Qualli.update - Server

Der Qualli.update-Server ist ein Hilfsmittel zur Verteilung von Qualli.life-Aktualisierungen in Ihrem Netzwerk. Unterstützt wird er grundsätzlich erst ab Qualli.life Version 14.0.1. Frühere Versionen von Qualli.life können hiermit nicht aktualisiert werden.

Die Vorteile, die sich aus dem Einsatz des Update-Servers ergeben, sind folgende:

Beim Qualli.update-Server handelt es sich um einen Windows-Dienst. Die Installation kann auf einem Server mit folgenden Voraussetzungen erfolgen:

  • Betriebssystem: Windows Server 2012 R2 und höher, Windows 7 und höher
  • Mitgliedschaft in einer Windows Active Directory - Domäne
  • Microsoft.Net Framework 4.7.2 und höher (muss vorinstalliert sein)
  • Ein freier TCP-Port für die Verbindung der Client-PCs mit dem Server und (optional) ein freier Port für die Administration des Servers.
  • Ggfs. ein Zertifikat für die SSL-Verschlüsselung.
  • Der eingesetzte Server muss über eine Internetverbindung verfügen und die UpdatesGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein. aus dem Nistech-Rechenzentrum herunterladen können (siehe auch "Netzwerkanforderungen").
  • Die Hardware muss den Voraussetzungen des eingesetzten Betriebssystems entsprechen.

Der Server muss nicht zwingend ein Serverbetriebssystem verwenden. Es sind auch Standard-PCs z.B. mit Windows 10 einsetzbar. Jedoch sind Serverbetriebssystem und Serverhardware empfehlenswert, da eine ganztägige Einsatzbereitschaft gegeben sein sollte.
Auch die Installation auf einer virtuellen Maschine (VM) ist möglich. Welchen Hypervisor Sie hierfür einsetzen spielt keine Rolle.

Bereitstellung / Installation

Für die Installation des Qualli.update-Servers laden Sie das entsprechende Setup aus dem Downloadbereich von https://qualli.life herunter.

Führen Sie die Installation durch. Während der Installation werden folgende Änderungen auf Ihrem System durchgeführt:

Die Installation dauert i.d.R. nur ein paar Sekunden.

Entfernung / Deinstallation

Wenn Sie den Qualli.update-Server wieder entfernen möchten, stoppen Sie den lokalen Dienst "Qualli.updateGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein..service" und deinstallieren Sie auf gewohntem Wege die Anwendung "Qualli.updateGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein.".

Wenn Sie den Dienst vor der Deinstallation nicht stoppen erhalten Sie eine Warnung die besagt, dass sich noch Dateien im Zugriff befinden. Unterbrechen Sie in diesem Fall das Setup, beenden den Dienst und führen Sie die Deinstallation erneut durch. Wenn Sie dies nicht machen, müssen Sie Ihren Server neu starten, um den Dienst vollständig zu entfernen.

Aktualisieren des Update-Servers

Von Zeit zu Zeit werden auch UpdatesGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein. für den Qualli.update-Server bereitgestellt. Dies können SIe aus dem Downloadbereich von https://qualli.life herunterladen und auch dem Server installieren.

Für das UpdateGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein. müssen Sie den Dienst "Qualli.updateGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein..service" nicht manuell herunterfahren. Dieser wird während der Installation automatisch beendet und startet.

Wann ein UpdateGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein. bereitsteht, erfahren Sie im Rahmen der Qualli.infomails. Diese können Sie jederzeit über folgende Seite abonnieren:

https://qualli.life/anmelden.htm?cmd=sub&lst=list

Sicherheitsaspekte

Der Dienst Qualli.updateGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein..service wird standardmäßig so konfiguriert, dass er lokale Systemrechte besitzt. Damit hat er mehr Berechtigungen als für die Ausführung der Dienste erforderlich sind. Der Vorteil besteht jedoch in einer einfacheren Konfiguration.

