1. Systemvoraussetzungen
Die folgenden Systemvoraussetzungen müssen erfüllt sein, um OCT in der Generation 5.10 auf einem eigenen Server zu installieren.
Aufgrund der großen Bandbreite von Anwendungsfällen, haben wir diese in mehrere Gruppen gegliedert.
S – Standardvoraussetzungen
D – Zusatzpaket Datenintegration → für den Import von Daten aus Vorsystemen
E – Zusatzpaket Excel-Reporting → für die Erstellung von Auswertungen per Excel-AddIn /-Pivot durch die “Saxess Software GmbH”
I – Zusatzpaket für HTTPS-Betrieb im Intranet
W – Zusatzpaket für HTTPS-Betrieb mit Internetöffnung
P – Zusatzpaket Projektumsetzung → für umfangreichen oder dauerhaften Serverzugang durch Saxess-Mitarbeiter
Ein “+” steht im Folgenden für den Ausdruck “ab dieser Version oder höher”.
1.1. “S” - Standardvoraussetzungen für jede Installation
1.1.1. “S1” - Applikationsserver Win 2016 +
.NET Core 6.0 SDK (Download)
Falls keine oder eine falsche .NET-Core-SDK-Version auf dem System vorliegt, dann löst der Installationsassistent einen Fehler aus. Die vom Installationsassistenten vorgeschlagene .NET-Version ist jedoch nicht für die Applikation, sondern nur für den Assistenten selbst ausreichend. Es muss die obenstehende Version verwendet werden.
Sonstige Voraussetzungen
Benötigte Ressourcen für 25 Benutzer:
8 GB RAM / 20 GB HDD
SQL-Server-Managementstudio Version 18 oder neuer ist installiert.
Port=80 ist für den Betrieb einer Webapplikation frei verfügbar oder ein anderer Port wird während der Installation alternativ benannt.
Port=80 (bzw. die Alternative) ist als eingehenden Port auf dem Applikationsserver freigeschaltet. Dieser wird im Intranet sonst von der Windows-Firewall im Standard blockiert.
Der Einsatz von HTTPS benötigt zusätzlich: 1. Systemvoraussetzungen | 1.4.-“I”---Zusatzpaket-für-HTTPS-Betrieb-im-Intranet
Der Applikationsserver kann dieselbe Maschine wie der Datenbankserver (siehe S2) sein.
1.1.2. “S2” - Microsoft SQL Server Instanz
Mindestens Microsoft SQL Server 2016 Service Pack 1 Standard Edition
die von OCT genutzte SQL Instanz benötigt ca. 4-16 GB Arbeitsspeicher, je nach Datenvolumen
das auf dem SQL Server benötigte Festplattenvolumen hängt stark vom Datenvolumen ab und liegt zwischen 20 und 500 GB
TCP/IP-Protokoll ist aktiviert und in der Windows-Firewall sind Ports für eine Verbindung von Seiten des Applikationsservers geöffnet.
Die SQL Server Version kann mit dem Befehl “SELECT @@Version” geprüft werden. Die Mindestversion ist 13.0.4001.0 (entspricht SQL Server 2016 Service Pack 1).
1.1.3. “S3” - Webbrowser
Chrome, Firefox oder Edge sind in aktueller Version auf dem Applikationsserver, dem Datenbankserver und allen Clients vorhanden.
Internet Explorer, Safari und andere Browser werden nicht unterstützt.
1.1.4. “S4” - Benutzer und Gruppen
OCT-Dienstkonto
Es sollte immer ein Dienstkonto vorhanden sein - unter welchem dann später auch der OCT-Dienst läuft.
Ein von uns empfohlenes Beispiel wäre: „Domäne\OCTDienst“.
Empfohlen wird ein Standard-Domänenbenutzer - kein Administrator.
Das Passwort läuft nie ab.
Das Passwort muss nicht bei erster Anmeldung geändert werden.
