若要發佈 Web 服務,您必須設定 Internet Information Services (IIS)、BizTalk 隔離主機和 Windows 使用者和組帳戶。 本節討論如何在 IIS 中啟用 Web 服務。 如需啟用 Web 服務的詳細資訊,請參閱 IIS 檔。
Internet Information Services
您可以將 Web 服務發佈至已使用 ASP.NET 設定 IIS 的 Windows 系統。 針對每部伺服器,所有 Web 服務都會在 ASP.NET 背景工作進程內執行。
ASP.NET 工作處理程序預設會使用本機 ASPNET 帳戶。 IIS 會使用應用程式集區來處理 Web 服務要求。
BizTalk 隔離主機
若要啟用 Web 服務,您必須在 BizTalk Server 中建立至少一個隔離主機。 隔離主機代表外部進程,例如 BizTalk Server 不會建立或控制的 ISAPI 擴充功能和 ASP.NET 進程。 這些類型的外部進程必須裝載特定配接器,例如 HTTP/S 和 SOAP。
BizTalk Server 組態管理員會建立 BizTalkServerIsolatedHost,讓 BizTalk 作為預設的隔離主機。 BizTalk 隔離主機使用者群組是預設與此主機相關聯的 Windows 群組名稱。 如需主機和主機實例的詳細資訊,請參閱 管理 BizTalk 主機和主機實例。
隔離主機實例只能執行一個配接器。 如果您使用一個隔離主機來設定 HTTP 和 SOAP 配接器的接收處理程式,則必須為每個配接器建立兩個應用程式集區,一個應用程式集區。
例如,如果您打算設定兩個隔離主機,如下所示:
| 已隔離的主機名稱 | 接收地點 |
|---|---|
| 隔離主機 1 | HTTP_ReceiveLocation1A HTTP_ReceiveLocation1B SOAP_ReceiveLocation1注意:隔離主機 1 用於接收 SOAP 和 HTTP 配接器的處理程式。 |
| 隔離主機 2 | HTTP_ReceiveLocation2 |
您可以建立四個虛擬目錄,每個接收位置各一個,如下所示:
| 接收位置 | 外部 URL 值 |
|---|---|
| HTTP_ReceiveLocation1A | IIS_Virtual_Directory1A |
| HTTP_接收位置1B | IIS_Virtual_Directory1B |
| SOAP_ReceiveLocation1 | IIS_Virtual_Directory1C |
| HTTP_ReceiveLocation2 | IIS_Virtual_Directory2 |
然後,您必須為虛擬目錄建立至少三個應用程式集區,如下所示:
備註
您必須為每個隔離主機建立至少一個應用程式集區。
| 虛擬目錄 | 應用程式集區 | 說明 |
|---|---|---|
| IIS_Virtual_Directory1A IIS_虛擬目錄1B |
AppPool_Host1_HTTP | 不需要個別的應用程式集區,因為所有接收位置都有相同的隔離主機(隔離主機 1),以及相同的通訊協定。 |
| IIS_Virtual_Directory1C | AppPool_Host1_SOAP | 需要個別的應用程式集區,因為接收位置會使用與相同主機中其他接收位置不同的通訊協定 (SOAP)(隔離主機 1)。 |
| IIS_Virtual_Directory2 | AppPool_Host2_HTTP | 需要個別的應用程式集區,因為接收位置會在隔離主機 1 的不同主機下執行。 |
備註
您必須將應用程式集區的用戶帳戶新增至隔離主機的適當本機或網域群組。 如需詳細資訊,請參閱 BizTalk Server 中的 Windows 群組和用戶帳戶。
備註
您必須根據先前的數據表,比對隔離主機實例與對應應用程式集區之間的用戶帳戶。 如需隔離主機實例與應用程式集區之用戶帳戶之間關聯性的詳細資訊,請參閱 如何變更服務帳戶和密碼。
單一伺服器安裝的數據庫存取
如果 BizTalk Server 和 BizTalk 管理資料庫位於同一部伺服器上,您應該將 ASP.NET 背景工作進程或 IIS 應用程式集區的使用者內容設定為本機 ASPNET 使用者帳戶,或具有最低許可權的本機或網域使用者帳戶。
多部伺服器安裝的資料庫存取
如果 BizTalk Server 和 BizTalk 管理資料庫位於不同的伺服器上,您應該將 ASP.NET 背景工作進程或 IIS 應用程式集區的使用者內容變更為網域使用者帳戶。
實作多伺服器部署時,隔離主機 Windows 群組必須存在於 BizTalk 資料庫伺服器所屬的網域上。
將帳戶許可權和用戶權力降至最低
您可以使用隔離主機來為在外部進程中運行的適配器提供存取與 BizTalk Server 互動所需的最低資源。 針對安全的部署,您應該為涉及外部進程的用戶上下文提供最低許可權。
BizTalk Web 服務發佈精靈的安全性建議
BizTalk Web 服務發佈精靈所建立的虛擬目錄將會從父虛擬目錄或網站繼承訪問控制清單 (ACL) 和驗證需求。 如果父虛擬目錄或網站允許匿名存取,BizTalk Web 服務發佈精靈會在建立虛擬目錄時移除該功能。
下列內容包含 Windows 的安全性注意事項和建議。