複数サーバーの BizTalk インストールでの Active Directory アクセス許可の実装に関するガイドライン
このトピックでは、Microsoft BizTalk Server インストールで使用するユーザー アカウントとグループで構成される Active Directory 組織単位を作成するためのガイドラインについて説明します。
ここに作成されたアカウントは、ドメインにおいて一般ユーザーのアクセス許可以上のアクセス許可を必要としません。 このドメイン アカウントは、次に示す信頼の境界内では高度な特権を必要とする場合があります。
BizTalk Server
Microsoft SharePoint Services (BizTalk Server サーバー上)
Microsoft SQL Server
外部データベース 1
外部データベース 2
外部データベース N
たとえば、ドメイン アカウントには、外部データベースをホストしているシステムで特定のアクションを実行する権限を付与する必要が生じる場合があります。 また、アカウントは、ファイル ドロップ フォルダーにファイルを書き込む必要があることもあり、この場合は、そのフォルダーへの書き込みアクセス許可が必要になります。
Active Directory ユーザーとコンピューター コンソールを使用して、ドメイン ユーザーおよびグループ アカウントを作成および管理します。 [スタート] ボタンをクリックし、[すべてのプログラム] をポイントし、[管理ツール] をポイントし、[Active Directory ユーザーとコンピューター] をクリックしてActive Directory ユーザーとコンピューター コンソールを起動します。
BizTalk Server のインストールと構成のアカウント
開発環境では、BizTalk Serverインストール プログラムとBizTalk Server構成ウィザードでは、BizTalk ServerおよびSQL Server システムに対する管理者権限を持つアカウントを使用する必要があります。 セットアップと構成の完了後すぐに、権限を取り消したり、アカウントを無効にしたりすることができます。 アカウントは、いくつかの BizTalk グループに属する必要もあります。これについては、次のセクションで説明します。
注意
インストールに使用するアカウントがサーバーと異なる Active Directory フォレストに属している場合、SSO コンポーネントを構成することはできません。 BizTalk Server インストーラー アカウントがない場合は、SSO 構成にローカル管理者アカウントを使用します。 この方法では、インストール中に、別の資格情報を使用してリソースにログオンすることが必要になるなど、別の問題が発生する可能性があります。
BizTalk Server 開発アカウント
BizTalk Server開発を行う個人には、アダプターへのアクセス、ハンドラーの受信と送信、および場所の受信が必要です。 このアクセスには、ドメイン開発者グループが BizTalk Server Administrators グループと SSO 関連管理者グループのメンバーである必要があります。
注意
Active Directory では、外部のドメイン ユーザーを含むことができるグループの種類と他のグループに含まれることが可能なグループの種類に関して制限があります。 以下で作成するグループとアカウントは、単一ドメインのマルチサーバー環境でテストされます。
BizTalk Server 展開アカウント
BizTalk Serverアプリケーションをデプロイする個人は、ローカル システムの管理者である必要があり、環境内の他のアクセス許可が必要になる場合があります。 BizTalk Server 展開アカウントをこのトピックで示しているのはこのためです。
このアクセスには、ドメイン展開グループが BizTalk Server Administrators グループと SSO 関連管理者グループのメンバーである必要があります。
注意
インストールに使用するアカウントがサーバーと異なる Active Directory フォレストに属している場合、SSO コンポーネントを構成することはできません。 BizTalk Server 展開アカウントがない場合は、SSO 構成用のローカル管理者アカウントを使用します。 この方法では、インストール中に、別の資格情報を使用してリソースにログオンすることが必要になるなど、別の問題が発生する可能性があります。
BizTalk Server サポート アカウント
BizTalk Serverアプリケーションをサポートする個人は、ローカル システムの管理者である必要があります。 BizTalk サポート アカウントをこのトピックで示しているのはこのためです。
このアクセスには、ドメイン サポート グループが BizTalk Server Administrators グループのメンバーである必要があります。
SQL Server サービス アカウント
SQL Server インスタンスを実行するサービスは、BizTalk Server コンポーネントのインストール、開発、展開を行うアカウントと同じ Active Directory ドメインに属している必要があります。
