Große verteilte Architektur
Vollständige Informationen zur Systemarchitektur für BizTalk Server Bereitstellung finden Sie unter Beispielarchitekturen BizTalk Server.
In diesem Abschnitt wird eine Architektur für eine Produktionsumgebung vorgestellt. Es sind weder eine Entwicklungs- oder Testumgebung noch Empfehlungen für ein Verwaltungsnetzwerk für die Umgebung enthalten. Weitere Informationen zum Staging Ihrer Konfiguration von einer Entwicklungs- zu einer Testumgebung und von einem Test zu einer Produktionsumgebung finden Sie unter Bereitstellen von BizTalk-Anwendungen.
Die folgende Abbildung zeigt eine stark verteilte BizTalk Server Architektur, die die Verteidigung in der Tiefe berücksichtigt.
Verteilte BizTalk Server sichere Architektur
Diese Architektur umfasst die folgenden fünf Domänen:
Umkreisnetzwerk. Das Umkreisnetzwerk (auch als DMZ, Demilitarized Zone oder überwachtes Subnetz bezeichnet) enthält Server, die internetbezogene Dienste für ein Unternehmen bereitstellen. Diese Domäne kann Server enthalten, die sich an den physischen Speicherorten befinden, an denen Transporte mit Internetzugriff Nachrichten an und von BizTalk Server senden und empfangen. In dieser Domäne gibt es keine BizTalk-Server, BizTalk-Empfangsspeicherorte oder Server für Einmaliges Anmelden für Unternehmen (SSO). Wenn Sie den SOAP- oder HTTP-Adapter verwenden, können Sie Reverseproxyregeln (die Forefront Threat Management Gateway (TMG) 2010-Implementierung wird als Webveröffentlichung bezeichnet) verwenden, um die Nachricht von der dem Internet zugewandten Firewall (FW4) an die Firewall weiterzuleiten, die die Dienstschnittstellendomäne schützt (FW3). Weitere Informationen zu Web Publishing-Regeln finden Sie auf der Microsoft-Website unter https://go.microsoft.com/fwlink/?LinkID=205340 (https://go.microsoft.com/fwlink/?LinkID=205340).
In der vorherigen Abbildung stellen die Server im Umkreisnetzwerk Server dar, die sich in einer Domäne außerhalb der BizTalk Server-Umgebung befinden. Das bedeutet, dass sich einige dieser Server auch an Remotestandorten befinden könnten. Beispielsweise kann sich der FTP-Server (File Transfer Protocol) an einem Remotestandort befinden. Der SMTP-Server (Simple Mail Transfer Protocol) kann der E-Mail-Server des Unternehmens, der Server eines Internetdienstanbieters (ISP) oder ein SMTP-Remoteserver sein.
Dienstschnittstellen-Domäne. Dies ist die Domäne, in der die Nachrichtenverarbeitung beginnt. Diese Domäne umfasst die Server mit BizTalk-Empfangs- und -Sendehandlern. Hier befinden sich die BizTalk Server Ports, Empfangen von Speicherorten, Pipelines, Karten, Schemas und Assemblys zum Empfangen, Weiterleiten und Senden von Nachrichten. Die Anzahl der Server mit BizTalk Server in dieser Domäne hängt davon ab, wie viele Hosts und Hostinstanzen Sie zur Erfüllung der Leistungsanforderungen des Unternehmens benötigen.
Dienstdomäne. Diese Domäne enthält die Dienste, denen die Server in der Dienstschnittstellen-Domäne vertrauen und die sie benötigen, um Nachrichten erfolgreich verarbeiten zu können, für die jedoch ein zusätzlicher Schutz vor Angriffen aus dem Umkreisnetzwerk erforderlich ist, z. B. von Verarbeitungsservern, auf denen sich die BizTalk-Orchestrierungen, Pipelines, Dienste für Einmaliges Anmelden für Unternehmen (SSO), die Geschäftsregel-Engine und andere Geschäftsprozesse befinden.
