メッセージとインスタンス データの追跡のセキュリティに関する考慮事項
セキュリティ上の理由から、メッセージとサービス インスタンスの追跡では、BizTalk Serverの以前のリリースのようにブラウザーまたは URL は使用されません。 この監視オプションは BizTalk Server 管理コンソールの [グループの概要] ページに含まれています。 下位互換性のために、セキュリティ上の理由から、BizTalk Serverは引き続きシェル内で Microsoft Internet エクスプローラーをホストします。
メッセージとサービス インスタンスのデータを追跡することで、BizTalk Server環境のトラブルシューティングと最適化に必要な技術的な詳細にアクセスできます。 この追跡データは強力なので、実稼働環境ではアクセスを制限し、悪意のあるユーザーや未承認のユーザーが危害を及ぼさないようにしてください。 BizTalk Server 管理コンソールをセキュリティで保護して環境で使用するには、次のガイドラインに従うことをお勧めします。
BizTalk Server管理コンソールを使用してデータを表示するには、BizTalk Server Operators グループのメンバーとしてログオンする必要があります。 BizTalk Server管理コンソールの [グループの概要] セクションのメッセージ本文にアクセスするには、BizTalk Server Administrators グループのメンバーとしてログオンする必要があります。
メッセージとサービス インスタンスの追跡を使用すると、次のデータベースにアクセスできます。
データベース ユーザー グループ/アクセス許可 BizTalk 管理 (BizTalkMgmtDb) BizTalk Server 管理者、BizTalk Server Operators BizTalk メッセージ ボックス (BizTalkMsgBoxDb) BizTalk Server 管理者、BizTalk Server Operators、または読み取り/書き込み BizTalk 追跡 (BizTalkDTADb) BizTalk Server 管理者、BizTalk Server Operators、または読み取り専用 メッセージとサービス インスタンスの追跡では、クエリのパラメーターに基づいて、BizTalk Server環境内のすべてのホストに関するレポートが生成されます。 情報漏えいの可能性を最小限に抑えるために、BizTalk Server Administrators グループのメンバーのみがBizTalk Server管理コンソールを使用してこれらのクエリを実行できます。 ただし、すべてのBizTalk Server管理者が、この追跡プロセスによって生成されるデータにアクセスできないようにするには、BizTalk Tracking (BizTalkDTADb) データベースのHM_EVENT_WRITERロールとBAM_EVENT_WRITER SQL Server ロールにユーザーを追加または削除することで、データへのアクセスを制限できます。
SQL Server ロール BAM_EVENT_WRITER と HM_EVENT_WRITER は、追跡データベースの追跡データを読み取ったり書き込んだりする権限を管理者グループのメンバーに許可または拒否するために使用されます。その際、ロールのメンバーシップは使用されません。 これらの SQL Server ロールは削除しないでください。 ホストをホスティングからホスティング追跡しない (またはその逆) に変更すると、adm_ChangeHostTrackingPrivilege ストアド プロシージャが呼び出されます。 このストアド プロシージャで、SQL Server ロール BAM_EVENT_WRITER と HM_EVENT_WRITER の定義が読み取られ、対応する GRANT/DENY ステートメントが Host Windows グループに適用されます。 この動作は、それぞれの SQL ロールに Host Windows グループを追加するのと同等の効果があります。
アーカイブ済みのデータベースのデータを表示するように BizTalk Server 管理コンソールの基本設定を構成している場合、追跡クエリは現在アクティブな BizTalk 追跡 (BizTalkDTADb) データベースではなく、アーカイブ済みのデータが保存されているデータベースに接続されます。
ネットワーク アドレス変換 (NAT) ファイアウォールを経由してライブ オーケストレーションをデバッグすることはできません。 ライブ オーケストレーションをデバッグするには、処理ドメインに管理用のコンピューターを用意する必要があります。
追跡とパイプラインの構成方法によっては、メッセージ コンテキストに含まれる機密情報BizTalk Server格納される場合があります。 WMI または追跡を使用してメッセージ本文をファイルの場所に保存する場合は、BizTalk Server管理者のみがこれらのメッセージ本文に対する読み取りアクセス許可を持つよう、場所に強力な随意アクセス制御リスト (DACL) があることを確認します。 メッセージ本文、および本文のアーカイブと復元が可能な BizTalk 以外のデータベースを保存する場所には、同一の DACL を適用します。
BizTalk Server 管理者グループに、Tracking Analysis Server (BizTalkAnalysisDb) データベースへのアクセス許可を手動で与える必要があります。既定では、このデータベースにアクセスできるのは OLAP 管理者のみです。