Wenn Sie die Rechte auf ein Minimum beschränken möchten, beachten Sie die folgende Liste der erforderlichen Berechtigungen:

  • Der Server konfiguriert, während der Einstellung der Adressen für die Erreichbarkeit, die Ports mit dem Systemkommando "netsh http [add|del|show] sslcert ...".
    Hierfür werden entsprechende Rechte benötigt.
  • Die UpdatesGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein. werden vom Server aus dem Nistech-Rechenzentrum heruntergeladen und in einem Verzeichnis auf dem Server (oder im Netzwerk) gespeichert. Der Serverdienst muss die Berechtigungen haben auf dieses Verzeichnis lesend und schreibend zuzugreifen.
    Die Client-PCs bzw. die Benutzer benötigen auf dieses Verzeichnis keine Zugriffsrechte.

In den Installationsdateien des Qualli.update-Servers sind Dateien vorhanden, die in der Administrationswebsite verwendet werden. Diese Dokumente können von Personen geändert werden, die Zugriff auf den Server und die Programmdateien haben, da es sich i.d.R. um normale Textdateien handelt. Damit wäre es z.B. möglich, Funktionalitäten und Grafiken zu integrieren, die standardmäßig nicht vorgesehen sind. Dazu gilt:

Ein Eingriff in die Programmkomponenten ist ohne schriftliche Genehmigung der Nistech GmbH nicht erlaubt. Dies ist aus lizenzrechtlichen Gründen, aber auch aus Sicherheitsgründen nur in Ausnahmefällen möglich, z.B. zur Fehlerbehebung.

Administration

Der Qualli.update-Server wird über eine Admin-Benutzeroberfläche mit Hilfe eines Webbrowsers gesteuert. Hierzu können Sie jeden aktuellen Browser einsetzen, der NTLM-Authentifizierung unterstützt.

Der Browser Microsoft Edge hat aktuell (Stand 10/2018) Probleme mit der Authentifizierung, wenn Sie auf eine lokale Adresse zugreifen. Aus diesem Grund kann Edge nur für den Fernzugriff von einem anderen Gerät aus eingesetzt werden. Bei Internet Explorer, Google Chrome, und Mozilla Firefox sind solche Probleme nicht bekannt.

Die Standard-Adresse für den Zugriff auf die Admin-Oberfläche vom lokalen Server aus lautet:

http://localhost:6060

Der Zugriff von einem anderen Gerät erfolgt über

http://server.domain.local:6060

wobei "server" der Name des Servers und "domain.local" der Active Directory - Domänenname sind.

Bei erfolgreichem Zugriff auf die Admin-Seite erhalten Sie folgendes Bild:

Je nach Browser kann es auch sein, dass Sie sich zuerst einloggen müssen. Die Anmeldung erfolgt dann mit Ihrem Active Directory - Benutzerkonto. Der Zugriff ist standardmäßig für jeden Domänenbenutzer möglich.

Sie sollten anfangs die Adressen für die Erreichbarkeit des Servers konfigurieren.

Servereinstellungen

In den Servereinstellungen können Sie bestimmen:

Öffnen Sie den Menüpunkt

Adresse und Verschlüsselung

Unter dem Punkt "SSL-Verschlüsselung" können Sie einstellen, ob die Verbindung zwischen den Clients und dem Server verschlüsselt werden soll.

Der Einsatz der SSL-Verschlüsselung setzt ein Zertifikat voraus, das die Serveradresse beinhaltet oder bei einem Wildcard-Zertifikat die korrekte Domäne. Das Zertifikat muss von den Clients als valide bzw. vertrauenswürdig angesehen werden.

Wenn die Verschlüsselung aktiviert ist, erscheint ein neues Feld für die Zertifikatsauswahl. Dies wird weiter hinten erläutert.

Die "Server-Adresse" ist die Adresse, unter das auf den Client-PCs installierte Qualli.life den Server erreicht, um Updateanfragen zu stellen. Die "Admin-Adresse" ist für den Zugriff auf die Admin-Oberfläche. Normalerweise sind beide Adressen gleich. Sie können eine eigene Admin-Adresse kreieren, wenn dies in Ihrem Netzwerk notwendig ist oder für sinnvoll erachtet wird.

Diese Adressen sind URL-typisch aufgebaut:

http(s)://server.domain.local:PORT

Am Anfang steht das Protokoll. Hierbei werden ausschließlich HTTP und HTTPS (bei Verschlüsselung) unterstützt.

"server.domain.local" ist die vollständige Adresse (FQDN) des Servers im Active Directory.