管理機能 (対話型ログオン) には SQLAdmin を使用します。
SQLService を使用してサービスを管理します (対話型ログオンは行われません)。
SQLAccess を使用して外部データベースにアクセスします。
SQLAdmin は、SQL Server システムのローカル Administrators グループのメンバーである必要があります。
SQLService は、SQL Server システムのローカル Administrators グループのメンバーである必要があり、サービスとしてのログオンユーザー権限を付与する必要があります。
SQLAccess には、リモート データベース サーバーに対する適切な権限が必要です。
SQL アカウント
| ユーザー名 | [First Name] | [Last Name] | [名前] |
|---|---|---|---|
| SQLService | SQL | SQLService | SQL サービス アカウント |
| SQLAdmin | [Admin] | SQLService | SQL Admin アカウント |
| SQLAccess | Access | SQLService | SQL アクセス アカウント |
社内基準に従ってアカウントのパスワードを設定します。
重要
SQL Serverを実行しているコンピューターで、SQLService アカウントと資格情報を使用するように、SQL Server および SQLServerAgent サービスのスタートアップ パラメーターを変更します。
注意
"ユーザー名" フィールドはサンプルです。他の Active Directory アカウントとの競合しないよう必要に応じて名前を変更します。
Windows SharePoint Services アカウント
SharePoint Services をインストールする前に、Windows SharePoint Services アカウントを作成する必要があります。
SharePoint Services アカウントに関する推奨事項と注意事項:
管理機能、SharePoint タイマー サービス、およびすべてのSharePoint Services アクセスには、SharePoint 管理 アカウント (SPAdmin) を使用します。
SPAdmin はサイト所有者で、電子メール エイリアスが必要になります。
SPAdmin は、ローカル BizTalk Server コンピューターのローカル管理者グループのメンバーである必要があります (Windows SharePoint Servicesセットアップで行われます)。
SPAdmin には、SQL Server コンピューターのセキュリティ管理者とデータベース作成者の役割が必要です (Windows SharePoint Servicesセットアップで行われます)。
SharePoint アカウント
| ユーザー名 | [First Name] | [Last Name] | [名前] |
|---|---|---|---|
| SPAdmin | [Admin] | SPService | SharePoint Admin アカウント |
社内基準に従ってアカウントのパスワードを設定し、構成手順の間にこのパスワードを取得できるようにします。 生成された パスワード に関する問題については、このトピックの「パスワード」セクションを参照してください。
注意
この "ユーザー名" フィールドはサンプルです。他の AD アカウントを保護するため必要に応じてこの名前を変更します。
重要
BizTalk Serverを実行しているコンピューターにWindows SharePoint Servicesをインストールした後、SharePoint タイマー サービスのスタートアップ パラメーターで SPAdmin アカウントと資格情報が使用されていることを確認します。
BizTalk のグループとユーザー
BizTalk Server構成ウィザードを実行する前に、BizTalk Serverグループとユーザーを作成する必要があります。 単一システムインストールでは、BizTalk Serverは、構成中に作成されるローカル グループとアカウントを使用します。 ただし、別のBizTalk Server ホストが展開されている場合、またはBizTalk ServerとSQL Serverが 2 つの異なるコンピューターにインストールされている場合は、ドメイン ユーザー アカウントとグループ アカウントを使用する必要があります。
注意
BizTalk Server構成ウィザードでは、ドメイン アカウントを作成できません。
BizTalk Server サービスとユーザー アカウントに関する推奨事項と注意事項:
BizTalk Serverの組織単位 (OU) を作成します。 アカウントとグループは、すべてこの OU に属することになります。
フル ネームはわかりやすいものにします。次の表の名前は、構成時にインストーラーが適切なグループ/アカウント/ユーザーを選択できるようにする必要があります。
名と姓は省略可能で、単に一貫性のために用意されています。
差別化要因 BTService と BTUser は、サービス アカウント (オートマトン) と汎用/共有人間ユーザーを指します。
