Aktivieren von Webdiensten
Zum Veröffentlichen von Webdiensten müssen Sie Internetinformationsdienste (IIS), isolierte BizTalk-Hosts sowie Windows-Benutzer- und Gruppenkonten konfigurieren. In diesem Abschnitt wird erläutert, wie Sie Webdienste in IIS aktivieren. Weitere Informationen zum Aktivieren von Webdiensten finden Sie in der IIS-Dokumentation.
Internetinformationsdienste
Sie können Webdienste auf Windows-Systemen veröffentlichen, auf denen IIS mit ASP.NET konfiguriert ist. Für jeden Server werden alle Webdienste im ASP.NET-Arbeitsprozess ausgeführt.
Für den ASP.NET-Arbeitsprozess wird standardmäßig das lokale ASPNET-Konto verwendet. IIS verwendet Anwendungspools für die Verarbeitung von Webdienstanforderungen.
Isolierte BizTalk-Hosts
Zum Aktivieren von Webdiensten müssen Sie mindestens einen isolierten Host in BizTalk Server erstellen. Isolierte Hosts stellen externe Prozesse wie ISAPI-Erweiterungen und ASP.NET-Prozesse dar, die von BizTalk Server nicht erstellt und nicht gesteuert werden. Diese Typen von externen Prozessen müssen bestimmte Adapter hosten, z. B. HTTP/S- und SOAP-Adapter.
Der BizTalk Server Configuration Manager erstellt den BizTalkServerIsolatedHost, den BizTalk als standardisolierter Host verwendet. Die diesem Host standardmäßig zugeordnete Windows-Gruppe heißt Benutzer isolierter BizTalk-Hosts. Weitere Informationen zu Hosts und Hostinstanzen finden Sie unter Verwalten von BizTalk-Hosts und Hostinstanzen.
Eine isolierte Hostinstanz kann nur einen Adapter ausführen. Wenn Sie die Empfangshandler von HTTP- und SOAP-Adaptern mit einem isolierten Host konfigurieren, müssen Sie zwei Anwendungspools erstellen (einen Anwendungspool pro Adapter).
Zum Konfigurieren zweier isolierter Hosts geben Sie beispielsweise Folgendes an:
| Name des isolierten Hosts | Empfangsorte |
|---|---|
| Isolierter Host 1 | HTTP_Empfangsspeicherort1A HTTP_Empfangsspeicherort1B SOAP_ReceiveLocation1 Hinweis: Der isolierte Host 1 wird für Empfangshandler von SOAP- und HTTP-Adaptern verwendet. |
| Isolierter Host 2 | HTTP_Empfangsspeicherort2 |
Sie können die folgenden vier virtuellen Verzeichnisse erstellen (eines für jeden Empfangsspeicherort):
| Empfangsspeicherort | Virtuelles Verzeichnis |
|---|---|
| HTTP_Empfangsspeicherort1A | IIS_virtuelles_Verzeichnis1A |
| HTTP_Empfangsspeicherort1B | IIS_virtuelles_Verzeichnis1B |
| SOAP_Empfangsspeicherort1 | IIS_virtuelles_Verzeichnis1C |
| HTTP_Empfangsspeicherort2 | IIS_virtuelles_Verzeichnis2 |
Anschließend müssen Sie wie folgt mindestens drei Anwendungspools für die virtuellen Verzeichnisse erstellen:
Hinweis
Sie müssen für jeden isolierten Host mindestens einen Anwendungspool erstellen.
| Virtuelle Verzeichnisse | Anwendungspool | BESCHREIBUNG |
|---|---|---|
| IIS_virtuelles_Verzeichnis1A IIS_virtuelles_Verzeichnis1B |
Anwendungspool_Host1_HTTP | Es ist kein separater Anwendungspool erforderlich, da allen Empfangsspeicherorten derselbe isolierte Host (Isolierter Host 1) und dasselbe Protokoll zugeordnet sind. |
| IIS_virtuelles_Verzeichnis1C | Anwendungspool_Host1_SOAP | Es ist ein separater Anwendungspool erforderlich, weil der Empfangsspeicherort ein anderes Protokoll (SOAP) als die anderen Empfangsspeicherorte in demselben Host (Isolierter Host 1) verwendet. |
| IIS_virtuelles_Verzeichnis2 | Anwendungspool_Host2_HTTP | Es ist ein separater Anwendungspool erforderlich, weil der Empfangsspeicherort auf einem anderen Host als Isolierter Host 1 ausgeführt wird. |
Hinweis
Sie müssen das Benutzerkonto für die Anwendungspools den entsprechenden lokalen oder Domänengruppen der isolierten Hosts hinzufügen. Weitere Informationen finden Sie unter Windows-Gruppen und Benutzerkonten in BizTalk Server.
Hinweis
Sie müssen das Benutzerkonto zwischen einem isolierten Host instance und dem entsprechenden Anwendungspool gemäß den vorherigen Tabellen abgleichen. Weitere Informationen zur Beziehung zwischen Benutzerkonten isolierter Host- instance und Anwendungspools finden Sie unter Ändern von Dienstkonten und Kennwörtern.
Datenbankzugriff für Installationen auf einem Server
Wenn sich BizTalk Server und die BizTalk Management-Datenbank auf demselben Server befinden, sollten Sie den Benutzerkontext des ASP.NET Workerprozesses oder des IIS-Anwendungspools auf das lokale ASPNET-Benutzerkonto oder ein lokales Benutzerkonto oder ein Domänenbenutzerkonto mit minimalen Berechtigungen festlegen.
Datenbankzugriff für Installationen auf mehreren Servern
Wenn sich BizTalk Server und die BizTalk Management-Datenbank auf verschiedenen Servern befinden, sollten Sie den Benutzerkontext des ASP.NET Workerprozesses oder des IIS-Anwendungspools in ein Domänenbenutzerkonto ändern.
Beim Implementieren einer Bereitstellung auf mehreren Servern müssen die Windows-Gruppen für die isolierten Hosts in der Domäne vorhanden sein, zu der die BizTalk-Datenbankserver gehören.
Minimieren von Konto- und Benutzerrechten
Isolierte Hosts werden verwendet, um in externen Prozessen ausgeführten Adaptern den Zugriff auf die mindestens für die Interaktion mit BizTalk Server erforderlich Ressourcen zu ermöglichen. Für eine sichere Bereitstellung sollten Sie dem Benutzerkontext für die externen Prozesse nur die minimal erforderlichen Rechte erteilen.
Sicherheitsempfehlungen für den Assistenten für BizTalk-Webdienstpublishing
Das vom Assistenten für BizTalk-Webdienstpublishing erstellte virtuelle Verzeichnis erbt die Zugriffssteuerungslisten (Access Control List, ACL) und die Authentifizierungsanforderungen von dem übergeordneten virtuellen Verzeichnis oder der übergeordneten Website. Wenn das übergeordnete virtuelle Verzeichnis oder die übergeordnete Website anonymen Zugriff zulässt, entfernt der Assistent für BizTalk-Webdienstpublishing diese Funktionalität beim Erstellen des virtuellen Verzeichnisses.
Im Folgenden finden Sie Sicherheitshinweise und Empfehlungen für Windows.