次の方法で共有

サンプル アーキテクチャ: 基盤となる BizTalk Server

  • [アーティクル]

ここでは、基盤となるサンプル アーキテクチャについて説明します。 BizTalk Server の展開の中で、アダプターに依存しないコンポーネントについて説明します。 BizTalk Server の展開に少なくともこれらのコンポーネントを含めることをお勧めします。

次の図は、基盤となる BizTalk Server サンプル アーキテクチャのコンポーネントを示しています。 これらのコンポーネントは、後半で説明するアダプター固有の BizTalk Server アーキテクチャにすべて出現します。

図 1. 基盤となるアーキテクチャ コンポーネント

基本アーキテクチャ コンポーネント

このサンプル アーキテクチャには、以下のセクションに記載する項目が含まれています。

境界ネットワーク-インターネット

  • この境界ネットワーク (DMZ、非武装地帯、スクリーン サブネットとも呼ばれます) には、インターネット関連のサービスを提供するサーバーが含まれています。 このドメインには、BizTalk Server、BizTalk 受信場所、エンタープライズ シングル サインオン サーバーはありません。

境界ネットワーク - イントラネット

この境界ネットワークには、イントラネット関連のサービスを提供するサーバーが含まれています。 イントラネット (企業ネットワークなど) とアプリケーションが実行されるサーバー間のセキュリティに追加の層を提供します。 インターネット境界ネットワークと同様に、イントラネット境界ネットワークには、BizTalk Server、BizTalk 受信場所、エンタープライズ シングル サインオン サーバーは含まれません。

E-Business ドメイン

このドメインには、BizTalk Server の実装によって使用されるインフラストラクチャとアプリケーションがすべて含まれます。 このドメイン内のサーバーは次のとおりです。

  • BizTalk Server。 このサーバーには BizTalk Server ランタイムのインストールと、さまざまな BizTalk ホストのインスタンスが含まれています。 環境内の BizTalk Server の数は、実行されるホストの種類とパフォーマンスのニーズによって異なります。 パフォーマンスを向上させる必要がある場合、処理ホストのホスト インスタンス用の環境に BizTalk Server をさらに追加できます。

  • マスター シークレット サーバー: このサーバーは、エンタープライズ シングル サインオン (SSO) マスター シークレット サーバーです。 SSO システムが SSO データベース内のデータの暗号化に使用するマスター シークレット (暗号化キー) が保存されています。

  • SQL Server : このサーバーには、BizTalk データベースが含まれます。

    重要

    フェールオーバー保護のために、各 BizTalk データベースをクラスター化することをお勧めします。 Microsoft SQL Server フェールオーバー クラスタリングの詳細については、 の Microsoft MSDN Web サイトhttps://go.microsoft.com/fwlink/?LinkID=190216を参照してください。

    注意

    パフォーマンスのニーズによっては、BizTalk データベースを SQL Server が実行されている複数のコンピューターに分散することが必要になる場合があります。

  • ドメイン コントローラー。 このサーバーは E ビジネス Active Directory ドメインをホストします。 BizTalk Server へのアクセスが必要なすべてのグループと個別のアカウントについての情報が含まれます。

  • 管理ツール: このドメインのサーバーの 1 つは、管理ツール (BizTalk 管理コンソールおよびエンタープライズ シングル サインオン (SSO) 管理ユーティリティ) をホストしています。

ファイアウォールとドメイン

図 1 では、Forefront Threat Management Gateway (TMG) 2010 サーバーがソフトウェア ファイアウォールの役割を担い、これらの各ドメインを保護すると共に境界となっています。 また、E ビジネス ドメインには独自のドメイン コントローラーがあり、このドメインは他のドメインとの信頼関係がありません。 ドメインと信頼のファイアウォールを構成する方法の詳細については、 の Microsoft ヘルプおよびサポート Web サイト https://go.microsoft.com/fwlink/?LinkId=25230を参照してください。

サンプル アーキテクチャには 2 つのファイアウォールがあります。

  • ファイアウォール 1。 このファイアフォールには 3 つのネットワーク インターフェイスがあり、インターネット、イントラネット、および境界ネットワークからのトラフィックをルーティングします。

  • ファイアウォール 2. このファイアウォールはデュアルホームです。境界ネットワーク (インターネットとイントラネットの両方) および E ビジネス ドメインからのトラフィックをルーティングします。

    境界ネットワーク内のコンピューターはどのドメインにも属していないので、相互通信することはありません。

IPsec

Internet Protocol security (IPSec) を使用して、E ビジネス ドメイン内のすべてのサーバー間の通信をセキュリティで保護することをお勧めします。 IPsec 規則は次のとおりです。

  • BizTalk Server とドメイン コントローラー間の認証されたトラフィックを許可します。

  • BizTalk Server と管理ツール サーバー間の認証されたトラフィックを許可します。

  • BizTalk Server とマスター シークレット サーバー間の認証されたトラフィックを許可します。

  • BizTalk Server と SQL Server 間の認証されたトラフィックを許可します。

  • マスター シークレット サーバーとドメイン コントローラー間の認証されたトラフィックを許可します。

  • マスター シークレット サーバーと BizTalk Server (分離ホスト、処理ホスト、インプロセス ホスト、追跡ホスト) 間の認証されたトラフィックを許可します。

  • マスター シークレット サーバーと SQL Server (SSO データベース) 間の認証されたトラフィックを許可します。

  • ドメイン コントローラーとドメイン内のすべてのサーバー間の認証されたトラフィックを許可します。

  • 管理ツール サーバーとドメイン内のすべてのサーバー間の認証されたトラフィックを許可します。

    ドメイン内に BizTalk Server、SQL Server、マスター シークレット サーバー、または管理ツール サーバーへのアクセスが不要なその他のアプリケーションがある場合、それらのアプリケーションと該当するサーバー間のトラフィックをブロックしてください。

参照

小規模 & Medium-Sized企業向けのセキュリティ サンプル アーキテクチャの計画脅威モデル分析のサンプル シナリオ