Partager via


Déplacement du serveur de secret principal

La présente rubrique décrit les procédures que vous pouvez suivre pour déplacer le secret principal d'un serveur vers un autre et pour déplacer le secret principal d'un serveur vers un cluster Windows Server.

Pour déplacer le secret principal d'un serveur vers un autre

  1. Installez le Serveur d'authentification unique de l'entreprise Microsoft sur le nouveau serveur de secret principal s'il n'est pas encore installé. Lancez le programme d’installation de Microsoft Enterprise Single Sign-On Server à partir de \Platform\SSO\setup.exe sur le CD BizTalk Server.

  2. Configurez l'authentification unique de l'entreprise sur le nouveau serveur de secret principal si ce n'est déjà fait. Pour configurer l'authentification unique de l'entreprise, procédez comme suit :

    1. Ouvrez l'outil de configuration. Par défaut, l’outil de configuration se trouve dans <drive> :\Program Files\Common Files\Enterprise Single Sign-On\Configuration.exe.

    2. Cliquez pour sélectionner Enterprise SSO dans le volet gauche.

    3. Sélectionnez la zone case activée en regard de Activer l'Sign-On unique d’entreprise sur cet ordinateur dans le volet droit.

    4. Cliquez sur l’option joindre un système d’authentification unique existant.

    5. Spécifiez le nom du serveur et le nom de la base de données existants pour les options de base de données SSO.

    6. Spécifiez le compte de service d’authentification unique Entreprise existant pour l’option Enterprise Single Sign-On Server pour l’option Service Windows .

      Notes

      Il doit s'agir d'un compte de domaine.

    7. Cliquez sur l’option Appliquer la configuration , puis cliquez sur Configurer dans la boîte de dialogue Assistant Configuration pour terminer la configuration.

    8. Cliquez sur Terminer et fermez l’outil Configuration.

  3. Sauvegardez le secret master existant en suivant les étapes décrites dans Comment sauvegarder le secret principal.

  4. Modifiez le nom du serveur de secret principal dans la base de données d'authentification unique afin de référencer le nouveau serveur de secret principal. Par exemple, le nom du nouveau serveur secret master peut être NewMSSServer. Pour ce faire, procédez comme suit sur le serveur de secret principal original :

    1. Collez le code suivant dans un éditeur de texte tel que notepad.exe :

      <sso>  
      <globalInfo>  
      <secretServer>NewMSSServer</secretServer>  
      </globalInfo>  
      </sso>  
      
    2. Enregistrez le fichier en tant que fichier .xml. Par exemple, enregistrez le fichier en tant que NewMSSServer.xml.

    3. À l'invite de commandes, accédez au dossier d'installation des services d'authentification unique de l'entreprise. Par défaut, le dossier d’installation est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.

    4. Tapez ssomanage -updatedbXMLFile pour mettre à jour le nom du serveur secret master dans la base de données.

      Notes

      Remplacez XMLFile par le nom du fichier .xml que vous avez enregistré.

      Notes

      Sur les systèmes qui prennent en charge le contrôle de compte d'utilisateur, vous devrez peut-être exécuter l'outil avec des privilèges d'administrateur.

  5. Redémarrez le service d'authentification unique de l'entreprise sur le nouveau serveur de secret principal.

  6. Restaurez le secret master sauvegardé sur le nouveau serveur secret master en suivant les étapes décrites dans Comment restaurer le secret principal sur le nouveau serveur secret master.

Pour déplacer le secret principal à partir d'un serveur vers un cluster Windows Server

  1. Installez et configurez le service d’authentification unique d’entreprise sur un cluster Windows Server en suivant les étapes décrites dans Comment clusterr le serveur secret principal. Effectuez toutes les étapes de cette rubrique, à l’exception des étapes décrites dans la section Restaurer le secret master sur le deuxième nœud de cluster. Étant donné que vous allez déplacer le serveur secret master existant vers le cluster, ne choisissez pas l’option Créer un système d’authentification unique lors de la configuration de l’authentification unique d’entreprise sur les nœuds du cluster. Lors de la configuration de chaque nœud de cluster, dans le programme Configuration de BizTalk Server, définissez les options suivantes pour la fonctionnalité d'authentification unique de l'entreprise :

    1. Cochez la case en regard de Activer l'Sign-On unique d’entreprise sur cet ordinateur.

    2. Cliquez sur l’option Joindre un système d’authentification unique existant.

    3. Entrez des valeurs pour le nom du serveur de base de données SSO et le nom de base de données existants.

    4. Lorsque vous spécifiez le compte à utiliser pour le service d'authentification unique de l'entreprise, entrez le compte de service SSO existant.

