Skip to main content
Skip table of contents

5. FAQ - Einrichtung von OCT

Dieser Bereich diskutiert alle Fragen und Probleme, welche häufig im Rahmen einer Installation auftreten.

5.1. Wo finde ich Informationen bei Problemen?

  • Falls während der Installation Fehler auftreten wird eine Log-Datei im Ordner des Installers erstellt.

  • Die regulären Log-Dateien von OCT liegen im Verzeichnis “C:\ProgramData\Saxess Software\<Name des OCT Dienstes>\Logs”.

  • Zusätzliche Fehlermeldungen werden unter Umständen in der Windows Ereignisanzeige ausgegeben.


5.2. Was mache ich, wenn der Installationsassistent nicht startet?

5.2.1. Mögliche Ursache: Windows SmartScreen

  • Eine mögliche Ursache für das Ausbleiben eines Installationsstarts ist der “Windows SmartScreen” - ein Sicherheitstool zur Optimierung der PC-Sicherheit.

  • Deaktivieren Sie den “Windows SmartScreen” damit das OCT-Installationsprogramm starten kann.


5.2.1.1. Beispiel: Windows 7 and Windows 8

  • Öffnen Sie “Systemsteuerung” - “System und Sicherheit” - “Sicherheit und Wartung”.

  • Suchen Sie alternativ nach dem “SmartScreen”:

Dialog: “Sicherheit und Wartung” - Menü in der Windows-Systemsteuerung

  • Öffnen Sie den Drop-down “Sicherheit” and wählen Sie “Einstellungen ändern”. Es öffnet sich ein neuer Dialog.

  • Deaktivieren Sie den “SmartScreen” über die Option “Keine Aktion”:

Dialog: “Windows SmartScreen”


5.2.1.2. Beispiel: Windows 10

  • Öffnen Sie “Windows-Sicherheit” - “App- und Browsersteuerung”.

  • Suchen Sie alternativ nach dem “SmartScreen”:

Dialog: “App- und Browsersteuerung” im Menü “Windows-Sicherheit”

  • Öffnen Sie “Einstellungen für zuverlässigkeitsbasierten Schutz”. Es öffnet sich ein neuer Dialog.

  • Deaktivieren Sie “Potenziell unerwünschte Apps werden blockiert”.

Dialog: “Zuverlässigkeitsbasierter Schutz”


5.3. Warum stürzt der Installationsassistent direkt zu Beginn ab?

Der Absturz erfolgt direkt beim Übergang aus dem Dialog “Windows-Dienst” in den Dialog “Anwendung-Dienstkonto”.

  • Der OCT-Installationsassistent erkennt Azure-AD-Benutzerkonten generell nicht.

  • Sind keine lokalen Benutzer in der Umgebung angelegt/verfügbar und damit ausschließlich AD-Konten, dann stehen dem Installationsassistenten keine Benutzer zur Verfügung.

  • Somit stürzt dieser bei dem Versuch ab, im Dialog “Anwendung-Dienstkonto” die existierenden Benutzer zu laden.

Legen Sie einen lokalen Benutzer im Windows an.

  • Ab der Generation 5.9 führt dieser Umstand nicht mehr zum Absturz, sondern zeigt eine Fehlermeldung an und erlaubt die Weiterführung der Installation.


5.4. Wo finde ich den OCT-Dienst und ist dieser aktiv?

5.4.1. Wo sehe ich, ob der OCT Dienst erfolgreich läuft?

  • Rufen Sie die “Dienste” (Windows) auf → Suchen Sie den OCT Dienst, wobei die Benennung in der Installation festgelegt wird.

  • Starten Sie den Dienst ggf. neu.

  • Merken Sie sich den Namen des Benutzers, unter welchem der Dienst läuft: 2. Installation "On-Premises" | 2.3.-Dienstkonto


5.4.2. Wieso läuft der Dienst nicht?

Symptom: In der Liste der Windows-Dienste kann der OCT-Dienst nicht gestartet werden.

