Qualli.update-Server

Der Qualli.update-Server ist ein Hilfsmittel zur Verteilung von Qualli.life-Aktualisierungen in Ihrem Netzwerk. Unterstützt wird er grundsätzlich erst ab Qualli.life Version 14.0.1. Frühere Versionen von Qualli.life können hiermit nicht aktualisiert werden.

Die Vorteile, die sich aus dem Einsatz des Update-Servers ergeben, sind folgende:

Beim Qualli.update-Server handelt es sich um einen Windows-Dienst. Die Installation kann auf einem Server mit folgenden Voraussetzungen erfolgen:

  • Betriebssystem: Windows Server 2012 R2 und höher, Windows 7 und höher
  • Mitgliedschaft in einer Windows Active Directory - Domäne
  • Microsoft.Net Framework 4.8 und höher (muss vorinstalliert sein)
  • Ein freier TCP-Port für die Verbindung der Client-PCs mit dem Server und (optional) ein freier Port für die Administration des Servers.
  • Ggfs. ein Zertifikat für die SSL-Verschlüsselung.
  • Der eingesetzte Server muss über eine Internetverbindung verfügen und die Updates aus dem Nistech-Rechenzentrum herunterladen können (siehe auch "Netzwerkanforderungen").
  • Die Hardware muss den Voraussetzungen des eingesetzten Betriebssystems entsprechen.

Der Server muss nicht zwingend ein Serverbetriebssystem verwenden. Es sind auch Standard-PCs z.B. mit Windows 10 einsetzbar. Jedoch sind Serverbetriebssystem und Serverhardware empfehlenswert, da eine ganztägige Einsatzbereitschaft gegeben sein sollte.
Auch die Installation auf einer virtuellen Maschine (VM) ist möglich. Welchen Hypervisor Sie hierfür einsetzen spielt keine Rolle.

Bereitstellung / Installation

Für die Installation des Qualli.update-Servers laden Sie das entsprechende Setup aus dem Downloadbereich von https://qualli.life herunter.

Führen Sie die Installation durch. Während der Installation werden folgende Änderungen auf Ihrem System durchgeführt:

  • Die erforderlichen Dateien werden in das Installationsverzeichnis
    (Standard: %PROGRAMFILES(X86)%\Nistech GmbH\Qualli.update)
    kopiert.
  • Das Programm Qualli.update.service.exe wird als Dienst mit dem Ausführungskonto LOCALSYSTEM (Lokales System) registriert.
  • Der installierte Dienst wird gestartet.

Die Installation dauert i.d.R. nur ein paar Sekunden.

Entfernung / Deinstallation

Wenn Sie den Qualli.update-Server wieder entfernen möchten, stoppen Sie den lokalen Dienst "Qualli.update.service" und deinstallieren Sie auf gewohntem Wege die Anwendung "Qualli.update".

Wenn Sie den Dienst vor der Deinstallation nicht stoppen erhalten Sie eine Warnung die besagt, dass sich noch Dateien im Zugriff befinden. Unterbrechen Sie in diesem Fall das Setup, beenden den Dienst und führen Sie die Deinstallation erneut durch. Wenn Sie dies nicht machen, müssen Sie Ihren Server neu starten, um den Dienst vollständig zu entfernen.

Aktualisieren des Update-Servers

Von Zeit zu Zeit werden auch Updates für den Qualli.update-Server bereitgestellt. Dies können SIe aus dem Downloadbereich von https://qualli.life herunterladen und auch dem Server installieren.

Für das Update müssen Sie den Dienst "Qualli.update.service" nicht manuell herunterfahren. Dieser wird während der Installation automatisch beendet und startet.

Wann ein Update bereitsteht, erfahren Sie im Rahmen der Qualli.infomails. Diese können Sie jederzeit über folgende Seite abonnieren:

https://qualli.life/anmelden.htm?cmd=sub&lst=list

Sicherheitsaspekte

Der Dienst Qualli.update.service wird standardmäßig so konfiguriert, dass er lokale Systemrechte besitzt. Damit hat er mehr Berechtigungen als für die Ausführung der Dienste erforderlich sind. Der Vorteil besteht jedoch in einer einfacheren Konfiguration.

