Sichern und Wiederherstellen von SSO (Office SharePoint Server 2007)

  • Artikel

Mit dem Microsoft-Feature für einmaliges Anmelden (SSO) in Microsoft Office SharePoint Server 2007 werden Benutzeranmeldeinformationen den Back-End-Datensystemen zugeordnet. SSO wird vorwiegend für Business Intelligence-Szenarien verwendet.

Die SSO-Umgebung besteht aus dem Microsoft-Dienst für einmaliges Anmelden, der SSO-Datenbank und dem Verschlüsselungsschlüssel. Sie müssen sowohl den Verschlüsselungsschlüssel als auch die SSO-Datenbank sichern und wiederherstellen. Der Dienst muss jedoch nicht gesichert werden. Sie sollten immer eine vollständige Sicherung der SSO-Datenbank ausführen.

Weitere Informationen zu SSO finden Sie unter Planen des einmaligen Anmeldens.

Sichern von SSO

Zum Sichern der SSO-Umgebung gehört das Sichern des Verschlüsselungsschlüssels und der SSO-Datenbank.

Bei dem Verschlüsselungsschlüssel handelt es sich um einen zufällig generierten 128-Bit-Schlüssel, der zum Ver- und Entschlüsseln von in der Datenbank gespeicherten Benutzeranmeldeinformationen verwendet werden. Sie sollten den Verschlüsselungsschlüssel nach dem ersten Einrichten von SSO sichern und den Schlüssel dann erneut bei jedem erneuten Erstellen sichern. Der Verschlüsselungsschlüssel kann nicht remote gesichert werden, er kann nur auf einem Wechselmedium gesichert werden. Sie müssen die Website für die SharePoint-Zentraladministration zum Sichern des Verschlüsselungsschlüssels verwenden. Das Befehlszeilentool Stsadm kann nicht verwendet werden.

Warnung

  • Der Verschlüsselungsschlüssel und die SSO-Datenbank, die die mit diesem Schlüssel verschlüsselten Informationen enthält, sollten gleichzeitig gesichert werden. Wenn der Verschlüsselungsschlüssel und die verschlüsselten Informationen in der SSO-Datenbank nicht mehr synchronisiert sind, sind die verschlüsselten Informationen in der Datenbank unbrauchbar. Die Benutzer müssen dann ihre Anmeldeinformationen erneut eingeben.

  • Bewahren Sie die Verschlüsselungsschlüsselsicherung und die SSO-Datenbanksicherung an einem sicheren Ort auf.

  • Bewahren Sie das Sicherungsmedium für den Verschlüsselungsschlüssel nicht am selben Ort auf wie das Sicherungsmedium für die SSO-Datenbank. Wenn ein böswilliger Benutzer in den Besitz einer Kopie der Datenbank und einer Kopie des Schlüssels kommt, ist der Verschlüsselungsschlüssel zugänglich. Ein böswilliger Benutzer könnte sich dann Zugriff auf alle in der SSO-Datenbank gespeicherten Anmeldeinformationen verschaffen und unbefugterweise auf Computerressourcen zugreifen.

Die SSO-Datenbank enthält Benutzeranmeldeinformationen, SSO-Tickets, Konfigurationsdaten und Überwachungsdaten. Sie müssen die SSO-Datenbank sichern, nachdem sie erstmals erstellt wurde, und anschließend immer dann, wenn Konfigurationsänderungen an SSO vorgenommen oder die Anmeldeinformationen neu verschlüsselt werden. Sie können die Anmeldeinformationen nur nach dem Erstellen eines neuen Schlüssels erneut verschlüsseln. Zusätzlich können Sie Sicherungen für die SSO-Datenbank und den Verschlüsselungsschlüssel in die regelmäßig geplanten Datenbanksicherungen für die Serverfarm aufnehmen.

Sicherstellen der Synchronisierung von Verschlüsselungsschlüssel und Datenbank

Es gibt folgende Möglichkeiten, weshalb die in der SSO-Datenbank gespeicherten Anmeldeinformationen und der gesicherte Verschlüsselungsschlüssel nicht mehr synchronisiert sind:

  • Es ist möglich, einen neuen Verschlüsselungsschlüssel zu generieren und zu sichern, ohne die in der SSO-Datenbank gespeicherten Anmeldeinformationen neu zu verschlüsseln. Folglich werden die Anmeldeinformationen mit dem vorherigen Schlüssel verschlüsselt.

  • Es ist außerdem möglich, einen neuen Verschlüsselungsschlüssel zu generieren und die SSO-Datenbank mithilfe dieses Verschlüsselungsschlüssels erneut zu verschlüsseln, ohne den neuen Verschlüsselungsschlüssel zu sichern.

  • Der vorherige Verschlüsselungsschlüssel wird von Microsoft Office SharePoint Server 2007 auf dem Sicherungsmedium überschrieben, wenn der Name der gesicherten Verschlüsselungsschlüsseldatei nicht vorher geändert wird.

Sie können wie folgt sicherstellen, dass die Datenbank und der Verschlüsselungsschlüssel synchronisiert sind:

  • Sicheres Aufbewahren der Verschlüsselungschlüsselsicherung und der SSO-Datenbanksicherung.

  • Verwenden einer Benennungskonvention – beispielsweise Anfügen von Datum und Uhrzeit an den Verschlüsselungsschlüssel und den BAK-Namen der Datenbankdatei oder an die Namen der Ordner, in denen diese gespeichert sind.

