Sie sehen die Flagge von Österreich

BMD
Österreich

Sie sehen die Flagge von Deutschland

BMD
Deutschland

Sie sehen die Flagge der Schweiz

BMD
Schweiz

Sie sehen die Flagge von Ungarn

BMD
Magyarország

Sie sehen die Flagge der Slowakei

BMD
Slovensko

Sie sehen die Flagge von Tschechien

BMD
Česko

Sie sehen die englische Flagge

BMD
International

Sie sehen die Flagge von Österreich AT
Suchen

Einrichten von BMD WEB-Anwendungen

1.    SCHRITTE ZUM EINRICHTEN VON BMD WEBANWENDUNGEN

Diese Anleitung richtet sich an versierte IT-Administratoren, die Erfahrung im Umgang mit dem Internet Information Webserver besitzen. Bei Bedarf können Webanwendungen von der BMD Technik eingerichtet werden – bitte nehmen Sie dazu mit der BMD Terminkoordination Kontakt auf: termin@bmd.at

 

1.1.    IIS muss am Webserver mit folgenden Rollendiensten installiert werden (zusätzlich zum Standard)

  1. Komprimieren dynamischer Inhalte
  2. ISAPI-Erweiterungen
  3. HTTP-Umleitung
  4. Kompatibilität mit der IIS 6-Verwaltung
    • IIS 6-Metabasiskompatibilität
    • Kompatibilität mit WMI für IIS 6
PowerShell
Add-WindowsFeature Web-Server,Web-Dyn-Compression,Web-ISAPI-Ext,Web-Http-Redirect,Web-Mgmt-Console,Web-Mgmt-Compat,Web-Metabase,Web-WMI

Eine Webapplikation kann bis zu 30 gleichzeitige User verarbeiten. Darüber muss ein entsprechendes Loadbalancing eingerichtet werden. Bitte nehmen Sie dazu mit der BMD Technik Kontakt auf: technik@bmd.at

Für die BMD MOBILE ist kein eigener ApplicationPool notwendig, es muss lediglich die BMD WEB mit einem zusätzlichen Eintrag in der BMD.INI eingerichtet werden.

Auch die BMD Onlinebewerbung ist Bestandteil der BMD WEB, diese wird über einen speziellen Parameter aufgerufen: .../bmdweb/bmdweb.dll/STARTFUNC/
 

1.2. Einen eigenen Windows-Benutzer anlegen

Unter diesem Benutzer läuft die Anwendung.

Webserver = BMD Server
Benutzer als lokalen Benutzer (oder Domänen-Benutzer) anlegen

 

Webserver ≠ BMD Server
Benutzer direkt am Webserver als lokalen Benutzer (oder Domänen-Benutzer) anlegen

  1. Benutzername: z. B. bmdcom-sa (Es wird empfohlen, für jede Webanwendung einen eigenen User anzulegen.)
    WebanwendungBenutzername
    BMD COMbmdcom-sa
    BMD WEBbmdweb-sa
    BMD MOBILEbmdweb-sa
    BMD Onlinebewerbungbmdweb-sa
    BMD Webservicebmdntcsws-sa
  2. Kennwort: ein beliebiges/komplexes Kennwort
  3. Benutzer kann Kennwort nicht ändern und Kennwort läuft nie ab
  4. Gruppenzugehörigkeit
    • Benutzer bzw. Domänen-Benutzer
    • IIS_IUSRS

Dem angelegten Benutzer muss das Recht „Debuggen von Programmen“ gewährt werden. Dies muss entweder über die lokale Sicherheitsrichtlinie oder über Gruppenrichtlinien konfiguriert werden.
 

Lokale Sicherheitsrichtlinie - [Grafik © BMD]

1.3. Anlage der Ordnerstruktur je nach verwendeter Webanwendung am Webserver

  1. C:\Inetpub\“Webanwendung“
    WebanwendungOrdnerstruktur
    BMD COMC:\Inetpub\bmdcom
    BMD WEBC:\Inetpub\bmdweb
    BMD MOBILEC:\Inetpub\bmdweb
    BMD OnlinebewerbungC:\Inetpub\bmdweb
    BMD WebserviceC:\Inetpub\bmdntcsws
  2. Auf diesen Ordner dem jeweiligen User (z. B. bmdcom-sa) „Lesen, Ausführen“ gewähren und die Gruppe „Benutzer“ entfernen (dazu muss die NTFS-Vererbung über die erweiterten Sicherheitseinstellungen deaktiviert werden)

  3. Darunter den Ordner „LOG“ anlegen

  4. Auf diesen Ordner dem jeweiligen User (z. B. bmdcom-sa) „Ändern“ und „Schreiben“ gewähren

 

