Benötigte Hard- und Software

Die Business-Logik wird durch den Applikationsserver verwaltet. Die Auslastung wird sowohl durch die Anzahl der Benutzer als auch durch die Menge an Server-Anfragen bestimmt. Um den optimalen Betrieb zu gewährleisten, empfehlen wir die Bereitstellung der nachfolgenden Hardware-Ressourcen:

  • min. Windows Server 2012 R2 (aktueller Patchlevel-Stand ist zwingend notwendig!)
  • Windows Server 2016 empfohlen
  • min. 4 x CPU’s
  • min. 8 GB RAM
  • min. 40 GB Festplattenspeicherplatz
  • aktuelle .net Bibliothek (4.6.2 ist momentan die Mindestvoraussetzung)
  • Firewall-Freigabe
  • Windows Management Framework 4.0 (Windows-Update KB2819745) muss installiert sein!

Der Applikationsserver benötigt die folgenden Port Freigaben:

  • Port 443 HTTPS zur Verbindung zum MATESO Lizenzserver
  • Port 11011 TCP zur Kommunikation mit den Clients oder dem Webserver IIS
  • Port 11014 TCP für den Backupdienst
  • Port 11016 TCP für die Webdienste (nur bei Einsatz des WebClients)
  • Port 11018 TCP (eingehend) für die Echtzeitaktualisierung
  • Port 1433 TCP für die Kommunikation mit dem SQL Server

Webserver (IIS)

Es können mehrere Webserver für den Web-Zugriff konfiguriert werden. Für die Nutzung des Web Access ist jedoch mindestens einer nötig. In der ersten Iteration von Version 8 ist der Zugriff via Webclient noch nicht mit allen Funktionen ausgestattet. Für optimalen Betrieb empfehlen wir:

  • min. Windows Server 2012 R2 (aktueller Patchlevel-Stand ist zwingend notwendig!)
  • Windows Server 2016 empfohlen
  • min. 4 x CPU’s
  • min. 8 GB RAM
  • min. 40 GB Festplattenspeicherplatz
  • aktuelle .net Bibliothek (4.6.1 ist momentan die Mindestvoraussetzung)
  • SSL Zertifikat
  • Firewall-Freigabe, falls nötig, nach Zugriff konfigurieren (http, oder https)

Benötigte Benutzer

Zur Konfiguration ist ein Benutzer nötig, über den sich der Password Safe Server am SQL-Server anmelden kann. Ebenso wird ein Benutzer, der die Password Safe Dienste ausführt, benötigt. Im folgenden die werden verschiedene Konstellationen erläutert:

Dienstbenutzer

Der Dienstbenutzer führt den Password Safe Server-Dienst aus. Hier kann folgendes konfiguriert werden:

  • AD Benutzer: Wird im Format Domain\Benutzername und dem zugehörigen Passwort angegeben.
  • Lokaler Benutzer: Wird im Format .\Benutzername und dem zugehörigen Passwort angegeben.
  • Lokales Systemkonto: Kann über eine Checkbox aktiviert werden.

Backupdienstbenutzer

Prinzipiell wird der Backupdienst durch den Dienstbenutzer ausgeführt. Im Expertenmodus kann jedoch auch ein anderer Benutzer verwendet werden. Für den Backupdienst-Benutzer gilt dasselbe wie für den Dienstbenutzer.

Benutzer für die SQL-Konfigurationsinstanz

Der Benutzer für die SQL-Konfigurationsinstanz meldet sich am SQL-Server an, um die Password Safe Datenbanken zu erstellen, bzw. zu erzeugen. Hierfür kann sowohl ein AD-User als auch ein lokaler SQL-Benutzer verwendet werden. Es gibt folgende Möglichkeiten:

  • Dienstbenutzer: Wird die Checkbox aktiviert, wird der hinterlegte Dienstbenutzer verwendet. Es ist hier zu beachten, dass die Konfiguration nur über die Checkbox möglich ist. Der Dienstbenutzer darf hier nicht nochmals manuell eingerichtet werden.
  • SQL Benutzer: Es kann auch ein SQL-Benutzer verwendet werden. Dieser wird entsprechend der Konfiguration am SQL-Server hinterlegt.

Konfigurationsbeispiele

Variante 1:
Es wird ein Service-Benutzer im AD angelegt. Dieser wird als Dienstbenutzer angelegt, um sowohl den Password Safe Server Dienst als auch den Backup Dienst zu starten. Dafür benötigt der Benuter Rechte, um Dienste starten zu können. Dieser Benutzer wird dann (durch Aktivieren der Checkbox) für die SQL Konfigurationsinstanz verwendet.

Variante 2:
Als Dienstbenutzer wird ein lokaler User verwendet. Als Benutzer für die SQL-Konfigurationsinstanz wird ein lokaler SQL-Benutzer inklusive Passwort angegeben. Dies könnte beispielsweise der standardmäßige sa-Benutzer sein.

Rechte auf Windows PowerShell

In Password Safe V8 wird an mehreren Stellen auf Windows PowerShell-Skripte zurückgegriffen. Diese sind beispielsweise nötig, um den zertifikatsgeschützten Serverschlüssel zu verwenden oder um das Server-Zertifikat anzulegen. Auch Password Reset nutzt diese Funktion. Es ist also zwingend notwendig, dass die Windows-Sicherheitsrichtlinie die Ausführung von PowerShell Skripten zulässt. Manuell kann dies wie folgt eingerichtet und geprüft werden:

Zunächst wird die PowerShell Konsole geöffnet und Set-ExecutionPolicy RemoteSigned eingegeben und bestätigt.

Im nächsten Schritt wird die Änderung der Richtlinie bestätigt.

Abschließend kann über Get-ExecutionPolicy -list die geänderte Richtlinie abgefragt werden.

Hier geht´s zurück zum Kapitel Erste Schritte

War das hilfreich?

Ja Nein
You indicated this topic was not helpful to you ...
Could you please leave a comment telling us why? Thank you!
Thanks for your feedback.