  • Die Ursache lässt sich häufig über die Windows-Ereignisanzeige herausfinden unter “Windows-Protokolle” → “Anwendung” oder “Windows-Protokolle” → “System”

  • Ein typisches Problem ist das fehlende .NET-Core-SDK.

Unter Umständen ist nicht die benötigte .NET-Core-SDK-Version, sondern nur eine .NET-Runtime-Version installiert. Bitte nutzen Sie die Download-Links und Hinweise aus dieser Sektion: 1. Systemvoraussetzungen | 1.1.-“S”---Standardvoraussetzungen-für-jede-Installation

  • Der Dienst wird mit einem normalen Userkonto installiert. Der Installer setzt die Eigenschaft “Anmelden als Dienst erlauben” für diesen Benutzer - sollte dies aus irgendwelchen Gründen scheitern, kann der Dienst nicht laufen.


5.4.3. Wo finde ich den Servernamen, Port (= URL), OCT-Administrator & den OCT-Service-Benutzer und wie ändere ich diese?

  • Im Pfad “C:\ProgramData\Saxess Software\<Name des OCT-Dienstes> finden Sie die Datei: “appsettings.json.user” mit allen notwendigen Informationen.

Der folgende Best-Practice-Artikel beschreibt, wie man die oben genannten Kerninformationen ändern und bearbeiten kann!


5.4.4. Wieso kann ich die Webseite des OCT-Dienstes nicht aufrufen?

  • Der angemeldete Benutzer hat keine Rechte bezüglich des OCT-Dienstes.


5.4.5. Wieso kann ich auf der Webseite den Tab "Applikationseinstellungen" nicht sehen?

  • Der derzeit angemeldete Benutzer hat zwar eingeschränkte Zugriffsrechte auf den OCT Dienst, ist aber kein OCT-Administrator.


5.5. Wie deinstalliere ich den Dienst manuell?

Falls eine automatische Deinstallation über den Assistenten nicht möglich ist, befolgen Sie folgende Schritte:

  • “CMD” als Administrator öffnen.

  • Ermitteln Sie den Kurznamen des Dienstes (Eigenschaften auf dem Dienst).

  • Geben Sie das Kommando “sc delete oct” ein.

    • Alternativ: “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services” - löschen Sie den Eintrag für OCT.

  • Starten Sie das System neu.

  • Löschen Sie das Programmverzeichnis von OCT - es ist unter dem Pfad “C:\Program Files\Saxess Software\<Name des OCT-Dienstes>” zu finden.

  • https://www.howtogeek.com/howto/windows-vista/how-to-delete-a-windows-service-in-vista-or-xp/


5.6. Wieso kann ich eine bestimmte Datenbank in OCT nicht aufrufen?

5.6.1. Hat der Dienst die nötigen Rechte auf der Datenbank?


5.6.2. Hat der ausführende Benutzer die nötigen Rechte auf der Datenbank?

  • Prüfung im SQL-Server-Management-Studio oder

  • Prüfung in der Benutzerverwaltung bezüglich der Rechte.


5.6.3. Gibt es die Datenbank unter diesem Namen?

  • Die Datenbank könnte unter falschem oder veraltetem Namen registriert sein - z.B. ein Schreibfehler.


5.7. Warum scheitert eine Abfrage von lokalen Umgebungen zu sxAzure?

  • Eine Datenbank auf einem SQL-Server “X1” ist in Kombination mit einem Applikationsserver “Y1” in Benutzung. In dieser Datenbank gibt es eine Pipeline, welche Abfragen auf Datenbanken in der der sxAzure-Cloud macht. Wir nehmen an, dass dieses Szenario 1 erfolgreich funktioniert.

