Navigation überspringen FileNet-Logo
Glossar  |  Hilfeverzeichnis  
  Hilfe zur Process Engine (Referenz)  
  Suchen  |  Index  
Konzepte
  Anlagen
  Komponentenintegrator
  Starten von Workflows
  Meilensteine
  Operationen
RMI-Registrierung
Roster
Routing
Regeln
  Sicherheit
  Sicherheitswarteschlangen
  Schrittprozessoren
  Schrittstatus
  Systemübersichten
  Übertragen
  Workflow-Felder
  Workflow-Übersichten
  Workflow-Teilnehmer
  Sicherheitsaspekte des Komponentenintegrators
  Koordinieren von Informationen
  Benutzerdefinierte Webanwendungen
  Beseitigen von Konflikten des Anschlusses 32771
  Java Runtime Environment (JRE)
  Maximale Größe des Indexschlüssels
  Namenskonventionen
  Systemfelder
  Platzhalter
  Feldbegrenzungen in der Workflow-Datenbank
  Workflow-Ausnahmen
Ereignisse & Statistiken
Ausdrücke
Verfahren
   

Network Address Translator (NAT) und Firewall

Da die Process Engine TCP/IP-Netzwerkverbindungen verwendet, kann eine Firewall und/oder ein Network Address Translator (NAT) die notwendige Kommunikation zwischen der Process Engine, der Application Engine oder dem Webserver und dem Client durch Verbergen des vollständig angegebenen Namens des Webserver-Hosts behindern. In den folgenden Abschnitten wird dieses Problem ausführlicher behandelt.

Hintergrundinformationen

Eine Firewall ist ein mit speziellen Sicherheitsvorkehrungen ausgestattetes dediziertes Gateway-Gerät, das zur Bereitstellung von Verbindungen mit externen Netzwerken (insbesondere für Internet-Verbindungen) und Einwählverbindungen verwendet wird. Der Verwendung einer Firewall liegt das Konzept zugrunde, hinter diesem dedizierten Gateway einen Cluster von etwas sorgloser verwalteten Geräten vor dem Zugriff durch Hacker oder andere unbefugte Benutzer zu schützen.

Ein Network Address Translator (NAT) ist ein Internet-Standard, der es einem LAN-Netzwerk ermöglicht, eine bestimmte Gruppe von IP-Adressen für den internen Datenverkehr und eine zweite Gruppe für den externen Verkehr zu benutzen. Wenn die Process Engine, die Application Engine oder der Webserver über Network Address Translators mit einem Client kommuniziert, muss dem Client die vollständige Adresse des Webservers übergeben werden.

Das Problem

Die Process Engine und die Application Engine oder der Webserver sind standardmäßig für den Betrieb in einer sicheren Intranet-Umgebung konfiguriert. Die verschiedenen Systemkomponenten können mithilfe der Standardnetzwerkprotokolle und -anschlüsse miteinander kommunizieren. Die Auswahl der Anschlüsse für die Kommunikation zwischen Geräten ist innerhalb des sicheren Bereichs keinen Beschränkungen unterworfen.

In einigen komplexeren Umgebungen jedoch, in denen die Process Engine und die Application Engine oder Webserver möglicherweise als Teil einer größeren Domäne mit vielen Objekten und Geräten installiert sind oder in denen Clients und Server evtl. über mehrere Domänen mit unterschiedlichen Verfahren zur Zugriffssicherung verteilt sind, funktioniert der betriebsfertige Einsatz unter Umständen nicht. Zu den typischen Sicherheitsmaßnahmen kann eine Beschränkung der Anschlüsse auf die für Systemkomponenten unerlässlichen Anschlüsse gehören.

Für die Kommunikation zwischen der Application Engine oder den Webservern und der Process Engine oder zwischen den Client- und Server-Komponenten wird Java RMI verwendet, was es einem Objekt, das auf einer bestimmten JVM (Java Virtual Machine) ausgeführt wird, ermöglicht, Methoden für ein Objekt aufzurufen, das auf einer anderen JVM läuft. Ein RMI innewohnendes Merkmal besteht darin, dass RMI willkürlich gewählte Anschlussnummern verwendet, um Meldungen an die Geräte zurückzusenden, von denen sie ausgegangen sind. Dies kann in Netzwerken, in denen die Anschlusszuweisungen streng kontrolliert werden, zu Problemen führen.

Symptome

Je nach Plattform und Netzwerkumgebung des Servers, steht der vollständige Name der Application Engine oder des Webserver-Hosts der Java Virtual Machine, auf der die Process Engine ausgeführt wird, u. U. nicht zur Verfügung. Wenn er nicht verfügbar ist, wird beim Starten des Process-Routers möglicherweise die Fehlermeldung “Service-Router nicht gefunden” ausgegeben.

Lösung

Sie müssen beim Starten des Process-Routers den Namen des Hosts vollständig angeben. Weitere Informationen finden Sie in der Online-Hilfe für den Process-Aufgabenmanager oder den Vorgangsdienst-Administrator.