaque nœud de cluster. Dans Installation du composant, sélectionnez Enterprise Single Sign-On Administration Module et Enterprise Single Sign-On Master Secret Server. Une fois l’installation terminée, n’exécutez pas la configuration BizTalk Server.

  2. Créez des groupes de domaines Administrateurs SSO et Administrateurs affiliés À l’authentification unique. Pour créer une instance en cluster du service d'authentification unique de l'entreprise, vous devez créer ces groupes en tant que groupes de domaines.

  3. Créez ou désignez un compte de domaine membre du groupe de domaine Administrateurs de l’authentification unique. Le service d'authentification unique de l'entreprise sur chaque nœud est configuré pour ouvrir une session en tant que ce compte de domaine. Ce compte doit avoir le droit Se connecter en tant que service sur chaque nœud du cluster.

  4. Ajoutez le compte que vous utilisez pour vous connecter pendant le processus de configuration au groupe Administrateurs de l’authentification unique de domaine.

    Important

    La configuration du service d'authentification unique de l'entreprise échoue si les étapes 3 et 4 ne sont pas terminées.

  5. Démarrez la configuration BizTalk Server.

  6. Sélectionnez l’option Configuration personnalisée et entrez les valeurs Nom du serveur de base de données, Nom d’utilisateur et Mot de passe . Sélectionnez Configurer pour continuer.

    Notes

    Comme vous configurez uniquement le service d'authentification unique de l'entreprise à ce moment, vous pouvez simplement entrer le compte de domaine créé précédemment.

  7. Sélectionnez l’option Enterprise SSO dans le volet gauche et définissez les options suivantes pour la fonctionnalité Enterprise SSO :

    1. Cochez la case Activer l'Sign-On unique d’entreprise sur cet ordinateur case activée.

    2. Sélectionnez Créer un système d’authentification unique.

    3. Entrez les magasins de données pour les valeurs Nom du serveur et Nom de la base de données .

    4. Vérifiez que le compte de domaine créé précédemment est le compte associé au service d'authentification unique de l'entreprise.

    5. Entrez le groupe Administrateurs de l'authentification unique du domaine créé précédemment comme groupe associé au rôle Administrateur(s) de l'authentification unique.

    6. Entrez le groupe Administrateurs d'applications associées à authentification unique du domaine créé précédemment comme groupe associé au rôle Administrateur(s) d'applications associées à authentification unique.

  8. Sélectionnez l’option Enterprise SSO Secret Backup dans le volet gauche et fournissez les paramètres appropriés pour la sauvegarde du secret Enterprise SSO. Par défaut, le secret de l’authentification unique d’entreprise est sauvegardé sur <drive> :\Program Files\Common Files\Enterprise Single Sign-On\SSOxxxx.bak.

  9. Cliquez sur Appliquer la configuration et passez en revue le Résumé.

  10. Cliquez sur Suivant pour appliquer la configuration.

  11. Cliquez sur Terminer pour fermer l’Assistant Configuration.

  12. Fermez la configuration BizTalk Server.

  13. Connectez-vous au nœud de cluster passif et démarrez la configuration BizTalk Server.

  14. Choisissez l’option Configuration personnalisée et entrez les mêmes valeurs pour le nom du serveur de base de données, le nom d’utilisateur et le mot de passe que vous avez entrés lors de la configuration du premier nœud de cluster. Après avoir entré ces valeurs, cliquez sur Configurer pour continuer.

  15. Sélectionnez l’option Enterprise SSO dans le volet gauche et définissez les options suivantes pour la fonctionnalité Enterprise SSO :

    1. Sélectionnez l’option Activer l'Sign-On unique d’entreprise sur cet ordinateur .

    2. Sélectionnez Joindre un système d’authentification unique existant.

    3. Entrez les mêmes valeurs pour le nom du serveur de base de données SSO et le nom de la base de données que vous avez entrés lors de la configuration du premier nœud de cluster.

    4. Entrez la même valeur pour le compte de domaine que celle entrée lors de la configuration du premier nœud de cluster.

  16. Sélectionnez Appliquer la configuration pour afficher le Résumé.

  17. Sélectionnez Suivant pour appliquer la configuration.

  18. Sélectionnez Terminer pour fermer l’Assistant Configuration.

  19. Fermez la configuration BizTalk Server.

Pour mettre à jour le nom du serveur de secret principal dans la base de données d'authentification unique

  1. Tapez les commandes suivantes dans une invite de commandes sur le nœud de cluster actif pour arrêter et redémarrer le service d'authentification unique de l'entreprise :

    net stop entsso
    

    et

    net start entsso
    
  2. Remplacez le nom du serveur secret master dans la base de données SSO par le nom réseau de l’authentification unique configuré dans le cluster en procédant comme suit :

    Notes

    Spécifiez la ressource de nom de réseau que vous avez créée dans le même rôle de cluster qui contiendra la ressource d’authentification unique en cluster. Par exemple, le nom peut être SSONETWORKNAME.

    1. Collez le code suivant dans un éditeur de texte :

      <sso>
        <globalInfo>
          <secretServer>SSONETWORKNAME</secretServer>
        </globalInfo>
      </sso>
      

      Notes

      Remplacez SSONETWORKNAME par le nom de réseau réel créé dans le rôle de cluster pour l’authentification unique.

    2. Enregistrez le fichier au format .xml. Par exemple, enregistrez le fichier sous SSOCLUSTER.xml.

    3. À l'invite de commandes, accédez au dossier d'installation des services d'authentification unique de l'entreprise. Par défaut, le dossier d’installation est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

    4. Tapez la commande suivante à l'invite de commandes pour mettre à jour le nom du serveur de secret principal dans la base de données :

      ssomanage -updatedb XMLFile
      

      Notes

      XMLFile est un espace réservé pour le nom du fichier .xml que vous avez enregistré précédemment.

