2.2Подготовка к установке серверных компонентов системы - Руководство по установке Иркутск, 2016 г

Руководство по установке Иркутск, 2016 г


НазваниеРуководство по установке Иркутск, 2016 г
страница3/7
ТипРуководство по установке
rykovodstvo.ru > Руководство эксплуатация > Руководство по установке
1   2   3   4   5   6   7

2.2Подготовка к установке серверных компонентов системы

2.2.1Конфигурирование программного обеспечения перед установкой серверной части Docsvision


Перед установкой необходимо закрыть окно панели управления «Службы» (Services) со списком установленных служб, так как оно может препятствовать корректной установке новых служб.

Все используемые группы и учетные записи должны существовать на компьютере до начала установки; это:

  • группа безопасности «Администраторы» (Administrators);

  • учетная запись ASPNET, которая используется для исполнения приложений ASP.NET.

В настройках Web-сайта IIS рекомендуется отключить ведение журнала («Enable logging»), в противном случае возможно быстрое заполнение дискового пространства файлами журнала.

Отключение Kerberos-аутентификации

На сервере Docsvision по умолчанию должна использоваться NTLM-аутентификация, а Kerberos-аутентификация обязательно должна быть отключена.

Если используется IIS версии 8 (устанавливается с операционной системой Windows Server 2012), то Kerberos-аутентификацию можно отключить в его настройках (для этого в Authentification > Windows Authentification > Providers нужно передвинуть NTLM выше Negotiate:Kerberos).

Если используется IIS версии 7.5 (устанавливается с операционными системами Windows Server 2008/R2, Windows Vista, Windows 7), то Kerberos-аутентификацию можно отключить в его настройках (для этого в Authentification > Windows Authentification > Providers нужно передвинуть NTLM выше Negotiate).

Если используется IIS версии 7.0 (устанавливается с операционными системами Windows Server 2008/R2, Windows Vista, Windows 7), то для отключения Kerberos-аутентификации можно воспользоваться рекомендациями из этой статьи.

Если используется IIS версии 6.0 (устанавливается с операционными системами Windows Server 2003, Windows XP), то для отключения Kerberos-аутентификации можно воспользоваться рекомендациями из этой статьи или альтернативным способом, описанным здесь.

Необходимость в отключении Kerberos-аутентификации вызвана следующими тремя причинами:

  • При использовании Kerberos-аутентификации возможна некорректная работа с базой данных, подключенной с использованием Windows-аутентификации.

  • При использованиие Kerberos-аутентификации в Docsvision 5 возможны ошибки при работе с файлами.

  • При использовании Kerberos-аутентификации может наблюдаться снижение производительности (до 2 раз), т.к. на каждый запрос будет приходиться еще один вспомогательный запрос на аутентификацию и, таким образом, общее число вызовов при выполнении любой операции удваивается.

2.2.1.1Особенности конфигурирования SQL Server


  • Переключатель режима аутентификации (Authentication) SQL Server должен быть установлен в положение SQL Server and Windows или Windows.

  • При установке сервера приложений Docsvision и базы данных на разные компьютеры необходимо, чтобы на них было синхронизированы время и часовой пояс.

  • Значения параметра Collation в свойствах базы данных и сервера должны совпадать. Поэтому, если планируется обновление базы данных, а значения параметра не совпадают, следует настроить сервер в соответствии с базой данных.

  • Для того, чтобы из Консоли настройки можно было создать/обновит базу данных, в настройках SQL Server должны быть включены (значение равно 1) следующие параметры:

    • remote access;

    • remote admin connections.

Проверить текущие настройки можно, выполнив процедуру Sp_configure.

  • Если используется SQL Server 2005:

    • Включите параметр конфигурации сервера xp_cmdshell (о включении параметра см. Параметр xp_cmdshell), позволяющий системным администраторам контролировать, должна ли расширенная системная процедура xp_cmdshell выполняться в системе (исполнение этой процедуры автоматически разрешается в Docsvision 5, только если явно задан каталог для хранения записей журнала).
      Если данный параметр отключен, то процедура очистки журнала проводиться не будет.

    • Для обеспечения работы полнотекстового поиска по словоформам русского языка, включите русский в список языков для полнотекстового (в том числе и морфологического) поиска. Эта процедура описана на сайте http://msdn.microsoft.com/en-us/library/ms345188(SQL.90).aspx.

  • Если используется SQL Server 2008 или SQL Server 2012:

    • Включите параметр конфигурации сервера xp_cmdshell (о включении параметра см. Параметр xp_cmdshell), позволяющий системным администраторам контролировать, должна ли расширенная системная процедура xp_cmdshell выполняться в системе (исполнение этой процедуры автоматически разрешается в Docsvision 5, только если явно задан каталог для хранения записей журнала).
      Если данный параметр отключен, то процедура очистки журнала проводиться не будет.