Darüber hinaus enthält diese Domäne die Dienste, auf die von der Unternehmensdomäne zugegriffen werden muss, die jedoch trotzdem vor Bedrohungen von außen geschützt werden müssen. Einer der Server in dieser Domäne hostet die Verwaltungstools: BizTalk-Verwaltungskonsole und das SSO-Verwaltungshilfsprogramm (Enterprise Single Sign-On). Außerdem umfasst diese Domäne den SSO-Server für den geheimen Hauptschlüssel, auf dem der geheime Hauptschlüssel (Verschlüsselungsschlüssel) gespeichert ist, den das SSO-System zur Verschlüsselung der in der SSO-Datenbank gespeicherten Daten verwendet. Auf einem der Server in dieser Domäne befindet sich eine Hostinstanz eines Hosts, der die Nachverfolgung von System- und Geschäftsüberwachungsdaten unterstützt.
Hinweis
In einem System für Einmaliges Anmelden für Unternehmen (SSO) befindet sich auf bestimmten Verarbeitungsservern möglicherweise nur der SSO-Dienst, jedoch keine BizTalk Server-Komponenten. Weitere Informationen finden Sie unter Hochverfügbarkeit für einmaliges Anmelden in Unternehmen.
Datendomäne. Die Datendomäne ist am weitesten vom Internet entfernt, da sich in ihr die SQL Server-Datenbanken befinden, in denen wichtige Geschäfts- und Prozessdaten gespeichert sind. Diese Domäne vertraut keiner anderen Domäne. Sie können zwar jede BizTalk Server Datenbank auf einem anderen Server mit SQL Server ausführen, es wird jedoch empfohlen, Datenbanken basierend auf dem Standard Verarbeitungstyp zu kombinieren (meist Lesevorgänge, meist Schreibvorgänge oder beides):
Ein Server mit SQL Server pro MessageBox-Datenbank. Sie können weitere MessageBox-Datenbanken hinzufügen, um einen Lastausgleich zu erzielen. Dabei handelt es sich um lese- und schreibintensive Datenbanken.
Ein Server mit SQL Server für die SSO-Datenbank. In dieser Datenbank werden überwiegend Lesevorgänge durch BizTalk Server ausgeführt. Diese Datenbank enthält vertrauliche Daten, weshalb hier die restriktivsten Zugriffsberechtigungen erforderlich sind.
Eine SQL Server für die BizTalk-Verwaltung und die Geschäftsregel-Engine-Datenbanken. BizTalk Server führt hauptsächlich Lesevorgänge in diesen Datenbanken durch. Außerdem befindet sich auf diesem Server die Überwachungsdatenbank, eine schreibintensive Datenbank.
Eine SQL Server für die Analysis Server-Nachverfolgungsdatenbank.
Ein Server mit SQL Server für die MOM-Datenbank (Microsoft Operations Manager).
Ein Server mit SQL Server für das Zielsystem für den Protokollversand.
Wichtig
Als Failoverschutz wird empfohlen, jede BizTalk-Datenbank zu clustern. Weitere Informationen zum SQL Server Failoverclustering finden Sie auf der Microsoft MSDN-Website unter https://go.microsoft.com/fwlink/?LinkId=131016.
Hinweis
Weitere Informationen zum Zielsystem für den Protokollversand finden Sie unter Sichern und Wiederherstellen der BizTalk Server Datenbanken.
In der obigen Abbildung fungiert Forefront Threat Management Gateway (TMG) 2010 Server als Firewallsoftware, die zum Schutz und zur Eingrenzung jeder dieser Domänen beiträgt. Daneben weist jede Domäne einen eigenen Domänencontroller auf, wobei eine Vertrauensstellung zwischen der Domäne, die die kritischen Server enthält (Datendomäne), und den nach außen gerichteten Servern (Umkreisnetzwerk und Unternehmensdomäne) hergestellt wird und Server nur auf die Dienste in anderen Domänen zugreifen können, mit denen sie eine Verbindung herstellen müssen. Es ist eine Firewall (FW1) vorhanden, die den Datenverkehr sowohl von der Dienstschnittstellen-Domäne als auch von der Dienstdomäne zur Datendomäne einschränkt. Daneben gibt es eine Firewall (FW2), die den Datenverkehr sowohl von der Dienstschnittstellen-Domäne als auch von der Domäne für Vorgänge zur Dienstdomäne einschränkt.
