Atlassian uses cookies to improve your browsing experience, perform analytics and research, and conduct advertising. Accept all cookies to indicate that you agree to our use of cookies on your device. Atlassian cookies and tracking notice, (opens new window)
Einleitung Administrationsanleitung
Diese Administrationsanleitung führt dich durch den gesamten Prozess der Installation und Inbetriebnahme von eTASK.Outlook-Add-In, der ein Schritt-für-Schritt-Vorgehen erfordert. Am Ende steht das für den Produktivbetrieb einsatzfähige System. Die notwendigen Schritte werden in diesem Dokument erläutert.
Funktionsfähige Installation von eTASK.FM-Portal ab Release eTASK 2020
Einhaltung der Systemvoraussetzungen von eTASK
Administrationsrechte für eTASK.SmartReservation
Rechte in Exchange zum Anlegen und Administrieren von Raumpostfächern
Maschinen-User für serverseitige Buchungsvorgänge mit „Senden als Recht“ ausschließlich auf die einzurichtenden Raumpostfächer
Kenntnisse im Umgang mit der Konfiguration von Exchange und Active Directorys
Der Konfigurationsparameter "USEUTC" hat den Wert "1" (das ist die Standardeinstellung)
Zugriff auf Microsoft Azure
Nur für On-Premises Exchange-Server:
Die Kerberos-Anmeldung vom Client aus gelangt über den Webserver bis zum Exchange Server
Die Größe des Kerberos-Tickets muss auf 120 Gruppen im AD beschränkt sein
In Kerberos müssen MaxFieldLength und MaxRequestBytes auf „87380 (0x15554)“ eingestellt sein
Fehlerfreie Installation von Microsoft Exchange Server 2013 oder einer neueren Version (wir empfehlen eine neuere Version, z.B. Microsoft Exchange Server 2019)
Die Inbetriebnahme von eTASK.SmartReservation erfordert keine programmatischen Änderungen am Exchange-Server oder dem Active-Directory. Alle notwendigen Konfigurationen werden über die von Microsoft dafür vorgesehenen Administrationswerkzeuge (EMC, AD Benutzer & Computer, Powershell) vorgenommen.
Die Synchronisation von Buchungen zwischen Exchange und eTASK erfordert vor allem die korrekte Konfiguration der Zugriffsrechte für Exchange und eTASK.
Bei der Systemkonzeption wurde darauf Wert gelegt, dass keine überhöhten Rechte zur Inbetriebnahme vom eTASK.Outlook-Add-In benötigt werden. Das System arbeitet mit den minimal notwendigen Rechten zum Austausch von Buchungen zwischen den beiden Systemen.
eTASK unterscheidet zwischen zwei internen Schnittstellen:
eTASK-Server - Exchange-Server
Der serverseitige Datenaustausch erfolgt im Kontext eines eigens dafür angelegten Account. Dieser Account hat ein nicht ablaufendes Kennwort. Der Account hat minimale Rechte auf die Raumpostfächer in Exchange (Stellvertreterrechte). Der Account kann separat je Besprechungsraum konfiguriert werden.
Zur Inbetriebnahme wird dieser Account in eTASK abgelegt. Der serverseitige Datenaustausch erfolgt dann im Kontext dieses Accounts. Das Kennwort des Accounts wird verschlüsselt in der eTASK-Datenbank abgespeichert und ist nicht im Klartext einsehbar.
Outlook-Add-In (OAI) - eTASK-Server - Exchange-Server
Für den Online-Exchange mit Office 365
Der clientseitige Datenaustausch aus dem OAI heraus erfolgt über den Account des am Rechner angemeldeten Benutzers.
Für On-Premises Exchange-Server
Der clientseitige Datenaustausch aus dem OAI heraus erfolgt nicht über den vorher genannten Account. Um eine erneute Kennworteingabe für den Anwender des OAI zu vermeiden, erfolgt der Zugriff mithilfe der Windows-Anmeldung des Anwenders. Dabei wird auf dem Client ein Kerberos-Ticket erzeugt. Dieses Ticket dient zur Anmeldung am eTASK-Server und am Exchange-Server. Dieses Rechtekonzept nutzt exakt die von Microsoft für diese Szenarien vorgegebenen Verfahren.
Der clientseitige Datenaustausch erfordert eine einwandfrei funktionierende Kerberos-Infrastruktur im Kundennetz. Da Kerberos im Active-Directory die Basis für viele weitere Services ist, sollten diese Voraussetzungen in den meisten Fällen ohne weitere Maßnahmen vorliegen.
In der Administrationsanleitung wird von einem „Ein-Domänen-System“ ausgegangen. Die Inbetriebnahme in „Multi-Domänen-Systemen“ kann ggf. abweichen. Insbesondere bei der Einrichtung der SPNs (Service-Principal-Names) muss ggf. die vorhandene Infrastruktur analysiert werden, um die korrekten SPNs zu ermitteln. Diese Analyse erfordert höhere Benutzerrechte und muss daher von den Administratoren des Kunden vorgenommen werden.
In der Analyse sind die folgenden Daten zu ermitteln:
FQDN Webserver (eTASK) |
|
DNS: Alias (CNAME) für Webserver |
|
DNS: Host(A)-Record für Webserver/Website |
|
E-Mail-Domäne (*@kunde.com) |
|
Sind User in unterschiedlichen E-Mail-Domänen? Wenn ja, welche? |
|
Liste der SPNs für den Webserver (SETSPN –L HOST) |
|
Nach Vorliegen der Analyse wird eTASK die weiteren Maßnahmen vorgeben, die zur fehlerfreien Inbetriebnahme erforderlich sind.
eTASK empfiehlt in großen Umgebungen eine Testinstallation des eTASK-Portals auf einem separaten Qualitätssicherungs-Server, um den Betrieb des eTASK-Live-Servers während der Einrichtung nicht zu gefährden.
Zur Unterstützung der Inbetriebnahme hat eTASK ein kleines Testprogramm (eTASKIdentity.exe) und eine Kerberos-Checkliste erstellt. Fordere diese Hilfen bei Bedarf von eTASK an.