ドメイン アカウントを作成して、アップ ラインの環境用のユーザー アカウントとグループ アカウントを生成するための ADSI スクリプトで、そのドメイン アカウントを設定します。
BizTalk サービス アカウント
| ユーザー名 | [First Name] | [Last Name] | [名前] |
|---|---|---|---|
| BTService | BTS | BTService | BizTalk サービス アカウント |
| BTServiceHost | Host | BTService | BizTalk ホスト インスタンス アカウント |
| BTServiceHostIso | HostIso | BTService | BizTalk 分離ホスト インスタンス アカウント |
| SSOService | SSO の構成 | BTService | エンタープライズ シングル サインオン サービス |
| BTServiceREU | REU | BTService | ルール エンジン更新サービス |
社内や環境の基準に従ってユーザー名を設定します (devBTService、alphaBTService など)。 会社の標準に従ってアカウント パスワードを設定し、構成手順のためにパスワードを取得できるようにします。 生成されたパスワードに関する問題については、このトピックの「 パスワードの開発に関する考慮事項」 セクションを参照してください。
インストーラーは、サービス アカウントが非常に細かいことに気付き、BizTalk Serverによって作成されたサービスにほぼ 1 対 1 のマッピングが行われます。 この細分化により、企業の IT セキュリティでは、必要に応じてアクセスを追跡したり制限したりできます。 アカウントは細分化することをお勧めしますが、エンタープライズ環境で必要かどうかは、システム デザイナーや企業のセキュリティ担当者の判断によります。
前のグループのサービス アカウントは、自動アクセス専用で、ユーザーによる対話形式でのログオンは想定していません。
適切なアカウント オプションを設定するには
Active Directory ユーザーとコンピューター コンソールで、 をクリックしてドメインを展開し、 をクリックして Users コンテナーを展開します。
アカウントを右クリックし、[ プロパティ ] を選択して、アカウントの [プロパティ ] ダイアログ ボックスを表示します。
[プロパティ] ダイアログ ボックスの [アカウント] タブをクリックします。
クリックして、次のオプションをチェックします。
ユーザーはパスワードを変更できません (エンタープライズ セキュリティによってパスワードが一括変更されます)。
パスワードを無期限にする
[ ログオン] ボタンを クリックして、[ ログオン ワークステーション ] ダイアログ ボックスを表示します。
[次のコンピューター] のオプションをクリックし、BizTalk Serverを実行している各コンピューターを追加してSQL Serverし、[OK] をクリックします。
[プロパティ] ダイアログ ボックスの [リモート コントロール] タブをクリックし、[リモート コントロールを有効にする] オプションをクリックしてオフにします。
[プロパティ] ダイアログ ボックスの [ターミナル サービス プロファイル] タブをクリックします。
[このユーザーのアクセス許可を拒否して任意のターミナル サーバーにログオンする] オプションをクリックしてチェックします。
[ OK] をクリックして 、アカウントの [プロパティ ] ダイアログ ボックスを閉じます。
各サービス アカウントについて、手順 3. ~ 10. を繰り返します。
BizTalk ユーザー アカウント
| ユーザー名 | [First Name] | [Last Name] | [名前] |
|---|---|---|---|
| BTUserAdmin | [Admin] | BTUser | BizTalk 管理ユーザー アカウント |
| BTUserDeploy | デプロイ | BTUser | BizTalk 展開ユーザー アカウント |
| BTUserHostInstance | HostInstance | BTUser | BizTalk ホスト インスタンス アカウント |
| BTUserHostIsolated | IsolatedlHost | BTUser | BizTalk 分離ホスト インスタンス アカウント |
| BTUserInstall | インストール | BTUser | BizTalk インストール ユーザー アカウント |
| BTUserSupport | サポート | BTUser | BizTalk サポート アクセス アカウント |
適切なアカウント オプションを設定するには、次の手順を実行します。
Active Directory ユーザーとコンピューター コンソールで、 をクリックしてドメインを展開し、 をクリックして Users コンテナーを展開します。
アカウントを右クリックし、[ プロパティ ] を選択して、アカウントの [プロパティ ] ダイアログ ボックスを表示します。
[プロパティ] ダイアログ ボックスの [アカウント] タブをクリックします。
