Benötigte Hard- und Software

Die Business-Logik wird durch den Applikationsserver verwaltet. Die Auslastung wird sowohl durch die Anzahl der Benutzer als auch durch die Menge an Server-Anfragen bestimmt. Um den optimalen Betrieb zu gewährleisten, empfehlen wir die Bereitstellung der nachfolgenden Hardware-Ressourcen:

  • min. Windows Server 2012 R2 (aktueller Patchlevel-Stand ist zwingend notwendig!)
  • Windows Server 2016 empfohlen
  • min. 4 x CPU’s
  • min. 8 GB RAM
  • min. 40 GB Festplattenspeicherplatz
  • aktuelle .net Bibliothek (4.6.2 ist momentan die Mindestvoraussetzung)
  • Firewall-Freigabe
  • Windows Management Framework 4.0 (Windows-Update KB2819745) muss installiert sein!

Der Applikationsserver arbeitet über die folgenden Ports:

  • Port 443 HTTPS zur Verbindung zum MATESO Lizenzserver
  • Port 11011 TCP zur Kommunikation mit den Clients oder dem Webserver IIS
  • Port 11014 TCP für den Backupdienst (muss in der Regel nicht freigegeben werden)
  • Port 11016 TCP für die Webdienste (nur bei Einsatz des WebClients)
  • Port 11018 TCP für die Echtzeitaktualisierung
  • Port 1433 TCP für die Kommunikation mit dem SQL Server

Webserver (IIS)

Es können mehrere Webserver für den Web-Zugriff konfiguriert werden. Für die Nutzung des Web Access ist jedoch mindestens einer nötig. In der ersten Iteration von Version 8 ist der Zugriff via Webclient noch nicht mit allen Funktionen ausgestattet. Für optimalen Betrieb empfehlen wir:

  • min. Windows Server 2012 R2 (aktueller Patchlevel-Stand ist zwingend notwendig!)
  • Windows Server 2016 empfohlen
  • min. 4 x CPU’s
  • min. 8 GB RAM
  • min. 40 GB Festplattenspeicherplatz
  • aktuelle .net Bibliothek (4.6.1 ist momentan die Mindestvoraussetzung)
  • SSL Zertifikat
  • Firewall-Freigabe, falls nötig, nach Zugriff konfigurieren (http, oder https)

Benötigte Benutzer

Zur Konfiguration ist ein Benutzer nötig, über den sich der Password Safe Server am SQL-Server anmelden kann. Ebenso wird ein Benutzer, der die Password Safe Dienste ausführt, benötigt. Im folgenden die werden verschiedene Konstellationen erläutert:

Dienstbenutzer

Der Dienstbenutzer führt den Password Safe Server-Dienst aus. Hier kann folgendes konfiguriert werden:

  • AD-Benutzer: Wird im Format Domain\Benutzername und dem zugehörigen Passwort angegeben.
  • Lokaler Benutzer: Wird im Format .\Benutzername und dem zugehörigen Passwort angegeben.
  • Lokales Systemkonto: Kann über eine Checkbox aktiviert werden.

Backupdienst-Benutzer

Prinzipiell wird der Backupdienst durch den Dienst-Benutzer ausgeführt. Im Experten-Modus kann jedoch auch ein anderer Benutzer verwendet werden. Für den Backupdienst-Benutzer gilt dasselbe wie für den Dienst-Benutzer.

Benutzer für die SQL-Konfigurationsinstanz

Der Benutzer für die SQL-Konfigurationsinstanz meldet sich am SQL-Server an, um die Password Safe Datenbanken zu erstellen, bzw. zu erzeugen. Hierfür kann sowohl ein AD-User als auch ein lokaler SQL-Benutzer verwendet werden. Es gibt folgende Möglichkeiten:

  • Dienstbenutzer: Wird die Checkbox aktiviert, wird der hinterlegte Dienst-Benutzer verwendet. Es ist hier zu beachten, dass die Konfiguration nur über die Checkbox möglich ist. Der Dienstbenutzer darf hier nicht nochmals manuell eingerichtet werden.
  • SQL Benutzer: Es kann auch ein SQL-Benutzer verwendet werden. Dieser wird entsprechend der Konfiguration am SQL-Server hinterlegt.

Konfigurationsbeispiele

Variante 1:
Es wird ein Service-Benutzer im AD angelegt. Dieser wird als Dienst-Benutzer angelegt, um sowohl den Password Safe Server Dienst als auch den Backup Dienst zu starten. Dafür benötigt der Benutzer-Rechte, um Dienste starten zu können. Dieser Benutzer wird dann (durch Aktivieren der Checkbox) für die SQL-Konfigurationsinstanz verwendet.

Variante 2:
Als Dienst-Benutzer wird ein lokaler User verwendet. Als Benutzer für die SQL-Konfigurationsinstanz wird ein lokaler SQL-Benutzer inklusive Passwort angegeben. Dies könnte beispielsweise der standardmäßige sa-Benutzer sein.

Rechte auf Windows PowerShell

In Password Safe V8 wird an mehreren Stellen auf Windows PowerShell Skripte zurückgegriffen. Diese sind beispielsweise nötig, um den Zertifikat-geschützten Server-Schlüssel zu verwenden oder um das Server-Zertifikat anzulegen. Auch Password Reset nutzt diese Funktion. Es ist also zwingend notwendig, dass die Windows-Sicherheitsrichtlinie die Ausführung von PowerShell Skripten zulässt. Manuell kann dies wie folgt eingerichtet und geprüft werden:

Zunächst wird die PowerShell Konsole geöffnet und Set-ExecutionPolicy RemoteSigned eingegeben und bestätigt.

Im nächsten Schritt wird die Änderung der Richtlinie bestätigt.

Abschließend kann über Get-ExecutionPolicy -list die geänderte Richtlinie abgefragt werden.

Hier geht´s zurück zum Kapitel Erste Schritte

War das hilfreich?

Ja Nein
You indicated this topic was not helpful to you ...
Could you please leave a comment telling us why? Thank you!
Thanks for your feedback.