1.4. Kopieren der notwendigen Verzeichnisse und Dateien auf den Webserver

  1. \\“BMDSERVER“\BMDNTCS_PGM\BMDWEBCORE2_SubFolder.zip in den vorher angelegten Ordner kopieren und entpacken. Im Falle des BMD Webservice muss BMDNTCSWS_SubFolder.zip kopiert und entpackt werden.
  2. \\“BMDSERVER“\BMDNTCS_PGM\bmdwebcore2.dll in den vorher angelegten Ordner kopieren und je nach Webanwendung umbenennen (Ausnahmen BMD Webservice)


ACHTUNG Verwechslungsgefahr! Die Dateien BMDWEBCORE_SubFolder.zip und bmdwebcore.dll sind für legacy BMDWEB/COM-Anwendungen.

Webanwendung.dll
BMD COMbmdcom.dll
BMD WEBbmdweb.dll
BMD MOBILEbmdweb.dll
BMD Onlinebewerbungbmdweb.dll
BMD WebserviceHier muss anstatt der bmdwebcore2.dll die Datei bmdntcsws.dll kopiert werden.


Beispiel BMD Com:

Beispiel BMD COM - [Grafik © BMD]

1.5. Anlage der Datei BMD.ini am Webserver

  • Im Verzeichnis der Webanwendung ist eine Datei „BMD.ini“ anzulegen.
  • Je nach Konstellation gibt es verschiedene Templates (Pfade an die Gegebenheiten anpassen). 
    ACHTUNG: Werden Pfade mit Leerzeichen angegeben, sind diese ohne ”“ anzugeben!!!).
    Der Eintrag „Aliasconfig“ muss ident zur globalen BMD.ini gesetzt werden, welche sich im allgemeinen NTCS-Programmverzeichnis befindet. Über diesen Parameter wird die Art der Authentifizierung vorgegeben.
    KonstellationInhalt der BMD.ini
    BMDSERVER = WEBSERVER

    [BMD]
    BIN=D:\PROGRAMME\BMDSoftware\BIN
    NLS=D:\PROGRAMME\BMDSoftware\NLS
    DATA=D:\PROGRAMME\BMDSoftware\DATEN
    LOG=C:\Inetpub\”Webanwendung”\LOG

     

    [BMD\ALIASNAMES]
    ALIAS0=BMDSERVER\BMD:BMD

     

    [BMD\ALIASCONFIG]
    BMDSERVER\BMD:BMD=EXTENDED oder SQL

     

    # für BMD MOBILE Funktionalität BMD WEB vollständig deaktiviert
    #[BMD\BMDWEB2]
    #HANDLEDREQUESTS=MOBILE

    BMDSERVER ≠ WEBSERVER

    [BMD]
    BIN=C:\BMDUpdateservice\BIN
    NLS=C:\BMDUpdateservice\NLS
    DATA=C:\BMDUpdateservice\DATEN
    LOG=C:\Inetpub\”Webanwendung”\LOG

     

    [BMD\ALIASNAMES]
    ALIAS0=BMDSERVER\BMD:BMD

     

    [BMD\ALIASCONFIG]
    BMDSERVER\BMD:BMD=EXTENDED oder SQL

     

    # für BMD MOBILE Funktionalität BMD WEB vollständig deaktiviert
    #[BMD\BMDWEB2]
    #HANDLEDREQUESTS=MOBILE #HANDLEDREQUESTS=MOBILE

     

1.6. Je nach Webanwendung muss nun die BMD.ini noch erweitert werden.

WebanwendungErgänzung in der BMD.ini
BMD COM[BMD\BMDCOM2]
DBALIAS=BMDSERVER\BMD:BMD
FILESDIR=C:\Inetpub\bmdcom\FILES
BMD WEB[BMD\BMDWEB2]
DBALIAS=BMDSERVER\BMD:BMD
FILESDIR=C:\Inetpub\bmdweb\FILES
BMD MOBILEZusätzlicher Eintrag in der C:\Inetpub\bmdweb\BMD.ini
[BMD\BMDMOBILE]
DBALIAS=BMDSERVER\BMD:BMD
BMD OnlinebewerbungHier sind keine zusätzlichen Einträge nötig
BMD WebserviceHier sind keine zusätzlichen Einträge nötig

 