  • Ein Backup der oberen Datenbank oder eine völlig andere Datenbank ist auf einem SQL-Server “X2” eingespielt und diese auf einem Applikationsserver “Y2” registriert. Für Szenario 2 erhält man beim Ausführen eines Steps in einer Pipeline folgende Fehlermeldung:

Fehlermeldung für Szenario 2


5.7.1. Zugriff einer lokalen Umgebung auf sxAzure ermöglichen

  • Um von einer lokalen Umgebung auf sxAzure zuzugreifen, muss der Port = 1433 in der Kundenfirewall geöffnet sein.

  • Für das Szenario 1 mit dem Applikationsserver “Y1” ist diese Freigabe erfolgt, für das Szenario 2 mit dem Applikationsserver “Y2” jedoch nicht. Das erzeugt den oben gezeigten Fehler.

    • Auch das Verwenden eines Datenbank-Backup erzeugt in diesem Szenario keine automatisch Freigabe!


5.7.2. Überprüfung des Freigabe-Status für Port = 1433

  • Der folgende PowerShell-Befehl ermöglicht die Überprüfung des Ports:

CODE
Test-NetConnection 123.123.123.123 -Port 1433
  • “123.123.123.123” steht dabei beispielhaft für die IP-Adresse des SQL-Servers.

  • Es kann ebenfalls die URL des Datenbankservers, z.B. “octprovider.database.windows.net”, verwendet werden. Folgendes Beispiel zeigt eine solche Abfrage:

Überprüfung der Verbindung zu Port = 1433

  • “TcpTestSucceeded” gibt dabei das Ergebnis der Überprüfung an - “True” steht für erfolgreich und “False” für fehlgeschlagen.

  • Für das obere Beispiel war damit der Test erfolgreich.

  • Die gelbe Warnung beschreibt den Ping-Versuch der SQL-Datenbank auf Azure - dieser klappt für gewöhnlich nicht und muss nicht weiter beachtet werden.


5.7.3. Zugriff des (Kunden-)Servers auf die SQL-Datenbanken im Azure

  • Die IP des Benutzer-/Kundennetzwerkes muss für jede SQL-Datenbank freigegeben sein.


5.8. Wieso wird das Zertifikat - bei der HTTPS-Einrichtung - falsch angezeigt?

(a) Bei der Installation mit HTTPS wurde nur der Rechnername ohne Domänenendung eingetragen. → Der Rechner ist nun nicht unter der Adresse “<rechnername>.<domäne>:<port>” erreichbar, sondern nur unter “<rechnername>:<port>”.
(b) Der Installationsassistent zeigt nicht das richtige SSL-Zertifikat an oder führt es fälschlicherweise als abgelaufen.

Anwendungsbeispiel:

  • hostname, port usw. muss mit dem richtigen Computernamen ersetzt werden, auf welchem OCT installiert wurde.

  • domäne_kurz entspricht beispielsweise “ad-testkunde”.

  • domäne_lang entspricht beispielsweise “ad.testkunde.ac.de” (FQDN)

  • application_id entspricht beispielsweise “{aaaabbbb123-ab12-cd34-ef56-usw.}”

Diese Applikations-ID kann frei gewählt werden!

  • certificate_hash entspricht beispielsweise “0fab23de87ad81…”


5.8.1. Zertifikatshash

Das Zertifikatshash finden Sie mit dem Befehl:

CODE
certutil -store my

Identifizieren Sie zuerst das richtige Zertifikat, sodass Sie im Anschluss davon den Hash kopiert können:

Zertifikatshash identifizieren

  • In der “appsettings.user.json”-Datei muss bei “URLs” der Wert angepasst werden zu: “https://ipadresse:port


5.8.2. URL- und Zertifikatsbindungen

  • Mit den folgenden Befehlen prüfen Sie auf vorhandene URL- und Zertifikatsbindungen:

Befehl: “netsh http show url”

Befehl: netsh http show ssl


5.8.3. Löschen der URL-Bindung

  • Löschen Sie die falsche URL-Bindung - z.B. falls eine andere URL oder ein anderer Port genutzt werden soll - mit dem Befehl:

