Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Um Webdienste zu veröffentlichen, müssen Sie Internetinformationsdienste (INTERNET Information Services, IIS), BizTalk Isolated Hosts und Windows-Benutzer- und Gruppenkonten konfigurieren. In diesem Abschnitt wird erläutert, wie Webdienste in IIS aktiviert werden. Weitere Informationen zum Aktivieren von Webdiensten finden Sie in der IIS-Dokumentation.
Internetinformationsdienste
Sie können Webdienste auf Windows-Systemen veröffentlichen, die mit IIS und ASP.NET konfiguriert sind. Für jeden Server werden alle Webdienste innerhalb des ASP.NET Arbeitsprozesses ausgeführt.
Der ASP.NET Arbeitsprozess verwendet standardmäßig das lokale ASPNET-Konto. IIS verwendet Anwendungspools für die Verarbeitung von Webdienstanforderungen.
BizTalk Isolierte Hosts
Um Webdienste zu aktivieren, müssen Sie mindestens einen isolierten Host in BizTalk Server erstellen. Isolierte Hosts stellen externe Prozesse dar, z. B. ISAPI-Erweiterungen und ASP.NET Prozesse, die BizTalk Server nicht erstellt oder kontrolliert. Diese Arten externer Prozesse müssen bestimmte Adapter hosten, z. B. HTTP/S und SOAP.
Der BizTalk Server Configuration Manager erstellt den BizTalkServerIsolatedHost, den BizTalk als standardisolierter Host verwendet. Die Gruppe "BizTalk Isolated Host Users" ist der Name der Windows-Gruppe, die diesem Host standardmäßig zugeordnet ist. Weitere Informationen zu Hosts und Hostinstanzen finden Sie unter Verwalten von BizTalk-Hosts und Hostinstanzen.
Eine isolierte Hostinstanz kann nur einen Adapter ausführen. Wenn Sie die Empfangshandler von HTTP- und SOAP-Adaptern mit dem einen isolierten Host konfigurieren, müssen Sie zwei Anwendungspools erstellen, einen Anwendungspool für jeden Adapter.
Wenn Sie beispielsweise zwei isolierte Hosts wie folgt konfigurieren möchten:
| Isolierter Hostname | Empfangen von Standorten |
|---|---|
| Isolierter Host 1 | HTTP_ReceiveLocation1A HTTP_ReceiveLocation1B SOAP_ReceiveLocation1 Hinweis: Der isolierte Host 1 wird für empfangshandler von SOAP- und HTTP-Adaptern verwendet. |
| Isolierter Host 2 | HTTP_ReceiveLocation2 |
Sie können vier virtuelle Verzeichnisse erstellen, eine für jeden Empfangsspeicherort wie folgt:
| Empfangsstandort | Virtuelles Verzeichnis |
|---|---|
| HTTP_ReceiveLocation1A | IIS_Virtual_Directory1A |
| HTTP_ReceiveLocation1B | IIS_Virtual_Directory1B |
| SOAP_ReceiveLocation1 | IIS_Virtual_Directory1C |
| HTTP_ReceiveLocation2 | IIS_Virtual_Directory2 |
Anschließend müssen Sie mindestens drei Anwendungspools für die virtuellen Verzeichnisse wie folgt erstellen:
Hinweis
Sie müssen mindestens einen Anwendungspool für jeden isolierten Host erstellen.
| Virtuelle Verzeichnisse | Anwendungspool | BESCHREIBUNG |
|---|---|---|
| IIS_Virtual_Directory1A IIS_Virtual_Directory1B |
AppPool_Host1_HTTP | Ein separater Anwendungspool ist nicht erforderlich, da alle Empfangsspeicherorte denselben isolierten Host (Isolierter Host 1) und dasselbe Protokoll aufweisen. |
| IIS_Virtual_Directory1C | AppPool_Host1_SOAP | Ein separater Anwendungspool ist erforderlich, da der Empfangsspeicherort das andere Protokoll (SOAP) von den anderen Empfangsspeicherorten auf demselben Host (Isolierter Host 1) verwendet. |
| IIS_Virtual_Directory2 | AppPool_Host2_HTTP | Ein separater Anwendungspool ist erforderlich, da der Empfangsspeicherort unter einem anderen Host als "Isolierten Host 1" ausgeführt wird. |
Hinweis
Sie müssen das Benutzerkonto für die Anwendungspools den entsprechenden lokalen oder Domänengruppen der isolierten Hosts hinzufügen. Weitere Informationen finden Sie unter Windows-Gruppen und Benutzerkonten in BizTalk Server.
Hinweis
Sie müssen das Benutzerkonto zwischen einer isolierten Hostinstanz und dem entsprechenden Anwendungspool entsprechend den vorherigen Tabellen abgleichen. Weitere Informationen zur Beziehung zwischen Benutzerkonten von isolierten Hostinstanzen und Anwendungspools finden Sie unter Ändern von Dienstkonten und Kennwörtern.
Datenbankzugriff für Einzelserverinstallationen
Wenn sich BizTalk Server und die BizTalk Management-Datenbank auf demselben Server befinden, sollten Sie den Benutzerkontext des ASP.NET Arbeitsprozesses oder des IIS-Anwendungspools auf das lokale ASPNET-Benutzerkonto oder ein lokales Oder Domänenbenutzerkonto festlegen, das über minimale Berechtigungen verfügt.
Datenbankzugriff für mehrere Serverinstallationen
Wenn sich BizTalk Server und die BizTalk Management-Datenbank auf verschiedenen Servern befinden, sollten Sie den Benutzerkontext des ASP.NET Arbeitsprozesses oder des IIS-Anwendungspools in ein Domänenbenutzerkonto ändern.
Bei der Implementierung einer Bereitstellung mit mehreren Servern müssen die Isolierten Host-Windows-Gruppen in der Domäne vorhanden sein, zu der die BizTalk-Datenbankserver gehören.
Minimieren von Kontorechten und Benutzerrechten
Sie verwenden isolierte Hosts, um Adaptern, die in externen Prozessen ausgeführt werden, Zugriff auf die minimale Menge der erforderlichen Ressourcen für die Interaktion mit BizTalk Server zu gewähren. Bei einer sicheren Bereitstellung sollten Sie dem Benutzerkontext für die externen Prozesse minimale Berechtigungen zuweisen.
Sicherheitsempfehlungen für den Assistenten zum Veröffentlichen von BizTalk-Webdiensten
Das virtuelle Verzeichnis, das vom Assistenten zum Veröffentlichen von BizTalk-Webdiensten erstellt wird, erbt die Zugriffssteuerungslisten (Access Control Lists, ACL) und die Authentifizierungsanforderungen vom übergeordneten virtuellen Verzeichnis oder der website. Wenn das übergeordnete virtuelle Verzeichnis oder die Website anonymen Zugriff zulässt, entfernt der Assistent zum Veröffentlichen von BizTalk-Webdiensten diese Funktion beim Erstellen des virtuellen Verzeichnisses.
Im Folgenden finden Sie Sicherheitshinweise und Empfehlungen für Windows.