1.7.    Sonderkonstellationen

  1. Es soll im Falle der BMD MOBILE die Funktionalität der BMD WEB vollständig deaktiviert werden.
    WebanwendungErgänzung in der BMD.ini
    BMD Mobile[BMD\BMDWEB2]
    HANDLEDREQUESTS=MOBILE
  2. Es soll im Falle der BMD Onlinebewerbung die Funktionalität der BMD WEB vollständig deaktiviert werden.
    WebanwendungErgänzung in der BMD.ini
    BMD Onlinebewerbung[BMD\BMDWEB2]
    AUTOSTART_SUBTYPE_MCS=MCS_FRMONLBEWWEB_CREATE
  3. Das standardmäßige Timeout von 30 Minuten soll angepasst werden.
    WebanwendungErgänzung in der BMD.ini
    BMD COM[BMD\BMDCOM2]
    TIMEOUT=10
    BMD WEB[BMD\BMDWEB2]
    TIMEOUT=10

 

1.8. Einrichtung im IIS

(unterscheidet sich nur in der Namensgebung zwischen den einzelnen Webanwendungen)

  1. Einen Anwendungspool je nach Webanwendung erstellen:
    WebanwendungName des Anwendungspools
    BMD COMbmdcom
    BMD WEBbmdweb
    BMD MOBILEbmdweb
    BMD Onlinebewerbungbmdweb
    BMD Webservicebmdntcsws


Beispiel BMD Com:
 

Anwendungspool - [Grafik © BMD]
  1. Die erweiterten Einstellungen des Anwendungspools bearbeiten
    • 32-Bit-Anwendungen aktivieren => TRUE
    • Identität => den Benutzer hinterlegen, z. B. bmdcom-sa
    • Leerlauftimeout (Minuten) => 0
    • Ping aktiviert => TRUE
    • Schutz vor schnellen Fehlern Aktiviert => FALSE
Erweiterte Einstellungen - [Grafik © BMD]
  1. Über das Kontextmenü der Default Website eine neue Anwendung hinzufügen (je nach Webanwendung):
    WebanwendungName der Anwendung
    BMD COMbmdcom
    BMD WEBbmdweb
    BMD MOBILEbmdweb
    BMD Onlinebewerbungbmdweb
    BMD Webservicebmdntcsws
    • Anwendungspool hinterlegen

    • „Verbinden als“ => den jeweiligen User hinterlegen, z. B. bmdcom-sa

 

Beispiel BMD Com:
 

Anwendung hinzufügen - [Grafik © BMD]
  1. Folgende Einstellungen in der gerade erstellten Anwendung anpassen:
    Standarddokument hinzufügen => Die jeweilige .dll der Webanwendung
    WebanwendungName .dll Datei
    BMD COMbmdcom.dll
    BMD WEBbmdweb.dll
    BMD MOBILEbmdweb.dll
    BMD Onlinebewerbungbmdweb.dll
    BMD Webservicebmdntcsws.dll

    Beispiel BMD Com:
     
IIS-Manager - [Grafik © BMD]
  1. In den Handlerzuordnungen die ISAPI-dll aktivieren:
     
Handlerzuordnung - [Grafik © BMD]
  1. Die .dll der Webanwendung muss noch als ISAPI zugelassen werden in den ISAPI- und CGI-Einschränkungen (auf Ebene des Webservers):
    WebanwendungISAPI- oder CGI-Pfad
    BMD COMC:\Inetpub\bmdcom\bmdcom.dll
    BMD WEBC:\Inetpub\bmdweb\bmdweb.dll
    BMD MOBILEC:\Inetpub\bmdweb\bmdweb.dll
    BMD OnlinebewerbungC:\Inetpub\bmdweb\bmdweb.dll
    BMD WebserviceC:\Inetpub\bmdntcsws\bmdntcsws.dll

    Beispiel BMD Com:

     
ISAPI- und CGI-Einschränkungen - [Grafik © BMD]
  1. In der Anforderungsfilterung der jeweiligen Website das Uploadlimit der Anwendung auf 100 MB (100000000 Byte) erhöhen:

    Beispiel für BMD COM:
Uploadlimit - [Grafik © BMD]

1.9. Automatischen Update-Dienst einrichten

Diese unterscheidet sich je nach Konstellation (Pfade den Gegebenheiten anpassen). Der Updatedienst muss eingerichtet und gestartet werden. Ist er fertig durchgelaufen (Eintrag im Log: Update complete), kann der Aufruf der Webseite getestet werden.