Wenn Sie die Rechte auf ein Minimum beschränken möchten, beachten Sie die folgende Liste der erforderlichen Berechtigungen:

  • Der Server konfiguriert, während der Einstellung der Adressen für die Erreichbarkeit, die Ports mit dem Systemkommando "netsh http [add|del|show] sslcert ...".
    Hierfür werden entsprechende Rechte benötigt.
  • Die Updates werden vom Server aus dem Nistech-Rechenzentrum heruntergeladen und in einem Verzeichnis auf dem Server (oder im Netzwerk) gespeichert. Der Serverdienst muss die Berechtigungen haben auf dieses Verzeichnis lesend und schreibend zuzugreifen.
    Die Client-PCs bzw. die Benutzer benötigen auf dieses Verzeichnis keine Zugriffsrechte.

In den Installationsdateien des Qualli.update-Servers sind Dateien vorhanden, die in der Administrationswebsite verwendet werden. Diese Dokumente können von Personen geändert werden, die Zugriff auf den Server und die Programmdateien haben, da es sich i.d.R. um normale Textdateien handelt. Damit wäre es z.B. möglich, Funktionalitäten und Grafiken zu integrieren, die standardmäßig nicht vorgesehen sind. Dazu gilt:

Ein Eingriff in die Programmkomponenten ist ohne schriftliche Genehmigung der Nistech GmbH nicht erlaubt. Dies ist aus lizenzrechtlichen Gründen, aber auch aus Sicherheitsgründen nur in Ausnahmefällen möglich, z.B. zur Fehlerbehebung.

Administration

Der Qualli.update-Server wird über eine Admin-Benutzeroberfläche mit Hilfe eines Webbrowsers gesteuert. Hierzu können Sie jeden aktuellen BrowserGeschlossen auch Webbrowser, sind spezielle Computerprogramme zur Darstellung von Webseiten im World Wide Web oder allgemein von Dokumenten und Daten. [...]. Neben HTML-Seiten können Webbrowser verschiedene andere Arten von Dokumenten wie zum Beispiel Bilder und PDF-Dokumente anzeigen. Webbrowser stellen die Benutzeroberfläche für Webanwendungen dar. einsetzen, der NTLM-Authentifizierung unterstützt.

Der Browser Microsoft Edge hat aktuell (Stand 10/2018) Probleme mit der Authentifizierung, wenn Sie auf eine lokale Adresse zugreifen. Aus diesem Grund kann Edge nur für den Fernzugriff von einem anderen Gerät aus eingesetzt werden. Bei Internet Explorer, Google Chrome, und Mozilla Firefox sind solche Probleme nicht bekannt.

Die Standard-Adresse für den Zugriff auf die Admin-Oberfläche vom lokalen Server aus lautet:

http://localhost:6060

Der Zugriff von einem anderen Gerät erfolgt über

http://server.domain.local:6060

wobei "server" der Name des Servers und "domain.local" der Active Directory - Domänenname sind.

Bei erfolgreichem Zugriff auf die Admin-Seite erhalten Sie folgendes Bild:

Je nach Browser kann es auch sein, dass Sie sich zuerst einloggen müssen. Die Anmeldung erfolgt dann mit Ihrem Active Directory - Benutzerkonto. Der Zugriff ist standardmäßig für jeden Domänenbenutzer möglich.

Sie sollten anfangs die Adressen für die Erreichbarkeit des Servers konfigurieren.

Servereinstellungen

In den Servereinstellungen können Sie bestimmen:

  • unter welchen Adressen der Server erreichbar ist
  • ob Verschlüsselung eingesetzt wird
  • die Mitglieder welcher Active Directory - Benutzergruppe auf die Admin-Oberfläche zugreifen dürfen
  • wo die heruntergeladenen Updates gespeichert werden

Öffnen Sie den Menüpunkt

Einstellungen

Adresse und Verschlüsselung

Unter dem Punkt "SSL-Verschlüsselung" können Sie einstellen, ob die Verbindung zwischen den Clients und dem Server verschlüsselt werden soll.

