1. Schritte zum Einrichten von BMD Webanwendungen
1.1. IIS muss am Webserver mit folgenden Rollendiensten installiert werden (zusätzlich zum Standard)
1.2. Einen eigenen Windows-Benutzer anlegen
1.3. Anlage der Ordnerstruktur je nach verwendeter Webanwendung am Webserver
1.4. Kopieren der notwendigen Verzeichnisse und Dateien auf den Webserver
1.5. Anlage der Datei BMD.ini am Webserver
1.6. Je nach Webanwendung muss nun die BMD.ini noch erweitert werden
1.7. Sonderkonstellationen
1.8. Einrichtung im IIS
1.9. Einrichtung automatischer Updatedienst
2. Troubleshooting
3. Sicherheitsempfehlungen
Diese Anleitung richtet sich an versierte IT-Administratoren, die Erfahrung im Umgang mit dem Internet Information Webserver besitzen. Bei Bedarf können Webanwendungen von der BMD Technik eingerichtet werden – bitte nehmen Sie dazu mit der BMD Terminkoordination Kontakt auf: termin@bmd.at
PowerShell |
Add-WindowsFeature Web-Server,Web-Dyn-Compression,Web-ISAPI-Ext,Web-Http-Redirect,Web-Mgmt-Console,Web-Mgmt-Compat,Web-Metabase,Web-WMI |
Eine Webapplikation kann bis zu 30 gleichzeitige User verarbeiten. Darüber muss ein entsprechendes Loadbalancing eingerichtet werden. Bitte nehmen Sie dazu mit der BMD Technik Kontakt auf: technik@bmd.at
Für die App BMD Go ist kein eigener ApplicationPool notwendig, es muss lediglich das BMD Web mit einem zusätzlichen Eintrag in der BMD.INI eingerichtet werden.
Auch die BMD Onlinebewerbung ist Bestandteil des BMD Web, diese wird über einen speziellen Parameter aufgerufen: http://.../bmdweb/bmdweb.dll/STARTFUNC/?func=MCS_FRMONLBEWWEB_CREATE
Unter diesem Benutzer läuft die Anwendung.
Webserver = BMD Server
Benutzer als lokalen Benutzer (oder Domänen-Benutzer) anlegen
Webserver ≠ BMD Server
Benutzer direkt am Webserver als lokalen Benutzer (oder Domänen-Benutzer) anlegen
Webanwendung | Benutzername |
BMD Com | bmdcom-sa |
BMD Web | bmdweb-sa |
BMD Onlinebewerbung | bmdweb-sa |
BMD Webservice | bmdntcsws-sa |
Dem angelegten Benutzer muss das Recht „Debuggen von Programmen“ gewährt werden. Dies muss entweder über die lokale Sicherheitsrichtlinie oder über Gruppenrichtlinien konfiguriert werden.
Webanwendung | Ordnerstruktur |
BMD Com | C:\Inetpub\bmdcom |
BMD Web | C:\Inetpub\bmdweb |
BMD Onlinebewerbung | C:\Inetpub\bmdweb |
BMD Webservice | C:\Inetpub\bmdntcsws |
Auf diesen Ordner dem jeweiligen User (z. B. bmdcom-sa) „Lesen, Ausführen“ gewähren und die Gruppe „Benutzer“ entfernen (dazu muss die NTFS-Vererbung über die erweiterten Sicherheitseinstellungen deaktiviert werden)
Darunter den Ordner „LOG“ anlegen
Auf diesen Ordner dem jeweiligen User (z. B. bmdcom-sa) „Ändern“ und „Schreiben“ gewähren
ACHTUNG Verwechslungsgefahr! Die Dateien BMDWEBCORE_SubFolder.zip und bmdwebcore.dll sind für legacy Web/Com-Anwendungen.