クリックして、次のオプションをチェックします。
ユーザーはパスワードを変更できません (エンタープライズ セキュリティによってパスワードが一括変更されます)。
パスワードを無期限にする
[ ログオン] ボタンを クリックして、[ ログオン ワークステーション ] ダイアログ ボックスを表示します。
[次のコンピューター] のオプションをクリックし、BizTalk Serverを実行している各コンピューターを追加してSQL Serverし、[OK] をクリックします。
[プロパティ] ダイアログ ボックスの [リモート コントロール] タブをクリックし、[リモート コントロールを有効にする] オプションをクリックしてチェックします。
[プロパティ] ダイアログ ボックスの [ターミナル サービス プロファイル] タブをクリックします。
[ このユーザーのアクセス許可を拒否して任意のターミナル サーバーにログオンする] オプションをオフにします。
[ OK] をクリックして 、アカウントの [プロパティ ] ダイアログ ボックスを閉じます。
各ユーザー アカウントについて、手順 3. ~ 10. を繰り返します。
注意
提供されるロールが現行のユーザーに割り当てられている場合、設定したアカウントは任意で無効にすることができます。 リリース 1 とリリース 2 の初期段階では、これらのアカウントは、開発環境、アルファ テスト環境、ベータ テスト環境で使用されることを前提としています。
BizTalk グループ アカウント
| グループ名 | グループの種類 | [メンバー] |
|---|---|---|
| BizTalk Application Users | グローバルまたはユニバーサル | - BTServiceHost - BTUserHostInstance |
| BizTalk 開発ユーザー | グローバルまたはユニバーサル | (開発ユーザーのローカル ドメイン アカウント) メモ: ベスト プラクティスとして、BizTalk Development Users グループをアップライン環境で有効にしないでください。 |
| BizTalk 展開ユーザー | グローバルまたはユニバーサル | (展開ユーザーのローカル ドメイン アカウント) |
| BizTalk ホスト ユーザー | グローバルまたはユニバーサル | BTUserHostInstance |
| BizTalk 分離ホスト ユーザー | グローバルまたはユニバーサル | - BTServiceHostIso - BTUserHostInstance |
| BizTalk Server 管理者 | グローバルまたはユニバーサル | - BTUserAdmin - BTUserInstall - BizTalk 開発ユーザー - BizTalk 展開ユーザー |
| BizTalk サポート ユーザー | グローバルまたはユニバーサル | BTUserSupport (サポート ユーザーのローカル ドメイン アカウント) |
| SSO 管理者 | グローバルまたはユニバーサル | - SSOService - BTUserInstall - ローカル管理者 |
| SSO 関連管理者 | グローバルまたはユニバーサル | - BizTalk 開発ユーザー - BizTalk 展開ユーザー - BTServiceHostIso - <コンソール ユーザー> |
| Windows SharePoint Services 管理者 | グローバルまたはユニバーサル | -Spadmin - BTUserInstall - BTUserDeploy - BizTalk 開発ユーザー - BizTalk 展開ユーザー |
ドメイン グループに関する推奨事項と注意事項を次に示します。
BizTalk Serverをインストールする前に、グループを作成し、メンバーを追加します。
ドメイン グループは、グローバル グループにもユニバーサル グループにもすることができます。
構成ウィザードでドメイン アカウント情報を指定する場合は、DomainName>\<UserName> を使用<します。
グループとユーザー/サービス アカウントは、BizTalk Server コンピューターが属するドメインに属している必要があります (構成ウィザードはこれを確認し、他のドメインのアカウントを含むアカウントまたはグループは表示されません)。
BizTalk Server では、すべてのクラスタリング シナリオに対応するドメイン アカウントが必要です。
BizTalk Serverをインストールする場合、コンソール ユーザーは次のグループのメンバーである必要があります。
BizTalk Server 管理者
SSO 管理者 (マスター シークレット サーバーを構成する場合のみ)
Windows 管理者
SQL Server管理者
OLAP 管理者
BTUserInstall アカウントは、インストールと構成に使用し、構成が完了したら無効にする必要があります。
メッセージ イベントとサービス インスタンスの追跡でオーケストレーションをデバッガーにアタッチできるようにするには、前述の「BizTalk 開発アカウント」セクションで説明したように、開発者は BizTalk Server Administrators グループに属している必要があります。