Der Einsatz der SSL-Verschlüsselung setzt ein Zertifikat voraus, das die Serveradresse beinhaltet oder bei einem Wildcard-Zertifikat die korrekte Domäne. Das Zertifikat muss von den Clients als valide bzw. vertrauenswürdig angesehen werden.

Wenn die Verschlüsselung aktiviert ist, erscheint ein neues Feld für die Zertifikatsauswahl. Dies wird weiter hinten erläutert.

Die "Server-Adresse" ist die Adresse, unter das auf den Client-PCs installierte Qualli.life den Server erreicht, um Updateanfragen zu stellen. Die "Admin-Adresse" ist für den Zugriff auf die Admin-Oberfläche. Normalerweise sind beide Adressen gleich. Sie können eine eigene Admin-Adresse kreieren, wenn dies in Ihrem Netzwerk notwendig ist oder für sinnvoll erachtet wird.

Diese Adressen sind URL-typisch aufgebaut:

http(s)://server.domain.local:PORT

Am Anfang steht das Protokoll. Hierbei werden ausschließlich HTTP und HTTPS (bei Verschlüsselung) unterstützt.

"server.domain.local" ist die vollständige Adresse (FQDN) des Servers im Active Directory.

Nach dem Doppelpunkt folgt der Port. Hierbei handelt es sich um eine Ziffer zwischen 1 und 65535. Sie können den Port selbst bestimmen, müssen aber darauf achten, dass kein anderer Serverdienst diesen Port belegt und dass dieser Port in der FirewallGeschlossen Technische Einrichtung in einem EDV-Netzwerk, die verhindert, dass ungewollte Verbindungen zwischen dem Internet und dem Firmennetzwerk aufgebaut werden. Dies dient i.d.R. dem Schutz des Firmennetzwerkes. eine Ausnahme für aus- und eingehenden TCP-Datenverkehr bildet.

Standardmäßig nutzt der Qualli.update-Server den Port 6060. Wenn kein Webserver (z.B. IIS oder Apache) auf dem Server arbeitet, ist der Port 80 (ohne Verschlüsselung) bzw. 443 (mit Verschlüsselung) empfehlenswert. Dies vereinfacht die Adresse, die in den Browser eingegeben werden muss, um die Admin-Oberfläche zu erreichen.

Ohne Verschlüsselung:

http://server.domain.local (verwendet automatisch Port 80)

Mit Verschlüsselung:

https://server.domain.local (verwendet automatisch Port 443)

Die standardmäßig vorgegebene Adresse:

http://*:6060

bindet automatisch den Port 6060 auf jeder verfügbaren Netzwerkverbindung. Damit ist der Server unter jeglichem Namen erreichbar, der in Ihrem Netzwerk korrekt aufgelöst werden kann.

Wenn die Verschlüsselung aktiviert ist, erscheint ein weiteres Feld:

Unter "SSL-Zertifikat" können Sie das zu verwendende Zertifikat auswählen. Aufgelistet werden hier alle Zertifikate, die im Zertifikatsspeicher "Eigene Zertifikate" des Servers gespeichert und für die Serverauthentifizierung geeignet sind.

Wenn Ihr Zertifikat nicht in der Liste aufgeführt oder identifizierbar ist, Sie aber sicher sind, welches Zertifikat verwendet werden kann, können Sie den Eintrag "manuelle Eingabe" auswählen. Es erscheint dann ein weiteres Feld, in dem Sie den SHAGeschlossen Secure Hash Algorithm: sicherer Hash-Algorithmus (hash= "verstreuen", "zerhacken"). Eine Verschlüsselungsmethode mittels sog. Hash-Algorithmen zum Speichern von Passwörtern oder digitalen Signaturen. Derzeit existieren zwei Arten dieser Verschlüsselungsmethode: SHA-1 und SHA-2.-Hash (Fingerabdruck) des Zertifikats eingeben können. Die Eingabe erfolgt hexadezimal und ohne Leerzeichen.