  2. Copiez le fichier de sauvegarde du secret principal existant dans le dossier \Enterprise Single Sign-On sur chaque nœud de cluster.

  3. Si ce cluster Windows Server doit héberger un ou plusieurs hôtes BizTalk en cluster, à l'aide de l'utilitaire de ligne de commande ssomanage, définissez comme nom du serveur d'authentification unique pour tous les utilisateurs le nom du serveur de secret principal en cluster. Cette commande doit être exécutée à partir du dossier d’installation de l’authentification unique d’entreprise sur chaque BizTalk Server du groupe. Par exemple, la ligne de commande suivante définit le nom du serveur d'authentification unique pour tous les utilisateurs sur le nom du serveur de secret principal en cluster :

    ssomanage -serverall SSOCLUSTER  
    

    Notes

    SSOCLUSTER est un espace réservé pour la ressource de nom réseau réelle créée dans le groupe de clusters qui contient la ressource de serveur secret master cluster Dans ce scénario, tous les hôtes BizTalk doivent être créés en tant que ressources de cluster dans le même groupe de clusters que la ressource de service d’authentification unique d’entreprise en cluster. L'exécution d'une instance de l'hôte BizTalk sans cluster sur un nœud de cluster Windows Server où le service d'authentification unique de l'entreprise est en cluster n'est pas une configuration prise en charge. Cela est dû au fait que l'exécution de l'instance de l'hôte BizTalk sans cluster échouera lors du basculement du service d'authentification unique de l'entreprise en cluster vers un autre nœud, parce qu'une instance de l'hôte BizTalk dépend de ce service.

    Notes

    Sur les systèmes qui prennent en charge le contrôle de compte d'utilisateur, vous devrez peut-être exécuter l'outil avec des privilèges d'administrateur.

  4. Dans Administrateur de cluster, cliquez avec le bouton droit sur le groupe de clusters qui contient la ressource de service d’authentification unique d’entreprise en cluster, puis cliquez sur Mettre en ligne pour démarrer toutes les ressources du groupe de clusters.

  5. Si ce cluster Windows Server héberge un ou plusieurs hôtes BizTalk en cluster, mettez à jour le nom du serveur d’authentification unique accessible dans la page Propriétés du groupe BizTalk pour référencer le serveur secret master cluster. Lancez BizTalk Server Administration, cliquez avec le bouton droit sur le groupe BizTalk, sélectionnez l’élément de menu Propriétés, puis mettez à jour l’entrée nom du serveur D’authentification unique, puis cliquez sur OK.

    Notes

    Dans ce scénario, tous les hôtes BizTalk doivent être créés comme ressources du cluster dans le même groupe de clusters que la ressource du service d'authentification unique de l'entreprise en cluster. L'exécution d'une instance de l'hôte BizTalk sans cluster sur un nœud de cluster Windows Server où le service d'authentification unique de l'entreprise est en cluster n'est pas une configuration prise en charge. Cela est dû au fait que l'exécution de l'instance de l'hôte BizTalk sans cluster échouera lors du basculement du service d'authentification unique de l'entreprise en cluster vers un autre nœud, parce qu'une instance de l'hôte BizTalk dépend de ce service.

  6. Cliquez avec le bouton droit sur le instance cluster du service Enterprise SSO, cliquez sur Mettre hors connexion, puis cliquez avec le bouton droit sur le instance cluster du service Enterprise SSO, puis cliquez sur Mettre en ligne.

    Notes

    Si cette étape n’est pas terminée, les tentatives de restauration du secret master peuvent échouer.

  7. Restaurez le serveur principal sauvegardé sur chaque nœud du cluster Windows hébergeant le serveur de secret principal en cluster. Suivez les étapes décrites dans Comment restaurer le secret principal sur chaque nœud du cluster Windows qui héberge le serveur secret master cluster.

Voir aussi

Gestion du secret principal