    • Для включения механизма вытеснения файлов (FileStream) в SQL Server 2008 и SQL Server 2012 необходимо воспользоваться рекомендациями из статьи Как включить FileStream. При этом для работы с базой данных должна использоваться толькоWindows-аутентификация.

2.2.1.2Особенности конфигурирования контроллера домена


  • При открытии Docsvision могут возникнуть проблемы, для устранения которых следует воспользоваться утилитой регистрации aspnet_regiis.exe. Подробнее об ее использовании см. Microsoft Knowledge Base 823379.

  • Кроме того, если на контроллере домена отсутствует учетная запись ASPNET, нужно воспользоваться решением, описанным в Microsoft Knowledge Base 315158
    Обратите внимание: при изменении учетной записи для исполнения приложений ASP.NET необходимо дать этой записи право чтения файла Web.config. Кроме того, для успешной инсталляции понадобится запись ASPNET (см. предыдущий пункт), поэтому рекомендуется использовать учетную запись ASPNET для исполнения ASP.NET.

2.2.1.3Особенности конфигурирования Windows XP, Windows 7 и Windows 8


Веб-сервер IIS в Windows XP, Windows 7 и Windows 8 допускает не более 5 одновременных подключений, поэтому функциональность сервера Docsvision будет ограничена 5-ю пользовательскими сессиями (включая сессии стандартных сервисов Docsvision). В связи с этимне рекомендуется использовать указанные операционные системы для промышленной установки сервера Docsvision.

2.2.1.4Особенности конфигурирования Windows Server 2003


  • Проверьте, что расширение веб-службы ASP.NET имеет статус «Разрешено» (Allowed) в окне конфигурации «Диспетчер служб IIS» (IIS Manager).

  • Убедитесь, что на компьютере запущена служба Distributed Transaction Coordinator.

  • У учетной записи, под которой исполняется процесс IIS (по умолчанию это запись Network Service), должно быть право чтения содержимого следующих папок:

    • системной папки Windows для временных файлов (по умолчанию это папка \Windows\Temp);

    • временной папки Web-службы \WINDOWS\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files\;

Запуск Web-службы невозможен при отсутствии прав на временные папки. Восстановить права можно при помощи утилиты aspnet_regiis -i, которая находится в папке \WINDOWS\Microsoft.NET\Framework\v4.0.30319\ (Microsoft Knowledge Base 823379).

  • Если на сервере установлен компонент Internet Explorer Enhanced Security Configuration, то он может препятствовать автоматической аутентификации служб. Необходимо добавить сервер в список сайтов для группы «Местная интрасеть» (Local Intranet) в диалоге настроек «Свойства обозревателя» (Internet Options). Для этого последовательно выполните:

    • Откройте окно «Свойства обозревателя» (Internet Options) и перейдите на вкладку «Безопасность» (Security). Выберите в списке зон группу «Местная интрасеть» (Local Intranet).

    • Нажмите кнопку «Сайты» (Sites), затем (если она есть) кнопку «Дополнительно» (Advanced).

    • Внесите в список запись вида http://<имя сервера Docsvision>.

Кроме того, убедитесь, что переключатель настройки безопасности «Проверка подлинности пользователя» (User Authentication) для этой группы установлен в положение «Автоматический вход в сеть только в зоне интрасети» (Automatic logon only in intranet zone) или «Автоматический вход в сеть с текущим именем пользователя и паролем» (Automatic logon with current username and password). 
Доступ сконфигурирован правильно, если Навигатор корректно открывается под использованной для установки служб учетной записью без явного ввода пароля.

  • При наличии установленных веб-приложений более ранних версий (например, Docsvision версии ниже 3.6 или Microsoft SharePoint Portal Server 2003), необходимо сконфигурировать эти приложения для работы в различных пулах (ASP.NET 2.0 для Docsvision 3.6 и выше, ASP.NET 1.1 — для более ранних версий).

  • Проверьте наличие группы безопасности IIS_WPG, используемой Веб-сервером IIS.

2.2.1.5Особенности конфигурирования Windows Server 2008 и Windows Server 2012


  • Включите роль Web Server (IIS), в рамках которой должны быть дополнительно включены сервисы ASP.NET, Basic Authentification и Windows Authentification.

  • Проверьте наличие группы безопасности IIS_IUSRS, используемой Веб-сервером IIS.

  • Отключите контроль учетных записей (UAC).