Nach dem Doppelpunkt folgt der Port. Hierbei handelt es sich um eine Ziffer zwischen 1 und 65535. Sie können den Port selbst bestimmen, müssen aber darauf achten, dass kein anderer Serverdienst diesen Port belegt und dass dieser Port in der FirewallGeschlossenTechnische Einrichtung in einem EDV-Netzwerk, die verhindert, dass ungewollte Verbindungen zwischen dem Internet und dem Firmennetzwerk aufgebaut werden. Dies dient i.d.R. dem Schutz des Firmennetzwerkes. eine Ausnahme für aus- und eingehenden TCP-Datenverkehr bildet.

Standardmäßig nutzt der Qualli.update-Server den Port 6060. Wenn kein Webserver (z.B. IIS oder Apache) auf dem Server arbeitet, ist der Port 80 (ohne Verschlüsselung) bzw. 443 (mit Verschlüsselung) empfehlenswert. Dies vereinfacht die Adresse, die in den Browser eingegeben werden muss, um die Admin-Oberfläche zu erreichen.

Ohne Verschlüsselung:

http://server.domain.local (verwendet automatisch Port 80)

Mit Verschlüsselung:

https://server.domain.local (verwendet automatisch Port 443)

Die standardmäßig vorgegebene Adresse:

http://*:6060

bindet automatisch den Port 6060 auf jeder verfügbaren Netzwerkverbindung. Damit ist der Server unter jeglichem Namen erreichbar, der in Ihrem Netzwerk korrekt aufgelöst werden kann.

Wenn die Verschlüsselung aktiviert ist, erscheint ein weiteres Feld:

Unter "SSL-Zertifikat" können Sie das zu verwendende Zertifikat auswählen. Aufgelistet werden hier alle Zertifikate, die im Zertifikatsspeicher "Eigene Zertifikate" des Servers gespeichert und für die Serverauthentifizierung geeignet sind.

Wenn Ihr Zertifikat nicht in der Liste aufgeführt oder identifizierbar ist, Sie aber sicher sind, welches Zertifikat verwendet werden kann, können Sie den Eintrag "manuelle Eingabe" auswählen. Es erscheint dann ein weiteres Feld, in dem Sie den SHA-Hash (Fingerabdruck) des Zertifikats eingeben können. Die Eingabe erfolgt hexadezimal und ohne Leerzeichen.

Firewall-Einstellungen

Die FirewallGeschlossenTechnische Einrichtung in einem EDV-Netzwerk, die verhindert, dass ungewollte Verbindungen zwischen dem Internet und dem Firmennetzwerk aufgebaut werden. Dies dient i.d.R. dem Schutz des Firmennetzwerkes. des Servers - soweit vorhanden und aktiv - muss so eingestellt werden, dass der konfigurierte Port von außerhalb des Servers erreichbar ist. Erstellen Sie hierfür eine Firewallregel mit folgendem Inhalt:

  1. Regeltyp: Port
  2. Lokaler Port: Der von Ihnen festgelegte Port (Standard: 6060)
    Wenn der Port 80 oder 443 ist, können Sie einfach die Regeln "WWW-Dienst (eingehender HTTP-Verkehr)" bzw. "WWW-Dienst (eingehender HTTPS-Verkehr)" aktivieren, sofern noch nicht geschehen.
  3. Remote-Port: Alle Ports
  4. Profile: Domäne (je nach Anwendungsbereich auch Privat oder Öffentlich)

Führen Sie keine Bindung an den Dienst "Qualli.updateGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein..service" oder an die Programmdatei selbst durch. Dies funktioniert nicht, weil das "System" den Port abhört und nicht der Qualli.update-Server.

Beachten Sie, dass diese Firewallregel immer angepasst werden muss, wenn Sie den Port in der Admin-Oberfläche ändern.