Webanwendung | .dll |
BMD Com | bmdcom.dll |
BMD Web | bmdweb.dll |
BMD Onlinebewerbung | bmdweb.dll |
BMD Webservice | Hier muss anstatt der bmdwebcore2.dll die Datei bmdntcsws.dll kopiert werden. |
Beispiel BMD Com:
Konstellation | Inhalt der BMD.ini |
BMDSERVER = WEBSERVER | [BMD]
[BMD\ALIASNAMES]
[BMD\ALIASCONFIG] |
BMDSERVER ≠ WEBSERVER | [BMD]
[BMD\ALIASNAMES]
[BMD\ALIASCONFIG] |
Webanwendung | Ergänzung in der BMD.ini |
BMD Com | [BMD\BMDCOM2] DBALIAS=BMDSERVER\BMD:BMD FILESDIR=C:\Inetpub\bmdcom\FILES |
BMD Web | [BMD\BMDWEB2] DBALIAS=BMDSERVER\BMD:BMD FILESDIR=C:\Inetpub\bmdweb\FILES |
BMD Onlinebewerbung | Hier sind keine zusätzlichen Einträge nötig |
BMD Webservice | Hier sind keine zusätzlichen Einträge nötig |
Webanwendung | Ergänzung in der BMD.ini |
BMD Go | [BMD\BMDWEB2] HANDLEDREQUESTS=REST |
Webanwendung | Ergänzung in der BMD.ini |
BMD Onlinebewerbung | [BMD\BMDWEB2] AUTOSTART_SUBTYPE_MCS=MCS_FRMONLBEWWEB_CREATE |
Webanwendung | Ergänzung in der BMD.ini |
BMD Com | [BMD\BMDCOM2] TIMEOUT=10 |
BMD Web | [BMD\BMDWEB2] TIMEOUT=10 |
(unterscheidet sich nur in der Namensgebung zwischen den einzelnen Webanwendungen)
Webanwendung | Name des Anwendungspools |
BMD Com | bmdcom |
BMD Web | bmdweb |
BMD Onlinebewerbung | bmdweb |
BMD Webservice | bmdntcsws |
Beispiel BMD Com:
2. Die erweiterten Einstellungen des Anwendungspools bearbeiten
3. Über das Kontextmenü der Default Website eine neue Anwendung hinzufügen (je nach Webanwendung):
Webanwendung | Name der Anwendung |
BMD Com | bmdcom |
BMD Web | bmdweb |
BMD Onlinebewerbung | bmdweb |
BMD Webservice | bmdntcsws |
Anwendungspool hinterlegen
„Verbinden als“ => den jeweiligen User hinterlegen, z. B. bmdcom-sa
Beispiel BMD Com:
4. Folgende Einstellungen in der gerade erstellten Anwendung anpassen:
Standarddokument hinzufügen => Die jeweilige .dll der Webanwendung
Webanwendung | Name .dll Datei |
BMD Com | bmdcom.dll |
BMD Web | bmdweb.dll |
BMD Onlinebewerbung | bmdweb.dll |
BMD Webservice | bmdntcsws.dll |
Beispiel BMD Com:
5. In den Handlerzuordnungen die ISAPI-dll aktivieren:
6. Die .dll der Webanwendung muss noch als ISAPI zugelassen werden in den ISAPI- und CGI-Einschränkungen (auf Ebene des Webservers):
Webanwendung | ISAPI- oder CGI-Pfad |
BMD Com | C:\Inetpub\bmdcom\bmdcom.dll |
BMD Web | C:\Inetpub\bmdweb\bmdweb.dll |
BMD Onlinebewerbung | C:\Inetpub\bmdweb\bmdweb.dll |
BMD Webservice | C:\Inetpub\bmdntcsws\bmdntcsws.dll |
Beispiel BMD Com:
7. In der Anforderungsfilterung der jeweiligen Website das Uploadlimit der Anwendung auf knapp über 100 MB (z. B. 107520000 Byte) erhöhen, da der Standardwert in der NTCS 100 MB entspricht. Somit wird sichergestellt, dass das IIS-Limit hoch genug ist und das NTCS Limit zuvor greift, um eine entsprechende NTCS Meldung zu generieren, wenn das Limit überschritten wird:
Beispiel für BMD Com:
Diese unterscheidet sich je nach Konstellation (Pfade den Gegebenheiten anpassen). Der Updatedienst muss eingerichtet und gestartet werden. Ist er fertig durchgelaufen (Eintrag im Log: Update complete), kann der Aufruf der Webseite getestet werden.
Konstellation | Inhalt der BMDService.ini |
BMDSERVER = WEBSERVER |
|
BMDSERVER ≠ WEBSERVER |
|
Alle Server sollten mit den aktuellsten Windows-Updates und den entsprechenden Hersteller-Patches versorgt werden, um diverse Sicherheitslücken zu schließen.
Generell sollten die entsprechenden Anweisungen und Empfehlungen von Microsoft beachtet werden, um das Betriebssystem und die Betriebssystem-Komponenten möglichst sicher zu betreiben. Weiterführende Hinweise finden Sie hier http://social.technet.microsoft.com/wiki/contents/articles/18931.security-hardening-tips-and-recommendations.aspx
Bitte beachten Sie auch den NTCS Hardening Guide.