  • У учетной записи, под которой исполняется процесс IIS (по умолчанию это запись Network Service), должно быть право чтения содержимого следующих папок:

    • системной папки Windows для временных файлов (по умолчанию это папка \Windows\Temp);

    • временной папки Web-службы \WINDOWS\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files\;

Запуск Web-службы невозможен при отсутствии прав на временные папки. Восстановить права можно при помощи утилиты aspnet_regiis -i, которая находится в папке \WINDOWS\Microsoft.NET\Framework\v4.0.30319\ (Microsoft Knowledge Base 823379).

2.2.1.6Особенности конфигурирования 64-битных версий Windows


Если 32-битная инсталляция Docsvision устанавливается на 64-тный сервер, то после установки Framework 4.0 или 4.5 необходимо:

  • для IIS6 (WinXP, Server 2003) выполнить действия, описанные в статье, пункт «ASP.NET 2.0, 32-bit version».

  • для IIS7 (Vista, Server 2008) — изменить настройку в пуле, для чего последовательно выполнить: открыть Internet Informational Services Manager —> перейти к Application Pools —> выбрать пул в котором работает Docsvision —> открыть окно расширенных настроекAdvanced Settings, в этом окне установить значением поля Enable 32-bit Applications True.

32-битный сервер приложений Docsvision не может быть установлен на IIS6 совместно с другими серверными веб-приложениями, которые требуют ASP.NET 64-битной версии (например, с Microsoft Exchange 2007, Microsoft SharePoint 2007 64bit).

2.2.1.7Особенности установки Docsvision на виртуальную машину


Как серверные, так и клиентские компоненты Docsvision могут быть установлены на виртуальной машине. В этом случае корректная работа системы гарантируется (выполнялось тестирование) при использовании гипервизора VMWare ESXi 4 или VMWare ESXi 4.1.

2.2.2Параметры конфигурирования служб Docsvision


Серверная часть Docsvision включает в себя три вспомогательных службы (сервиса):

  • сервис Docsvision Storage Server, обеспечивающий подключение клиентских приложений;

  • сервис управления процессами Docsvision Workflow Service, выполняющий обработку функций в активных бизнес-процессах и запуск новых процессов;

  • сервис полнотекстового поиска Docsvision 5.0 Full-Text Indexing Service; он выполняет следующие операции:

    • соединяется с SQL Server и выполняет индексирование базы данных;

    • записывает информацию в файл журнала (если он включен).

Для установки службы управления процессами (Workflow) требуются следующие конфигурационные параметры:

  • Учетная запись, от имени которой будет осуществляться доступ в базу данных Docsvision и исполнение процессов. 
    Не рекомендуется включать эту учетную запись в группу администраторов серверного компьютера или группу администраторов Docsvision, чтобы избежать использования работы служб для несанкционированного доступа. В то же время, удобно включить эти учетные записи в группу Docsvision Power Users, участники которой имеют возможность чтения всех карточек системы (это позволяет службам работать с карточками любых пользователей). Полный список требований к учетным записям, используемым для запуска служб, приведен в табл. 1.3.

  • Почтовый ящик для отсылки и получения писем и заданий.

  • Почтовый профиль для работы с почтовым ящиком. 
    Для создания профиля воспользуйтесь компонентом «Почта» (Mail) Панели Управления (Control Panel). Обратите внимание, что почтовый профиль должен быть создан на серверном компьютере под учетной записью, которая будет использована для работы службы. Чтобы убедиться, что ящик и права на него настроены корректно, рекомендуется открыть Microsoft Outlook и протестировать получение и отправку почты при помощи созданного профиля.
    При работе с Microsoft Exchange необходимо обратить внимание на то, что у учетной записи должны быть права на работу с этим ящиком, в частности на чтение, отсылку и удаление писем (право Full mailbox access в группе Mailbox Rights и право Send As в группе прав Security).

Табл.1.3. Требования к учетным записям служб Docsvision

Сервис

Требования к учетной записи

Docsvision Storage Server

  • право "Log on as service" в локальной политике безопасности

  • членство в группе "Perfomance Monitor Users"

  • доступ к TCP-портам 139 и 445 (если они закрыты файрволом, или политикой безопасности)

  • права на чтение ветки реестра HKEY_LOCAL_MACHINE\Software\Docsvision\Platform

  • права доступа к базе данных, при использовании windows-аутентификации на сервере баз данных

Docsvision Workflow Server

  • право "Log on as service" в локальной политике безопасности

  • членство в группе локальных пользователей сервера (Users)

  • членство в группе "Perfomance Monitor Users"

  • доступ к TCP-портам 139 и 445 (если они закрыты файрволом, или политикой безопасности)