Unternehmensdomäne. Dies ist die Intranetdomäne, die alle Desktopcomputer im Unternehmen oder in der Abteilung sowie alle Server umfasst, die Dienste für die Information Worker im Unternehmen bereitstellen. In dieser Domäne wird zwischen zwei logischen Containern unterschieden:
Intranetdienste. Dieser Container enthält die Server, die über den SQL- und den Dateiadapter Nachrichten von internen Partnern empfangen und an diese senden. Als Intranet unterscheidet sich dies von dem Unternehmensnetzwerk, in dem die meisten Benutzer über eigene Konten und Dienste verfügen. Wie im Umkreisnetzwerk in der Abbildung können sich auch einige Server in diesem Container an einem anderen Standort befinden. So kann sich z. B. der Sende- und der Empfangsspeicherort (Ordner) für den Dateiadapter auf einer Ebene außerhalb der Dienstschnittstellen-Domäne befinden, und den Server mit SQL Server für den SQL-Adapter können Sie in der Dienstschnittstellen-Domäne platzieren.
Vorgänge. Dieser Container enthält die Terminaldienst-Clients, die IT-Spezialisten verwenden, um die Leistung und Integrität aller Server in der Umgebung remote zu verwalten und zu überwachen. Mithilfe von Terminaldiensten stellen IT-Spezialisten eine Verbindung mit dem Verwaltungsserver in der Dienstdomäne her und führen dort administrative Aufgaben für alle Server in der Umgebung aus.
Es sind zwar möglicherweise Entwicklungscomputer in der Unternehmensdomäne vorhanden, jedoch wird deren Konfiguration in diesem Dokument nicht behandelt.
Weitere Informationen zur BizTalk Server Architektur einschließlich der Information Worker-Dienste finden Sie unter Große verteilte Architektur mit Information Worker Services.
Die Vertrauensstellung zwischen den Domänen sieht folgendermaßen aus:
Die Datendomäne vertraut keiner anderen Domäne.
Die Dienstschnittstellen-Domäne vertraut der Datendomäne.
Die Dienstdomäne vertraut der Datendomäne.
Die Unternehmensdomäne vertraut der Dienstdomäne.
Weitere Informationen zum Konfigurieren einer Firewall für Domänen und Vertrauensstellungen finden Sie auf der Microsoft-Hilfe- und Supportwebsite unter https://go.microsoft.com/fwlink/?LinkId=25230.
In der obigen Abbildung ist der Sicherheit ein hoher Stellenwert eingeräumt, Sie können die Architektur jedoch auch um Netzwerklastenausgleich (Network Load Balancing, NLB) und Clusterdienste erweitern, um eine höhere Verfügbarkeit und Leistung zu erzielen.
Weitere Informationen zur Hochverfügbarkeit finden Sie unter Planen von Hochverfügbarkeit.
Weitere Informationen zur Leistung finden Sie unter Planen für nachhaltige Leistung.
Die folgende Tabelle enthält eine Übersicht über die Servertypen, die Sie in Abhängigkeit von der zu erreichenden Vereinbarung zum Servicelevel (Service Level Agreement, SLA) mit Netzwerklastenausgleich (Network Load Balancing, NLB) konfigurieren können:
Name | Typ | Domain |
---|---|---|
HTTP (Empfang) | Internetinformationsdienste | Umkreisnetzwerk |
Empfangshandler (Isoliert) | Internetinformationsdienste | Dienstschnittstellen-Domäne |
BAM-Portal | Internetinformationsdienste | Dienstschnittstellen-Domäne |
Die folgende Tabelle enthält eine Übersicht über die Servertypen, die Sie in Abhängigkeit von der zu erreichenden Vereinbarung zum Servicelevel (Service Level Agreement, SLA) clustern können:
Name | Typ | Domain |
---|---|---|
Exchange (Senden) | Exchange Server | Umkreisnetzwerk |
Empfangshandler (In-Process-Host) für FTP- und POP3-Adapter | BizTalk Server | Dienstschnittstellen-Domäne Unternehmensdomäne |
Server für den geheimen Hauptschlüssel | BizTalk Server | Dienstdomäne |
Alle Server mit SQL Server | SQL Server | Data Domain |
Weitere Informationen zur BizTalk Server-Architektur, einschließlich der Information Worker-Dienste, finden Sie unter Große verteilte Architektur mit Information Worker Services.
Weitere Informationen
Beispielarchitekturen für BizTalk Serverherunterskalierte Architekturen