Benötigte Hard- und Software

Die Business-Logik wird durch den Applikationsserver verwaltet. Die Auslastung wird sowohl durch die Anzahl der gleichzeitig aktiven Benutzer als auch durch die Menge an gleichzeitigen Server-Anfragen bestimmt. Um den optimalen Betrieb zu gewährleisten, empfehlen wir folgende Hardware-Konfiguration:

  • min. Windows Server 2012 R2 (aktueller Patchlevel-Stand ist zwingend notwendig!)
  • min. 2 x CPU’s
  • min. 8 GB RAM
  • min. 40 GB Festplattenspeicherplatz
  • .net Bibliothek 4.8.0 oder neuer
  • Firewall-Freigabe
  • Windows Management Framework 4.8 muss installiert sein!

Der Applikationsserver benutzt die folgenden Ports:

  • Port 443 HTTPS zur Verbindung zum MATESO Lizenzserver (ausgehend)
  • Port 11011 TCP zur Kommunikation mit den Clients oder dem Webserver IIS (eingehend)
  • Port 11014 TCP für den Backupdienst (muss in der Regel nicht freigegeben werden)
  • Port 11016 TCP für die Webdienste (eingehend; nur bei Einsatz des WebClients)
  • Port 11018 TCP für die Echtzeitaktualisierung (eingehend)
  • Port 1433 TCP für die Kommunikation mit dem SQL Server (ausgehend)

Webserver (IIS)

Für den Web-Zugriff wird ein Webserver benötigt. Für eine bessere Performance gerade bei größeren Installationen können auch mehrere Webserver konfiguriert werden. Wir empfehlen folgende Hardware-Konfiguration für jeden Webserver:

  • min. Windows Server 2012 R2 (aktueller Patchlevel-Stand ist zwingend notwendig!)
  • min Windows Server 2016
  • min. 4 x CPU’s
  • min. 8 GB RAM
  • min. 40 GB Festplattenspeicherplatz
  • aktuelle .net Bibliothek (4.6.1 ist momentan die Mindestvoraussetzung)
  • SSL Zertifikat
  • Firewall-Freigabe, falls nötig, nach Zugriff konfigurieren (http, oder https)

Benötigte Benutzer

Zur Konfiguration ist ein Benutzer nötig, über den sich der Password Safe Server am SQL-Server anmelden kann. Ebenso wird ein Benutzer, der die Password Safe Dienste ausführt, benötigt. Im Folgenden werden die verschiedene Konstellationen erläutert:

Dienstbenutzer

Der Dienstbenutzer führt den Password Safe Server-Dienst aus. Hier kann folgendes konfiguriert werden:

  • AD-Benutzer: Wird im Format Domain\Benutzername und dem zugehörigen Passwort angegeben.
  • Lokaler Benutzer: Wird im Format .\Benutzername und dem zugehörigen Passwort angegeben.
  • Lokales Systemkonto: Kann über eine Checkbox aktiviert werden.

Backupdienst-Benutzer

Prinzipiell wird der Backupdienst durch den Dienst-Benutzer ausgeführt. Im Experten-Modus kann jedoch auch ein anderer Benutzer verwendet werden. Für den Backupdienst-Benutzer gilt dasselbe wie für den Dienst-Benutzer.

Benutzer für die SQL-Konfigurationsinstanz

Der Benutzer für die SQL-Konfigurationsinstanz meldet sich am SQL-Server an, um die Password Safe Datenbanken zu erstellen, bzw. zu erzeugen. Hierfür kann sowohl ein AD-User als auch ein lokaler SQL-Benutzer verwendet werden. Es gibt folgende Möglichkeiten:

  • Dienstbenutzer: Bei aktivierter Checkbox wird der hinterlegte Dienst-Benutzer verwendet. Bitte beachten Sie, dass die Konfiguration nur über die Checkbox möglich ist. Der Dienstbenutzer darf hier nicht nochmals manuell eingerichtet werden.
  • SQL Benutzer: Es kann auch ein SQL-Benutzer verwendet werden. Dieser wird entsprechend der Konfiguration am SQL-Server hinterlegt.

Konfigurationsbeispiele

Variante 1:
Es wird ein Service-Benutzer im AD angelegt. Dieser wird als Dienst-Benutzer angelegt, um sowohl den Password Safe Server Dienst als auch den Backup Dienst zu starten. Dafür benötigt der Benutzer Rechte, um Dienste starten zu können. Dieser Benutzer wird dann (durch Aktivieren der Checkbox) für die SQL-Konfigurationsinstanz verwendet.

Variante 2:
Als Dienst-Benutzer wird ein lokaler User verwendet. Als Benutzer für die SQL-Konfigurationsinstanz wird ein lokaler SQL-Benutzer inklusive Passwort angegeben. Dies könnte beispielsweise der standardmäßige sa-Benutzer sein.

Rechte auf Windows PowerShell

In Password Safe V8 wird an mehreren Stellen auf Windows PowerShell Skripte zurückgegriffen. Diese sind beispielsweise nötig, um den Zertifikat-geschützten Server-Schlüssel zu verwenden oder um das Server-Zertifikat anzulegen. Auch Password Reset nutzt diese Funktion. Es ist also zwingend notwendig, dass die Windows-Sicherheitsrichtlinie die Ausführung von PowerShell Skripten zulässt. Manuell kann dies wie folgt eingerichtet und geprüft werden:

Öffnen Sie die PowerShell Konsole und geben Set-ExecutionPolicy RemoteSigned ein.

Bestätigen Sie die Änderung der Richtlinie.

Abschließend besteht die Möglichkeit über Get-ExecutionPolicy -list die geänderte Richtlinie abzufragen.

Hier geht´s zurück zum Kapitel Erste Schritte

War das hilfreich?

Ja Nein
You indicated this topic was not helpful to you ...
Could you please leave a comment telling us why? Thank you!
Thanks for your feedback.