1. Ana Sayfa
  2. Üretici Teknolojileri
  3. Biztalk Server 2010 Kurulumu – Windows Group’ları ve Service Account’ları (Multi Server Installation)

Biztalk Server 2010 Kurulumu – Windows Group’ları ve Service Account’ları (Multi Server Installation)

’u tekli bir WorkGroup ortamında bir sunucuya değil de Domain ortamında ve SQL Server’ı farklı olacak olan bir yapıya kuruyorsanız kullanacağınız gruplar ve hesaplar hem ’a erişim hem de SQL Server’a erişim açından Domain kullanıcısı ve grubu olmalıdır.

Bu durumda ayrı sunucularda olan Biztalk ve SQL Server için kullanacağınız hesapları ve grupları merkezi bir veritabanından (ntds.dit’den ) yönetebilirsiniz ve her iki sunucuya uygun hesaplarla bağlanabilirsiniz.

Kullanıcı ve grup hesapları konfigürasyon şu şekildedir.

gereken kullanıcı ve grup hesapları Domain controller’da oluşturamaz. Yöneticinin oluşturması gerekmektedir. Local Account’lar kullanılmamalıdır.

Biztalk Server ’ı şu şekilde destekler. Domain_netbios_adı\kullanıcı_adı

Kullanacağınız gruplar ; Domail Local Group, Global Group yada Universal Group olabilir.

NT AUTHORITY\LOCAL SERVICE, NT AUTHORITY\NETWORK SERVICE, NT AUTHORITY\SERVICE, NT AUTHORITY\SYSTEM ve Everyone multi Server intallation senaryolarında desteklenmez.

AD yapısında uygun grupların ve servis hesaplarının açılması için bir organizational unit kullanabilirsiniz.

Biztalk Server’da kullanılan gruplar:

SSO Administrators : Enterprise Single Sign-On servisini yönetir. Biztalk Server Enterprise SSO servisi için kullanılacak olan servis Account’larını(User-Group) içermelidir. http://go.microsoft.com/fwlink/?LinkID=89383

SSO Affiliate Administrators:  SSO Affiliate uygulamalarının yöneticileridir. SSO affiliate uygulamalarını siler oluştururlar, User mapping’I yönetirler, affiliate uygulamaları kullanan kullanıcılar için credential ataması yaparlar. Herhengi bir servis Account’u içermez. Biztalk Server Administrators hesaplarını içerir.

Biztalk Server Administrators : Yönetimsel görevleri yapabilecek en az yetkilere sahiptir (least priviledge ilkesi ) . Deployment, uygulama yönetimi, message process olaylarını çözmleyebilir. SSO Affiliate Administrators grubuna üye olmalıdır. Biztalk Server’ı yönetmekte kullanacağınız hesapları grupları içermelidir.

Biztalk Server Operator : Gözlem ve hata denetimi izinleri ile donatılmıştır. Bu işlemleri yapacak olan kullanıcıları veya grupları içermelidir.

Biztalk Application Users : Biztalk Host Group için tasarlanan In-Process host instance’ına ait servis Account’larını veya gruplarını içermelidir.

Biztalk Isolated Host Users : Configuratin Manager tarafından yaratılan varsayılan Isolated Biztalk Host grubunun ismidir.Http ve Soap gibi Isolated Biztalk host’ları Biztalk Server üzerinde çalışmazlar. Her isolated environment için bir tane kullanılır. Tasarladığı Biztalk Isolated host instance’ı için gereken Account’ları veya grupları içermedir.

EDI Subsystem Users : EDI veritabanına erişim izni vardır. Biztalk EDI servisi için kullanılacak olan accout’ları yada grupları içermelidir.

BAM Portal Users: Biztalk Activity Monitor portal web sayfasına erişimi vardır(BAM Portal) . Varsayılanda Everyone grubunun bu izni vardır.

Biztalk SharePoint Adapter Enabled Hosts : Sharepoint servisleri adaptörü web servisine erişim izni vardır. Biztalk host instance’ında Sharepoint adatörünü arayabilecek/çağırabilecek kullanıcıları ve grupları içermelidir.

Biztalk Server B2B Operators : Sadece gözlem ve hata denetimi izinleri ile donatılmıştır. Bu işlemleri yapacak olan kullanıcıları veya grupları içermelidir.

AD içerisinde bu grupları oluşturmak için bir OU açtıysanız, OU içine new Group sihirbazı ile bu grupları açabilirsiniz.

Biztalk Server’da kullanılan servis Account’ları:

Gereken servis Account’ları ve olması gereken üyelikleri aşağıdaki gibidir. Kullanıcı hesaplarının isimleri değişebilir, aşağıdakidir sadece benim önerim.

Enterprise SSO (servis için) :  svc-entsso –> SSO Administrator grubuna üye olmalıdır.

SSO veritabanına erişim için kullanılan Enterprise SSO servis Account’udur.

Enterprise SSO ( Administrator için) :
adm-entsso –> SSO Administrator grubuna üye olmalıdır.

SSO Admin Account’udur

SSO Affiliate User : sso-affiliate –> SSO Affialte Administrators grubuna üye olmalıdır.

SSO admin grubu hesabıdır.

Biztalk Host Instance Account :hostinstance-svc –> Biztalk Application Users grubuna üye olmalıdır.

Biztalk In-Process Host instance’ını çalıştırır.

