建议按照本节中的说明在主机密服务器上成功群集企业单一 Sign-On(SSO)服务。
群集主机密服务器时,单 Sign-On 服务器与主机密服务器的活动群集实例通信。 同样,主机密服务器的活动群集实例与 SSO 数据库通信。
必须是 SSO 管理员才能执行此过程。
谨慎
无法在网络负载均衡(NLB)群集上安装主机密服务器。
在群集节点上安装和配置企业 SSO
在每个群集节点上安装 BizTalk Server。 在 组件安装中,选择 “企业单一 Sign-On 管理模块”和 “企业单一 Sign-On 主机密服务器”。 安装成功完成后, 请勿 运行 BizTalk Server 配置。
创建 SSO 管理员 和 SSO 关联管理员 域组。 若要创建企业 SSO 服务的群集实例,必须将这些组创建为域组。
创建或指定作为 SSO 管理员 域组成员的域帐户。 每个节点上的企业 SSO 服务配置为以此域帐户身份登录。 此帐户必须在群集中的每个节点上具有作为服务登录的权限。
在配置过程中将用于登录的帐户添加到域 SSO 管理员 组。
重要
如果未完成步骤 3 和 4,则企业 SSO 服务的配置将失败。
启动 BizTalk Server 配置。
选择 “自定义配置 ”选项并输入 数据库服务器名称、 用户名和 密码 值。 选择“ 配置 ”以继续。
注释
由于目前仅配置企业 SSO 服务,因此只需输入之前在此处创建的域帐户。
从左窗格中选择 “企业 SSO ”选项,并为企业 SSO 功能设置以下选项:
选中 此计算机上的“启用企业单一 Sign-On ”复选框。
选择“ 创建新的 SSO 系统”。
输入服务器名称和数据库名称值的数据存储。
验证之前创建的域帐户是否是与企业 SSO 服务关联的帐户。
将您之前创建的域 SSO 管理员组输入为与 SSO 管理员角色关联的组。
将您之前创建的域 SSO 关联管理员组输入为与 SSO 关联管理员角色关联的组。
从左窗格中选择 “企业 SSO 机密备份 ”选项,并提供用于备份企业 SSO 机密的适当参数。 默认情况下,企业 SSO 机密备份到 <drive>:\Program Files\Common Files\Enterprise 单一登录\SSOxxxx.bak。
单击 “应用配置 ”并查看“摘要”。
单击“ 下一步 ”应用配置。
单击“ 完成 ”关闭配置向导。
关闭 BizTalk Server 配置。
登录到被动群集节点并启动 BizTalk Server 配置。
选择“自定义配置”选项,并为配置第一个群集节点时输入的数据库服务器名称、用户名和密码输入相同的值。 输入这些值后,单击“ 配置 ”以继续。
从左窗格中选择 “企业 SSO ”选项,并为企业 SSO 功能设置以下选项:
在此 计算机上选择“启用企业级单点登录 Sign-On”。
选择 “加入现有 SSO 系统”。
输入配置第一个群集节点时输入的 SSO 数据库服务器名称和数据库名称的相同值。
为配置第一个群集节点时输入的域帐户输入相同的值。
选择 “应用配置 ”以显示“摘要”。
选择 “下一步 ”以应用配置。
选择 “完成 ”以关闭配置向导。
关闭 BizTalk Server 配置。
更新 SSO 数据库中的主机密服务器名称
在活动群集节点上的命令提示符处键入以下命令以停止并重启企业 SSO 服务:
net stop entsso和
net start entsso按照以下步骤将 SSO 数据库中的主机密服务器名称更改为群集中配置的 SSO 网络名称:
注释
指定在包含群集 SSO 资源的同一群集角色中创建的网络名称资源。 例如,名称可能是 SSONETWORKNAME。
在文本编辑器中粘贴以下代码:
<sso> <globalInfo> <secretServer>SSONETWORKNAME</secretServer> </globalInfo> </sso>注释
将 SSONETWORKNAME 替换为在 SSO 的群集角色中创建的实际网络名称。
将文件另存为 .xml 文件。 例如,将文件另存为 SSOCLUSTER.xml。
在命令提示符下,更改为 Enterprise SSO 安装文件夹。 默认情况下,安装文件夹为 <drive>:\Program Files\Common Files\Enterprise 单一登录。
