BizTalk アプリケーションを環境に展開するためのガイドラインを次に示します。
アプリケーションを .msi ファイルにエクスポートすると、ファイルとフォルダーからすべての随意アクセス制御リスト (DACL) が削除されます。 したがって、アプリケーションを .msi ファイルからインストールした後は、ファイルとフォルダーのすべてのセキュリティ設定を再構成する必要があります。
セキュリティ上の理由により、BizTalk Server では、バインド ファイルのエクスポート時にバインドのパスワードがファイルから削除されます。 バインドをインポートした後で、送信ポートと受信場所のパスワードを再構成する必要があります。 BizTalk Server 管理コンソールの [トランスポートのプロパティ] ダイアログ ボックスで、送信ポートと受信場所のパスワードをそれぞれ構成します。 手順については、「 送信ポートを作成する方法」を参照してください。 「 受信場所を作成する方法」も参照してください。 バインド ファイルの詳細については、「バインド ファイル とアプリケーションの展開」を参照してください。
プロパティ スキーマの展開または展開解除は機密データの公開につながる可能性があり、追跡時に機密情報が公開されてしまう可能性もあります。 プロパティ スキーマが含まれているアセンブリを展開または展開解除すると、必ずイベント ビューアーによってイベントが Windows アプリケーション イベント ログに記録されます。 イベント ログに記録されているメッセージを調べて、すべてのアセンブリ展開アクティビティが機密データに関するポリシーに従っていることを確認する必要があります。
デプロイのためにイベント ログに生成されるメッセージは次のとおりです。
ユーザー "{1}" は、プロパティ スキーマを含むアセンブリ "{0}" をデプロイしました。
展開解除に関してイベント ログに記録されるメッセージは次のとおりです。
ユーザー "{1}" は、プロパティ スキーマを含むアセンブリ "{0}" を展開解除しました。
アプリケーションに仮想ディレクトリが含まれている場合、仮想ディレクトリのセキュリティ設定は、アプリケーションのエクスポートで .msi ファイルが生成されたときに使用されていた設定になります。 アプリケーションを実稼働環境に展開する場合は、アプリケーションをエクスポートする前に、設定がセキュリティの要件を満たしていることを確認してください。
ただし、仮想ディレクトリが含まれているアプリケーションを展開する際、その仮想ディレクトリが展開先の環境に既に存在する場合は、既存の仮想ディレクトリのセキュリティ設定が有効になります。 展開しようとしている仮想ディレクトリのセキュリティ設定に合わせて変更されることはありません。 したがって、既存の仮想ディレクトリのセキュリティ設定が要件を満たしているかどうかの確認が必要になります。
注意事項
仮想ディレクトリで HTTPS (Hypertext Transfer Protocol over Secure Socket Layer) プロトコルが使用されている場合、その仮想ディレクトリのセキュリティ設定はエクスポート時に維持されず、インポート時にはルートのセキュリティ設定が継承されます。 したがって、そのセキュリティ設定が要件を満たしているかどうかの確認が必要になります。
Web サービス用に指定されたアプリケーション プールがアプリケーションのインポート時に存在しない場合は、既定のアプリケーション プールが使用されます。 既定のアプリケーション プールのセキュリティ設定は要件に合わない可能性があるため、 アプリケーションをインポートする前にアプリケーション プールを作成して適切なセキュリティ設定を構成するか、既定のアプリケーション プールの設定が適切かどうかを確認することをお勧めします。
悪意を持って作成された .msi ファイルがもたらすセキュリティ上の問題を回避するため、展開する Windows インストーラー (.msi) ファイルが信頼できるソースのものであることを確認する必要があります。 詳細については、「 セキュリティと Windows インストーラー」を参照してください。
アプリケーションを展開するためのアクセス許可があることを確認します。 詳細については、「 BizTalk アプリケーションの展開と管理に必要なアクセス許可」を参照してください。
アセンブリ、バインド ファイル、およびポリシー ファイルには接続情報や構成情報などの重要なビジネス データが含まれる可能性があるため、BizTalk 管理者以外はアクセスできないようにします。 ネットワーク共有を通じてアプリケーションを展開する場合は、そのネットワーク共有の随意アクセス制御リスト (DACL) を構成して、BizTalk 管理者以外はその内容を参照できないようにします。 グループ アカウントとユーザー アカウントの詳細については、「BizTalk Serverの Windows グループとユーザー アカウント」を参照してください。
展開操作を実行すると、BizTalk Server と BizTalk 管理データベースとの通信が発生します。 両者の間にファイアウォールが存在する場合は、処理ドメイン、サービス ドメイン、およびデータ ドメイン間のファイアウォールの設定で適切なポートを開く必要があります。 詳細については、「BizTalk Serverに必要なポート」を参照してください。
機密データが含まれる可能性のあるアセンブリやバインド ファイルなどのリソース ファイルについてリモートの場所を指定する場合は、ソース コンピューターと展開を実行するコンピューターの間のネットワーク セキュリティを考慮する必要があります。 2 台のコンピューター間のネットワークに対する攻撃の可能性が完全に排除されていない場合は、ターゲット ファイルをリムーバブル メディアにコピーして、展開を実行するコンピューターに物理的に移動する必要があります。