Sie sehen die Flagge von Österreich

BMD
Österreich

Sie sehen die Flagge von Deutschland

BMD
Deutschland

Sie sehen die Flagge der Schweiz

BMD
Schweiz

Sie sehen die Flagge von Ungarn

BMD
Magyarország

Sie sehen die Flagge der Slowakei

BMD
Slovensko

Sie sehen die Flagge von Tschechien

BMD
Česko

Sie sehen die englische Flagge

BMD
International

Sie sehen die Flagge von Deutschland DE
Suchen

Einrichten von BMD WEB-Anwendungen

1. Schritte zum Einrichten von BMD Webanwendungen
    1.1. IIS muss am Webserver mit folgenden Rollendiensten installiert werden (zusätzlich zum Standard)
    1.2. Einen eigenen Windows-Benutzer anlegen
    1.3. Anlage der Ordnerstruktur je nach verwendeter Webanwendung am Webserver
    1.4. Kopieren der notwendigen Verzeichnisse und Dateien auf den Webserver
    1.5. Anlage der Datei BMD.ini am Webserver
    1.6. Je nach Webanwendung muss nun die BMD.ini noch erweitert werden
    1.7. Sonderkonstellationen
    1.8. Einrichtung im IIS
    1.9. Einrichtung automatischer Updatedienst
2. Troubleshooting
3. Sicherheitsempfehlungen

Detailansicht Technik

1.    SCHRITTE ZUM EINRICHTEN VON BMD WEBANWENDUNGEN

Diese Anleitung richtet sich an versierte IT-Administratoren, die Erfahrung im Umgang mit dem Internet Information Webserver besitzen. Bei Bedarf können Webanwendungen von der BMD Technik eingerichtet werden – bitte nehmen Sie dazu mit der BMD Terminkoordination Kontakt auf: termin@bmd.at

Detailansicht Technik

1.1.    IIS muss am Webserver mit folgenden Rollendiensten installiert werden (zusätzlich zum Standard)

  1. Komprimieren dynamischer Inhalte
  2. ISAPI-Erweiterungen
  3. HTTP-Umleitung
  4. Kompatibilität mit der IIS 6-Verwaltung
    • IIS 6-Metabasiskompatibilität
    • Kompatibilität mit WMI für IIS 6
PowerShell
Add-WindowsFeature Web-Server,Web-Dyn-Compression,Web-ISAPI-Ext,Web-Http-Redirect,Web-Mgmt-Console,Web-Mgmt-Compat,Web-Metabase,Web-WMI

Eine Webapplikation kann bis zu 30 gleichzeitige User verarbeiten. Darüber muss ein entsprechendes Loadbalancing eingerichtet werden. Bitte nehmen Sie dazu mit der BMD Technik Kontakt auf: technik@bmd.at

Für die App BMD Go ist kein eigener ApplicationPool notwendig, es muss lediglich das BMD Web mit einem zusätzlichen Eintrag in der BMD.INI eingerichtet werden.

Auch die BMD Onlinebewerbung ist Bestandteil des BMD Web, diese wird über einen speziellen Parameter aufgerufen: http://.../bmdweb/bmdweb.dll/STARTFUNC/?func=MCS_FRMONLBEWWEB_CREATE
 

Detailansicht Technik1.2. Einen eigenen Windows-Benutzer anlegen

Unter diesem Benutzer läuft die Anwendung.