ローカル管理者アカウント
次のアカウントとグループを確認するか、SQL Server コンピューターのローカル管理者グループに追加します。
ドメイン\BTUserInstall (構成が完了したら無効にします)
ドメイン\BTUserDeploy (構成が完了したら運用環境で無効にします)
ドメイン\SPAdmin
ドメイン\SQLAdmin
ドメイン\SQLService
Domain\BizTalk Development Users (アップ ライン環境では省略)
ドメイン\BizTalk 展開ユーザー (開発環境では除外します)
次のアカウントとグループを、BizTalk Server コンピューターのローカル管理者グループに確認または追加します。
ドメイン\BTUserInstall (構成が完了したら無効にします)
ドメイン\BTUserDeploy (構成が完了したら運用環境で無効にします)
ドメイン\BTUserSupport
ドメイン\SPAdmin
ドメイン\BizTalk 開発ユーザー (アップラインの環境では除外します)
ドメイン\BizTalk 展開ユーザー (開発環境では除外します)
SQL Server 管理者アカウント
セットアップ プログラムによりインストーラーからの入力が受け付けられ、SQL ロールがユーザーとグループに割り当てられます。
- SharePoint Services セットアップ中、SPAdmin アカウントには、SQL Server コンピューターに対するセキュリティ管理者とデータベース作成者の権限が付与されます。 SPAdmin アカウントがローカル管理者グループのメンバーの場合、この権限を削除することができます。
電子メール アカウント
SharePoint Services は、特定のシステム イベントに基づいてメールを送信します。 構成時に、電子メール アドレスの入力を求めるメッセージを設定します。 セットアップと単体テストの間に、電子メール エイリアスをこの目的で作成してエイリアスを監視します。 運用環境では、システムを監視しているシステム管理者がこのアカウントにアクセスできる必要があります。
SharePoint Services によって使用される電子メール アカウントは、WSS 管理者の電子メール アカウントです。
開発時のパスワードに関する考慮事項
開発環境とテスト環境では、アカウントのパスワードは標準で設定され、配布可能です。 インストーラーの標準はさまざまです。このトピックでは、サービス コンポーネントの先頭の大文字を取り、その後にアカウントの残り (サービスまたはユーザー) の小文字部分を省略したものを続けたテンプレートを使用します。 このトピックでは、サービス アカウントには 'Serv' を、ユーザー アカウントには 'User' を使用します。
例:
Windows SharePoint Services (SharePoint) サービスおよび管理者アカウント (SPAdmin) パスワード: 'SPServ'。
BizTalk サービス アカウントのパスワード: 'BTServ'。
BizTalk ユーザー アカウントのパスワード: 'BTUser'。
IT 環境によっては、パスワードに英字以外の文字や数字を含める必要があります。 このシナリオでは、"s" の代わりにドル記号 ($) を使用したり、"a" の代わりに アット マーク (@) を使用することもできます。 これらの記号はサンプルです。半パブリックなパスワードの共有アカウントのために、最適なパターンを開発します。
開発環境で使用される再配布可能なサンプル パスワードを次に示します。
BT$erv99 BizTalk サービス アカウント
BTU$er99 BizTalk ユーザー アカウント
SP$erv99 WSS サービス アカウント (SPAdmin)
SQL$erv99 SQL Service/Access/管理 アカウント
注意
これらの推奨事項は開発環境、共有環境に限定されるもので、社内のパスワード ポリシーの使用を勧めたり妨げるものではありません。 パスワードの要件については、ネットワーク管理者に確認してください。
注意
社内のパスワード ポリシーに生成されたパスワードが含まれる場合、記号やその組み合わせには XML の特殊用途の文字もあることに注意してください。 これらの文字を不適切に使用すると、構成時に、構成 XML ファイルを開けなくなります。 これらの記号には、"&"、""、"<>"、単一引用符と二重引用符が含まれており、他の記号が含まれる場合があります。 ファイル ベースの構成を実行する前に、構成 XML ファイルをテストしてください。 生成されたパスワードを埋め込んだドキュメントを Internet Explorer (または XML エディター) で開くことで、適切な XML 書式設定について、これを確実にテストすることができます。
(BizTalk Server構成ファイルをテストする方法を含む) アップライン環境でのセキュリティで保護されたパスワードの展開の詳細については、「BizTalk Serverの構成」を参照してください。
参照
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示