訊息和執行個體資料追蹤的安全性考量
基於安全性考慮,訊息和服務實例追蹤不會使用瀏覽器或 URL,如先前版本的BizTalk Server一樣。 此監視選項會包含在 BizTalk Server 管理主控台的 [群組概觀] 頁面中。 為了回溯相容性,BizTalk Server仍會基於安全性考慮,在殼層內裝載 Microsoft Internet Explorer。
藉由追蹤訊息和服務實例資料,您可以存取疑難排解及優化BizTalk Server環境所需的技術詳細資料。 由於此追蹤資料功能強大,因此您應該限制在生產環境中存取資料,讓惡意或未經授權的使用者不會造成損害。 建議您遵循這些指導方針,在環境中保護及使用 BizTalk Server 管理主控台。
您必須以BizTalk Server操作員群組的成員身分登入,才能使用 BizTalk Server 管理主控台來檢視資料。 若要在 BizTalk Server 管理主控台的 [群組概觀] 區段中存取訊息本文,您必須以 BizTalk Server Administrators 群組的成員身分登入。
當您使用訊息和服務實例追蹤時,您可以存取下列資料庫:
資料庫 使用者群組/權限 BizTalk 管理 (BizTalkMgmtDb) BizTalk Server 系統管理員、BizTalk Server 操作員 BizTalk MessageBox (BizTalkMsgBoxDb) BizTalk Server 系統管理員、BizTalk Server 操作員或讀-寫權限 BizTalk 追蹤 (BizTalkDTADb) BizTalk Server 系統管理員、BizTalk Server 操作員或唯讀權限 訊息和服務實例追蹤會根據查詢的參數,產生BizTalk Server環境中所有主機的相關報告。 若要將資訊洩漏的可能性降到最低,只有BizTalk Server系統管理員群組的成員可以使用 BizTalk Server 管理主控台來執行這些仲裁。 不過,如果您不想讓所有BizTalk Server系統管理員能夠存取此追蹤程式所產生的資料,您可以藉由 BAM_EVENT_WRITER SQL Server HM_EVENT_WRITER在 BizTalk 追蹤 (BizTalkDTADb) 資料庫中新增/移除使用者,以限制其對資料的存取權。
BizTalk 會使用 BAM_EVENT_WRITER 與 HM_EVENT_WRITER SQL Server 角色,而不是透過角色成員資格,來授予/拒絕其中成員讀/寫「追蹤」資料庫中追蹤資料的權限。 請勿移除這些 SQL Server 角色。 將主控件從裝載變更為不裝載追蹤 (反之亦然) 時,會呼叫 adm_ChangeHostTrackingPrivilege 預存程序。 此預存程序會讀取 BAM_EVENT_WRITER 與 HM_EVENT_WRITER SQL Server 角色的定義,並將對應的 GRANT/DENY 陳述式套用到主控件 Windows 群組。 這種做法的效果與新增主控件 Windows 群組到這些 SQL 角色的效果一樣。
當您設定 BizTalk Server 管理主控台喜好設定以檢視封存資料庫的資料時,在此情況下,追蹤查詢會連線到保存已封存資料的資料庫,而不是目前使用中的 BizTalk 追蹤 (BizTalkDTADb) 資料庫。
您不能偵錯網路位址轉譯 (NAT,Network Address Translation) 防火牆之間的即時協調流程。 您在處理網域上必須有管理電腦,才能偵錯即時協調流程。
根據您設定追蹤和管線的方式,BizTalk Server可能會儲存訊息內容中包含的敏感性資訊。 如果您使用 WMI 或追蹤將訊息本文儲存到檔案位置,請確定該位置具有強式存取控制清單 (DACL) ,如此一來,只有BizTalk Server系統管理員擁有這些郵件本文的讀取權限。 將相同 DACL 套用到您儲存訊息內文的所有位置,包括您可能要在其中封存和復原訊息內文的非 BizTalk 資料庫。
您必須手動授予權限給 BizTalk Server 系統管理員群組來存取追蹤 Analysis Server (BizTalkAnalysisDb) 資料庫,依照預設,只有 OLAP 系統管理員才具有此資料庫的存取權限。