Webserver = BMD Server
Benutzer als lokalen Benutzer (oder Domänen-Benutzer) anlegen

 

Webserver ≠ BMD Server
Benutzer direkt am Webserver als lokalen Benutzer (oder Domänen-Benutzer) anlegen

  1. Benutzername: z. B. bmdcom-sa (Es wird empfohlen, für jede Webanwendung einen eigenen User anzulegen.)
    WebanwendungBenutzername
    BMD Combmdcom-sa
    BMD Webbmdweb-sa
    BMD Onlinebewerbungbmdweb-sa
    BMD Webservicebmdntcsws-sa
  2. Kennwort: ein beliebiges/komplexes Kennwort
  3. Benutzer kann Kennwort nicht ändern und Kennwort läuft nie ab
  4. Gruppenzugehörigkeit
    • Benutzer bzw. Domänen-Benutzer
    • IIS_IUSRS

Dem angelegten Benutzer muss das Recht „Debuggen von Programmen“ gewährt werden. Dies muss entweder über die lokale Sicherheitsrichtlinie oder über Gruppenrichtlinien konfiguriert werden.
 

Lokale Sicherheitsrichtlinie - [Grafik © BMD]

Detailansicht Technik1.3. Anlage der Ordnerstruktur je nach verwendeter Webanwendung am Webserver

  1. C:\Inetpub\“Webanwendung“
    WebanwendungOrdnerstruktur
    BMD ComC:\Inetpub\bmdcom
    BMD WebC:\Inetpub\bmdweb
    BMD OnlinebewerbungC:\Inetpub\bmdweb
    BMD WebserviceC:\Inetpub\bmdntcsws
  2. Auf diesen Ordner dem jeweiligen User (z. B. bmdcom-sa) „Lesen, Ausführen“ gewähren und die Gruppe „Benutzer“ entfernen (dazu muss die NTFS-Vererbung über die erweiterten Sicherheitseinstellungen deaktiviert werden)

  3. Darunter den Ordner „LOG“ anlegen

  4. Auf diesen Ordner dem jeweiligen User (z. B. bmdcom-sa) „Ändern“ und „Schreiben“ gewähren

 

Detailansicht Technik1.4. Kopieren der notwendigen Verzeichnisse und Dateien auf den Webserver

  1. \\“BMDSERVER“\BMDNTCS_PGM\BMDWEBCORE2_SubFolder.zip in den vorher angelegten Ordner kopieren und entpacken. Im Falle des BMD Webservice muss BMDNTCSWS_SubFolder.zip kopiert und entpackt werden.
  2. \\“BMDSERVER“\BMDNTCS_PGM\bmdwebcore2.dll in den vorher angelegten Ordner kopieren und je nach Webanwendung umbenennen (Ausnahmen BMD Webservice)


ACHTUNG Verwechslungsgefahr! Die Dateien BMDWEBCORE_SubFolder.zip und bmdwebcore.dll sind für legacy Web/Com-Anwendungen.

Webanwendung.dll
BMD Combmdcom.dll
BMD Webbmdweb.dll
BMD Onlinebewerbungbmdweb.dll
BMD WebserviceHier muss anstatt der bmdwebcore2.dll die Datei bmdntcsws.dll kopiert werden.


Beispiel BMD Com:

Beispiel BMD COM - [Grafik © BMD]

Detailansicht Technik1.5. Anlage der Datei BMD.ini am Webserver

  • Im Verzeichnis der Webanwendung ist eine Datei „BMD.ini“ anzulegen.
  • Je nach Konstellation gibt es verschiedene Templates (Pfade an die Gegebenheiten anpassen). 
    ACHTUNG: Werden Pfade mit Leerzeichen angegeben, sind diese ohne ”“ anzugeben!! 
    Der Eintrag „ALIASCONFIG“ und „ALIASNAMES“ muss ident zur globalen BMD.ini gesetzt werden, welche sich im allgemeinen NTCS-Programmverzeichnis befindet. 
    Es ist auf die korrekte Groß-/Kleinschreibung zu achten (case sensitive) und es muss der SQL-Servername vom Webserver aus auflösbar sein (falls DNS-Auflösung nicht möglich ist, dann über die HOST Datei am Webserver festlegen). Über diesen Parameter wird die Art der Authentifizierung vorgegeben.
     