Firewall-Einstellungen

Die Firewall des Servers - soweit vorhanden und aktiv - muss so eingestellt werden, dass der konfigurierte Port von außerhalb des Servers erreichbar ist. Erstellen Sie hierfür eine Firewallregel mit folgendem Inhalt:

  1. Regeltyp: Port
  2. Lokaler Port: Der von Ihnen festgelegte Port (Standard: 6060)
    Wenn der Port 80 oder 443 ist, können Sie einfach die Regeln "WWW-Dienst (eingehender HTTP-Verkehr)" bzw. "WWW-Dienst (eingehender HTTPS-Verkehr)" aktivieren, sofern noch nicht geschehen.
  3. Remote-Port: Alle Ports
  4. Profile: Domäne (je nach Anwendungsbereich auch Privat oder Öffentlich)

Führen Sie keine Bindung an den Dienst "Qualli.update.service" oder an die Programmdatei selbst durch. Dies funktioniert nicht, weil das "System" den Port abhört und nicht der Qualli.update-Server.

Beachten Sie, dass diese Firewallregel immer angepasst werden muss, wenn Sie den Port in der Admin-Oberfläche ändern.

Admin-Zugriff beschränken

Der Zugriff auf die Admin-Oberfläche sollte eingeschränkt werden. Es sollten nur Personen Zugriff haben, die mit der Verwaltung des Qualli.update-Servers betraut sind. Am besten legen Sie hierfür im Active Directory eine entsprechende Gruppe (z.B. "Qualli.update-Admins") an und fügen die Benutzer als Mitglieder dieser Gruppe hinzu. In das Feld "Zugriff zur Administration" geben Sie den Active Directory-Namen der Gruppe an. Sie können hier jegliche Schreibweise verwenden, die das Active Directory akzeptiert. Am einfachsten sind die bekannten Schreibweisen

domain\benutzergruppe

oder

benutzergruppen@domain.local

Nur Benutzer, die Mitglied der hier erfassten Gruppe sind, haben dann Zugriff auf die Admin-Oberfläche des Qualli.update-Servers.

Speicherort für Updates

Im Feld "Update-Cache" geben Sie den Speicherort für die vom Server heruntergeladenen Updates an. Die Eingabe erfolgt als lokaler Dateipfad, wie z.B.

D:\Qualli.life-Updates

oder als UNC-Netzwerkpfad

\\Fileserver\Freigabename

Standardmäßig wird der Ordner im Verzeichnis für allgemeine Anwendungsdaten abgelegt:

%PROGRAMDATA%\Nistech GmbH\Qualli.update

Für jedes Update wird ein Unterverzeichnis mit der Versionsnummer als Name angelegt. Hier wird die Update-Datei gespeichert.

Beachten Sie, dass das Benutzerkonto, unter dem der Dienst "Qualli.update.service" läuft, Schreibzugriff auf das eingestellte Verzeichnis haben muss.

Benutzer benötigen keinen Zugriff auf das Update-Verzeichnis und es muss auch keine Freigabe erstellt werden.

Zum Abschluss der Konfiguration betätigen Sie die Schaltfläche "Übernehmen...". Wenn Sie Adressen geändert haben, wird der Server-Dienst automatisch neu gestartet und Sie werden zur neuen Adresse umgeleitet.

Client-Verbindung

Damit Qualli.life auf den Client-PCs den Qualli.update-Server auch verwendet, muss es die Einstellungen zur Adresse des Servers und den Update-Modus erhalten. Hierfür werden drei Methoden bereitgestellt:

  • Verteilung über die Active Directory - Gruppenrichtlinie
  • Manuelle Konfiguration in Qualli.life
  • Eingriff in die Windows Registrierung

Die Verteilung über die Gruppenrichtlinie sollte bevorzugt verwendet werden. Die manuelle Konfiguration ist nur sinnvoll, wenn es sich um sehr wenige Arbeitsplätze handelt. Die Rekonfiguration der Registrierungsdatei wird nicht empfohlen. Hierfür sind erweiterte Berechtigungen erforderlich.

