Wissensdatenbank: Cloud
Vorbereitungen Concept Flex Hybrid Installation (KB1803231)
Gepostet von Emil Sichelstiel, Last modified by Emil Sichelstiel Vom 15 10 2019 10:11

Im Hinblick auf eine Installation von Concept Flex Hybrid in Ihrer eigenen Umgebung, ergeben sich bestimmte Fragestellungen bzw. sind bestimmte Voraussetzungen gegeben. Welche das im Wesentlichen sind, will dieser Knowledgebase Artikel beleuchten.

Dieser bezieht sich auch rein auf die Concept Flex Installation und behandelt nicht die Voraussetzungen für eine Concept Office Installation. Diese wären im Fall der Fälle gesondert zu beachten! Oft ist Concept Office ja schon lauffähig installiert und Concept Flex soll zusätzlich installiert werden.

Concept Office Version

Sie benötigen für die Installation von Concept Flex Hybrid ein bereits installiertes Concept Office 7.0.1339 oder neuer.

IIS Webserver

Für den Einsatz von Concept Flex wird ein IIS Webserver benötigt. Dieser Webserver läuft auf einer Windows Basis und sollte nicht älter Windows Server 2012 R2 sein. Der Einsatz auf einem Nicht-Server-Betriebssystem mag möglich sein, wird ausdrücklich aber nicht empfohlen! Ebenso sollte das zugrunde liegende Betriebssystem eine 64 Bit Basis haben.

Folgende IIS Features (mit den vorgeschlagenen Abhängigkeiten) müssen installiert sein:

  • ASP.NET (aktuelle Version)
  • HTTP-Fehler
  • HTTP-Umleitung
  • Standarddokument
  • Statischer Inhalt

Das Betreiben einer Concept Flex Umgebung auf einem IIS, der auf einem Exchange Server / OWA (Outlook Web Access) installiert ist, ist nicht möglich. Hier muss auf einen anderen Server ausgewichen werden!

Diese zusätzlichen Erweiterungen von Microsoft für den IIS werden ebenfalls benötigt:

  • Application Request Routing 3.0
  • URL Rewrite 2.1

Statische öffentliche IP Adresse

Eine statische, unveränderliche öffentliche IP Adresse wird ausdrücklich empfohlen. Es mag noch andere Wege geben, bspw. unter Zuhilfenahme von DynDNS Diensten, das sind aber alles in allem keine sauberen Lösungen. Idealerweise wird diese statische IP noch nicht für einen anderen Webserver genutzt, so dass die TCP Standardports für Webserver (80/443) noch frei sind.

Existieren neben dem neuen Concept Flex Webserver auch noch weitere Webserver, so wäre es ideal, wenn jeder eine eigene IP Adresse hat. Andernfalls kann dieser von außen nur über andere, als die üblicherweise genutzten Standardports erfolgen oder über speziell vorgeschaltete Reverse Proxys.

FQDN Domänenname

Später einmal wird Concept Flex durch die Eingabe des Domänennamens im Browser geladen. Sie sollten sich bereits im Vorfeld über diesen Domänennamen (bspw. conceptflex.meinefirma.de) Gedanken gemacht haben, so dass man sich nicht zum Zeitpunkt der Installation diesen erst ausdenken muss.

HTTPS Zugriff

Der Zugriff auf die Daten in Concept Flex wird ausschließlich verschlüsselt, über das HTTPS Protokoll abgesichert, erfolgen. Hierfür wird ein entspr. Zertifikat benötigt. Idealerweise nutzt man ein "echtes" öffentliches Zertifikat einer anerkannten Zertifizierungsstelle, die in jedem Browser bereits bekannt ist, da diesen Zertifikaten automatisch vertraut wird. 

Das Zertifikat muss als CN (CommonName) auf den zuvor gewählten FQDN zeigen und/oder den Domänennamen in den alternativen Antragstellernamen hinterlegt sein (Stichwort SAN Zertifikat / SubjectAlternativeName). Idealerweise liegen Zertifikat/Schlüssel (bzw. die gesamte Zertifikatskette) als verschlüsselte PFX Datei vor, so dass es direkt am IIS importiert werden kann. Andernfalls müssen die einzelnen Zertifikate bzw. Schlüssel und ggfs. Intermediate Zertifikate erst noch umgewandelt werden. Sprechen Sie im Zweifelsfall Ihren IT Partner oder uns an.

Falls so ein offizielles Zertifikat nicht vorliegt, kann man den verschlüsselten Zugriff alternativ auch mit einem selbstsignierten Zertifikat einrichten. Dieses wird allerdings zunächst ohne weitere Gegenmaßnahmen mit Warnmeldungen im Browser quittiert, wenn die Concept Flex Seite geladen wird. Dies könnte zur Verwirrung bei Ihren Anwendern führen, wenn diese erst einmal Sicherheitswarnungen beim Aufruf im Browser sehen und die generelle Akzeptanz mindern.

Interner Zugriff / Split DNS

Im Regelfall wird der Zugriff aus dem internen LAN und externen WAN unterschiedlich gehandhabt. Damit ein Zugriff aus dem LAN nicht erst ins WAN geschickt wird, um von dort aus wieder zurück ins LAN geleitet zu werden, wird i.d.R. für den gewählten FQDN ein Eintrag im DNS des LAN gesetzt, damit dieser Traffic das LAN gar nicht erst verlässt.

