マスター シークレット サーバーをクラスター化する方法
マスター シークレット サーバーのエンタープライズ シングル サインオン (SSO) サービスを正常にクラスター化するには、このセクションに記載されている指示に従うことをお勧めします。
マスター シークレット サーバーをクラスター化した場合、シングル サインオン サーバーでは、マスター シークレット サーバーのアクティブなクラスター化インスタンスとの通信が行われます。 同様に、マスター シークレット サーバーのアクティブなクラスター化インスタンスでは、SSO データベースとの通信が行われます。
ここで示す手順を実行するには、SSO 管理者である必要があります。
注意事項
ネットワーク負荷分散 (NLB) クラスターにマスター シークレット サーバーをインストールすることはできません。
クラスタ ノードにエンタープライズ SSO をインストールおよび構成するには
各クラスター ノードにBizTalk Serverをインストールします。 [コンポーネントのインストール] で、[エンタープライズ シングル Sign-On 管理モジュール] と [エンタープライズ シングル Sign-On マスター シークレット サーバー] を選択します。 インストールが正常に完了したら、BizTalk Server構成を実行しないでください。
SSO 管理者と SSO 関連管理者ドメイン グループを作成します。 エンタープライズ SSO サービスのクラスター化インスタンスを作成するのには、これらのグループをドメイン グループとして作成する必要があります。
SSO Administrators ドメイン グループのメンバーであるドメイン アカウントを作成または指定します。 各ノードのエンタープライズ SSO サービスは、このドメイン アカウントとしてログオンするように構成されます。 このアカウントには、クラスター内の各ノードで サービスとしてログオン する権限が必要です。
構成プロセス中にログオンするために使用しているアカウントをドメイン SSO Administrators グループに追加します。
重要
手順 3. および手順 4. を完了しないと、エンタープライズ SSO サービスの構成が失敗します。
BizTalk Server構成を開始します。
[ カスタム構成] オプションを選択し、[ データベース サーバー名]、[ ユーザー名]、[ パスワード ] の値を入力します。 [構成] を選択して続行します。
Note
現時点では Enterprise SSO サービスのみを構成しているため、先ほど作成したドメイン アカウントをここで入力するだけで済みます。
左側のウィンドウから [ エンタープライズ SSO ] オプションを選択し、Enterprise SSO 機能に対して次のオプションを設定します。
[このコンピューターでエンタープライズ シングル Sign-On を有効にするチェック] ボックスを選択します。
[ Create a new SSO system]\(新しい SSO システムの作成\) を選択します。
[サーバー名] と [データベース名] の値に [データ ストア] を入力します。
先ほど作成したドメイン アカウントが、エンタープライズ SSO サービスに関連付けられたアカウントになっていることを確認します。
SSO 管理者ロールに関連付けられたグループとして、先ほど作成したドメイン SSO 管理者グループを入力します。
SSO 関連管理者ロールに関連付けられたグループとして、先ほど作成したドメイン SSO 関連管理者グループを入力します。
左側のウィンドウで [ エンタープライズ SSO シークレットのバックアップ ] オプションを選択し、Enterprise SSO シークレットをバックアップするための適切なパラメーターを指定します。 既定では、Enterprise SSO シークレットは drive>:\Program Files\Common Files\Enterprise Single Sign-On\SSOxxxx.bak に<バックアップされます。
[ 構成の適用] を クリックし、[概要] を確認します。
[ 次へ ] をクリックして構成を適用します。
[ 完了] を クリックして構成ウィザードを閉じます。
BizTalk Server構成を閉じます。
パッシブ クラスター ノードにログオンし、BizTalk Server構成を開始します。
[ カスタム構成] オプションを選択し、最初のクラスター ノードの構成時に入力した データベース サーバー名、 ユーザー名、 パスワード に同じ値を入力します。 これらの値を入力したら、[ 構成 ] をクリックして続行します。
左側のウィンドウから [ エンタープライズ SSO ] オプションを選択し、Enterprise SSO 機能に対して次のオプションを設定します。
[ このコンピューターでエンタープライズ シングル Sign-On を有効にする ] オプションを選択します。
[ 既存の SSO システムに参加する] を選択します。
最初のクラスター ノードの構成時に入力した SSO データベース サーバー名 と データベース名 に同じ値を入力します。
ドメイン アカウントに、最初のクラスター ノードを構成したときと同じ値を入力します。
[ 構成の適用] を 選択して、概要を表示します。
[ 次へ] を選択して構成を適用します。
[ 完了] を選択 して構成ウィザードを閉じます。
BizTalk Server構成を閉じます。
SSO データベースのマスター シークレット サーバー名を更新するには
アクティブなクラスター ノードのコマンド プロンプトで次のコマンドを入力して、エンタープライズ SSO サービスを停止および再開します。
net stop entssoおよび
net start entsso次の手順に従って、SSO データベースのマスター シークレット サーバー名をクラスター内で構成された SSO ネットワーク名に変更します。
Note
クラスター化された SSO リソースを含むのと同じクラスター ロールで作成したネットワーク名リソースを指定します。 たとえば、 SSONETWORKNAME という名前を指定できます。
テキスト エディターに次のコードを貼り付けます。
<sso> <globalInfo> <secretServer>SSONETWORKNAME</secretServer> </globalInfo> </sso>Note
SSONETWORKNAME を、SSO のクラスター ロールで作成された実際のネットワーク名に置き換えます。
ファイルを .xml ファイルとして保存します。 たとえば、SSOCLUSTER.xml という名前で保存します。