KonstellationInhalt der BMDService.ini
BMDSERVER = WEBSERVER 
  1. Die Datei \\“BMDSERVER“\BMDNTCS_PGM\bmdservice.ini bearbeiten und folgenden Eintrag setzen:
    [BMDUPDATESERVICE]
    UpdateClient=2
  2. Den Dienst „BMDNtcsSvc“ neu starten
  3. Zur Kontrolle die Datei \\“BMDSERVER“\BMDNTCS_PGMDATA\bmdntcssvc.log prüfen
 
BMDSERVER ≠ WEBSERVER 
  1. Die Dateien BMDNtcsSvc.exe – libeay32.dll – ssleay32.dll – msvcr71.dll aus dem Verzeichnis \\“BMDSERVER“\BMDNTCS_PGM in ein lokales Verzeichnis am Webserver kopieren (z. B. C:\BMDUpdateservice)
  2. Eine Datei bmdservice.ini ist in dem gleichen Verzeichnis nach folgendem Muster anzulegen:
    [BMDUPDATESERVICE]
    UpdateClient=1
    Host=BMDSERVER
    Port=81
  3. Eine Datei BMD.ini ist in dem gleichen Verzeichnis nach folgendem Muster anzulegen
    [BMD]
    BIN=C:\BMDUpdateservice\BIN
    NLS=C:\BMDUpdateservice\NLS
    DATA=C:\BMDUpdateservice\DATEN
    LOG=C:\BMDUpdateservice\LOG
    [BMD\ALIASNAMES]
    ALIAS0=BMDSERVER\BMD:BMD
  4. Den Dienst am Webserver über den Befehl z. B. C:\BMDUpdateservice\BMDNtcsSvc.exe /install anlegen und danach starten.
  5. Zur Kontrolle die Datei prüfen, z. B. C:\BMDUpdateservice\LOG\bmdntcssvc.log
 

 

2. TROUBLESHOOTING

  • Website wird mit „Service unavailable“ angezeigt und der Applicationpool wird jedes Mal automatisch gestoppt:
    • Kontrolle, ob der User bmdcom-sa sowohl auf der Website als auch dem Applicationpool mit dem korrekten Kennwort hinterlegt ist. 
    • Kontrolle, ob die Berechtigungen auf die benötigten Verzeichnisse korrekt sind.
    • Kontrolle, ob der User bmdcom-sa das Recht „Anmelden als Stapelverarbeitungsauftrag“ besitzt (sollte standardmäßig über die Mitgliedschaft der Gruppe IIS_IUSRS der Fall sein).
  • Die Anmeldemaske erscheint, jedoch ohne Hintergrund oder Text in den Schaltflächen:
    • BIN, NLS und FILES-Verzeichnis in der BMD.ini und deren Berechtigungen für den bmdcom-sa kontrollieren.
  • Beim Login tritt ein Datenbankverbindungsfehler auf:
    • Kontrolle des ALIAS Eintrages in der BMD.ini 
    • Namensauflösung nicht möglich (speziell wenn Webserver in einer DMZ)
  • Upload der Databox oder Dokumente freigeben funktioniert nicht:
    • Der Dienst BMDNTCSSVC muss laufen und das Dokumentenarchiv in der NTCS muss mit „Speicherung über Service“ laufen.
    • Namensauflösung nicht möglich (speziell wenn Webserver in einer DMZ)
  • Die BMD MOBILE kann via Browser getestet werden: 
  • Es wird im Browser eine Meldung ausgegeben „Possible DoS Attack…“
    • Die BMD Webapplikationen haben einen Denial-of-Service-Schutz. Erfolgen innerhalb von 5 Minuten mehr als 20 Zugriffe von der identen IP-Adresse, so blockt die Webapplikation weitere Zugriffe ab. Dieser Wert kann auch mittels Parameter in der BMD.INI am Webserver verändert werden. Das kann unter Umständen notwendig sein, wenn Sie einen Loadbalancer einsetzen und somit immer die gleiche IP am Webserver zugreift.
    • Dazu in der Sektion [BMD\BMDWEB2] folgende Einträge setzen:
      • DOS_TIME_RANGE=5        (Zeitspanne in Minuten)
      • DOS_ALLOWEDSESSIONS=100     (Anzahl an Zugriffen von identer IP Adresse)

3. SICHERHEITSEMPFEHLUNGEN

Bitte beachten Sie auch den NTCS Hardening Guide.

 

Bereich:

Einrichten BMD Webanwendungen


Autor:

BMD Technik



Betriebliche GesundheitsförderungBMD ist Partner von "Familie und Beruf"TÜV für unser revisionssicheres ArchivSicherheitszertifikat ISO 27001Sie sehen eine Grafik vom trendNew Work 2021Zertifikat Austrian CloudTrusted Cloud

BMD SYSTEMHAUS GesmbH

Sierninger Straße 190

A-4400 Steyr

+43 50 883 oder 0043 7252 883

bmd@bmd.at

Follow us

Folgen Sie uns auf Facebook
Folgen Sie uns auf Xing
Folgen Sie uns auf LinkedIn
Folgen Sie uns auf YouTube
Folgen Sie uns auf Kununu
Folgen Sie uns auf Instagram