Резервное копирование и восстановление службы единого входа (Office SharePoint Server 2007)

Статья
06/12/2012

Служба единого входа Microsoft (SSO) в Microsoft Office SharePoint Server 2007 выполняет сопоставление учетных данных пользователя с серверными системами баз данных. Единый вход в основном используется в сценариях бизнес-аналитики.

Среда SSO состоит из службы единого входа Microsoft, базы данных SSO и ключа шифрования. Резервное копирование и восстановление необходимо выполнять для ключа шифрования и для базы данных SSO. Резервное копирование службы необязательно. Для базы данных SSO всегда необходимо выполнять полное копирование.

Дополнительные сведения о SSO см. в разделе Планирование единого входа.

Резервное копирование SSO

Резервное копирование среды SSO подразумевает копирование ключа шифрования и базы данных SSO.

Ключ шифрования — это 128-разрядный случайно сгенерированный ключ, используемый для шифрования и дешифрования учетных данных пользователя, хранящихся в базе данных. Копировать ключ шифрования следует после начальной настройки службы единого входа, а в дальнейшем — после каждого его повторного создания. Резервное копирование ключа шифрования не может быть выполнено удаленно. Резервное копирование ключа шифрования можно выполнить только на съемный носитель. Для копирования ключа шифрования необходимо использовать веб-сайт центра администрирования SharePoint. Использование средства командной строки Stsadm невозможно.

Предупреждение

Резервное копирование ключа шифрования и базы данных SSO, которая содержит информацию, зашифрованную с помощью этого ключа, следует выполнять одновременно. Если ключ шифрования и зашифрованная информация в базе данных SSO потеряют синхронизацию, то это сделает информацию базы данных непригодной для использования, а пользователям придется заново вводить свои учетные данные.
Резервные копии ключа шифрования и базы данных SSO следует хранить в надежном месте.
Носители с резервными копиями ключа шифрования и базы данных SSO следует хранить отдельно. Если злоумышленник завладеет копией базы данных и ключа, то это представляет угрозу безопасности. Такой пользователь может получить доступ ко всем учетным данным, хранящимся в базе данных единого входа и получить несанкционированный доступ к ресурсам компьютера.

База данных SSO содержит учетные данные пользователя, билеты SSO, данные конфигурации и аудита. Резервное копирование базы данных SSO необходимо выполнять после ее первоначального создания и затем при каждом изменении настроек SSO или повторном шифровании учетных данных. Повторное шифрование учетных данных возможно только после повторной генерации нового ключа. Кроме того, можно включить резервное копирование базы данных единого входа в расписание копирования базы данных фермы серверов.

Убедитесь в том, что ключ шифрования и база данных синхронизованы.

Учетные данные, хранящиеся в базе данных SSO, и резервная копия ключа шифрования могут потерять синхронизацию следующими способами.

Можно создать новый ключ шифрования и сделать его резервную копию без повторного шифрования учетных данных, хранящихся в базе данных SSO. Это приводит к тому, что учетные данные остаются зашифрованными старым ключом.
Также можно создать новый ключ шифрования и повторно зашифровать базу данных SSO при помощи этого ключа без выполнения его резервного копирования.
Office SharePoint Server 2007 перезаписывает старый ключ шифрования на носителе резервной копии, если не изменено имя резервного файла ключа шифрования.

Чтобы обеспечить синхронизированность базы данных и ключа шифрования, следуйте рекомендациям ниже:

Храните резервные копии ключа шифрования и базы данных SSO в безопасном месте.
Используйте определенную схему именования — например, добавляйте к именам файлов ключа и базы данных дату и время. Точно так же можно поступить с именами папок, в которых эти файлы хранятся.

Синхронизация резервных копий базы данных и ключа шифрования требуется только при создании нового ключа и повторном шифровании базы данных. Таким образом, для обеспечения синхронизации следует выполнять резервное копирование ключа шифрования при каждом использовании нового ключа для шифрования учетных данных в базе SSO. С другой стороны, если резервное копирование базы данных проводится в ходе регулярного копирования, а база данных зашифрована с помощью того же ключа, что и прежде, выполнять синхронизацию не требуется.

Например, можно выполнять следующие действия.

Перед повторной генерацией нового ключа и шифрования учетных данных, хранящихся в базе данных SSO, скопируйте текущий ключ в безопасную папку.
Добавьте дату к имени ключа — например, "BaseKey [04.10.2008].key".
Скопируйте файл текущей резервной копии базы данных SSO (.bak) в другую безопасную папку.
Добавьте дату к имени BAK-файла — например, "BaseKey [04.10.2008].key".
Выполните повторную генерацию ключа и повторное шифрование учетных данных в базе SSO, а затем произведите резервное копирование нового ключа и базы данных SSO.

Восстановление SSO

Иногда необходимо восстановить среду SSO. В некоторых случаях требуется восстановить только ключ шифрования или только базу данных единого входа. В таблице ниже описаны некоторые сценарии восстановления и приведены списки того, что необходимо восстановить.

Сценарий	Что восстанавливается
Перемещение роли ключа шифрования на другой компьютер.	Ключ шифрования
Изменение учетной записи службы единого входа.	Ключ шифрования
Восстановление поврежденного сервера базы данных.	База данных единого входа
Перенос фермы Office SharePoint Server 2007 на другой набор серверов.	Ключ шифрования и база данных единого входа
Восстановление из повреждения в масштабах фермы.	Ключ шифрования и база данных единого входа

Требования к задаче

Для выполнения процедур этой задачи необходимо соблюдение следующих условий.

Для выполнения этих процедур необходимо по меньшей мере быть членом группы администраторов фермы SharePoint.
Для резервного копирования ключа необходимо локально войти на сервер ключа шифрования. Сервер ключа шифрования — это первый сервер, на котором включена служба SSO. На сервере ключа шифрования должен быть запущен веб-сайт центра администрирования SharePoint.
Если по требованиям IT-среды резервное копирование или восстановление базы SSO должно осуществляться администратором базы данных, необходимо скоординировать с ним действия по резервному копированию ключа шифрования, чтобы обеспечить копирование правильного ключа. Учетная запись, используемая для резервного копирования базы данных SSO, должна быть членом фиксированной роли базы данных SQL Server db_backupoperator. Учетная запись, используемая для восстановления базы данных SSO, должна быть членом фиксированной роли сервера SQL Server dbcreator.
Для выполнения этих действий не требуется перезагрузка компьютера. В то же время, для выполнения некоторых действий необходимо остановить и перезапустить службу SSO. Так как служба SSO не будет доступна во время перезапуска, пользователи будут выполнять вход в каждую используемую службу или приложение.
Процедуры для выполнения данной задачи можно выполнить с помощью веб-сайта центра администрирования SharePoint. Резервное копирование и восстановление базы данных SSO (но не ключа шифрования) можно выполнять с помощью средства командной строки Stsadm.

Для резервного копирования и восстановления SSO можно выполнить следующие действия:

См. также

Понятия