  • права на чтение ветки реестра HKEY_LOCAL_MACHINE\Software\Docsvision\Workflow

  • членство в группе "Docsvision Users" или "Docsvision Power Users"

  • право на почтовый ящик Exchange (если используется почтовая маршрутизация)

  • право "Send as" в AD (если используется почтовая маршрутизация)

  • полные права на все папки и справочники системы (назначаются вручную)

Docsvision 5.0 Full-Text Indexing Service

  • минимальные привилегии (LocalService)

  • если используется Windows-аутентификация:
       разрешения на соединение с базой;
    если используется SQL Server-аутентификация:
       дополнительные права для работы с базой данных не нужны

  • права на запись в файл журнала (если он ведется).

Все перечисленные службы могут работать под одной учетной записью, однако рекомендуется использовать разные учетные записи.

Помимо описанных служб, Docsvision включает серверное расширение Base Objects Server Extension. Данное расширение требуется для работы ролевой модели безопасности: позволяет определить права пользователя на операции в зависимости от исполняемой им роли.

Учетная запись расширения Base Objects Server Extension настраивается из Консоли настройки Docsvision, она должна быть включена в группу Docsvision Administrators.
1   2   3   4   5   6   7

Похожие:

Руководство по установке Иркутск, 2016 г iconСборник материалов XXI международной научно-практической конференции...
Деятельность правоохранительных органов в современных условиях: сб материалов XXI междунар науч практ конф. В 2 т. Т. – Иркутск:...

Руководство по установке Иркутск, 2016 г iconСборник материалов XXI международной научно-практической конференции...
Деятельность правоохранительных органов в современных условиях: сб материалов XXI междунар науч практ конф. В 2 т. Т. – Иркутск:...

Руководство по установке Иркутск, 2016 г iconТехническое задание на текущее содержание подъездных путей необщего...
Филиала в г. Усть-Кут ООО «Иркутск-Терминал» Киренгского товаро-перевалочного участка в 2016 году

Руководство по установке Иркутск, 2016 г iconРуководство по быстрой установке Wireless g access Point
Компакт-диск содержит руководство пользователя и руководство по быстрой установке

Руководство по установке Иркутск, 2016 г iconРуководство по установке модели
...

Руководство по установке Иркутск, 2016 г iconУчебно-методическое пособие Иркутск 2016
Федеральное государственное бюджетное образовательное учреждение высшего образования

Руководство по установке Иркутск, 2016 г iconРуководство по Установке и проверке работоспособности платы расширения...
В данном руководстве приведены основные действия по установке и проверке работоспособности платы расширения can0

Руководство по установке Иркутск, 2016 г iconУчебное пособие Иркутск, 2009
Преаналитический этап при централизации клинико–лабо­раторных исследований: учеб пособие. Иркутск: рио игиува, 2009. с

Руководство по установке Иркутск, 2016 г iconИнформационный отчет
Муниципальное образование «Город Иркутск»; от имени муниципального образования «Город Иркутск» права учредителя учреждения осуществляет...

Руководство по установке Иркутск, 2016 г iconРуководство по установке и эксплуатации электрического варочного котла с косвенным нагревом
Настоящее руководство по установке относится к электрическим варочным котлам с косвенным нагревом серии 900

Руководство по установке Иркутск, 2016 г iconРуководство по установке и эксплуатации defender dsp
В данном Руководстве приводятся инструкции по технике безопасности, установке и эксплуатации ибп. Перед использованием ибп важно...

Руководство по установке Иркутск, 2016 г iconРуководство по настройке и сопровождению Иркутск, 2018 г
Сопровождение прикладного решения «rkit: управление нормативным обеспечением бизнеса» 23

Руководство по установке Иркутск, 2016 г iconРуководство по установке Внимание!
При установке программы и первом входе в программу после установки рекомендуем отключать антивирусы

Руководство по установке Иркутск, 2016 г iconРуководство по настройке и сопровождению Иркутск, 2018 г
Прикладное решение «rkit: управление претензионно-исковой работой и актами госорганов» 3

Руководство по установке Иркутск, 2016 г iconРуководство по установке и эксплуатации бассейна Yokozuna Содержание
При установке и использовании этого оборудования следует выполнять основные рекомендации по безопасности

Руководство по установке Иркутск, 2016 г iconРуководство по установке и использованию © 2016, dvlab
Уникальной особенностью комплекса является возможность работы через встроенный видеовыход hdmi компьютера, установка дополнительных...


Руководство, инструкция по применению




При копировании материала укажите ссылку © 2018
контакты
rykovodstvo.ru
Поиск