Sie müssen die Datenbanksicherung und die Verschlüsselungschlüsselsicherung nur beim Erstellen eines neuen Schlüssels und beim erneuten Verschlüsseln der Datenbank synchronisieren. Um deshalb die Synchronisierung zu gewährleisten, sollten Sie bei jeder erneuten Verschlüsselung der in der SSO-Datenbank gespeicherten Anmeldeinformationen mithilfe eines neuen Schlüssels stets den neuen Verschlüsselungsschlüssel sichern. Wenn Sie andererseits die Datenbank im Rahmen des regelmäßigen Sicherungszeitplans sichern und die Datenbank mithilfe des gleichen Schlüssels wie zuvor verschlüsselt wird, ist kein Synchronisierungsvorgang erforderlich.

Sie können beispielsweise folgende Schritte ausführen:

  1. Kopieren Sie vor der Neuerstellung eines neuen Verschlüsselungsschlüssels und der Verschlüsselung der in der SSO-Datenbank gespeicherten Anmeldeinformationen den aktuellen Verschlüsselungsschlüssel in einen sicheren Ordner.

  2. Fügen Sie das Datum an den Schlüsselnamen an – beispielsweise Basisschlüssel [04.10.2008].key.

  3. Kopieren Sie die aktuelle SSO-Datenbanksicherungsdatei (BAK) in einen anderen sicheren Ordner.

  4. Fügen Sie das Datum an den Namen der BAK-Datei an – beispielsweise SSO [04.10.2008].bak.

  5. Erstellen Sie den Schlüssel erneut, verschlüsseln Sie die in der SSO-Datenbank gespeicherten Anmeldeinformationen erneut, und sichern Sie dann den neuen Schlüssel und die SSO-Datenbank.

Wiederherstellen von SSO

Möglicherweise müssen Sie die SSO-Umgebung wiederherstellen. In einigen Fällen müssen Sie nur den Verschlüsselungsschlüssel bzw. nur die SSO-Datenbank wiederherstellen. In der folgenden Tabelle werden mehrere Wiederherstellungsszenarien beschrieben, und es wird angegeben, was wiederhergestellt werden muss.

Szenario Wiederherzustellende Objekte

Verschieben der Verschlüsselungsschlüssel-Serverrolle auf einen anderen Servercomputer

Verschlüsselungsschlüssel

Ändern des SSO-Dienstkontos

Verschlüsselungsschlüssel

Wiederherstellen des fehlerhaften Datenbankservercomputers

SSO-Datenbank

Migrieren der Microsoft Office SharePoint Server 2007-Farm zu einer anderen Gruppe von Servercomputern

Verschlüsselungsschlüssel und SSO-Datenbank

Wiederherstellung nach einem die ganze Farm betreffenden Notfall

Verschlüsselungsschlüssel und SSO-Datenbank

Erforderliche Aufgaben

Die folgenden Anforderungen müssen erfüllt sein, um die Vorgänge für diese Aufgabe auszuführen:

  • Die Mitgliedschaft in der SharePoint-Gruppe der Farmadministratoren stellt die Mindestanforderung zur Ausführung dieser Verfahren dar.

  • Sie müssen lokal am Server für den Verschlüsselungsschlüssel angemeldet sein, um den Verschlüsselungsschlüssel zu sichern. Der Server für den Verschlüsselungsschlüssel ist der erste Server, auf dem der SSO-Dienst aktiviert ist. Auf dem Server für den Verschlüsselungsschlüssel muss die Website für die SharePoint-Zentraladministration ausgeführt werden.

  • Wenn für Ihre IT-Umgebung der Datenbankadministrator (DBA) die SSO-Datenbank sichern oder wiederherstellen muss, müssen Sie die Sicherung des Verschlüsselungsschlüssels mit dem DBA koordinieren, um sicherzustellen, dass der richtige Schlüssel für die Datenbank gesichert wird. Das zum Sichern der SSO-Datenbank verwendete Konto muss ein Mitglied der festen SQL Server-Datenbankrolle db_backupoperator sein. Das Konto, mit dem die SSO-Datenbank wiederhergestellt wird, muss ein Mitglied der festen SQL Server-Serverrolle dbcreator sein.

  • Zum Ausführen dieser Aufgaben müssen Sie den Computer nicht neu starten. Sie müssen den SSO-Dienst jedoch für einige der Aufgaben beenden und neu starten. Da der SSO-Dienst beim Neustart nicht verfügbar ist, müssen sich Benutzer bei jedem verwendeten Dienst oder bei jeder verwendeten Anwendung anmelden.

  • Sie können die Website für die SharePoint-Zentraladministration für diese Verfahren verwenden. Die SSO-Datenbank (jedoch nicht den Verschlüsselungsschlüssel) können Sie mit dem Befehlszeilentool Stsadm sichern und wiederherstellen.

Sie können die folgenden Verfahren zum Sichern und Wiederherstellen von SSO ausführen:

Siehe auch

Konzepte

Sichern und Wiederherstellen einer Serverfarm (Office SharePoint Server 2007)
Sichern und Wiederherstellen einer gesamten Farm (Office SharePoint Server 2007)
Erstellen einer Wiederherstellungsfarm (Office SharePoint Server 2007)
Sichern und Wiederherstellen von Webanwendungen mithilfe integrierter Tools (Office SharePoint Server 2007)
Sichern und Wiederherstellen von Websitesammlungen mithilfe von integrierten Tools (Office SharePoint Server 2007)
Sichern und Wiederherstellen von Datenbanken (Office SharePoint Server)
Sichern und Wiederherstellen von SSPs (Office SharePoint Server 2007)
Sichern und Wiederherstellen von "Meine Website" mithilfe integrierter Tools (Office SharePoint Server 2007)
Sichern und Wiederherstellen von InfoPath-Formularen mithilfe integrierter Tools (Office SharePoint Server 2007)
Sichern und Wiederherstellen eines Elements mithilfe von DPM (Office SharePoint Server)
Sichern und Wiederherstellen einer Website mithilfe von DPM (Office SharePoint Server)