Falls kein Domänenkonto hierfür angelegt werden soll, kann ein lokales Konto „OCTDienst“ auf dem Applikationsserver angelegt werden.
Ein lokales Konto kann Benutzer per Windows-Authentifizierung aber nur dann authentifizieren, falls der Domänencontroller nicht durch Gruppenrichtlinien (z.B. “GPO”) restriktiv konfiguriert ist.
Domänenbenutzer „Domäne\Saxess“
Optionaler Benutzer: Mit diesem Konto arbeiten Saxess-Mitarbeiter und es ist für längerfristige Projektumsetzungen empfohlen.
Alternativ kann der Mitarbeiter mit einem beliebigen Administratorenkonto arbeiten. Benötigt sind:
Lokale Administratorrechte auf dem Applikationsserver
Idealerweise sind die Rechte “sysadmin” für den Datenbankserver vergeben, da ansonsten ein Backup/Restore und die Arbeit mit dem SQL-Agent nicht möglich sind.
Mindestens die Rechte “dbowner” für die OCT-Datenbank sollten vergeben sein.
Das Passwort läuft nie ab.
Besonderheit bei DATEV On-Premises-Installationen
Das Dienstkonto (1. Systemvoraussetzungen | OCT-Dienstkonto) muss als DATEV-Benutzer in der Benutzer- und Rechteverwaltung von DATEV berechtigt werden. Alternativ kann der Dienst mit einem Windows-Konto eines DATEV-Benutzers installiert werden.
Die Konten-/Gruppennamen sind logische Namen und können beliebig gewählt werden.
1.1.5. “S5” - Internetzugang / Fernwartung
Die Installation der Software beim Kunden kann durch die “Saxess Software GmbH” per Fernwartung erfolgen. Für den Fernwartungszugang gelten folgende Mindestvoraussetzungen:
Die Bildschirmauflösung beträgt mindestens 1280x1024, besser wäre 1920x1080.
Die Bereitstellung einer Zwischenablage oder eines anderen Transferweges für das Kopieren von Ordnern mit Textdateien (SQL-Skripte).
Die Nutzung von TeamViewer wird empfohlen.
Die Applikation lässt sich ohne Internet betreiben. Wir empfehlen für folgende Aktionen aktiviertes Internet auf dem Applikationsserver:
Lizenz-Download
Programmupdates
Zugriff auf Musterlösungen
Monitoring- und E-Mail-Funktionalität
Der Zugriff auf folgende URL muss dabei möglich sein:
1.2. “D” - Zusatzpakete Datenintegration
OCT erlaubt den Import aus ERP-Systemen oder anderen Datenbanken.
1.2.1. “D1” - Rechtezuweisung für ERP-Zugriffe auf MSSQL-Basis
Für den permanenten Betrieb und Austausch wie z.B. Datenextraktion über Pipelines benötigt das OCT-Dienstkonto Leserechte auf der Vorsystemdatenbank.
Eine Alternative ist, den SQL-Benutzer mit Benutzernamen und Passwort für den Zugriff auf die Vorsystemdatenbanken mit Leserechten auszustatten.
Der SQL-Server-Browserdienst des SQL-Servers mit den Vorsystemdatenbanken muss gestartet sein.
Optional:
Für Design und Prüfung per SQL-Server-Managementstudio (z.B. den Aufbau/die Bearbeitung von Konnektoren) benötigt der Benutzer „Domäne\saxess“ separat Leserechte.
1.2.2. “D2” - Rechtezuweisung für ERP-Zugriffe auf Oracle-Basis
Verbindung zur Oracle-Datenbank muss über den Datenbank-Port möglich sein.
Benutzername und Kennwort für lesenden Zugriff liegt vor.
Bei speziellen Konfigurationen (z.B. Oracle-Cluster) muss eine benutzerdefinierte Verbindungszeichenfolge (Connection String) zur Verfügung gestellt werden, um die Oracle-Datenbank zu erreichen. Alternativ kann auch eine ODBC Verbindung gemäß Punkt 1.2.3. zur Verfügung gestellt werden.