Externer Zugriff / DNS

Für den gewählten FQDN (bspw. meinflex.meinefirma.tld) der Concept Flex Webseite, muss ein sog. A-Record im DNS angelegt werden. Auch hierfür werden u.U. Zugangsdaten bei Ihrem Provider für das DNS benötigt. Dort wird dann die statische IP Adresse hinterlegt an die die Datenpakete geschickt werden sollen. Üblicherweise handelt es sich hierbei um die WAN IP Adresse des Routers der für das Port Forwarding zuständig ist.

Der DNS Eintrag sollte im Voraus konfiguriert werden. 

Externer Zugriff / Port Forwarding

Der Zugriff aus dem Internet heraus auf den Concept Flex Server würde im Normalfall durch den Router bzw. Firewall geblockt. Um den Server von außen zu erreichen wird dort ein sog. Port Forwarding benötigt, welches die Datenpakete unter der öffentlichen IP abgreift und an die interne IP des Webservers, auf dem die Concept Flex Seite installiert ist, weiterleitet.

Dieses Port Forwarding sollte im Vorfeld durch Ihren IT Partner konfiguriert werden, da er ihre Firewall kennt. Auch hierfür werden entspr. Anmeldedaten für die Firewall benötigt!

Zugriff IIS auf Webservice

Die am IIS Webserver laufende Webseite kommuniziert mit Concept Office über einen sog. Webservice. Bei diesem Webservice handelt es sich um einen Dienst, der auf einem System laufen sollte, welches immer angeschaltet ist. Idealerweise also ein Server auf dem Concept Office installiert ist. Dieser Dienst lauscht auf diesem Server an einem frei definierbaren TCP Port, der wiederum vom IIS Webserver erreichbar sein muss.

Hierfür werden wir eine Regel in der Windows Firewall konfigurieren, welches genau diesen einen Zugriff erlaubt.

Webservice Dienstkonto

Der Webservice läuft als Windows Dienst im Kontext des hinterlegten Nutzers und damit auch mit dessen Windows Berechtigungen. Idealerweise wird ein dedizierter Nutzeraccount hierfür definiert, dessen Kennwort sich nie ändert. Dem Nutzer muss keine Administrativen Berechtigungen zugewiesen sein, er benötigt jedoch Vollzugriff auf den zentralen Concept Office Pfad. 

Zugriff auf externe OFML Daten

Soll auch ein Zugriff und eine Verarbeitung von OFML Daten möglich sein, so muss der IIS in der Lage sein mit den pCon Servern von EasternGraphics im Internet (über TCP443) zu kommunizieren, auf denen ein entspr. EAIWS Dienst läuft. Darüber hinaus muss bei EasternGraphics die Domäne hinterlegt und registriert werden, unter der Concept Flex später laufen und von welcher aus der Zugriff auf die pCon.login Server erfolgen wird. 

Mehrere Mandanten

Concept Flex ist an sich auf einen Mandanten beschränkt, der innerhalb einer Concept Office Installation laufen darf. Sollen mehrere Mandanten zum Einsatz kommen, so lässt sich dies nur über den Umweg mit mehreren Concept Office lösen. In jeder Installation wird dann jeweils ein einzelner Mandant konfiguriert. Im Normalfall bedeuten mehrere Installationen, mehrere Server auf denen jeweils ein WebService läuft.

Sollen dennoch mehrere Webservices auf ein und demselben Server laufen, so ist dies nur durch manuelle Installation und Konfiguration möglich! Auch beim aktualisieren einer Concept Office Version sind zusätzliche manuelle Eingriffe nötig!

Weitere Fragen

Letztendlich lassen sich nicht alle Eventualitäten und möglichen Fragestellungen in diesem Knowledgebaseartikel klären, einige der wichtigsten Punkte sollten aber hiermit erläutert sein. Dieser Artikel kann auch keinen persönlichen Kontakt ersetzen, gleichwohl ist es eine gute Ausgangsbasis bzw. Vorbereitung. Darüber hinaus stehen wir natürlich auch persönlich Rede und Antwort.

Zum Zeitpunkt der Installation

Zunächst einmal sollten Sie dieses Dokument gelesen und verstanden haben sowie bei Unklarheiten uns fragen. So lassen sich im Vorfeld bereits Probleme erkennen. Insbesondere wollen wir zum Zeitpunkt der Installation von Concept Flex Hybrid von Ihnen wissen:

  • Ist Concept Office als Basis mindestens in Version 7.0.1339 installiert?
  • Unter welchem FQDN soll die Concept Flex Webseite laufen (bswp. meinflex.meinefirma.de)?
  • Unter welchem TCP Port soll die Concept Flex Webseite laufen (wir würden den Standardport 443 für https empfehlen)?
  • Existiert ein Zertifikat für die Verschlüsselung der Webseite über HTTPS?
  • Unter welchem Konto soll der Windows Dienst, unter dem der Webservice läuft, eingerichtet werden?
  • Wie lautet das Kennwort dieses Kontos (falls wir dies eingegeben sollen, ansonsten muss jemand anwesend sein der das eingeben kann)?
(0 Stimme(n))
Hilfreich
Nicht hilfreich

Kommentare (0)
SupportCenter der wegscheider office solution GmbH