Wie die einzelnen Möglichkeiten einzusetzen sind, wird in der Admin-Oberfläche unter dem Menüpunkt

Verbindung

erläutert.

Verteilung über die Active Directory - Gruppenrichtlinie

Sofern Sie erfolgreich eine Gruppenrichtlinie für Qualli.life-Einstellungen in Ihrem Active Directory implementiert haben (siehe auch "Gruppenrichtlinien für lokale Einstellungen"), können Sie die Einstellungen für den Qualli.update-Server dort hinzufügen:

Beachten Sie, dass Sie die Administrativen Vorlagen (ADMX-Dateien) verwenden müssen, die mit Qualli.life min. Version 14 oder dem Qualli.update-Server verteilt wurden. Sie finden die Dateien beim Qualli.update-Server im Installationsverzeichnis unter ActiveDirectory-GPO-Template.

Zurzeit gibt es unter Qualli.life-Einstellungen→Updateserver zwei Einstellungen:

Serveradresse:

Wenn Sie diese Option aktivieren, wird Qualli.life die Adresse für die Suche nach Updates verwenden. Geben Sie die Adresse ein, die Sie in der Admin-Oberfläche unter Einstellungen→Server-Adresse hinterlegt haben.

Wenn Sie als Serveradresse z.B. http://*:6060 oder http://+:6060 verwenden, muss das Asterisk-Zeichen (*) bzw. das PLUS-Zeichen (+) durch einen DNS-Namen oder eine IP-Adresse ersetzt werden.

Updatemodus

Ist diese Einstellung aktiviert, können Sie den Updatemodus festlegen. Die Einstellung überschreibt den in Qualli.life eingestellten Update-Modus, sofern dieser nicht auf "Individuell" eingestellt ist.

Folgende Update-Modi stehen zur Verfügung:

  • Entwicklermodus
    Dieser Modus ist nur für den Einsatz durch Mitarbeiter der Nistech GmbH bestimmt. Diese Einstellung wird nicht für den Einsatz beim Kunden unterstützt.
  • Individuell
    Es gilt die Einstellung jedes Benutzers in
    Qualli.life→QUALLI→Einstellungen→Lokale Einstellungen→Update-Modus
    (siehe auch "Updatemodus")
  • Langsamer Aktualisierungsmodus
    Es werden ausschließlich Updates geladen, die als "langsame Updates" deklariert wurden. Normalerweise sind dies nur Funktionsupdates oder wichtige (sicherheits- oder funktionsrelevante) Aktualisierungen.
  • Pilotversionen
    Mit diesem Modus erhalten die Benutzer auch Pilotversionen. Dies sind Vorabversionen für zukünftige Updates. Sie dienen dazu, zukünftige Funktionen zu testen oder zu schulen. Der Einsatz in produktiven Umgebungen ist möglich und wird unterstützt. Sie müssen jedoch mit unerwarteten Fehlern rechnen, da diese Versionen i.d.R. noch nicht vollständig getestet sind.
    Es ist empfehlenswert ausschließlich computer- und Qualli.life-affine Benutzer mit Pilotversionen zu versorgen.
  • Schneller Aktualisierungsmodus
    In diesem Modus erhalten die Benutzer alle Standardupdates (keine Pilotversionen), die veröffentlicht werden.

Manuelle Konfiguration

Wenn nur eine kleine Computergruppe über den Qualli.update-Server gesteuert werden soll, können Sie die o.a. Einstellung auch manuell in Qualli.life vornehmen.

Die Einstellungen müssen bei jedem Benutzer einzeln vorgenommen werden.