    KonstellationInhalt der BMD.ini
    BMDSERVER = WEBSERVER

    [BMD]
    BIN=D:\PROGRAMME\BMDSoftware\BIN
    NLS=D:\PROGRAMME\BMDSoftware\NLS
    DATA=D:\PROGRAMME\BMDSoftware\DATEN
    LOG=C:\Inetpub\”Webanwendung”\LOG

     

    [BMD\ALIASNAMES]
    ALIAS0=BMDSERVER\BMD:BMD

     

    [BMD\ALIASCONFIG]
    BMDSERVER\BMD:BMD=ENCRYPTED, EXTENDED oder SQL

    BMDSERVER ≠ WEBSERVER

    [BMD]
    BIN=C:\BMDUpdateservice\BIN
    NLS=C:\BMDUpdateservice\NLS
    DATA=C:\BMDUpdateservice\DATEN
    LOG=C:\Inetpub\”Webanwendung”\LOG

     

    [BMD\ALIASNAMES]
    ALIAS0=BMDSERVER\BMD:BMD

     

    [BMD\ALIASCONFIG]
    BMDSERVER\BMD:BMD=ENCRYPTED, EXTENDED oder SQL

     

Detailansicht Technik1.6. Je nach Webanwendung muss nun die BMD.ini noch erweitert werden.

WebanwendungErgänzung in der BMD.ini
BMD Com[BMD\BMDCOM2]
DBALIAS=BMDSERVER\BMD:BMD
FILESDIR=C:\Inetpub\bmdcom\FILES
BMD Web[BMD\BMDWEB2]
DBALIAS=BMDSERVER\BMD:BMD
FILESDIR=C:\Inetpub\bmdweb\FILES
BMD OnlinebewerbungHier sind keine zusätzlichen Einträge nötig
BMD WebserviceHier sind keine zusätzlichen Einträge nötig

 

Detailansicht Technik1.7.    Sonderkonstellationen

  1. Es soll im Falle der BMD Go die Funktionalität des BMD Web vollständig deaktiviert werden.
    WebanwendungErgänzung in der BMD.ini
    BMD Go[BMD\BMDWEB2]
    HANDLEDREQUESTS=REST
  2. Es soll im Falle der BMD Onlinebewerbung die Funktionalität des BMD WEB vollständig deaktiviert werden.
    WebanwendungErgänzung in der BMD.ini
    BMD Onlinebewerbung[BMD\BMDWEB2]
    AUTOSTART_SUBTYPE_MCS=MCS_FRMONLBEWWEB_CREATE
  3. Das standardmäßige Timeout von 30 Minuten soll angepasst werden.
    WebanwendungErgänzung in der BMD.ini
    BMD Com[BMD\BMDCOM2]
    TIMEOUT=10
    BMD Web[BMD\BMDWEB2]
    TIMEOUT=10

 

Detailansicht Technik1.8. Einrichtung im IIS

(unterscheidet sich nur in der Namensgebung zwischen den einzelnen Webanwendungen)

  1. Einen Anwendungspool je nach Webanwendung erstellen:
    WebanwendungName des Anwendungspools
    BMD Combmdcom
    BMD Webbmdweb
    BMD Onlinebewerbungbmdweb
    BMD Webservicebmdntcsws


Beispiel BMD Com:
 

Anwendungspool - [Grafik © BMD]

2. Die erweiterten Einstellungen des Anwendungspools bearbeiten

  • 32-Bit-Anwendungen aktivieren => TRUE
  • Startmodus => AlwaysRunning
  • Identität => den Benutzer hinterlegen, z. B. bmdcom-sa
  • Leerlauftimeout (Minuten) => 0
  • Ping aktiviert => TRUE
  • Schutz vor schnellen Fehlern Aktiviert => FALSE
Erweiterte Einstellungen - [Grafik © BMD]

3. Über das Kontextmenü der Default Website eine neue Anwendung hinzufügen (je nach Webanwendung):