Admin-Zugriff beschränken

Der Zugriff auf die Admin-Oberfläche sollte eingeschränkt werden. Es sollten nur Personen Zugriff haben, die mit der Verwaltung des Qualli.update-Servers betraut sind. Am besten legen Sie hierfür im Active Directory eine entsprechende Gruppe (z.B. "Qualli.update-Admins") an und fügen die Benutzer als Mitglieder dieser Gruppe hinzu. In das Feld "Zugriff zur Administration" geben Sie den Active Directory-Namen der Gruppe an. Sie können hier jegliche Schreibweise verwenden, die das Active Directory akzeptiert. Am einfachsten sind die bekannten Schreibweisen

domain\benutzergruppe

oder

benutzergruppen@domain.local

Nur Benutzer, die Mitglied der hier erfassten Gruppe sind, haben dann Zugriff auf die Admin-Oberfläche des Qualli.update-Servers.

Speicherort für Updates

Im Feld "Update-Cache" geben Sie den Speicherort für die vom Server heruntergeladenen UpdatesGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein. an. Die Eingabe erfolgt als lokaler Dateipfad, wie z.B.

D:\Qualli.life-Updates

oder als UNC-Netzwerkpfad

\\Fileserver\Freigabename

Standardmäßig wird der Ordner im Verzeichnis für allgemeine Anwendungsdaten abgelegt:

%PROGRAMDATA%\Nistech GmbH\Qualli.updateGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein.

Für jedes UpdateGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein. wird ein Unterverzeichnis mit der Versionsnummer als Name angelegt. Hier wird die Update-Datei gespeichert.

Beachten Sie, dass das Benutzerkonto, unter dem der Dienst "Qualli.updateGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein..service" läuft, Schreibzugriff auf das eingestellte Verzeichnis haben muss.

Benutzer benötigen keinen Zugriff auf das Update-Verzeichnis und es muss auch keine Freigabe erstellt werden.

Zum Abschluss der Konfiguration betätigen Sie die Schaltfläche "Übernehmen...". Wenn Sie Adressen geändert haben, wird der Server-Dienst automatisch neu gestartet und Sie werden zur neuen Adresse umgeleitet.

Client-Verbindung

Damit Qualli.life auf den Client-PCs den Qualli.update-Server auch verwendet, muss es die Einstellungen zur Adresse des Servers und den Update-Modus erhalten. Hierfür werden drei Methoden bereitgestellt:

  • Verteilung über die Active Directory - Gruppenrichtlinie
  • Manuelle Konfiguration in Qualli.life
  • Eingriff in die Windows Registrierung

Die Verteilung über die Gruppenrichtlinie sollte bevorzugt verwendet werden. Die manuelle Konfiguration ist nur sinnvoll, wenn es sich um sehr wenige Arbeitsplätze handelt. Die Rekonfiguration der Registrierungsdatei wird nicht empfohlen. Hierfür sind erweiterte Berechtigungen erforderlich.

Wie die einzelnen Möglichkeiten einzusetzen sind, wird in der Admin-Oberfläche unter dem Menüpunkt

erläutert.

Verteilung über die Active Directory - Gruppenrichtlinie

Sofern Sie erfolgreich eine Gruppenrichtlinie für Qualli.life-Einstellungen in Ihrem Active Directory implementiert haben (siehe auch "Gruppenrichtlinien für lokale Einstellungen"), können Sie die Einstellungen für den Qualli.update-Server dort hinzufügen:

Beachten Sie, dass Sie die Administrativen Vorlagen (ADMX-Dateien) verwenden müssen, die mit Qualli.life min. Version 14 oder dem Qualli.update-Server verteilt wurden. Sie finden die Dateien beim Qualli.update-Server im Installationsverzeichnis unter ActiveDirectory-GPO-Template.

Zurzeit gibt es unter Qualli.life-Einstellungen→Updateserver zwei Einstellungen:

Serveradresse:

Wenn Sie diese Option aktivieren, wird Qualli.life die Adresse für die Suche nach UpdatesGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein. verwenden. Geben Sie die Adresse ein, die Sie in der Admin-Oberfläche unter Einstellungen→Server-Adresse hinterlegt haben.

Wenn Sie als Serveradresse z.B. http://*:6060 oder http://+:6060 verwenden, muss das Asterisk-Zeichen (*) bzw. das PLUS-Zeichen (+) durch einen DNS-Namen oder eine IP-Adresse ersetzt werden.

Updatemodus

Ist diese Einstellung aktiviert, können Sie den Updatemodus festlegen. Die Einstellung überschreibt den in Qualli.life eingestellten Update-Modus, sofern dieser nicht auf "Individuell" eingestellt ist.