コマンド プロンプトで、エンタープライズ SSO のインストール フォルダーに移動します。 既定では、インストール フォルダーは <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
コマンド プロンプトで次のコマンドを入力して、データベース内のマスター シークレット サーバー名を更新します。
ssomanage -updatedb XMLFileNote
XMLFile は、前に保存した .xml ファイルの名前のプレースホルダーです。
クラスタ化されたエンタープライズ SSO リソースを作成するには
クラスターがクラスター化分散トランザクション コーディネーター (MSDTC) リソースで構成されていない場合は、「Windows Server クラスターを使用したBizTalk Serverのフォールト トレランスの向上」のホワイト ペーパーのhttps://go.microsoft.com/fwlink/?LinkId=69207手順に従って、クラスター化された MSDTC リソースを作成します。
[ スタート]、[ プログラム]、[ 管理ツール]、[ フェールオーバー クラスター管理 ] の順にクリックして、フェールオーバー クラスター管理プログラムを開始します。
左側のウィンドウで、[ フェールオーバー クラスターの管理 ] を右クリックし、[ クラスターの管理] をクリックします。
[ 管理するクラスターの選択 ] ダイアログ ボックスで、管理するクラスターを入力し、[ OK] をクリックします。
左側のウィンドウで、IP アドレスおよびネットワーク名リソースが入ったクラスター化されたサービスかアプリケーションをクリックして選択します。 「ディスク、IP アドレス、および名前リソースを使用してクラスター グループを作成する方法」の手順に従って、IP アドレスとネットワーク名リソースが存在しない場合は、グループを作成します。
Note
クラスター化されたエンタープライズ SSO サービスでは、同じグループ内でクラスター化された物理ディスク リソースの使用は明示的に要求されません。
クラスター化されたサービスまたはアプリケーションを右クリックし、[ リソースの追加] をポイントし、[ 汎用サービス ] をクリックして [ 新しいリソース ウィザード ] ダイアログを表示します。
重要
[汎用サービス パラメーター] ダイアログ ボックスで、[コンピューター名にネットワーク名を使用する] チェック ボックスをクリックしない場合、SSO クライアント コンピューターは Enterprise SSO サービスのこのクラスター化されたインスタンスに接続しようとすると、次のようなエラーが生成されます。
マスター シークレットを取得できませんでした。
マスター シークレット サーバー名が正しいこと、および利用可能であることを確認してください。 シークレット サーバー名: ENTSSO エラー コード: 0x800706D9、エンドポイント マッパーから使用できるエンドポイントはこれ以上ありません。
新しいリソース ウィザードの [サービスの選択] ページで、[エンタープライズ シングル Sign-On サービス] をクリックし、[次へ] をクリックします。
[ 確認 ] ページで、[ 次へ] をクリックします。
[ 概要 ] ページで、[完了] をクリック します。 Enterprise Single Sign-On Service のクラスター化されたインスタンスが、フェールオーバー クラスター管理インターフェイスの中央ペインの [その他のリソース] の下に表示されます。
Enterprise Single Sign-On Service のクラスター化されたインスタンスを右クリックし、[ プロパティ ] を選択して [ エンタープライズ シングル Sign-On サービスのプロパティ ] ダイアログ ボックスを表示します。
[プロパティ] ダイアログ ボックスの [ 依存関係 ] タブをクリックし、[ 挿入] をクリックします。
[ リソース] のドロップダウン ボックスをクリックし、[ 名前: リソース] を選択し、[OK] をクリック します。
2 番目のクラスタ ノードでマスタ シークレットを復元するには
[フェールオーバー クラスター管理] で、クラスター化された Enterprise Single Sign-On サービスを含むクラスター化されたサービスまたはアプリケーションを右クリックし、[ このサービスまたはアプリケーションをオンライン にする] をクリックして、クラスター化されたサービスまたはアプリケーション内のすべてのリソースを開始します。
クラスター化されたサービスまたはアプリケーションを右クリックし、[ このサービスまたはアプリケーションを別のノードに移動する] をポイントして、2 番目のノードをクリックします。 この手順では、クラスター化されたエンタープライズ シングル サインオン サービスが入ったクラスター化されたサービスまたはアプリケーションを最初のノードから 2 番目のノードに移動します。
クラスター化された Enterprise Single Sign-On サービスを右クリックし、[ このサービスまたはアプリケーションをオフラインにする] をクリックし、Enterprise SSO サービスのクラスター化されたインスタンスを右クリックし、[ このサービスまたはアプリケーションをオンラインにする] をクリックします。
Note
この手順を省略すると、マスター シークレットの復元に失敗する場合があります。
最初のノードのマスター シークレットのバックアップ ファイルを、2 番目のノードの \Enterprise Single Sign-On インストール フォルダーにコピーします。 既定では、インストール フォルダーは <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
2 番目のノードにログオンし、コマンド プロンプトで、エンタープライズ SSO のインストール フォルダーに移動します。
コマンド プロンプトで次のコマンドを入力し、マスター シークレットを 2 番目のノードに復元します。
ssoconfig -restoresecret RestoreFileNote
RestoreFile を のパスと、マスター シークレットを含むバックアップ ファイルの名前に置き換えます。
マスター シークレットがレジストリの次の場所に保存されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ENTSSO\SSOSS
このクラスター ノードから他のクラスター ノードに、クラスター化されたエンタープライズ シングル サインオン サービスを含むクラスター化されたサービスまたはアプリケーションを移動して、フェールオーバー機能を確認します。 次に、クラスター グループを元に戻して、フェールバック機能を検証します。