WebanwendungName der Anwendung
BMD Combmdcom
BMD Webbmdweb
BMD Onlinebewerbungbmdweb
BMD Webservicebmdntcsws
  • Anwendungspool hinterlegen

  • „Verbinden als“ => den jeweiligen User hinterlegen, z. B. bmdcom-sa

 

Beispiel BMD Com:
 

Anwendung hinzufügen - [Grafik © BMD]

4. Folgende Einstellungen in der gerade erstellten Anwendung anpassen:
Standarddokument hinzufügen => Die jeweilige .dll der Webanwendung

WebanwendungName .dll Datei
BMD Combmdcom.dll
BMD Webbmdweb.dll
BMD Onlinebewerbungbmdweb.dll
BMD Webservicebmdntcsws.dll


Beispiel BMD Com:
 

IIS-Manager - [Grafik © BMD]

5. In den Handlerzuordnungen die ISAPI-dll aktivieren:
 

Handlerzuordnung - [Grafik © BMD]

6. Die .dll der Webanwendung muss noch als ISAPI zugelassen werden in den ISAPI- und CGI-Einschränkungen (auf Ebene des Webservers):

WebanwendungISAPI- oder CGI-Pfad
BMD ComC:\Inetpub\bmdcom\bmdcom.dll
BMD WebC:\Inetpub\bmdweb\bmdweb.dll
BMD OnlinebewerbungC:\Inetpub\bmdweb\bmdweb.dll
BMD WebserviceC:\Inetpub\bmdntcsws\bmdntcsws.dll


Beispiel BMD Com:

 

ISAPI- und CGI-Einschränkungen - [Grafik © BMD]

7. In der Anforderungsfilterung der jeweiligen Website das Uploadlimit der Anwendung auf knapp über 100 MB (z. B. 107520000 Byte) erhöhen, da der Standardwert in der NTCS 100 MB entspricht. Somit wird sichergestellt, dass das IIS-Limit hoch genug ist und das NTCS Limit zuvor greift, um eine entsprechende NTCS Meldung zu generieren, wenn das Limit überschritten wird:

Beispiel für BMD Com:

Uploadlimit - [Grafik © BMD]

Detailansicht Technik1.9. Einrichtung automatischer Updatedienst

Diese unterscheidet sich je nach Konstellation (Pfade den Gegebenheiten anpassen). Der Updatedienst muss eingerichtet und gestartet werden. Ist er fertig durchgelaufen (Eintrag im Log: Update complete), kann der Aufruf der Webseite getestet werden.

KonstellationInhalt der BMDService.ini
BMDSERVER = WEBSERVER 
  1. Die Datei \\“BMDSERVER“\BMDNTCS_PGM\bmdservice.ini bearbeiten und folgenden Eintrag setzen:
    [BMDUPDATESERVICE]
    UpdateClient=2
  2. Den Dienst „BMDNtcsSvc“ neu starten
  3. Zur Kontrolle die Datei \\“BMDSERVER“\BMDNTCS_PGMDATA\LOG\bmdntcssvc.log prüfen
 
BMDSERVER ≠ WEBSERVER 
  1. Die Dateien BMDNtcsSvc.exe – libeay32.dll – ssleay32.dll – msvcr71.dll aus dem Verzeichnis \\“BMDSERVER“\BMDNTCS_PGM in ein lokales Verzeichnis am Webserver kopieren (z. B. C:\BMDUpdateservice)
  2. Eine Datei bmdservice.ini ist in dem gleichen Verzeichnis nach folgendem Muster anzulegen:
    [BMDUPDATESERVICE]
    UpdateClient=1
    Host=BMDSERVER
    Port=81
  3. Eine Datei BMD.ini ist in dem gleichen Verzeichnis nach folgendem Muster anzulegen
    [BMD]
    BIN=C:\BMDUpdateservice\BIN
    NLS=C:\BMDUpdateservice\NLS
    DATA=C:\BMDUpdateservice\DATEN
    LOG=C:\BMDUpdateservice\LOG
    [BMD\ALIASNAMES]
    ALIAS0=BMDSERVER\BMD:BMD
  4. Den Dienst am Webserver über den Befehl z. B. C:\BMDUpdateservice\BMDNtcsSvc.exe /install anlegen und danach starten.
  5. Zur Kontrolle die Datei prüfen, z. B. C:\BMDUpdateservice\LOG\bmdntcssvc.log
 