1.2.3. “D3” - Rechtezuweisung für ERP-Zugriffe auf ODBC-Basis
ODBC-64bit-Datenquelle muss angelegt sein und für das OCT-Dienstkonto sichtbar sein. Siehe: 1. Systemvoraussetzungen | OCT-Dienstkonto
Benutzername und Kennwort für die ODBC-Datenquelle muss ggf. vorliegen. Das ist treiberabhängig.
1.3. “E” - Zusatzpakete Excel-Reporting
OCT erlaubt den Zugriff auf die Datenbank mit Hilfe von Excel über Pivot-Abfragen. Das steuert das Excel-Add-In “MatrixConnector”.
Auf dem Applikationsserver muss Excel für das Entwerfen und Testen von Mappen installiert sein.
1.3.1. “E1” - Excel 2013+
Excel ist auf den Clients und dem Applikationsserver verfügbar.
Die Version sollte Power-Pivot und Power-Query unterstützen.
Power-Query und Power-Pivot müssen in manchen älteren Excel-Versionen als Add-In zusätzlich installiert werden.
1.3.2. “E2” - Excel-Add-In "MatrixConnector"
Die Installation von Excel-Add-Ins ist nicht blockiert.
1.3.3. “E3” - Netzwerkfreigabe
Um z.B. Reporting-Dokumente zwischen Anwendern und der “Saxess Software GmbH” auszutauschen, muss ein Freigabeordner eingerichtet sein.
1.3.4. “E4” - Benutzer und Gruppen
Eine Active-Directory-Gruppe „OCTUser“ sollte angelegt sein, falls direkte (Pivot-)Abfragen aus Excel genutzt werden sollen.
Der “MatrixConnector” benötigt keine Gruppe.
Mitglieder sind alle Benutzer, die Reports benutzen sollen, welche direkt aus der OCT-Datenbank abgerufen werden (z.B. Excel-Pivot-Berichte).
Die Active-Directory-Gruppe ermöglicht nur das Login, während die fachlichen Rechte intern definiert sind.
1.4. “I” - Zusatzpaket für HTTPS-Betrieb im Intranet
OCT kann mit einer HTTPS-Verschlüsselung installiert werden.
Im Intranet-Betrieb kann hierfür ein selbst erstelltes SSL-Zertifikat genutzt werden. Siehe: 4.3. Austausch eines SSL-Zertifikats
1.4.1. “I1” - SSL-Zertifikat
Ein selbst erstelltes SSL-Zertifikat liegt im lokalen Computerzertifikatsspeicher vor.
Die Vertrauenswürdigkeit des selbst erstellten Zertifikats liegt über Domänencontroller vor. Dafür muss man das Zertifikat in vertrauenswürdige Root-Zertifikate kopieren.
Port=443 für den Betrieb einer Webapplikation ist als frei bestätigt oder ein alternativer Port wurde während der Installation vorgegeben.
Eine HTTPS-Umgebung erfordert regelmäßige Folgearbeiten, da das Zertifikat periodisch getauscht werden muss. Es sind 4 Wochen – 2 Jahre Laufzeit für ein Zertifikat üblich. Es liegt in der Verantwortung der Kunden-IT, diese Termine zu überwachen und rechtzeitig vorab (ca. 2 Wochen) bei der “Saxess Software GmbH” einen Zertifikatstausch zu beauftragen. Dabei stellt die “Saxess Software GmbH” ggf. Musterskripte für den automatisierten Zertifikatstausch per Powershell bereit.
1.5. “W” - Zusatzpaket für HTTPS-Betrieb mit Internetöffnung
OCT kann mit HTTPS-Protokoll statt HTTP betrieben werden, um für externen Zugriff via Internet geöffnet zu werden. Dies wird nur Unternehmen mit proaktiver IT empfohlen, welche bereits solche Systeme betreibt. Alternativ ist das System auf Azure als Platform-as-a-Service (PaaS) nutzbar.
Hier fallen gesonderte (Be-)Rechnungen aufgrund von erhöhtem Kommunikationsaufwand an.
1.5.1. “W1” - SSL-Zertifikat
Voraussetzung ist ein gültiges SSL-Zertifikat von einer externen Zertifizierungsstelle im lokalen Computerzertifikatsspeicher.
Eine HTTPS-Umgebung erfordert regelmäßige Folgearbeiten, da das Zertifikat periodisch getauscht werden muss. Es sind 4 Wochen – 2 Jahre Laufzeit für ein Zertifikat üblich. Es liegt in der Verantwortung der Kunden-IT, diese Termine zu überwachen und rechtzeitig vorab (ca. 2 Wochen) bei der “Saxess Software GmbH” einen Zertifikatstausch zu beauftragen. Dabei stellt die “Saxess Software GmbH” ggf. Musterskripte für den automatisierten Zertifikatstausch per Powershell bereit.
1.5.2. “W2” - Firewall-Konfiguration
Weiterleitung von einer öffentlicher IP auf die IP des Applikationsservers definieren.
1.5.3. “W3” - Vulnerability-Scans
Scans auf Systemschwachstellen müssen periodisch durchgeführt werden.
Betrachtung & Absicherung von Schwachstellen auf Betriebssystemebene, SQL-Server, TLS-Konfiguration, etc.
1.5.4. “W4” - Monitoring-E-Mail
Um ein Monitoring für den E-Mail-Versand aufzubauen, benötigt man die folgenden Informationen, welche später in den Applikationseinstellungen (siehe: 2.3. Applikationseinstellungen) bereitgestellt werden müssen:
1.6. “P” - Zusatzpaket Projektumsetzung
Dieses Paket wird vor allem dann notwendig, wenn Saxess-Mitarbeiter längere Zeit auf dem Server des Kunden aktiv sein sollen. Erfolgt durch die “Saxess Software GmbH” z.B. nicht nur eine Installation, sondern auch eine (meist mehrmonatige) Projektumsetzung, dann werden ein Fernzugang, Benutzer für Testzwecke, Zusatzprogramme sowie Internetzugang benötigt.
1.6.1. “P1” - Fernzugang
Zugang zum Applikationsserver als Benutzer „Domäne\saxess“
VPN oder permanenter TeamViewer-Zugang.
TeamViewer wird von uns lizenziert und bereitgestellt.
Ohne permanenten Onlinezugang in der Projektphase fällt ggf. Mehraufwand an. Der Organisationsaufwand steigt erheblich an und Arbeiten/Systemprüfungen außerhalb der Kernarbeitszeiten sind nicht möglich.
1.6.2. “P2” - Benutzer für Testzwecke
Um die Funktionalität des Systems für Standarddomänenbenutzer zu testen, wird ein Testbenutzer „Domäne\saxessTest“ benötigt.
1.6.3. “P3” - Zusatzprogramme
Im Rahmen der Entwicklung sind mehrere Zusatzprogramme notwendig. Downloads und Installationen dieser Programme müssen auf dem Applikationsserver möglich sein.
Mögliche Programme sind:
Sourcetree
Notepad++
Powershell
Die URL https://bitbucket.com sollte erreichbar sein.
Diese können nach Absprache installiert werden.
1.6.4. “P4” - Internetzugang
Es wird Internetzugang auf dem Applikationsserver benötigt.
1.7. “Z” - Allgemeine Zusatzinformationen
1.7.1. “Z1”- Aktivierung der Makro-Ausführung im Excel
Dieser Schritt ist nur für den Einsatz des MatrixConnectors relevant und in nur sehr wenigen Fällen notwendig.
Die Durchführung erfolgt nur nach Abstimmung und im Bedarfsfall!