マスター シークレット サーバーの高可用性
資格情報のマッピングとシングル サインオンに Enterprise Single Sign-On (SSO) 機能を使用しない場合でも、SSO は Microsoft BizTalk Server インフラストラクチャ全体の重要な部分です。これは、BizTalk Serverでは SSO を使用してポート構成の情報をセキュリティで保護するためです。 ポート構成データは暗号化され、SSO データベースに格納されます。 各 BizTalk サーバーには、ポート構成データの暗号化と暗号化解除に使用される SSO サービス (ENTSSO.exe) があります。
SSO サービスが起動すると、マスター シークレット サーバーから暗号化キーが取得されます。 この暗号化キーはマスター シークレットと呼ばれます。 マスター シークレット サーバーは、マスター シークレットを維持および配布する追加のサブサービスを持つ別の SSO サービスです。 マスター シークレットが取得されると、SSO サービスによってキャッシュされます。 SSO サービスは、60 秒ごとにマスター シークレットをマスター シークレット サーバーと同期します。
マスター シークレット サーバーが失敗し、SSO サービスが更新間隔のいずれかでエラーを検出した場合、SSO サービスと、サーバーが失敗する前に実行されていたすべての実行時操作 (資格情報の暗号化解除を含む) は正常に続行されます。 ただし、新しい資格情報やポート構成データを暗号化することはできません。 したがって、BizTalk Server環境は、マスター シークレット サーバーの可用性に依存します。
マスター シークレット サーバーの可用性を確保する方法
SSO システムの可用性、ひいては、BizTalk Server 環境の可用性を確保するためには、マスター シークレットが生成された時点で速やかにバックアップすることが不可欠です。 マスター シークレットを失うことは、SSO システムがそのマスター シークレットを使って暗号化したデータを失うことを意味します。 マスター シークレットのバックアップの詳細については、BizTalk Server ヘルプの「マスター シークレットhttps://go.microsoft.com/fwlink/?LinkID=151934 () をバックアップする方法」を参照してください。
マスター シークレット サーバーの可用性は、次の 2 とおりの方法で確保することができます。
可用性はありますが、高可用性は提供されません。 マスター シークレット サーバーが使用できなくなったときに通知する Microsoft System Center Operations Manager イベントを作成し、別の SSO サーバーをマスター シークレット サーバーに手動で昇格させ、このサーバーのマスター シークレットを復元することができます。
この構成は高可用性ではありませんが、ほとんどのシナリオで十分であり、受信、送信、および処理ホストのスケールアウトと一致します。
高可用性。 マスター シークレット サーバーの冗長性を確保するには、Windows クラスタリングを使用して別にマスター シークレット サーバーをクラスター化するか、マスター シークレット サーバーを既存のデータベース クラスター上に構成します。 マスター シークレット サーバーによって提供されるサービスは、それほど多くのリソースを消費しません。データベース クラスターにインストールしたとしても、データベースの機能やパフォーマンスに影響を与えることはありません。 次の図は、マスター シークレット サーバーに高水準の可用性を確保する方法を示したものです。
この構成では高い可用性が実現される反面、追加のハードウェア リソースが必要になります。 SSO の高可用性インストール オプションの詳細については、BizTalk Server ヘルプの高可用性 SSO インストール オプション (https://go.microsoft.com/fwlink/?LinkId=156838) を参照してください。
このセクションでは、Windows Server クラスターにおける SSO マスター シークレット サーバーの高可用性クラスター リソースとしての構成について詳しく説明します。
Note
高水準の可用性を実現するソリューションで、ハードウェア リソースをできるだけ抑えるためには、マスター シークレット サーバーを SQL Server クラスターのクラスター リソースとして追加します。 SQL Serverを実行しているコンピューターに SSO サービスをインストールするために、追加のBizTalk Server ライセンスを購入する必要はありません。