CODE
netsh http delete urlacl url="https:ipadresse:port/"

oder:

CODE
netsh http delete urlacl url="https:servername:port/"

Beispiel für das Löschen einer falschen URL-Bindung


5.8.4. Löschen der Zertifikatsbindung

  • Löschen Sie eine falsche Zertifikatsbindung mit dem folgenden Befehl:

CODE
netsh http delete sslcert ipport=ipadresse:port

oder:

CODE
netsh http delete sslcert hostnameport=servername:port

Beispiel für das Löschen einer falschen Zertifikatsbindung


5.8.5. Richtige URL-Bindung hinzufügen

Das Hinzufügen der richtigen URL-Bindung erfolgt mit dem Befehl:

CODE
netsh http add urlacl url=”https://ipadresse:port/” user=”domäne\user”

Beispiel für das Hinzufügen einer URL-Bindung


5.8.6. Richtige Zertifikatsbindung hinzufügen

  • Den Zertifikatshash und die Applikations-ID finden Sie mit dem Befehl:

CODE
netsh http show ssl
  • Falls bisher kein Zertifikat installiert ist, kann die folgende Applikations-ID aus dem Screenshot verwendet werden: “{ff24d6a6-90cd-4eef-9a47-7ca8f0c74177}”

CODE
netsh http add sslcert ipport=ipadresse:port certhash=certificate_hash appid=application_id certstorename=my

Beispiel für den vollständigen Befehl mit Zertifikatshash und Applikations-ID

Überprüfung des Zertifikats

In der Datei “appsettings.user.json” muss bei HTTPS-Installationen die IP-Adresse der Servers eingegeben werden, in der URL im Browser wird dann aber der Rechner mit Domänenendung aufgerufen.


5.9. Die HTTPS Konfiguration zeigt Fehler / lässt keine Anmeldung zu / soll externe Anmeldung zulassen.

5.9.1 Beim Anmeldeversuch erscheint die Anmeldemaske immer wieder und die Anmeldung wird (scheinbar) nicht akzeptiert.

Sobald die ServerURL für das Zertifikat gesetzt wird (eine neue FQDN für den Server), kann es passieren, dass OCT auf dem Server selbst nicht mehr aufgerufen werden kann. Das Login erscheint, aber wird nicht akzeptiert - von anderen Rechnern funktionert es aber.

Es ist ein Sicherheitsfeature, welches verhindert, dass Windows Authentifizierung verwendet wird, falls bei einem Rechner FQDN <> Hostname ist. Damit werden Loopback Attacken verhindert.

https://web.archive.org/web/20140212102642/http://support.microsoft.com/kb/896861

  1. Click Start, click Run, type regedit, and then click OK.

  2. In Registry Editor, locate and then click the following registry key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

  3. Right-click MSV1_0, point to New, and then click Multi-String Value.

  4. Type BackConnectionHostNames, and then press ENTER.

  5. Right-click BackConnectionHostNames, and then click Modify.

  6. In the Value data box, type the host name or the host names for the sites that are on the local computer, and then click OK.

Um die Erreichbarkeit zu gewährleisten muss ein Registry Eintrag gesetzt werden. Dies muss mit dem Admin abgestimmt werden, insbesondere falls der Rechner im Internet erreichbar sein soll.

5.9.2 Wir wollen die OCT Instanz im Internet verfügbar machen.

Nutzen Sie lieber unser Cloud Hosting hierfür oder hosten Sie die Applikation selbst auf Azure als Webapp.

Falls Sie dennoch OCT lokal installieren und im Internet verfügbar machen wollen, halten Sie folgende Mindestsicherheitsregeln ein:

  • Ihr SQL Server darf nur Windows Authentifizierung unterstützten.