Pour créer la ressource d'authentification unique de l'entreprise en cluster

  1. Si le cluster n’est pas configuré avec une ressource MSDTC (Clustered Distributed Transaction Coordinator), suivez les étapes décrites dans le livre blanc « Amélioration de la tolérance de panne dans BizTalk Server à l’aide d’un cluster Windows Server » pour https://go.microsoft.com/fwlink/?LinkId=69207 créer une ressource MSDTC en cluster.

  2. Cliquez sur Démarrer, Programmes, Outils d’administration, puis Gestion du cluster de basculement pour démarrer le programme Gestion du cluster de basculement.

  3. Dans le volet gauche, cliquez avec le bouton droit sur Gestion du cluster de basculement , puis cliquez sur Gérer un cluster.

  4. Dans la boîte de dialogue Sélectionner un cluster à gérer , entrez le cluster à gérer, puis cliquez sur OK.

  5. Dans le volet gauche, cliquez pour sélectionner un service ou une application en cluster, contenant une ressource Nom de réseau et une ressource Adresse IP. Suivez les étapes décrites dans Création d’un groupe de clusters avec un disque, une adresse IP et une ressource de nom pour créer un groupe avec une ressource d’adresse IP et de nom réseau s’il n’en existe pas déjà un.

    Notes

    Un service d’authentification unique d’entreprise en cluster ne nécessite pas explicitement l’utilisation d’une ressource de disque physique en cluster dans le même groupe.

  6. Cliquez avec le bouton droit sur le service ou l’application en cluster, pointez sur Ajouter une ressource, puis cliquez sur Service générique pour afficher la boîte de dialogue Assistant Nouvelle ressource .

    Important

    Dans la boîte de dialogue Paramètres de service génériques, si vous ne cliquez pas pour sélectionner la zone Utiliser le nom réseau pour le nom de l’ordinateur case activée, les ordinateurs clients SSO génèrent une erreur similaire à la suivante lorsqu’ils essaient de contacter cette instance en cluster du service Enterprise SSO :

    Impossible d'extraire les secrets principaux.

    Vérifiez que le nom de serveur de secret principal est correct et disponible. Nom du serveur de secret : Code d'erreur ENTSSO : 0x800706D9, le mappeur de point final n'a plus de point final disponible.

  7. Dans la page Sélectionner le service de l’Assistant Nouvelle ressource, cliquez pour sélectionner Enterprise Single Sign-On Service , puis cliquez sur Suivant.

  8. Dans la page Confirmation , cliquez sur Suivant.

  9. Dans la page Résumé, cliquez sur Terminer. Une instance cluster du service d'Sign-On unique d’entreprise s’affiche sous Autres ressources dans le volet central de l’interface de gestion du cluster de basculement.

  10. Cliquez avec le bouton droit sur le instance cluster du service de Sign-On unique d’entreprise, puis sélectionnez Propriétés pour afficher la boîte de dialogue Propriétés du service Sign-On unique d’entreprise.

  11. Cliquez sur l’onglet Dépendances de la boîte de dialogue propriétés, puis sur Insérer.

  12. Cliquez sur la zone de liste déroulante sous Ressource, sélectionnez la ressource Nom : ressource, puis cliquez sur OK.

Pour restaurer le secret principal sur le second nœud de cluster

  1. Dans Gestion du cluster de basculement, cliquez avec le bouton droit sur le service ou l’application en cluster qui contient le service de Sign-On d’entreprise en cluster, puis cliquez sur Mettre ce service ou cette application en ligne pour démarrer toutes les ressources du service ou de l’application en cluster.

  2. Cliquez avec le bouton droit sur le service ou l’application en cluster, pointez sur Déplacer ce service ou cette application vers un autre nœud, puis cliquez sur le deuxième nœud. Cette opération déplace le service ou l'application en cluster contenant le service d'authentification unique de l'entreprise en cluster du premier nœud vers le second.

  3. Cliquez avec le bouton droit sur le service enterprise single Sign-On cluster et cliquez sur Mettre ce service ou cette application hors connexion, puis cliquez avec le bouton droit sur le instance cluster du service Enterprise SSO, puis cliquez sur Mettre ce service ou cette application en ligne.

    Notes

    Si cette étape n'est pas achevée, les tentatives de restauration du secret principal risquent d'échouer.

  4. Copiez le fichier de sauvegarde du secret principal du premier nœud dans le dossier d'installation \Enterprise Single Sign-On sur le second nœud. Par défaut, le dossier d’installation est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

  5. Ouvrez une session sur le second nœud, ouvrez une invite de commandes, puis accédez au dossier d'installation des services d'authentification unique de l'entreprise.

  6. Tapez la commande suivante à l'invite de commandes pour restaurer le secret principal sur le second nœud :

    ssoconfig -restoresecret RestoreFile
    

    Notes

    Remplacez RestoreFile par le chemin d’accès et le nom du fichier de sauvegarde qui contient le secret master.

    Le serveur principal est stocké dans le Registre à l'emplacement suivant :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ENTSSO\SSOSS

  7. Déplacez le service ou l'application en cluster contenant le service d'authentification unique de l'entreprise en cluster de ce nœud vers l'autre nœud du cluster pour assurer la fonctionnalité de basculement. Replacez ensuite le groupe de clusters dans sa position d'origine pour vérifier la fonctionnalité de restauration.

Voir aussi

Création d'un groupe de clusters avec un disque, une adresse IP et une ressource de nom