Sie finden die Felder hierfür in

QUALLI→Einstellungen→Lokale Einstellungen→Update-Einstellungen

Wählen Sie den Updatemodus aus und geben Sie im Feld "Server-Adresse" die Adresse Ihres Qualli.update-Servers an.

Updatekontrolle

Wenn Sie nicht nur möchten, dass Updates statt über das Internet vom eigenen Server abgerufen werden, sondern z.B. auch den Zeitpunkt für die Installation selbst bestimmen wollen, können Sie die Installation von Updates über die Admin-Oberfläche im Menüpunkt Updatekontrolle steuern.

Die Updateberechtigungen können Sie für alle im Active Directory registrierten Computer steuern (gruppenübergreifend) oder für einzelnen Computergruppen. So können Sie beispielsweise einer Computergruppe immer erlauben neue Updates gleich zu installieren und einer anderen erst nach Ihrer expliziten Erlaubnis über die Admin-Oberfläche.

Für welche Computergruppe Sie die Einstellungen ändern wollen, stellen Sie unter "Computergruppe" ein. Hier stehen alle Active Directory - Sicherheitsgruppen zur Verfügung, die Computer als Mitglieder beinhalten.

Das Kontrollkästchen "Standardeinstellung: XXX" hat zwei Zustände:

  • Erlaubt (Standard)
    Standardmäßig werden neue Updates direkt zugelassen. Diese Einstellung ist für Computergruppen gedacht, bei denen der Update-Admin die Updates nicht manuell freigeben möchte.
  • Blockiert
    Standardmäßig werden neue Updates nicht zugelassen. Updates werden erst verteilt, wenn der Update-Admin die Berechtigung in der Tabellenzeile des entsprechenden Updates auf "Erlaubt" eingestellt hat.

Wenn eine Computergruppe ausgewählt ist, erbt diese standardmäßig die Einstellung aus "Gruppenübergreifend". Dies ist erkennbar daran, dass hinter "Erlaubt" oder "Blockiert" der Begriff "(vererbt)" steht.

Klicken Sie auf dieses Kontrollkästchen ggfs. mehrfach, um die gewünschte Einstellung zu erreichen.

Updates herunterladen und verwalten

Die Setup-Dateien der Updates lädt der Updateserver normalerweise automatisch herunter, sobald ein Update angefordert wird. Dies kann dazu führen, dass bei der ersten Anforderung von einem Client-PC dieser länger warten muss, da zuerst der Download auf den Server stattfindet und danach der auf den Client-PC. Möchten Sie die Wartezeit vermeiden, können Sie den Download direkt ausführen lassen, indem Sie das DOWNLOAD-Symbol in der Tabellenzeile des gewünschten Updates anklicken:

Die heruntergeladenen Updates finden Sie auf der Seite "Zwischenspeicher" der Admin-Oberfläche:

Hier können Sie auch nicht mehr benötigte Updates vom Server löschen, indem Sie das MINUS-Symbol auf der rechten Seite benutzen.

Registrierte Arbeitsplätze

Alle Arbeitsplätze, bei denen sich Qualli.life min. einmal gemeldet hat, finden Sie in der Liste

Arbeitsplätze

der Admin-Oberfläche.

Diese Liste gibt Ihnen eine Übersicht über die Client-PCs und deren Ausstattung:

Jede Kachel stellt einen Client-PC und des Informationen dar. Nicht mehr benötigte PC-Informationen können mit dem MINUS-Symbol entfernt werden.

Die Informationen, die die Arbeitsplätze an den Server übermitteln, können Sie mit Hilfe der Schaltfläche "Einstellungen für Arbeitsplatzinfos" konfigurieren:

Jede Zeile in dieser Tabelle stellt eine Information dar. Sie können vordefinierte Informationen verwenden (Spalte "Schlüssel", wenn der "Modus" auf "Standard" steht) oder eigene Informationen aus der Windows-Registrierung holen lassen ("Modus" auf "Registry", unter Schlüssel den Registry-Schlüssel eingeben und ggfs. weitere Einstellungen vornehmen, wenn erforderlich).