Folgende Update-Modi stehen zur Verfügung:

Manuelle Konfiguration

Wenn nur eine kleine Computergruppe über den Qualli.update-Server gesteuert werden soll, können Sie die o.a. Einstellung auch manuell in Qualli.life vornehmen.

Die Einstellungen müssen bei jedem Benutzer einzeln vorgenommen werden.

Sie finden die Felder hierfür in

Wählen Sie den Updatemodus aus und geben Sie im Feld "Server-Adresse" die Adresse Ihres Qualli.update-Servers an.

Updatekontrolle

Wenn Sie nicht nur möchten, dass UpdatesGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein. statt über das Internet vom eigenen Server abgerufen werden, sondern z.B. auch den Zeitpunkt für die Installation selbst bestimmen wollen, können Sie die Installation von UpdatesGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein. über die Admin-Oberfläche im Menüpunkt Updatekontrolle steuern.

Die Updateberechtigungen können Sie für alle im Active Directory registrierten Computer steuern (gruppenübergreifend) oder für einzelnen Computergruppen. So können Sie beispielsweise einer Computergruppe immer erlauben neue UpdatesGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein. gleich zu installieren und einer anderen erst nach Ihrer expliziten Erlaubnis über die Admin-Oberfläche.

Für welche Computergruppe Sie die Einstellungen ändern wollen, stellen Sie unter "Computergruppe" ein. Hier stehen alle Active Directory - Sicherheitsgruppen zur Verfügung, die Computer als Mitglieder beinhalten.

Das Kontrollkästchen "Standardeinstellung: XXX" hat zwei Zustände:

Wenn eine Computergruppe ausgewählt ist, erbt diese standardmäßig die Einstellung aus "Gruppenübergreifend". Dies ist erkennbar daran, dass hinter "Erlaubt" oder "Blockiert" der Begriff "(vererbt)" steht.

Klicken Sie auf dieses Kontrollkästchen ggfs. mehrfach, um die gewünschte Einstellung zu erreichen.

Updates herunterladen und verwalten

Die Setup-Dateien der UpdatesGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein. lädt der Updateserver normalerweise automatisch herunter, sobald ein UpdateGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein. angefordert wird. Dies kann dazu führen, dass bei der ersten Anforderung von einem Client-PC dieser länger warten muss, da zuerst der Download auf den Server stattfindet und danach der auf den Client-PC. Möchten Sie die Wartezeit vermeiden, können Sie den Download direkt ausführen lassen, indem Sie das DOWNLOAD-Symbol in der Tabellenzeile des gewünschten UpdatesGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein. anklicken:

Die heruntergeladenen UpdatesGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein. finden Sie auf der Seite "Zwischenspeicher" der Admin-Oberfläche:

Hier können Sie auch nicht mehr benötigte UpdatesGeschlossenDie turnusmäßige Aktualisierung behebt Fehler bzw. Probleme und führt manchmal kleinere Neuerungen ein. vom Server löschen, indem Sie das MINUS-Symbol auf der rechten Seite benutzen.

Registrierte Arbeitsplätze

Alle Arbeitsplätze, bei denen sich Qualli.life min. einmal gemeldet hat, finden Sie in der Liste

der Admin-Oberfläche.

Diese Liste gibt Ihnen eine Übersicht über die Client-PCs und deren Ausstattung:

Jede Kachel stellt einen Client-PC und des Informationen dar. Nicht mehr benötigte PC-Informationen können mit dem MINUS-Symbol entfernt werden.

Die Informationen, die die Arbeitsplätze an den Server übermitteln, können Sie mit Hilfe der Schaltfläche "Einstellungen für Arbeitsplatzinfos" konfigurieren:

Jede Zeile in dieser Tabelle stellt eine Information dar. Sie können vordefinierte Informationen verwenden (Spalte "Schlüssel", wenn der "Modus" auf "Standard" steht) oder eigene Informationen aus der Windows-Registrierung holen lassen ("Modus" auf "Registry", unter Schlüssel den Registry-Schlüssel eingeben und ggfs. weitere Einstellungen vornehmen, wenn erforderlich).

© Nistech GmbH 12.12.2019 | Handbuch‑Version 110 | Qualli.life‑Version 15.0 | Impressum