若要发布 Web 服务,必须配置 Internet Information Services (IIS)、BizTalk 独立主机和 Windows 用户和组帐户。 本部分讨论如何在 IIS 中启用 Web 服务。 有关启用 Web 服务的详细信息,请参阅 IIS 文档。
Internet Information Services
可以将 Web 服务发布到配置有 ASP.NET IIS 的 Windows 系统。 对于每个服务器,所有 Web 服务都在 ASP.NET 工作进程中运行。
默认情况下,ASP.NET 工作进程使用本地 ASPNET 帐户。 IIS 使用应用程序池来处理 Web 服务请求。
BizTalk 独立主机
若要启用 Web 服务,必须在 BizTalk Server 中创建至少一个独立主机。 独立主机表示外部进程,如 BIZTalk Server 不创建或控制的 ISAPI 扩展和 ASP.NET 进程。 这些类型的外部进程必须托管某些适配器,例如 HTTP/S 和 SOAP。
BizTalk Server Configuration Manager 创建 BizTalkServerIsolatedHost,BizTalk 用作默认独立主机。 默认情况下,BizTalk 独立主机用户组是与此主机关联的 Windows 组的名称。 有关主机和主机实例的详细信息,请参阅 管理 BizTalk 主机和主机实例。
独立主机实例只能运行一个适配器。 如果使用一个隔离主机配置 HTTP 和 SOAP 适配器的接收处理程序,则必须为每个适配器创建两个应用程序池,一个应用程序池。
例如,如果计划配置两个独立主机,如下所示:
| 独立主机名 | 接收的地点 |
|---|---|
| 独立主机 1 | HTTP_ReceiveLocation1A HTTP_ReceiveLocation1B SOAP_ReceiveLocation1注意:隔离主机 1 用于接收 SOAP 和 HTTP 适配器的处理程序。 |
| 独立主机 2 | HTTP_ReceiveLocation2 |
可以为每个接收位置创建四个虚拟目录,如下所示:
| 收到位置 | 虚拟目录 |
|---|---|
| HTTP_ReceiveLocation1A | IIS_Virtual_Directory1A |
| HTTP_ReceiveLocation1B | IIS_Virtual_Directory1B |
| SOAP_ReceiveLocation1 | IIS_Virtual_Directory1C |
| HTTP_ReceiveLocation2 | IIS_Virtual_Directory2 |
然后,必须为虚拟目录至少创建三个应用程序池,如下所示:
注释
必须为每个独立主机至少创建一个应用程序池。
| 虚拟目录 | 应用程序池 | DESCRIPTION |
|---|---|---|
| IIS_Virtual_Directory1A IIS_Virtual_Directory1B |
AppPool_Host1_HTTP | 不需要单独的应用程序池,因为所有接收位置具有相同的独立主机(独立主机 1)和相同的协议。 |
| IIS_Virtual_Directory1C | AppPool_Host1_SOAP | 需要单独的应用程序池,因为接收位置使用与同一主机(独立主机 1)中的其他接收位置不同的协议(SOAP)。 |
| IIS_Virtual_Directory2 | AppPool_Host2_HTTP | 需要单独的应用程序池,因为接收位置在隔离主机 1 的不同主机下运行。 |
注释
必须将应用程序池的用户帐户添加到隔离主机的相应本地或域组。 有关详细信息,请参阅 BizTalk Server 中的 Windows 组和用户帐户。
注释
需要根据前面的表匹配独立主机实例与相应的应用程序池之间的用户帐户。 有关独立主机实例和应用程序池用户帐户之间的关系的详细信息,请参阅 如何更改服务帐户和密码。
用于单服务器安装的数据库访问
如果 BizTalk Server 和 BizTalk 管理数据库驻留在同一台服务器上,则应将 ASP.NET 工作进程或 IIS 应用程序池的用户上下文设置为本地 ASPNET 用户帐户,或具有最小权限的本地或域用户帐户。
针对多个服务器安装的数据库访问
如果 BizTalk Server 和 BizTalk 管理数据库位于不同的服务器上,则应将 ASP.NET 工作进程或 IIS 应用程序池的用户上下文更改为域用户帐户。
实现多服务器部署时,独立主机 Windows 组必须存在于 BizTalk 数据库服务器所属的域中。
尽量减少帐户特权和用户权限
使用独立主机为在外部进程中运行的适配器提供对与 BizTalk Server 交互所需的最少数量的资源的访问。 对于安全部署,应为外部进程提供最低权限的用户上下文。
BizTalk Web 服务发布向导的安全建议
BizTalk Web 服务发布向导创建的虚拟目录将从父虚拟目录或网站继承访问控制列表(ACL)和身份验证要求。 如果父虚拟目录或网站允许匿名访问,BizTalk Web 服务发布向导将在创建虚拟目录时删除该功能。
下面包含适用于 Windows 的安全说明和建议。