Biztalk Isolated Host Instance Account :
isolatedhost-svc –> Biztalk Isolated Host UsersIIS_WPG grubuna üye olmalıdır.

Biztalk Isolated Host Intance’ını ( http/soap) çalıştırır.

Bam Notification Service Account :

bam-svc –> SQLServer2005NotificationServicesUser$<_ismi> objesine  üye olmalıdır.

BAM veritabanına erişen BAM notification servisini çalıştıran Account’un

BAM Management Web Service Account : bamweb-svc –> IIS_WPG grubuna üye olmalıdır.

İlgili BAM kaynaklarına erişen BAM management web servisini çalıştıran Account’tur

BAM Application Pool Account : bampool-svc –> IIS_WPG grubuna üye olmalıdır.

BAM portal web sayfasını kullanan BAMAPPpool’u için servis Account’udur.

Biztalk Base EDI service : edi-svc –>  İncelediğim kadarı ile Base EDI adaptörü Biztalk 2006 r2 ve sonrasında  işlevselliği kaybetmiş ve uprage için kullanılıyormuş. Yerini Native EDI’a bırakmış.

Base EDI servisini kullanan servis Account’udur.

Rule Engine Update Service : ruleeng-svc . bknz Technet.

Rule Engine Update servisi çalıştıran servis Account’udur. Rule Engine servisi Rule engine veritabanaından notification’lar alır.

Biztalk Administrator Account :
btadmin-svc  –> Biztalk Server Administrators grubuna üye olmalıdır.

Bu grubun amacını üst kısımlarda yazmıştım.

Biztalk Server Operator Account : btServeradm-svc –> Biztalk Server Operators grubuna üye olmalıdır.

Bu grubun amacını üst kısımlarda yazmıştım.

Biztalk Server B2B Operator Account : b2b-svc—> Biztalk Server B2B Operators grubuna üye olmalıdır.

Bu grubun amacını üst kısımlarda yazmıştım.

Açıkladığımız servis hesaplarınıda aynı OU içinde açıp uygun şelikde grup üyeliklerini yapılandırınız.

SQL Server Service Account’ları :

SQL Server Agent Servisi : agent-svc –>Server Agent servisini çalıştırır.

SQL Server Database Engine Servisi : dbengine-svc –> DB’yi çalıştırır.

SQL Server Analysis servisi : analysis-svc –> Analiz servisini çalıştırır.

: reporting-svc –> Reporting Servisini çalıştırır.

SQL Server Integration : integration-svc –> SQL Server Intregration servisini çalıştırır.

İsterseniz tüm SQL Server servisleri için bir Domain hesabı kullanabilirsiniz. Melesa AD’de SQL-svc şeklinde bir hesap açıp bu hesabı SQL servislerini çalıştırması için kullanabilirsiniz. (bu hesaba SQL için yeterli yetkiyi vermeyi unutmayınız.)

Bence aynı durum Biztalk Servisleri içinde yapılabilir. Örneğin ; bt-svc isimli Domain Account’u açılıp Biztalk için kullanılabilir. Hatta test etmek için svcacc isminde bir Domain User Account’u açıp bütün Biztalk Server ve SQL Server yapılandırmaları kurulumları için bu hesabı kullanabildiğini göreceksiniz. ( svcacc Biztalk ve SQL sunucularından Local Administrator olmalıdır)

Kişisel önerim : Güvenlik üst düzey olacaksa üstte yazdıklarım olmalıdır. Güvenlik ve Account seçimi sizdeyse üstteki paragraf harika bir çözümdür.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

Technet ; Sandro PEREIRA Blog

Yorum Yap

Yazar Hakkında

1981'de Isparta’da doğdum. Üniversiteye kadar yaşantım Isparta'da devam etti. Lisansımı ve Yüksek Lisansımı Yıldız Teknik Üniversitesinde tamamladım. Windows NT'nin zamanının geçip Windows 2000 Server ve Client tarafının yaygınlaşmaya başladığı dönemlerde Microsoft sertifikasyon eğitimleri ile amatörce ilgilendiğim Bilişim Teknolojileri alanında, profesyonelliğe doğru ilerleyişim başladı. Lisans eğitimimin son zamanlarında ve yüksek lisansım ilk yılında freelance olarak çalıştım. 2006'in ilk çeyreğinden itibaren Bilge Adam Bilgi Teknolojileri Akademisi’nde Microsoft Sertifikasyon eğitimleri vermeye bağladım. Ardından Ankara Kızılay şubesinde 2 yıl Sistem ve Ağ Uzmanlığı departmanında Bölüm Başkan Yardımcılığı yaptım. Bilge Adam Kurumsal’da MS Sistem ve Platform kısmında Danışmanlık ve Eğitim hizmetleri ile Bilge Adam macerama devam ettim. Son 1.5 yıl kurumum adına Savunma Teknolojileri Mühendisliği A.Ş. 'ye MS Sistem ve Platform, Vmware Infrastructure (ESXi, vSphere) , Endpoint Security & Content Gateways (Checkpoint & Websense) , Network Infrastructure (Cisco Systems - Routing & Switching) alanlarında danışmanlık hizmeti verdim. Şu an SYMTURK firmasında Enterprise Vault ve Altiris CMS ürünlerinde danışmanlık hizmetine devam ediyorum. Vakit ayırabildiğim ölçüde eşimle WoW oynuyorum.

Yorum Yap