Concept Flex Hybrid - Systemvoraussetzungen / Vorbereitungen Installation

Im Hinblick auf eine Installation von Concept Flex Hybrid in Ihrer eigenen Umgebung, ergeben sich bestimmte Fragestellungen bzw. sind bestimmte Voraussetzungen zu erfüllen. Welche das im Wesentlichen sind, will dieser Knowledgebase Artikel beleuchten.

Dieser bezieht sich auch rein auf die Concept Flex Installation und behandelt nicht die Voraussetzungen für eine Concept Office Installation. Diese wären im Fall der Fälle gesondert zu beachten! Oft ist Concept Office ja schon lauffähig installiert und Concept Flex soll zusätzlich installiert werden.


Concept Office Version

Sie benötigen für die Installation von Concept Flex Hybrid zunächst ein Concept Office auf aktuellem Versionsstand.


IIS Webserver

Für den Einsatz von Concept Flex wird ein IIS Webserver benötigt. Diese Internetinformationsdienste laufen werden als Rolle am Server installiert. Die zugrunde liegende Windows Basis und sollte nicht älter Windows Server 2012 R2 sein. Der Einsatz auf einem Nicht-Server-Betriebssystem mag möglich sein, wird ausdrücklich aber nicht empfohlen! Ebenso sollte das zugrunde liegende Betriebssystem eine 64 Bit Basis haben.

Folgende IIS Features (mit den vorgeschlagenen Abhängigkeiten) müssen installiert sein:

  • ASP.NET (aktuelle Version)
  • HTTP-Fehler
  • HTTP-Umleitung
  • Standarddokument
  • Statischer Inhalt

Das Betreiben einer Concept Flex Umgebung auf einem IIS, der auf einem Exchange Server / OWA (Outlook Web Access) installiert ist, ist nicht möglich. Hier muss auf einen anderen Server ausgewichen werden!

Diese zusätzlichen Erweiterungen von Microsoft für den IIS werden ebenfalls benötigt:

  • Application Request Routing 3.0
  • URL Rewrite 2.1


Statische öffentliche IP Adresse

Eine statische, unveränderliche öffentliche IP Adresse wird ausdrücklich empfohlen. Es mag noch andere Wege geben, bspw. unter Zuhilfenahme von DynDNS Diensten, das sind aber alles in allem keine sauberen Lösungen. Idealerweise wird diese statische IP noch nicht für einen anderen Webserver genutzt, so dass die TCP Standardports für Webserver (80/443) noch frei sind.

Existieren neben dem IIS Server auf dem die Concept Flex Webseite installiert werden soll, noch weitere Webserver, so wäre es ideal, wenn jeder eine eigene IP Adresse hat. Andernfalls kann dieser von außen nur über andere, als die üblicherweise genutzten Standardports erfolgen oder über speziell vorgeschaltete Reverse Proxys. Mehrere Webseiten auf einem IIS Server sind normalerweise möglich, wenn diese über den Hostnamen separiert werden.


FQDN Domänenname

Concept Flex wird durch die Eingabe eines FQDN (Fully Qualified Domain Name) Browser aufgerufen. Sie sollten sich bereits im Vorfeld über diesen Domänennamen (bspw. conceptflex.meinefirma.de) Gedanken gemacht haben, so dass man sich nicht zum Zeitpunkt der Installation diesen erst ausdenken muss. Die entsprechende Domäne sollte ebenfalls bereits im Internet angelegt sein.


Zertifikat für HTTPS Zugriff

Der Zugriff auf die Daten in Concept Flex wird ausschließlich verschlüsselt, über das HTTPS Protokoll abgesichert, erfolgen. Hierfür wird ein entspr. öffentliches Zertifikat einer anerkannten Zertifizierungsstelle benötigt, die in jedem Browser bereits bekannt ist. 

Liegt zum Zeitpunkt der Installation kein "echtes" öffentliches Zertifikat vor, werden wir für den FQDN ein selbst signiertes Zertifikat ausstellen. Bedenken Sie aber, dass ein solches Zertifikat nur selbst signiert ist und ohne weitere Maßnahmen mit entspr. Warnhinweisen, beim Aufruf der Flex Webseite im Browser, zu rechnen ist. Der Akzeptanz bei den Anwendern dürfte es nicht zuträglich sein, wenn diese erst immer Sicherheitsmeldungen des Browsers wegklicken müssen. 


Interner Zugriff / Split DNS

Im Regelfall wird der Zugriff aus dem internen LAN und externen WAN unterschiedlich gehandhabt. Damit ein Zugriff aus dem LAN nicht erst ins WAN geschickt wird, um von dort aus wieder zurück ins LAN geleitet zu werden, wird i.d.R. für den gewählten FQDN ein Eintrag im DNS des LAN gesetzt, damit dieser Traffic das LAN gar nicht erst verlässt.


Externer Zugriff / DNS

Für den gewählten FQDN (bspw. conceptflex.meinefirma.de) der Concept Flex Webseite, muss ein sog. A-Record im DNS angelegt werden. Auch hierfür werden u.U. Zugangsdaten bei Ihrem Provider für das DNS benötigt. Dort wird dann die statische IP Adresse hinterlegt an die die Datenpakete geschickt werden sollen. Üblicherweise handelt es sich hierbei um die WAN IP Adresse des Routers der für das Port Forwarding zuständig ist.

Der DNS Eintrag sollte im Voraus konfiguriert werden. 


Externer Zugriff / Port Forwarding

Der Zugriff aus dem Internet heraus auf den Concept Flex Server würde im Normalfall durch den Router bzw. Firewall geblockt. Um den Server von außen zu erreichen wird dort ein sog. Port Forwarding benötigt, welches die Datenpakete unter der öffentlichen IP abgreift und an die interne IP des Webservers, auf dem die Concept Flex Seite installiert ist, weiterleitet.