  • OCTService darf auf keinen Fall Administratorrechte haben. Es muss ein eingeschränkter Benutzer sein.

  • OCTService darf auf keinen Fall Sysadmin der Datenbank sein.

  • Hardening Script für die OCT Datenbank ausführen - dieses wird mit Ihnen zusammen entworfen und deaktiviert bestimmte Systemprozeduren / Funktionen.

  • Deaktivieren Sie alle Powershell Funktionen von OCT.

  • Führen Sie TLS Hardening https://www.nartac.com/Products/IISCrypto/ aus. Achtung: Ein vollständiges Hardening blockiert ggf. auch interne Windows Werkzeuge wie z.B. Powershell.

  • Die Applikation ggf. intern auf Http mit einem anderem Port und nur extern über Https mit Hardening laufen lassen.

  • Führen Sie regelmäßige vulnerability Scans durch die Kunden IT z.B. https://www.ssllabs.com/ssltest/ oder http://ssl-checker.online-domain-tools.com/durch.

  • Führen Sie vollständige Windows Updates durch.

  • Führen Sie falls möglich IP Whitelistings durch und gestatten Sie Zugriff nur von bestimmten IPs oder Ranges aus.

  • Planen Sie regelmäßige OCT Updates ein.

5.10. Wieso kann ich nicht mittels Pivot oder CP auf die OCT-Datenbank zugreifen?

Diese Zugriffe sind vor allem im Zusammenhang mit Ergebnisdaten wichtig und notwendig.

5.10.1. Hat der Benutzer genügend Rechte?

  • Falls der Zugriff mit einem Windows-Benutzer erfolgt, dann starten Sie SQL-Server-Management-Studio neu und melden sich mit diesem Benutzer neu an.


5.10.2. Ist TCP/IP für diese SQL-Server-Instanz aktiviert?

  • Prüfung im SQL-Server-Konfigurationsmanager → Computerverwaltung → Dienste und Anwendungen → SQL-Server-Konfigurationsmanager → SQL-Server-Netzwerkkonfiguration


5.11. Die Installation des Dienstes schlägt fehlt.

  • Die Installation endet mit der Meldung “Dienst konnte nicht installiert werden”.

  • Prüfen Sie, ob die korrekte Version von .NET installiert ist (.NET 6 SDK)

  • Installieren Sie den Dienst testweise mit einem lokalen Benutzer und danach mit dem Domänenbenutzer. In seltenen Fällen war die Installation mit einem Domänenbenutzer erst möglich, nachdem einmal eine Installation mit einem lokalen Benutzer (auch ohne Admin Rechte) erfolgt war.


5.12. Der Browser fragt wiederholt nach Anmeldeinformationen.

Abhängig vom benutzten Browser und entsprechend restriktiven Einstellungen kann es zu wiederholten Anmeldeaufforderungen kommen.

5.12.1. Chrome & Edge

image-20240902-161831.png

Login-Fenster im Chrome Browser

  • In den Windows-Internetoptionen im Reiter “Sicherheit” die Stufe für “Internet” bzw. “Lokales Intranet” anpassen

  • Die Einstellung “Benutzerauthentifizierung” - “Anmeldung” auf “Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort” setzen

  • Der Browser muss neu gestartet werden, damit die Änderung übernommen wird

image-20240902-162300.png

Windows-Internetoptionen & Sicherheitsstufen-Einstellungen

Falls die “Internetoptionen” nicht über das Windows Startmenü gefunden werden können, lässt sich der Dialog über eine Suche nach “inetcpl.cpl” öffnen.

5.12.2. Firefox

image-20240902-162902.png

Login Fenster im Firefox Browser

  • In der Firefox Adressleiste den Befehl “about:config” eingeben

  • Nach der Einstellung “network.automatic-ntlm-auth.trusted-uris” suchen

  • In dieser Einstellung die URL von OCT hinterlegen (ohne Port)

Beispieleinstellung im Firefox Browser

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.