在命令提示符处键入以下命令以更新数据库中的主机密服务器名称:
ssomanage -updatedb XMLFile注释
XMLFile 是用于表示您之前保存的 .xml 文件名称的占位符。
创建集群的企业级单点登录 (SSO) 资源
如果未使用群集分布式事务处理协调器(MSDTC)资源配置群集,请按照“使用 Windows Server 群集改进 BizTalk Server 中的容错能力”白皮书 https://go.microsoft.com/fwlink/?LinkId=69207 中的步骤创建群集 MSDTC 资源。
单击“ 开始”、“ 程序”、“ 管理工具”,然后单击 “故障转移群集管理 ”以启动故障转移群集管理计划。
在左侧窗格中,右键单击“ 故障转移群集管理 ”,然后单击“ 管理群集”。
在 “选择要管理的群集 ”对话框中,输入要管理的群集,然后单击“ 确定”。
在左侧窗格中,单击以选择包含 IP 地址和网络名称资源的群集服务或应用程序。 按照 “如何创建包含磁盘、IP 地址和名称资源的群集组 ”中的步骤创建具有 IP 地址和网络名称资源的组(如果尚不存在)。
注释
群集企业 SSO 服务不显式要求在同一组中使用群集物理磁盘资源。
右键单击群集服务或应用程序,指向 “添加资源”,然后单击“ 通用服务 ”以显示“ 新建资源向导 ”对话框。
重要
在“ 通用服务参数 ”对话框中,如果未单击以选中“ 计算机名称使用网络名称 ”复选框,SSO 客户端计算机在尝试联系企业 SSO 服务的此群集实例时,将生成类似于以下内容的错误:
未能检索主密钥。
验证主机密服务器名称是否正确且是否可用。 机密服务器名称:ENTSSO 错误代码:0x800706D9,终结点映射器中没有更多可用的终结点。
在“新建资源向导”的“选择服务”页上,单击以选择企业单一 Sign-On 服务,然后单击“下一步”。
在 “确认 ”页上,单击“ 下一步”。
在 “摘要 ”页上,单击“ 完成”。 企业单 Sign-On 服务的群集实例将显示在故障转移群集管理界面的中心窗格中的其他资源下。
右键单击企业单 Sign-On 服务的群集实例,然后选择“ 属性 ”以显示 “企业单 Sign-On 服务属性 ”对话框。
单击“属性”对话框的“ 依赖项 ”选项卡,然后单击“ 插入”。
单击 “资源”下的下拉框,选择 “名称: 资源”,然后单击“ 确定”。
恢复第二个群集节点上的主密钥
在故障转移群集管理中,右键单击包含群集企业单 Sign-On 服务的群集服务或应用程序,然后单击“ 使此服务或应用程序联机 ”以启动群集服务或应用程序中的所有资源。
右键单击群集服务或应用程序,指向 此服务或应用程序移动到另一个节点,然后单击第二个节点。 此步骤将包含群集企业单一 Sign-On 服务的群集服务或应用程序从第一个节点移到第二个节点。
右键单击群集企业单 Sign-On 服务,然后单击“ 使此服务或应用程序脱机”,然后右键单击企业 SSO 服务的群集实例,然后单击“ 使此服务或应用程序联机”。
注释
如果未完成此步骤,则还原主机密的尝试可能不会成功。
将主机密备份文件从第一个节点复制到第二个节点上的 \Enterprise Single Sign-On 安装文件夹。 默认情况下,安装文件夹为 <drive>:\Program Files\Common Files\Enterprise 单一登录。
登录到第二个节点,并在命令提示符处更改为 Enterprise SSO 安装文件夹。
在命令提示符下键入以下命令,将主机密还原到第二个节点:
ssoconfig -restoresecret RestoreFile注释
将 RestoreFile 替换为包含主机密的备份文件的路径和名称。
主机密存储在注册表中的以下位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ENTSSO\SSOSS
将包含群集企业单 Sign-On 服务的群集服务或应用程序从此群集节点移到其他群集节点,以确保故障转移功能。 然后将群集组移回以验证故障回复功能。