Freigeben über

Beispielarchitektur: BizTalk Server-Basisarchitektur

  • Artikel

In diesem Thema wird die Beispielbasisarchitektur beschrieben. Die Beschreibung umfasst die Komponenten einer BizTalk Server-Bereitstellung, die adapterunabhängig sind. Es wird empfohlen, dass BizTalk Server-Bereitstellungen mindestens diese Komponenten umfassen.

Die folgende Abbildung zeigt die Komponenten der grundlegenden BizTalk Server-Beispielarchitektur. Diese Komponenten sind Teil aller adapterspezifischen BizTalk Server-Architekturen, die in späteren Abschnitten behandelt werden.

Abbildung 1 Basisarchitekturkomponenten

Basisarchitekturkomponenten

Diese Bespielarchitektur enthält die in den folgenden Abschnitten beschrieben Elemente.

Umkreisnetzwerk–Internet

  • Dieses Umkreisnetzwerk (auch als DMZ, Demilitarized Zone oder überwachtes Subnetz bezeichnet) enthält Server, die Internetbezogene Dienste bereitstellen. In dieser Domäne gibt es keine BizTalk-Server, BizTalk-Empfangsspeicherorte oder Server für Einmaliges Anmelden für Unternehmen (SSO).

Umkreisnetzwerk – Intranet

Dieses Umkreisnetzwerk umfasst Server, die Intranetbezogene Dienste bereitstellen. Es bietet eine zusätzliche Sicherheitsebene zwischen Ihrem Intranet (z. B. einem Unternehmensnetzwerk) und den Servern, die die Anwendung ausführen. Genau wie das Internet-Umkreisnetzwerk enthält auch das Intranet-Umkreisnetzwerk keine BizTalk-Server, BizTalk-Empfangsspeicherorte und SSO-Server.

E-Business-Domäne

Diese Domäne enthält die gesamte Infrastruktur und sämtliche Anwendungen, die Ihre BizTalk Server-Implementierung verwendet. Die folgenden Server sind in dieser Domäne enthalten:

  • BizTalk Server Auf diesem Server befinden sich eine BizTalk Server-Laufzeitinstallation und Instanzen verschiedener BizTalk-Hosts. Die Anzahl von BizTalk-Servern in der Umgebung hängt vom Typ der ausgeführten Hosts und den Leistungsanforderungen ab. Mit zunehmendem Leistungsbedarf können Sie weitere BizTalk-Server für Hostinstanzen Ihrer verarbeitender Hosts zu Ihrer Umgebung hinzufügen.

  • Geheimer Masterserver. Bei diesem Server handelt es sich um den SSO-Server, der als Server für den geheimen Hauptschlüssel festgelegt ist. Er speichert den geheimen Hauptschlüssel (Verschlüsselungsschlüssel), den das SSO-System zum Verschlüsseln der Daten in der SSO-Datenbank verwendet.

  • SQL Server. Dieser Server enthält die BizTalk-Datenbanken.

    Wichtig

    Als Failoverschutz empfehlen wir, jede BizTalk-Datenbank zu clustern. Weitere Informationen zum Failoverclustering von Microsoft SQL Server finden Sie auf der Microsoft MSDN-Website unter https://go.microsoft.com/fwlink/?LinkID=190216.

    Hinweis

    Abhängig von Ihren Leistungsanforderungen müssen Sie die BizTalk-Datenbank evtl. auf mehrere Computer verteilen, auf denen SQL Server ausgeführt wird.

  • Domänencontroller. Dieser Server hostet die Active Directory-Domäne „E-Business“. Er enthält Informationen über alle Gruppen und Einzelkonten, die Zugriff auf BizTalk Server benötigen.

  • Verwaltungstools. Einer der Server in dieser Domäne hostet die Verwaltungstools, also die BizTalk-Verwaltungskonsole und das Verwaltungshilfsprogramm für Einmaliges Anmelden für Unternehmen (SSO).

Firewalls und Domänen

In Abbildung 1 fungiert Forefront Threat Management Gateway (TMG) 2010 Server als Firewallsoftware, die zum Schutz und zur Eingrenzung jeder dieser Domänen beiträgt. Zusätzlich verfügt die E-Business-Domäne über einen eigenen Domänencontroller und vertraut keiner anderen Domäne. Weitere Informationen zum Konfigurieren einer Firewall für Domänen und Vertrauensstellungen finden Sie auf der Microsoft-Website "Hilfe und Support" unter https://go.microsoft.com/fwlink/?LinkId=25230.

Die Beispielarchitektur verfügt über zwei Firewalls:

  • Firewall 1. Diese Firewall verfügt über drei Netzwerkschnittstellen: Sie leitet Datenverkehr aus dem Internet, dem Intranet und den Umkreisnetzwerken weiter.

  • Firewall 2. Diese Firewall ist zweifach vernetzt: Sie leitet Datenverkehr aus den Umkreisnetzwerken (sowohl Internet als auch Intranet) aus der E-Business-Domäne weiter.

    Die Computer in den Umkreisnetzwerken sind nicht Mitglied einer Domäne und kommunizieren auch nicht miteinander.

IPsec

Es empfiehlt sich, IPSec (Internet Protocol Security) zu verwenden, um die Kommunikation zwischen allen Servern in der E-Business-Domäne zu schützen. Die IPsec-Regeln lauten wie folgt:

  • Authentifizierter Datenverkehr zwischen BizTalk Server und dem Domänencontroller wird zugelassen.

  • Authentifizierter Datenverkehr zwischen BizTalk Server und dem Server mit den Verwaltungstools wird zugelassen.

  • Authentifizierter Datenverkehr zwischen BizTalk Server und dem Server für den geheimen Hauptschlüssel wird zugelassen.

  • Authentifizierter Datenverkehr zwischen BizTalk Server und dem SQL Server wird zugelassen.

  • Authentifizierter Datenverkehr zwischen dem Server für den geheimen Hauptschlüssel und dem Domänencontroller wird zugelassen.

  • Authentifizierter Datenverkehr zwischen dem Server für den geheimen Hauptschlüssel und dem BizTalk-Server (isolierte, verarbeitende, In-Process- und Überwachungshosts) wird zugelassen.

  • Authentifizierter Datenverkehr zwischen dem Server für den geheimen Hauptschlüssel und dem SQL Server (SSO-Datenbanken) wird zugelassen.

  • Authentifizierter Datenverkehr zwischen dem Domänencontroller und allen Servern in der Domäne wird zugelassen.

  • Authentifizierter Datenverkehr zwischen dem Server mit den Verwaltungstools und allen Servern in der Domäne wird zugelassen.

    Falls in der Domäne andere Anwendungen vorhanden sind, die keinen Zugriff auf den BizTalk-Server, den SQL Server, den Server für den geheimen Hauptschlüssel oder den Server mit den Verwaltungstools benötigen, blockieren Sie den Datenverkehr zwischen diesen Anwendungen und den entsprechenden Servern.

Weitere Informationen

Planen vonSicherheitsbeispielarchitekturen für kleine & Medium-Sized Unternehmen– Beispielszenarien für die Bedrohungsmodellanalyse