 

Detailansicht Technik2. TROUBLESHOOTING

  • Kontrolle, ob alle notwendigen Ports vom Webserver aus zum Applikationsserver erreichbar sind - siehe BMD Programme und (Software-) Firewalls.
  • Website wird mit „Service unavailable“ angezeigt und der Applicationpool wird jedes Mal automatisch gestoppt:
    • Kontrolle, ob der User bmdcom-sa sowohl auf der Website als auch dem Applicationpool mit dem korrekten Kennwort hinterlegt ist. 
    • Kontrolle, ob die Berechtigungen auf die benötigten Verzeichnisse korrekt sind.
    • Kontrolle, ob der User bmdcom-sa das Recht „Anmelden als Stapelverarbeitungsauftrag“ besitzt (sollte standardmäßig über die Mitgliedschaft der Gruppe IIS_IUSRS der Fall sein).
  • Die Anmeldemaske erscheint, jedoch ohne Hintergrund oder Text in den Schaltflächen:
    • BIN, NLS und FILES-Verzeichnis in der BMD.ini und deren Berechtigungen für den bmdcom-sa kontrollieren.
  • Beim Login tritt ein Datenbankverbindungsfehler auf:
    • Kontrolle des ALIAS Eintrages in der BMD.ini 
    • Namensauflösung nicht möglich (speziell wenn Webserver in einer DMZ)
  • Upload der Databox oder Dokumente freigeben funktioniert nicht:
    • Der Dienst BMDNTCSSVC muss laufen und das Dokumentenarchiv in der NTCS muss mit „Speicherung über Service“ laufen.
    • Namensauflösung nicht möglich (speziell wenn Webserver in einer DMZ)
  • Es wird im Browser eine Meldung ausgegeben „Possible DoS Attack…“
    • Die BMD Webapplikationen haben einen Denial-of-Service-Schutz. Erfolgen innerhalb von 5 Minuten mehr als 20 Zugriffe von der identen IP-Adresse, so blockt die Webapplikation weitere Zugriffe ab. Dieser Wert kann auch mittels Parameter in der BMD.INI am Webserver verändert werden. Das kann unter Umständen notwendig sein, wenn Sie einen Loadbalancer einsetzen und somit immer die gleiche IP am Webserver zugreift.
    • Dazu in der Sektion [BMD\BMDWEB2] folgende Einträge setzen:
      • DOS_TIME_RANGE=5        (Zeitspanne in Minuten)
      • DOS_ALLOWEDSESSIONS=100     (Anzahl an Zugriffen von identer IP Adresse)

Detailansicht Technik3. SICHERHEITSEMPFEHLUNGEN

Bitte beachten Sie auch den NTCS Hardening Guide.

 

Bereich:

Einrichten BMD Webanwendungen


Autor:

BMD Technik



Betriebliche GesundheitsförderungFamilienfreundlicher ArbeitgeberSicherheitszertifikat ISO 27001Das Bild zeigt die Top Arbeitgeber Grafik vom Trend [Grafik © trend]Trusted Cloud

BMD GmbH

Donnerstraße 10

D-22763 Hamburg

+49 (0)40 554 392 – 0

getconnected@bmd.de

Das könnte Sie auch interessieren

Software

Akademie

Das ist BMD

Follow us

Folgen Sie uns auf Facebook
Folgen Sie uns auf Xing
Folgen Sie uns auf LinkedIn
Folgen Sie uns auf YouTube
Folgen Sie uns auf Kununu
Folgen Sie uns auf Instagram