Benötigte Hard- und Software

Die Business Logik wird durch den Applikationsserver verwaltet. Die Auslastung wird sowohl durch die Anzahl der Benutzer als auch durch die Menge an Server-Anfragen bestimmt. Um den optimalen Betrieb gewährleisten zu können, empfehlen wir die Bereitstellung der nachfolgenden Hardware-Ressourcen:

  • Min. Windows Server 2012 R2 (aktueller Patchlevel-Stand ist zwingend notwendig!)
  • Empfohlen Windows Server 2016
  • Min. 4 x CPU’s
  • Min. 8 GB RAM
  • Min. 40 GB Festplattenspeicherplatz
  • Aktuelle .net Bibliothek (4.6.2 ist momentan die Mindestvoraussetzung)
  • Firewall Freigabe
  • Windows Management Framework 4.0 muss installiert sein! (Windows-Update KB2819745)

Der Applikationsserver benötigt die folgenden Port Freigaben:

  • Port 443 HTTPS zur Verbindung zum MATESO Lizenzserver
  • Port 11011 TCP zur Kommunikation mit den Clients oder dem Webserver IIS
  • Port 11014 TCP für den Backupdienst
  • Port 1433 TCP für die Kommunikation mit dem SQL Server

Webserver (IIS)

Es können mehrere Webserver für den Web-Zugriff konfiguriert werden, für die Nutzung des Web Access ist jedoch mindestens einer nötig. In der ersten Iteration von Version 8 ist der Zugriff via Webclient noch nicht mit allen Funktionen ausgestattet. Es folgen unsere Empfehlungen für optimalen Betrieb:

  • Min. Windows Server 2012 R2 (aktueller Patchlevel-Stand ist zwingend notwendig!)
  • Empfohlen Windows Server 2016
  • Min. 4 x CPU’s
  • Min. 8 GB RAM
  • Min. 40 GB Festplattenspeicherplatz
  • Aktuelle .Net Bibliothek (4.6.1 ist momentan die Mindestvoraussetzung)
  • SSL Zertifikat
  • Firewall Freigabe falls nötig nach Zugriff konfigurieren (http, oder https)

Benötigte Benutzer

Zur Konfiguration ist ein Benutzer nötig, über welchen sich der Password Safe Server am SQL-Server anmelden kann. Ebenso ist ein Benutzer nötig, welcher die Password Safe Dienste ausführt. Die verschiedenen Konstellation sollen hier kurz erläutert werden.

Dienstbenutzer

Der Dienstbenutzer führt den Password Safe Server-Dienst aus. Es kann hier folgendes konfiguriert werden:

  • AD Benutzer: Wird im Format Domain\Benutzername und dem zugehörigen Passwort angegeben
  • Lokaler Benutzer: Wird im Format .\Benutzername und dem zugehörigen Passwort angegeben
  • Lokales Systemkonto: Kann über eine Checkbox aktiviert werden

Backupdienstbenutzer

Prinzipiell wird der Backupdienst durch den Dienstbenutzer ausgeführt, im Expertenmodus kann jedoch auch ein anderer Benutzer verwendet werden. Für den Backupdienst-Benutzer gilt das gleiche, wie für den Dienstbenutzer.

Benutzer für die SQL-Konfigurationsinstanz

Der Benutzer für die SQL-Konfigurationsinstanz meldet sich am SQL-Server an, um die Password Safe Datenbanken zu erstellen bzw. zu erzeugen. Hierfür kann sowohl ein AD-User als auch ein lokaler SQL-Benutzer verwendet werden. Es gibt folgende Möglichkeiten:

  • Dienstbenutzer: Wird die Checkbox aktiviert, wird der hinterlegte Dienstbenutzer verwendet. Es gilt hier zu beachten, dass die Konfiguration nur über die Checkbox möglich ist. Der Dienstbenutzer darf hier nicht nochmals manuell eingerichtet werden.
  • SQL Benutzer: Es kann auch ein SQL-Benutzer verwendet werden. Dieser wird entsprechend der Konfiguration am SQL-Server hinterlegt.

Konfigurationsbeispiele

Variante 1:
Es wird ein Service Benutzer im AD angelegt. Dieser wird als Dienstbenutzer angelegt, um sowohl den Password Safe Server Dienst als auch den Backup Dienst zu starten. Hierfür benötigt der Benutzer Rechte, um Dienste zu starten. Dieser Benutzer wird dann (durch aktivieren der Checkbox) für die SQL Konfigurationsinstanz verwendet.

Variante 2:
Als Dienstbenutzer wird ein lokaler User verwendet. Als Benutzer für die SQL-Konfigurationsinstanz wird ein lokaler SQL Benutzer inklusive Passwort angegeben. Dies könnte beispielsweise der standardmäßige sa-Benutzer sein.

Rechte auf Windows PowerShell

In Password Safe V8 wird an mehreren Stellen auf Windows PowerShell-Skripte zurückgegriffen. Diese sind beispielsweise nötig, um den zertifkatsgeschützten Serverschlüssel zu verwenden oder um das Server-Zertifikat anzulegen. Ebenso nutzt Password Reset diese Funktionalität. Es ist also zwingend nötig, dass die Windows Sicherheitsrichtlinie die Ausführung von PowerShell Skripten zulässt. Manuell kann dies wie folgt eingerichtet und geprüft werden:

Zunächst wird die PowerShell Konsole geöffnet und Set-ExecutionPolicy RemoteSigned eingegeben und bestätigt.

Im nächsten Schritt wird die Änderung der Richtlinie bestätigt.

Abschließend kann über Get-ExecutionPolicy -list die geänderte Richtlinie abgefragt werden.

Hier geht´s zurück zum Kapitel Erste Schritte

War das hilfreich?

Ja Nein
You indicated this topic was not helpful to you ...
Could you please leave a comment telling us why? Thank you!
Thanks for your feedback.