Freigeben über

Sicherheitsaspekte für die Nachrichten- und Instanzdatenüberwachung

  • Artikel

Aus Sicherheitsgründen verwendet die Nachrichten- und Dienst-instance-Nachverfolgung keine Browser oder URLs wie in früheren Versionen von BizTalk Server. Diese Überwachungsoption ist in der BizTalk Server-Verwaltungskonsole auf der Seite Gruppenübersicht enthalten. Aus Gründen der Abwärtskompatibilität hostet BizTalk Server aus Sicherheitsgründen weiterhin Microsoft Internet Explorer in einer Shell.

Durch nachverfolgen von Nachrichten- und Dienstdaten instance können Sie auf die technischen Details zugreifen, die für die Problembehandlung und Optimierung Ihrer BizTalk Server Umgebung erforderlich sind. Da diese Überwachungsdaten leistungsstark sind, sollten Sie den Zugriff darauf in Ihrer Produktionsumgebung einschränken, damit böswillige oder nicht autorisierte Benutzer keinen Schaden verursachen. Die folgenden Empfehlungen gelten für das Sichern und Verwenden der BizTalk Server-Verwaltungskonsole in Ihrer Umgebung.

  • Sie müssen als Mitglied der Gruppe BizTalk Server Operatoren angemeldet sein, um Daten über die BizTalk Server-Verwaltungskonsole anzeigen zu können. Um auf Nachrichtentexte im Abschnitt Gruppenübersicht der BizTalk Server-Verwaltungskonsole zugreifen zu können, müssen Sie als Mitglied der Gruppe BizTalk Server Administratoren angemeldet sein.

    Bei Verwendung von Nachrichten- und Dienstinstanzüberwachung können Sie auf die folgenden Datenbanken zugreifen:

    Datenbank Benutzergruppe/Berechtigungen
    BizTalk-Verwaltung (BizTalkMgmtDb) BizTalk Server-Administratoren, BizTalk Server-Operatoren
    BizTalk MessageBox (BizTalkMsgBoxDb) BizTalk Server-Administratoren, BizTalk Server-Operatoren oder Lese-/Schreibberechtigungen
    BizTalk-Überwachungsdatenbank (BizTalkDTADb) BizTalk Server-Administratoren, BizTalk Server-Operatoren oder nur Leseberechtigungen

  • Nachrichten- und Dienst instance nachverfolgung generiert Berichte über alle Hosts in der BizTalk Server-Umgebung basierend auf den Parametern einer Abfrage. Um das Potenzial der Offenlegung von Informationen zu minimieren, können nur Mitglieder der Gruppe BizTalk Server Administratoren die BizTalk Server-Verwaltungskonsole verwenden, um diese Abfragen auszuführen. Wenn Sie jedoch nicht möchten, dass alle BizTalk Server-Administratoren Zugriff auf die Daten haben, die dieser Nachverfolgungsprozess erzeugt, können Sie ihren Zugriff auf die Daten einschränken, indem Sie Benutzer aus der HM_EVENT_WRITER- und BAM_EVENT_WRITER SQL Server-Rollen in der BizTalk-Nachverfolgungsdatenbank (BizTalkDTADb) hinzufügen/entfernen.

  • Mithilfe der SQL Server-Rollen „BAM_EVENT_WRITER“ und „HM_EVENT_WRITER“ gewährt/verweigert BizTalk deren Mitgliedern Berechtigungen zum Lesen/Schreiben von Überwachungsdaten in der Überwachungsdatenbank, jedoch nicht über Rollenmitgliedschaften. Diese SQL Server-Rollen dürfen Sie nicht entfernen. Wenn Sie einen Host von Hostüberwachung zu Nicht-Hostüberwachung (oder umgekehrt) ändern, wird die gespeicherte Prozedur "adm_ChangeHostTrackingPrivilege" aufgerufen. Diese Prozedur liest die Definition der SQL Server-Rollen „BAM_EVENT_WRITER“ und „HM_EVENT_WRITER“ und weist die entsprechenden GRANT/DENY-Anweisungen der Windows-Gruppe Host zu. Dies erzielt denselben Effekt wie das Hinzufügen der Windows-Gruppe "Host" zu diesen SQL-Rollen.

  • Wenn Sie die BizTalk Server-Verwaltungskonsole zum Anzeigen von Daten aus einer archivierten Datenbank konfigurieren, stellen die Überwachungsabfragen eine Verbindung mit den Datenbanken, die die archivierten Daten enthalten, und nicht mit der momentan aktiven BizTalk-Überwachungsdatenbank (BizTalkDTADb) her.

  • Es ist nicht möglich, aktive Orchestrierungen über NAT-Firewalls zu debuggen. Sie benötigen einen Verwaltungscomputer in der verarbeitenden Domäne, um aktive Orchestrierungen debuggen zu können.

  • Je nachdem, wie Sie die Nachverfolgung und die Pipelines konfigurieren, speichern BizTalk Server möglicherweise vertrauliche Informationen, die im Nachrichtenkontext enthalten sind. Wenn Sie WMI oder die Nachverfolgung verwenden, um Nachrichtentexte an einem Dateispeicherort zu speichern, stellen Sie sicher, dass der Speicherort über eine starke daCL (Discretionary Access Control List) verfügt, sodass nur BizTalk Server-Administratoren Über Leseberechtigungen für diese Nachrichtentexte verfügen. Wenden Sie dieselbe DACL auf jeden Speicherort an, an dem Sie Nachrichtentexte speichern, einschließlich Nicht-BizTalk-Datenbanken, in denen Sie diese archivieren oder wiederherstellen.

  • Sie müssen der BizTalk Server-Administratorengruppe manuell Berechtigungen für den Zugriff auf die Analysis Server-Überwachungsdatenbank (BizTalkAnalysisDb) erteilen, da diese standardmäßig nur OLAP-Administratoren besitzen.

Weitere Informationen

Planen der Nachrichten- und Instanzüberwachung
Anzeigen von Daten zu überwachten Nachrichten und Instanzen