Dieses Port Forwarding sollte im Vorfeld durch Ihren IT Partner konfiguriert werden, da er ihre Firewall kennt. Auch hierfür werden entspr. Anmeldedaten für die Firewall benötigt!


Zugriff IIS auf Webservice

Die am IIS Webserver laufende Webseite kommuniziert mit Concept Office über einen sog. Webservice. Bei diesem Webservice handelt es sich um einen Dienst, der auf einem System laufen sollte, welches immer angeschaltet ist. Idealerweise also ein Server auf dem Concept Office installiert ist. Dieser Dienst lauscht auf diesem Server an einem frei definierbaren TCP Port, der wiederum vom IIS Webserver erreichbar sein muss.

Hierfür werden wir eine Regel in der Windows Firewall konfigurieren, welche genau diesen einen Zugriff erlaubt.


Webservice Dienstkonto

Der Webservice läuft als Windows Dienst im Kontext des hinterlegten Nutzers und damit auch mit dessen Windows Berechtigungen. Idealerweise wird ein dedizierter Nutzeraccount hierfür definiert, dessen Kennwort sich nie ändert. Dem Nutzer muss keine Administrativen Berechtigungen zugewiesen sein, er benötigt jedoch Vollzugriff auf die zentralen Concept Office Dateistruktur. 


SMTP Zugangsdaten

Aus Concept Flex heraus können direkt EMails versendet werden. Hierfür ist es erforderlich, die entspr. SMTP Anmeldeinformation eines Mailaccounts in Concept Office zu hinterlegen. Darüber hinaus wird auch FQDN/IP sowie der Port über den die Kommunikation laufen soll, benötigt.


Zugriff auf externe OFML Daten

Soll auch ein Zugriff und eine Verarbeitung von OFML Daten möglich sein, so muss der IIS in der Lage sein mit den pCon Servern von EasternGraphics im Internet (über TCP443) zu kommunizieren, auf denen ein entspr. EAIWS Dienst läuft. 


Mehrere Mandanten

Concept Flex kann auch für mehrere Mandanten eingerichtet werden. In dem Falle sind pro Mandant ein eigener Dienst für den Webservice, ein eigener TCP Port (Vorschlag: 10000 + Mandantennummer) als auch eine eigene Domäne (FQDN) benötigt.


Empfohlene Browser

Damit sämtliche Funktionen genutzt werden können, wird eine aktive Internetverbindung und ein HTML5 fähiger Browser benötigt.  Diese Unterstützung ist bei nahezu allen aktuellen Web-Browsern gegeben. Wir empfehlen die Nutzung eines Browsers mit der Chrome Engine (Der neue Microsoft Edge / Google Chrome / Vivaldi / Opera / Brave etc.).


Weitere Fragen

Letztendlich lassen sich nicht alle Eventualitäten und möglichen Fragestellungen in diesem Knowledgebaseartikel klären, einige der wichtigsten Punkte sollten aber hiermit erläutert sein. Dieser Artikel kann auch keinen persönlichen Kontakt ersetzen, gleichwohl ist es eine gute Ausgangsbasis bzw. Vorbereitung. Darüber hinaus stehen wir natürlich auch persönlich Rede und Antwort.


Zum Zeitpunkt der Installation

Zunächst einmal sollten Sie dieses Dokument gelesen und verstanden haben sowie bei Unklarheiten uns fragen. So lassen sich im Vorfeld bereits Probleme erkennen. Insbesondere wollen wir zum Zeitpunkt der Installation von Concept Flex Hybrid von Ihnen wissen:

  • Ist Concept Office als Basis mindestens in einer aktuellen Version installiert?
  • Unter welchem FQDN soll die Concept Flex Webseite laufen (bswp. conceptflex.meinefirma.de)?
  • Unter welchem TCP Port soll die Concept Flex Webseite laufen (wir würden den Standardport 443 für https empfehlen)?
  • Existiert ein Zertifikat für die Verschlüsselung der Webseite über HTTPS?
  • Unter welchem Konto soll der Windows Dienst, unter dem der Webservice läuft, eingerichtet werden?
  • Wie lautet das Kennwort dieses Kontos (falls wir dies eingegeben sollen, ansonsten muss jemand anwesend sein der das eingeben kann)?
  • Wie lauten die SMTP Zugangsdaten eines Mailaccounts über das Mails von Flex aus versendet werden sollen?


Abschließender Test

Concept Flex ist lauffähig und funktionsfähig installiert, wenn aus dem internen LAN heraus, über die interne LAN IP Adresse des IIS Webervers, ein Zugriff auf die Flex Webseite möglich ist!

Insbesondere sind Fehler, die nur von außen (also aus dem Internet heraus auftreten) nicht aber im lokalen LAN nachvollziehbar sind, keine Fehler von Concept Flex! Diese Fehler werden durch nachgelagerte Hardware, bspw. die Firewall hervorgerufen. Oftmals werden dort "intelligente" Features genutzt.

Verdächtig hierbei wären insbesondere:

  • Fehlerhafte DNS Konfiguration
  • Aktive Deep Packet Inspection
  • Aktiven Load Balancer (Lastausgleich)
  • Vorgeschaltete ReverseProxys

Diese Services sollten entweder für Concept Flex deaktiviert bzw. so konfiguriert werden, dass Flex nicht beeinträchtigt wird. Falls das nicht möglich ist, müssen im Zweifelsfall derartige Funktionen generell deaktiviert werden.


Weitere Informationen

Bitte beachten Sie außerdem den Beitrag "Concept Flex Hybrid - Sicherheitskonzept".
Systemvoraussetzungen: Concept Wiki