備份及還原 SSO (Office SharePoint Server 2007)

  • 發行項

Microsoft Office SharePoint Server 2007 中的 Microsoft Single Sign-on (SSO) 功能會將使用者認證對應到後端資料系統。SSO 主要用於商務智慧案例。

SSO 環境由 Microsoft Single Sign-on 服務、SSO 資料庫及加密金鑰所組成。您必須備份及還原加密金鑰及 SSO 資料庫。但是該服務不需要備份。您應該一律完整備份 SSO 資料庫。

如需 SSO 的詳細資訊,請參閱<規劃單一登入>。

備份 SSO

備份 SSO 環境包含備份加密金鑰及 SSO 資料庫。

加密金鑰是隨機產生的 128 位元金鑰,可用以加密及解密儲存在資料庫中的使用者認證資料。在第一次設定 SSO 之後應該備份加密金鑰,之後每次金鑰重新產生時再次備份。加密金鑰無法以遠端方式備份。加密金鑰僅可備份至抽取式存放媒體。您必須使用 SharePoint 管理中心網站備份加密金鑰,而不可使用 Stsadm 命令列工具。

注意

  • 加密金鑰及含有使用此金鑰加密的資訊之 SSO 資料庫應該同時備份。若加密金鑰與 SSO 資料庫內的加密資訊不同步,資料庫內的加密資訊將無法使用且使用者必須再次送出認證。

  • 將加密金鑰備份及 SSO 資料庫備份儲存在安全的位置。

  • 請勿將加密金鑰備份媒體儲存在和 SSO 資料庫備份媒體相同的位置。若一名惡意使用者同時取得資料庫與金鑰的副本,加密將會洩漏,且該名惡意使用者可以取得所有儲存在單一登入資料庫的認證,並可未經授權而存取電腦資源。

SSO 資料庫包含使用者認證、SSO 票證、設定資料及稽核資料。在 SSO 資料庫初次建立時應該加以備份,並在每次 SSO 設定變更或重新加密認證資訊時,再次進行備份。重新產生新金鑰後,您可只重新加密認證資訊。此外,也可將 SSO 資料庫及加密金鑰備份包含到伺服器陣列的定期排程資料庫備份中。

確保加密金鑰與資料庫同步

儲存在 SSO 資料庫的認證資訊及備份加密金鑰不同步的可能原因如下:

  • 有可能產生新加密金鑰並進行了備份,但沒有重新加密儲存在 SSO 資料庫的認證資訊。因此,認證資訊會以之前的金鑰加密。

  • 也有可能使用加密金鑰產生新的加密金鑰並重新加密 SSO 資料庫,卻沒有備份新的加密金鑰。

  • 若未先變更已備份的加密金鑰檔案名稱,Office SharePoint Server 2007 會在備份媒體上覆寫之前的加密金鑰。

可利用下列步驟協助確保資料庫與加密金鑰同步:

  • 安全地儲存加密金鑰備份及 SSO 資料庫備份。

  • 使用命名慣例 — 例如,附加日期與時間到加密金鑰及資料庫 .bak 檔案名稱,或將其附到到儲存所在的資料夾名稱。

在建立新的金鑰及重新加密資料庫時,只需要將資料庫備份與加密金鑰備份同步化。因此,為確保同步,每次使用新金鑰重新加密儲存在 SSO 資料庫的認證資訊時,一律要備份新的加密金鑰。另一方面,若要備份此資料庫是定期備份排程的一部分,且使用之前的金鑰加密資料庫,則不需要遵照同步化程序。

例如,您可執行下列動作:

  1. 在重新產生新的加密金鑰且加密儲存在 SSO 資料庫的認證資料之前,請複製目前的加密金鑰到安全的資料夾。

  2. 附加日期到金鑰名稱 — 例如,"BaseKey [04.10.2008].key"。

  3. 複製目前的 SSO 資料庫備份 (.bak) 檔案到不同的安全資料夾。

  4. 附加日期到 .bak 檔案名稱 — 例如,"SSO [04.10.2008].bak"。

  5. 重新產生金鑰並重新加密儲存在 SSO 資料庫的認證資訊,然後備份新金鑰及 SSO 資料庫。

還原 SSO

您可能必須還原 SSO 環境。在某些案例中,您必須僅還原加密金鑰或僅還原 SSO 資料庫。下表說明多種復原案例,以及必須還原的清單。

案例 還原項目

將加密金鑰伺服器角色移至不同的伺服器電腦。

加密金鑰

變更 SSO 服務帳戶。

加密金鑰

還原失敗的資料庫伺服器電腦。

SSO 資料庫

將 Office SharePoint Server 2007 伺服器陣列移轉至不同的一組伺服器電腦。

加密金鑰與 SSO 資料庫

從損毀的整個伺服器陣列復原。

加密金鑰與 SSO 資料庫

工作需求

以下是執行這項工作之程序的必要條件:

  • 至少要有「SharePoint 伺服器陣列管理員」群組的成員資格,才可完成這些程序。

  • 您必須在本機登入加密金鑰伺服器以備份加密金鑰。加密金鑰伺服器是已經啟用 SSO 服務的第一部伺服器。加密金鑰伺服器必須執行 SharePoint 管理中心網站。

  • 若 IT 環境要求資料庫管理員 (DBA) 必須備份或還原 SSO 資料庫,則必須和 DBA 協調備份加密金鑰以確保資料庫備份了正確的金鑰。用以備份 SSO 資料庫的帳戶必須是 SQL Server db_backupoperator 固定伺服器角色的成員。用以還原 SSO 資料庫的帳戶,必須是 SQL Server dbcreator 固定伺服器角色的成員。

  • 不需重新啟動電腦完成這些工作。但是您必須停止並重新啟動 SSO 服務以完成某些工作。因為在重新啟動時無法取得 SSO 服務,使用者必須登入每個服務或使用的應用程式。

  • 您可使用 SharePoint 管理中心網站執行此工作的程序。您可使用 Stsadm 命令列工具,備份及還原 SSO 資料庫 (而不是加密金鑰)。

您可執行下列程序備份及還原 SSO:

另請參閱

概念

備份及還原伺服器陣列 (Office SharePoint Server 2007)
備份及還原整個伺服器陣列 (Office SharePoint Server 2007)
建立復原伺服器陣列 (Office SharePoint Server 2007)
使用內建工具備份及還原 Web 應用程式 (Office SharePoint Server 2007)
使用內建工具備份與還原網站集合 (Office SharePoint Server 2007)
備份及還原資料庫 (Office SharePoint Server)
備份及還原 SSP (Office SharePoint Server 2007)
使用內建工具備份及還原我的網站 (Office SharePoint Server 2007)
使用內建工具備份及還原 InfoPath 表單 (Office SharePoint Server 2007)
使用 DPM 備份及還原項目 (Office SharePoint Server)
使用 DPM 備份和還原網站 (Office SharePoint Server)