КОНФИГУРИРОВАНИЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ПЕРЕД УСТАНОВКОЙ СЕРВЕРНОЙ ЧАСТИ DOCSVISION

Перед установкой необходимо закрыть окно панели управления «Службы» (Services) со списком установленных служб, так как оно может препятствовать корректной установке новых служб.

Все используемые группы и учетные записи должны существовать на компьютере до начала установки; это:

  • группа безопасности «Администраторы» (Administrators);
  • учетная запись ASPNET, которая используется для исполнения приложений ASP.NET.

В настройках Web-сайта IIS рекомендуется отключить ведение журнала («Enable loging»), в противном случае возможно быстрое заполнение дискового пространства файлами журнала.

Отключение Kerberos-аутентификации

На сервере DocsVision по умолчанию должна использоваться NTLM-аутентификация, а Kerberos-аутентификация обязательно должна быть отключена.

Если используется IIS версии 7.5 (устанавливается с операционными системами Windows Server 2008/R2, Windows Vista, Windows 7), то Kerberos-аутентификацию можно отключить в его настройках (для этого в Authentification > Windows Authentification > Providers нужно передвинуть NTLM выше Negotiate).

Если используется IIS версии 7.0 (устанавливается с операционными системами Windows Server 2008/R2, Windows Vista, Windows 7), то для отключения Kerberos-аутентификации можно воспользоваться рекомендациями из этой статьи.

Если используется IIS версии 6.0 (устанавливается с операционными системами Windows Server 2003, Windows XP), то для отключения Kerberos-аутентификации можно воспользоваться рекомендациями из этой статьи или альтернативным способом, описанным здесь.

Необходимлсть в отключении Kerberos-аутентификации вызвана следующими тремя причинами:

  • При использовании Kerberos-аутентификации возможна некорректная работа с базой данных, подключенной с использованием Windows-аутентификации.
  • При использованиие Kerberos-аутентификации в DocsVision 4.5 возможны ошибки при работе с файлами.
  • При использовании Kerberos-аутентификации может наблюдаться снижение производительности (до 2 раз), т.к. на каждый запрос будет приходиться еще один вспомогательный запрос на аутентификацию и, таким образом, общее число вызовов при выполнении любой операции удваивается.

Особенности конфигурирования SQL Server

  • Переключатель режима аутентификации (Authentication) SQL Server должен быть установлен в положение SQL Server and Windows.
  • Необходимо, чтобы на компьютере с SQL Server и на компьютере, с которого производится установка, была установлена поддержка русского языка. Ее можно добавить при помощи компонента Региональные стандарты(Regional Settings) Панели Управления (Control Panel).
  • При установке сервера приложений DocsVision и базы данных на разные компьютеры необходимо, чтобы на них было синхронизированы время и часовой пояс.
  • Для того, чтобы из Консоли настройки можно было создать/обновит базу данных, в настройках SQL Server должны быть включены (значение равно 1) следующие параметры:
    • remote access;
    • remote admin connections;
    • remote proc trans;
    • SMO and DMO XP's.

Проверить текущие настройки можно, выполнив процедуру Sp_configure.
Включить параметры можно, запустив процедуру с параметром:

Exec sp_configure 'SMO and DMO XPs', 1
Reconfigure

  • Если используется SQL Server 2000:
    • С целью устранения ошибки SQL Server 2000, которая может выражаться в некорректном формировании представлений по свойствам, необходимо установить Service Pack 4 для SQL Server 2000 и добавить параметр*-T9056* в параметры запуска SQL Server. Подробнее о данной проблеме можно прочитать в статье Microsoft Knowledge Base 883415.
  • Если используется SQL Server 2005:
    • Включите параметр конфигурации сервера xp_cmdshell (о включении параметра см. Параметр xp_cmdshell), позволяющий системным администраторам контролировать, должна ли расширенная системная процедураxp_cmdshell выполняться в системе (исполнение этой процедуры автоматически разрешается в DocsVision 4.5, только если явно задан каталог для хранения записей журнала).
      Если данный параметр отключен, то процедура очистки журнала проводиться не будет.
    • Для обеспечения работы полнотекстового поиска по словоформам русского языка, включите русский в список языков для полнотекстового (в том числе и морфологического) поиска. Эта процедура описана на сайтеhttp://msdn.microsoft.com/en-us/library/ms345188(SQL.90).aspx.
  • Если используется SQL Server 2008:
    • Включите параметр конфигурации сервера xp_cmdshell (о включении параметра см. Параметр xp_cmdshell), позволяющий системным администраторам контролировать, должна ли расширенная системная процедураxp_cmdshell выполняться в системе (исполнение этой процедуры автоматически разрешается в DocsVision 4.5, только если явно задан каталог для хранения записей журнала).
      Если данный параметр отключен, то процедура очистки журнала проводиться не будет.
    • Для включения механизма вытеснения файлов (FileStream) в SQL Server 2008 необходимо воспользоваться рекомендациями из статьи Как включить FileStream. При этом для работы с базой данных должна использоваться только Windows-аутентификация.

Особенности конфигурирования контроллера домена

  • При открытии DocsVision могут возникнуть проблемы, для устранения которых следует воспользоваться утилитой регистрации aspnet_regiis.exe. Подробнее об ее использовании см. Microsoft Knowledge Base 823379.
  • Кроме того, если на контроллере домена отсутствует учетная запись ASPNET, нужно воспользоваться решением, описанным в Microsoft Knowledge Base 315158
    Обратите внимание: при изменении учетной записи для исполнения приложений ASP.NET необходимо дать этой записи право чтения файла Web.config. Кроме того, для успешной инсталляции понадобится запись ASPNET (см. предыдущий пункт), поэтому рекомендуется использовать учетную запись ASPNET для исполнения ASP.NET.

Особенности конфигурирования Windows XP

Веб-сервер IIS в Windows XP допускает не более 5 одновременных подключений, поэтому функциональность сервера DocsVision будет ограничена 5-ю пользовательскими сессиями (включая сессии стандартных сервисов DocsVision). В связи с этим не рекомендуется использовать Windows XP для установки сервера DocsVision.

Особенности конфигурирования Windows Server 2003

  • Проверьте, что расширение веб-службы ASP.NET имеет статус «Разрешено» (Allowed) в окне конфигурации «Диспетчер служб IIS» (IIS Manager).
  • Убедитесь, что на компьютере запущена служба Distributed Transaction Coordinator.
  • У учетной записи, под которой исполняется процесс IIS (по умолчанию это запись Network Service), должно быть право чтения содержимого следующих папок:
    • системной папки Windows для временных файлов (по умолчанию это папка \Windows\Temp);
    • временной папки Web-службы _\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files_;

Запуск Web-службы невозможен при отсутствии прав на временные папки. Восстановить права можно при помощи утилиты aspnet_regiis -i, которая находится в папке _\WINDOWS\Microsoft.NET\Framework\v2.0.50727_ (Microsoft Knowledge Base 823379).

ПРИМЕЧАНИЕ

Вообще, команда aspnet_regiis -i выполняет перерегистрацию ASP.NET в IIS и нужна для того, чтобы обновить регистрационную информацию о каждом из компонентов (без неё IIS не может динамически подгрузить нужные компоненты).
Эту команду можно рекомендовать использовать при возникновении проблем с ASP.NET.

  • Если на сервере установлен компонент Internet Explorer Enhanced Security Configuration, то он может препятствовать автоматической аутентификации служб. Необходимо добавить сервер в список сайтов для группы «Местная интрасеть» (Local Intranet) в диалоге настроек «Свойства обозревателя» (Internet Options). Для этого последовательно выполните:
  1. Откройте окно «Свойства обозревателя» (Internet Options) и перейдите на вкладку Безопасность (Security). Выберите в списке зон группу «Местная интрасеть».
  2. Нажмите кнопку «Сайты» (Sites), затем (если она есть) кнопку «Дополнительно» (Advanced).
  3. Внесите в список запись вида http://<имя сервера DocsVision>.

Кроме того, убедитесь, что переключатель настройки безопасности «Проверка подлинности пользователя» (User Authentication) для этой группы установлен в положение «Автоматический вход в сеть только в зоне интрасети» (Automatic logon only in intranet zone) или «Автоматический вход в сеть с текущим именем пользователя и паролем» (Automatic logon with current username and password). 
Доступ сконфигурирован правильно, если Навигатор корректно открывается под использованной для установки служб учетной записью без явного ввода пароля.

  • При наличии установленных веб-приложений более ранних версий (например, DocsVision версии ниже 3.6 или Microsoft SharePoint Portal Server 2003), необходимо сконфигурировать эти приложения для работы в различных пулах (ASP.NET 2.0 для DocsVision 3.6 и выше, ASP.NET 1.1 --- для более ранних версий).
  • Проверьте наличие группы безопасности IIS_WPG, используемой Веб-сервером IIS.

Особенности конфигурирования Windows Vista и Windows Server 2008

  • Включите роль Web Server (IIS), в рамках которой должны быть дополнительно включены сервисы ASP.NET,Basic Authentification и Windows Authentification.
  • Проверьте наличие группы безопасности IIS_IUSRS, используемой Веб-сервером IIS.
  • Отключите контроль учетных записей (UAC).
  • У учетной записи, под которой исполняется процесс IIS (по умолчанию это запись Network Service), должно быть право чтения содержимого следующих папок:
    • системной папки Windows для временных файлов (по умолчанию это папка \Windows\Temp);
    • временной папки Web-службы _\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files_;

Запуск Web-службы невозможен при отсутствии прав на временные папки. Восстановить права можно при помощи утилиты aspnet_regiis -i, которая находится в папке _\WINDOWS\Microsoft.NET\Framework\v2.0.50727_ (Microsoft Knowledge Base 823379).

ПРИМЕЧАНИЕ

Вообще, команда aspnet_regiis -i выполняет перерегистрацию ASP.NET в IIS и нужна для того, чтобы обновить регистрационную информацию о каждом из компонентов (без неё IIS не может динамически подгрузить нужные компоненты).
Эту команду можно рекомендовать использовать при возникновении проблем с ASP.NET.

Особенности конфигурирования 64-битных версий Windows

Если 32-битная инсталляция DocsVision устанавливается на 64-тный сервер, то после установки Framework 3.5 необходимо:

  • для IIS6 (WinXP, Server 2003) выполнить действия, описанные в этой статье.
  • для IIS7 (Vista, Server 2008) --- изменить настройку в пуле, для чего последовательно выполнить: открыть Internet Informational Services Manager --> перейти к Application Pools -> выбрать пул в котором работает DocsVision --> открыть окно расширенных настроек Advanced Settings, в этом окне установить значением поляEnable 32-bit Applications True.

ВНИМАНИЕ

32-битный сервер приложений DocsVision не может быть установлен на IIS6 совместно с другими серверными веб-приложениями, которые требуют ASP.NET 64-битной версии (например, с Microsoft Exchange 2007, Microsoft SharePoint 2007 64bit).

ПАРАМЕТРЫ КОНФИГУРИРОВАНИЯ СЛУЖБ DOCSVISION

Серверная часть DocsVision включает в себя две вспомогательных службы (сервиса):

  • сервис DocsVision Storage Server, обеспечивающий подключение клиентских приложений с использованием протокола named pipes;
  • сервис управления процессами (Workflow), выполняющий обработку функций в активных бизнес-процессах и запуск новых процессов.

Для установки службы управления процессами (Workflow) требуются следующие конфигурационные параметры:

  • Учетная запись, от имени которой будет осуществляться доступ в базу данных DocsVision и исполнение процессов. 
    Не рекомендуется включать эту учетную запись в группу администраторов серверного компьютера или группу администраторов DocsVision, чтобы избежать использования работы служб для несанкционированного доступа. В то же время, удобно включить эти учетные записи в группу DocsVision Power Users, участники которой имеют возможность чтения всех карточек системы (это позволяет службам работать с карточками любых пользователей). Полный список требований к учетным записям, используемым для запуска служб, приведен в табл. 1.3.
  • Почтовый ящик для отсылки и получения писем и заданий.
  • Почтовый профиль для работы с почтовым ящиком. 
    Для создания профиля воспользуйтесь компонентом «Почта» (Mail) Панели Управления (Control Panel). Обратите внимание, что почтовый профиль должен быть создан на серверном компьютере под учетной записью, которая будет использована для работы службы. Чтобы убедиться, что ящик и права на него настроены корректно, рекомендуется открыть Microsoft Outlook и протестировать получение и отправку почты при помощи созданного профиля.
    При работе с Microsoft Exchange необходимо обратить внимание на то, что у учетной записи должны быть права на работу с этим ящиком, в частности на чтение, отсылку и удаление писем (право Full mailbox access в группе Mailbox Rights и право Send As в группе прав Security).

Требования к учетным записям служб DocsVision

Сервис

Требования к учетной записи

DocsVision Storage Server

  • право "Log on as service" в локальной политике безопасности
  • членство в группе "Perfomance Monitor Users"
  • доступ к TCP-портам 139 и 445 (если они закрыты файрволом, или политикой безопасности)
  • права на чтение ветки реестра HKEY_LOCAL_MACHINE\Software\DocsVision\Platform
  • права доступа к базе данных, при использовании windows-аутентификации на сервере баз данных

DocsVision Workflow Server

  • право "Log on as service" в локальной политике безопасности
  • членство в группе локальных пользователей сервера (Users)
  • членство в группе "Perfomance Monitor Users"
  • доступ к TCP-портам 139 и 445 (если они закрыты файрволом, или политикой безопасности)
  • права на чтение ветки реестра HKEY_LOCAL_MACHINE\Software\DocsVision\Workflow
  • членство в группе "DocsVision Users" или "DocsVision Power Users"
  • право на почтовый ящик Exchange (если используется почтовая маршрутизация)
  • право "Send as" в AD (если используется почтовая маршрутизация)
  • полные права на все папки и справочники системы (назначаются вручную)


ВНИМАНИЕ

Все перечисленные службы могут работать под одной учетной записью, однако удобнее использовать разные учетные записи.

  • No labels