Konfigurieren mit Firewalls (FileNet Web Services Client)
Zur Verwendung von Firewalls mit FileNet Web Services Client erfordert eine zusätzliche Konfiguration auf dem Client, dem Webserver und der Process Engine. In diesem Thema werden die erforderlichen zusätzlichen Schritte erklärt.
Konfigurationseinstellungen im Falle einer Firewall zwischen dem Client und dem Webserver
Um sicherzustellen, dass auf Webservern basierende Workflow-Anwendungen über eine Firewall hinweg ausgeführt werden können, die Konfigurationen auf Anschlussebene einschränkt, müssen Sie die folgenden Änderungen vornehmen, sodass RMI-Daten in HTTP-Datenpakete eingekapselt und über Anschluss 80 weitergegeben können.
HINWEIS Dies gilt nicht für Nicht-Java-Appletanwendungen wie beispielsweise auf HTML basierende Schrittprozessoren.
Auf dem Client
Rufen Sie die Windows-Systemsteuerung auf, und öffnen Sie das Java-Plugin.
HINWEIS Das Java-Plugin wird installiert, wenn der Client erstmalig auf die IDMWS-Homepage zugreift. Wenn das Java-Plugin in der Systemsteuerung nicht angezeigt wird, wurde es noch nicht installiert. Greifen Sie auf die IDMWS-Homepage zu, um das Plugin zu installieren.
Klicken Sie gegebenenfalls auf der Registerkarte Proxies auf das Kontrollkästchen Use browser settings, um die Option zu deaktivieren.
Geben Sie für den Typ HTTP die Proxy-Adresse des Firewall-Servers und Anschluss 80 ein.
Auf dem Webserver
Erstellen Sie unter der www-Root ein Verzeichnis namens "cgi-bin". Auf einem typischen Server würde der Pfad so aussehen: c:\inetpub\wwwroot\cgi-bin.
Bearbeiten Sie mit dem IIS Internet Services Manager die Eigenschaften des Verzeichnisses "cgi-bin". (Das Verzeichnis befindet sich unter dem Knoten der Standard-Website.) Stellen Sie auf der Registerkarte Virtuelles Verzeichnis für Ausführberechtigungen die Option für Skripts und ausführbare Dateien ein.
Rufen Sie die Skriptdatei "java-rmi.cgi" ab. Gehen Sie dazu folgendermaßen vor:
Geben Sie den Namen der Process Engine im Feld VW Host-Server ein.
Geben Sie den Namen des Firewall-Servers im Feld Lokaler Host ein.
Auf der Firewall
Vergewissern Sie sich, dass nur Anschluss 80 auf Anforderungen reagiert. (Wenn andere Anschlüsse Anforderungen bestätigen, ruft der Client das Skript "java-rmi.cgi" nicht auf.) Weitere Informationen finden Sie in der Firewall-Dokumentation.
Konfigurierungseinstellungen bei einer Firewall zwischen dem Webserver und Process Engine
Für eine Kommunikation von PPM auf der Process Engine und dem Process-Router auf dem Webserver über eine Firewall müssen Sie zwei Anschlüsse in der Firewall öffnen und beim Starten von PPM und dem Router auf diese verweisen. Wenn Sie Image Services (IS) mit Bildbearbeitung oder Content Services (CS) auf einem separaten Server installiert haben, müssen Sie sie konfigurieren.
Auf der Firewall
Führen Sie auf der Firewall Folgendes durch:. Weitere Informationen finden Sie in der Firewall-Dokumentation.
Leiten Sie alle Anforderungen von Anschluss 32771 an die Process Engine weiter.
Öffnen Sie einen benutzerdefinierten Anschluss für den PPM-Rückgabeanschluss.
Geben Sie den PPM-Rückgabeanschluss an, der dem auf der Firewall geöffneten Anschluss entspricht.
Geben Sie den Namen der Process Engine im Feld Lokaler Host ein.
Bei Application Engine oder Webserver
Ändern Sie die Hostdatei auf dem Webserver, und ordnen Sie die IP-Adresse der Firewall dem Namen der vollständig qualifizierten Domäne auf der Process Engine zu.
Wenn zwischen dem IS-Server und dem Webserver eine Firewall eingerichtet wurde, müssen folgende Schritte ausgeführt werden:
Rufen Sie den Systemkonfigurations-Editor auf, und geben Sie auf der Registerkarte Netzwerkadresse die Firewall-Adresse ein. Weitere Informationen finden Sie in der Online-Hilfe für den Systemkonfigurations-Editor.
Wenn Ihre Firewall eine DMZ ("demilitarisierte Zone'') verwendet und die Router nicht so konfiguriert sind, dass sie die Adresse der DMZ automatisch finden, müssen Sie einen ständigen Pfad zum DMZ-Teilnetz hinzufügen. (Eine DMZ verweist auf einen Teil des Netzwerks, das weder Bestandteil des internen Netzwerks noch direkter Bestandteil des Internets ist.) Geben Sie an der Eingabeaufforderung Folgendes ein:
route add [IP-Root-Adresse des DMZ-Teilnetzes] mask 255.255.255.0 [IP-Adresse der Firewall]
Auf dem CS-Server
Aktualisieren Sie den Wert der Firewall-IP-Adresse in der Datenbank. Verwenden Sie die folgenden SQL-Befehle:
update name_service set NS_CONNECTION_ADDR='[firewall IP address],1435' where NS_SERVICE_TYPE='brserver'; update name_service set NS_CONNECTION_ADDR='[firewall IP address],1436' where NS_SERVICE_TYPE='csserver';
HINWEIS Bei jedem Neustart des CS-Servers müssen diese Informationen aktualisiert werden. Um diesen Vorgang zu vereinfachen, können Sie ein SQL-Skript erstellen, das während des Neustarts automatisch ausgeführt wird.
Wenn Ihre Firewall eine DMZ verwendet und die Router nicht so konfiguriert sind, dass sie die Adresse der DMZ automatisch finden, müssen Sie einen ständigen Pfad zum DMZ-Teilnetz hinzufügen. Geben Sie an der Eingabeaufforderung Folgendes ein:
route add [IP-Adresse des DMZ-Teilnetzes] mask 255.255.255.0 [IP-Adresse der Firewall]
Bearbeiten Sie die Datei "Services". Weitere Informationen finden Sie unter "Konfigurieren für WANs und Firewalls" im CS-Installationshandbuch für FileNet. Geben Sie die folgenden Informationen ein: