Die Installation von OCT wird von der Applikationsseite mit einem Installer umgesetzt und hat auf dieser & mehrerer anderer Ebenen spezifische Voraussetzungen, welche erfüllt sein müssen. Im Folgenden wird sowohl auf die spezifischen Voraussetzungen im Allgemeinen hingewiesen, als auch eine “on-premises” Installation im Standardumfang gezeigt.


1. Systemvoraussetzungen für OCT

Die folgenden Systemvoraussetzungen müssen erfüllt sein, um OCT in der Version 5.6.x auf einem eigenen Server zu installieren.
Aufgrund der großen Bandbreite von Anwendungsfällen, haben wir diese in mehrere Gruppen gegliedert.

  • S – Standardvoraussetzungen

  • D – Zusatzpaket Datenintegration, falls Daten aus Vorsystemen importiert werden sollen

  • E – Zusatzpaket Excel-Reporting, falls Auswertung per Excel-AddIn / -Pivot durch Saxess erstellt werden soll

  • I – Zusatzpaket für https-Betrieb im Intranet

  • W – Zusatzpaket für https-Betrieb mit Internetöffnung

  • P – Zusatzpaket Projektumsetzung, falls wir längere Zeit auf Ihrem Server arbeiten sollen

1.1. “S” - Standardvoraussetzungen für jede Installation

Das “+” steht in den folgenden Fällen für den Ausdruck “ab dieser Version oder höher”.

S1 - Applikationsserver Win 2021+

Bei 25 Usern: 8 GB RAM / 20 GB HDD

  • .NET Core SDK
    https://dotnet.microsoft.com/download/dotnet/thank-you/sdk-3.1.412-windows-x64-installer
    (cmd Abfrage über dotnet –info) / noch nicht .NET 5.0.x verwenden)

  • SQL Server Managementstudio 18.x ist installiert

  • Port 80 ist für den Betrieb einer Webapplikation frei, oder ein anderer Port wird dafür benannt (z.B. 5000)

  • Port 80 (bzw. der alternativ gewählte) ist als eingehenden Port auf dem Applikationsserver freigeschaltet (im Intranet von Windows Firewall im Standard blockiert)

  • Falls HTTPS genutzt werden soll, siehe Zusatzpaket I

Kann selbe Maschine wie der Datenbankserver sein.

S2 - Datenbankserver MSSQL 2106 SP1+

Bei 25 Usern: 16 GB RAM / 50 GB HDD SSD / 500 GB Backup

  • bei SQL Server 2016 ist mindestens Service Pack 1 installiert (sonst können ColumnStore Indexes nicht aktiviert werden)
    (Prüfung in SSMS mit “SELECT @@Version” )

  • TCP-IP Protokoll ist aktiviert und Port (im Standard 1433 TCP und 1434 UDP für Serverbrowser) für Verbindung vom Applikationsserver aus in der Windows Firewall geöffnet

  • SQL Server Managementstudio 18.x ist installiert

Bei kleineren Installationen kann SQL Server Express oder eine zentrale SQL-Instanz genutzt werden.

S3 - Webbrowser

  • Chrome, Firefox oder Edge sind in aktueller Version auf Applikationsserver, Datenbankserver und allen Clients vorhanden.

Internet Explorer, Safari und andere Browser werden nicht unterstützt.

S4 - Benutzer und Gruppen

  • Dienstkonto „Domäne\OCTService“ ist vorhanden

    • Standard-Domänenbenutzer (kein Admin).

    • Das Passwort läuft nie ab.

    • Das Passwort muss nicht bei erster Anmeldung geändert werden.

    • Falls kein Domänenkonto hierfür angelegt werden soll, kann ein lokales Konto „OCTService“ auf dem Applikationsserver angelegt werden (ein lokales Konto kann Benutzer per WinAuth nur authentifizieren, falls der Domänencontroller nicht durch GPOs restriktiv konfiguriert ist).

  • Domänenbenutzer „Domäne\Saxess“ ist angelegt – optional

    • Ist für längerfristige Projektumsetzungen empfohlen, alternativ kann Saxess mit beliebigem Admin Account arbeiten.

    • Lokale Administratorrechte auf Applikationsserver.

    • “sysadmin” Rechte auf DB Server (idealerweise, sonst Backup/Restore und SQL-Agent nicht möglich, mindestens dbowner für die OCT-Datenbank).

    • Das Passwort läuft nie ab.

  • Besonderheit bei DATEV on-premises Installationen – das Dienstkonto OCTService muss als DATEV Benutzer in der Benutzer- und Rechteverwaltung von DATEV berechtigt werden. Alternativ kann der Dienst mit einem Windows Account eines DATEV Benutzers installiert werden.

Die Konten-/Gruppennamen sind logische Namen und können beliebig gewählt werden.

S5 - Internetzugang

Auf dem Applikationsserver wird Internetzugang benötigt für…

  • …Programmupdates.

  • …den Zugriff auf Musterlösungen.

  • …das Monitoring.

Zumindest der Zugriff auf folgende URLs muss möglich sein:


1.2. “D” - Zusatzpakete Datenintegration

OCT erlaubt den Import aus ERP-Systemen oder anderen Datenbanken über Pentaho Datenintegrationskomponenten.

D1 - Rechtezuweisung für ERP-Zugriffe

OCT liest täglich Daten aus Vorsystemen und erzeugt daraus Strukturen und Auswertungsdaten.

  • Die Benutzer „Domäne\saxess“ (für Design und Prüfung per SSMS) und „Domäne\OCTService“ (für laufenden Betrieb) benötigen Leserechte auf den Datenbanken, aus welchen Daten importiert werden sollen.

  • SQL Server-Browserdienst des SQL Servers mit Vorsystemdatenbanken ist gestartet.

  • Die Benutzer „Domäne\saxess“ und „Domäne\OCTService“ besitzen das Recht „Anmelden als Stapelverarbeitungsauftrag“, um die Windows Aufgabenplanung zu nutzen

Alternativ SQL-Benutzer mit Username / PW für den Zugriff auf die Vorsystemdatenbanken. Das Zusatzpaket Datenintegration nutzt Java. Es ist aber keine Java Installation auf dem Server erforderlich – die benötigte Java Version ist im Programm enthalten.


1.3. “E” - Zusatzpakete Excel-Reporting

OCT erlaubt den Zugriff auf die Datenbank mit Hilfe von Excel über Pivotabfragen (kein Add-In benötigt) und über das Excel Add-In MatrixConnector. Auf dem Applikationsserver muss Excel installiert sein, damit Mappen entworfen und getestet werden können.

Das “+” steht in den folgenden Fällen für den Ausdruck “ab dieser Version oder höher”.

E1 - Excel 2013+

Verfügbar auf Clients und Applikationsserver

  • Version sollte Power Pivot und Power Query unterstützen

Power Query/Power Pivot müssen in manchen älteren Excel Versionen als Add In zusätzlich installiert werden.

E2 - Excel Add-In "MatrixConnector"

  • Installation von Excel-Add-Ins ist nicht blockiert.

E3 - Netzwerkfreigabe

  • Um Reportingdokumente etc. zwischen Anwendern und Saxess auszutauschen, muss ein Freigabeordner eingerichtet sein.

E4 - Benutzer und Gruppen

Active Directory-Gruppe „OCTUser“ ist angelegt.

  • Nur falls direkte (Pivot)Abfragen aus Excel genutzt werden sollen. MatrixConnector benötigt keine Gruppe.

  • Mitglieder sind alle User, die Reports benutzen sollen, welche direkt aus der OCT-Datenbank abgerufen werden (z.B. Excel Pivot-Berichte)

Die AD-Gruppe erlaubt nur das Login, die fachlichen Rechte werden intern definiert.


1.4. “I” - Zusatzpaket für https-Betrieb im Intranet

OCT erlaubt den Zugriff auf die Datenbank mit Hilfe von Excel über Pivotabfragen (kein Add-In benötigt) und über das Excel Add-In MatrixConnector. Auf dem Applikationsserver muss Excel installiert sein, damit Mappen entworfen und getestet werden können.

I1 - SSL-Zertifikat

  • Selbst erstelltes SSL-Zertifikat im lokalen Computerzertifikatsspeicher liegt vor.

  • Vertrauenswürdigkeit des selbst erstellten Zertifikats über Domänencontroller liegt vor (in vertrauenswürdige Root Zertifikate kopieren).

  • Port 443 für den Betrieb einer Webapplikation ist als frei bestätigt oder ein anderer Port ist vorgegeben.

Eine https-Umgebung erfordert regelmäßige Folgearbeiten, da das Zertifikat periodisch getauscht werden muss (4 Wochen – 2 Jahre Laufzeit sind üblich). Es liegt in der Verantwortung der Kunden-IT, diese Termine zu überwachen und rechtzeitig vorab (ca. 2 Wochen) bei Saxess einen Zertifikatstausch zu beauftragen. Saxess stellt ggf. Musterskripte für den automatisierten Zertifikatstausch per Powershell bereit, deren Konfiguration und Betrieb ist jedoch Aufgabe der Kunden-IT.


1.5. “W” - Zusatzpaket für https-Betrieb mit Internetöffnung

OCT kann mit https-Protokoll statt http betrieben werden, um für externen Zugriff via Internet geöffnet zu werden. Dies wird nur Unternehmen mit proaktiver IT empfohlen, welche bereits solche Systeme betreibt. Alternativ können Sie das System auf Azure als Platform-as-a-Service (PaaS) nutzen oder Ihre Azure Subscription bereitstellen/verteilen.

Bitte beachten Sie die hier anfallende gesonderte Berechnung wegen hohem Kommunikationsaufwand.

W1 - SSL-Zertifikat

  • Gültiges SSL-Zertifikat von externer Zertifizierungsstelle im lokalen Computerzertifikatsspeicher

Eine https-Umgebung erfordert regelmäßige Folgearbeiten, da das Zertifikat periodisch getauscht werden muss (4 Wochen – 2 Jahre Laufzeit sind üblich). Es liegt in der Verantwortung der Kunden-IT, diese Termine zu überwachen und rechtzeitig vorab (ca. 2 Wochen) bei Saxess einen Zertifikatstausch zu beauftragen. Saxess stellt ggf. Musterskripte für den automatisierten Zertifikatstausch per Powershell bereit, deren Konfiguration und Betrieb ist jedoch Aufgabe der Kunden-IT.

W2 - Firewallkonfiguration

  • Weiterleitung von öffentlicher IP auf IP des Applikationsserver definieren.

W3 - Vulnerability Scans

  • Scans auf Systemschwachstellen müssen periodisch durchgeführt werden. Schwachstellen auf Betriebssystemebene, SQL Server, TLS-Konfiguration etc. müssen betrachtet und abgesichert werden.


1.6. “P” - Zusatzpaket Projektumsetzung

Dieses Paket wird vor allem dann notwendig, wenn wir längere Zeit auf dem Server des Kunden aktiv sein sollen. Erfolgt durch Saxess z.B. nicht nur eine Installation, sondern auch eine (meist mehrmonatige) Projektumsetzung, dann werden folgende Dinge benötigt:

P1 - Fernzugang

Zugang zum Applikationsserver als Benutzer „Domäne\saxess“

  • VPN oder permanenter Teamviewerzugang (Teamviewer wird von uns lizenziert und bereitgestellt)

Ohne permanenten Onlinezugang in der Projektphase fällt ggf. Mehraufwand an, da der Organisationsaufwand erheblich ansteigt und keine Arbeit / Systemprüfung außerhalb der Kernarbeitszeiten möglich ist.

P2 - Benutzer für Testzwecke

Um die Funktionalität des Systems für Standard-Domänenbenutzer zu testen, benötigen wir einen Testbenutzer „Domäne\saxessTest“.

P3 - Zusatzprogramme

Wir benötigen im Rahmen der Entwicklung mehrere Zusatzprogramme. Downloads und Installationen auf dem Applikationsserver müssen möglich sein:

P4 - Internetzugang

  • Wir benötigen auf dem Applikationsserver Internetzugang.


2. Die Installation

In diesem Kapitel wird der Ablauf einer Installation, für den Fall “on premises”, beschrieben. Die Bildausschnitte zeigen den kompletten Installationsablauf in der korrekten Reihenfolge.
In jeder Phase der Installation stehen Textinformationen in den Fenstern des “Installer” zur Verfügung.

2.1. Lizenzvereinbarung

Für eine erfolgreiche Installation muss der Lizenzvereinbarung, im unteren Teil des Fensters, zugestimmt werden.

Spache

  • Wählt die Sprache für den Installationsprozess aus.


2.1. Windows Services

Service Name

  • Benennt den Windows Service, welcher mit dem Installer eingerichtet wird.

Bei nur einer Instanz sollte der Service 8im Optimalfall9 immer “OCT” heißen. Bei mehreren Instanzen wird eine Namenserweiterung, durch den verwendeten Port, empfohlen. Am Beispiel vom verwendeten Port = 80 wäre der Name des Windows Service dann “OCT-80”

Bestehende OCT-Dienste

  • Der Installer scannt automatisch nach bereits installierten OCT-Diensten.

  • Die Service Namen dieser bereits existierenden/installierten Dienste werden dann in dieser Sektion angezeigt.


2.3. Service Konto

In dem Dropdownfeld “Kontotyp” können die Optionen “Lokaler User”, “Lokaler Service” und “Lokaler User anlegen” ausgewählt werden. Jeder Kontotyp öffnet eine andere Ansicht.

Kontotyp - “Lokaler User

Im Beschreibungstext des Installationsfensters sind Hinweise zur Auswahl und Berechtigung eines möglichen Benutzerkontos angegeben:

Host/Domäne

  • Wählt die Domäne/den Host aus, in welchem das Service-Konto liegt.

Username

  • In diesem Dropdownfeld sind alle verfügbaren Benutzerkonten sichtbar.

  • Wählen sie aus den verfügbaren Konten keinen Admin-Account aus, da dieser für einen Service in einer Produktionsumgebung zu viele Rechte besitzt.

Password

  • Fragt das Passwort des Benutzerkontos ab.

  • Der Installer fährt im folgenden nur fort, wenn das Passwort richtig angegeben ist.

Kontotyp - Lokaler Service

  • Alternativ kann für das vorhandene Konto auch ein lokales System verwendet werden. Diese Option sollte aber nicht im Regelbetrieb verwendet werden.

  • Sind die angegeben Daten für einen möglichen Service nicht richtig oder existiert kein geeigneter Service, so kann die Installation nicht fortgesetzt werden.

Kontotyp - Lokaler User anlegen

Ist noch kein geeignetes Benutzerkonto für die Ausführung des Service verfügbar, so kann über diese Option ein lokaler User angelegt werden:

Username Domäne\

  • Der Name des Benutzerkontos muss einmalige auf dem System sein.

  • Es wird automatisch der Host/die Domäne in der ausführenden Umgebung ausgewählt und vor dem einzugebenden Benutzernamen eingeblendet.

(Wiederholung) Password

  • Hier muss ein Passwort für das Benutzerkonto festgesetzt werden.


2.4. Zielverzeichnis

Es wird automatisch ein Zielverzeichnis vorgeschlagen und der benötigte Speicherplatz angegeben.

Installationspfad

  • Der Pfad wird vom Installer automatisch vorgeschlagen.

  • Der Vorschlag lautet meistens (basierend auf den Plattennamen) sowas wie: “C:\Program Files\Saxess Software\Service Name

Vorhandene Einstellungen

  • Sind bereits Einstellungen oder Daten, aus einem vorher installierten Service, auf dem ausgewählten Zielpfad vorhanden, so können diese über eine Auswahl gelöscht werden.


2.5. OCT-Lizenz

Lizenzschlüssel

Seit der Version 5.7.x wird eine gültige Lizenzinformation für eine erfolgreiche Installation voraus gesetzt. Die erste Option ist die Eingabe eines Lizenzschlüssels.

  • Ein Lizenzschlüssel hat die Form “XXXX-XXXX-XXXX” und wird bei dem Kauf von OCT standardmäßig mit ausgeliefert.

Lizenzdatei

Alternativ kann statt einem Schlüssel aus manuell aus dem Dateisystem eine Lizenzdatei ausgewählt werden:

Lizenzdatei auswählen

  • Öffnet eine Pfadsuche auf dem laufenden System.

  • Es wird eine Datei des Typs “Dateiname.lic” benötigt.

  • Die ordnungsgemäße Funktion der Datei wird von Installer noch vor dem Fortfahren überprüft.


2.6. URL-Einstellungen

HTTP

Die Standardinstallation auf einem lokalen System erfolgt meistens ohne Transportverschlüsselung mittels “http”.

Hostname/IP

  • Der Installer scannt nach verfügbaren Auswahlen und stellt diese als Dropdown zur Verfügung.

  • Bei einer manuellen Eingabe muss die FQDN (vollständiger Computername) angegeben sein.

Port

  • Bei einer http-Installation wird die Verwendung von Port 80 empfohlen, da ansonsten beim Aufruf der URL die Portangabe erfolgen muss.

HTTPS

OCT kann auch mit einer Transportverschlüsselung installiert werden:

Hostname/IP

  • Der Installer scannt nach verfügbaren Auswahlen und stellt diese als Dropdown zur Verfügung.

  • Bei einer manuellen Eingabe muss die FQDN (vollständiger Computername) angegeben sein.

Für die https-Installation empfehlen wir die IP-Adresse als Hostnamen zu verwenden.

Port

  • Bei einer https-Installation wird die Verwendung von Port 443 empfohlen, da ansonsten beim Aufruf der URL die Portangabe erfolgen muss.


2.7. Administratoren

Bei der erstmaligen Öffnung dieses Fensters ist in der Suche nichts hinterlegt und alle verfügbaren Benutzerkonten sind unter dem Sucheingabefeld aufgelistet:

Suchen

  • Durchsucht die lokalen Benutzerkonten nach dem eingegeben Begriff.

  • Es werden dann unter dem Sucheingabefeld alle verfügbaren Suchergebnisse bereits gefiltert angezeigt.

Ausgewählt

  • Über einen Linksklick auf ein Benutzerkonto, kann dieses für die Verwendung als Administrator ausgewählt werden.

  • Dieses Konto wandert dann aus dem Bereich unterhalb des Sucheingabefeldes, mit der Notation “+Benutzerkonto”, in den Bereich “Ausgewählt:” mit der Notation “-Benutzerkonto”.


2.8. Zusatzoptionen

Wird die Installation von Pentaho nicht ausgewählt, so startet die Installation des Services mit der Auswahl “Install” und anschließend im Browser geöffnet:

Installation von Pentaho

Bei dieser Auswahl wird die Installation von OCT normal angestoßen und im Anschluss ein weiterer Installer für Pentaho geöffnet. In der Zeit ist die Installation von OCT pausiert.

Der Installer für Pentaho installiert einen Carte-Dienst, welcher wiederum verschiedene Informationen benötigt:

  • Der Pfad wird vom Installer automatisch vorgeschlagen.

  • Der Vorschlag lautet meistens (basierend auf den Plattennamen) sowas wie: “C:\Program Files\Saxess Software\Pentaho DI

  • Der ausgewählte Pfad und der entsprechende Zielordner werden zur Verifizierung nochmal angezeigt und über den Button “Installieren” kann die Einrichtung gestartet werden.

  • Es wird ein Benutzerkonto benötigt, unter welchem der Dienst laufen soll.

  • Das Konto muss über die erfolgreiche Eingabe eines Passworts verifiziert werden.