Handbuch für System-Administratoren

Infrastruktur-Überblick

images/confluence/download/attachments/105086987/Netz%C3%BCberblick.png

Installations-Voraussetzungen

Für die Installation von LiveScan Web werden folgende Dinge benötigt:

Ressourcen:

  • Ein Domänen-User, der auf der Datenbank und dem App-Server gleichermaßen gilt. Standardmäßig verwenden wir oft etwas wie "svc_livescan".

  • Eine Datenbank (MSSQL), Schemaname nach Möglichkeit "LiveScanWeb". Wenn möglich auf einem etablierten Server, da die Last von LiveScan Web niedrig ist.
    Bitte die Community-Edition meiden, aufgrund der Beschränkung auf 10GB.
    Der Benutzer (im Beispiel "svc_livescan") muss Owner des Schemas sein, damit die Anwendung ihre Tabellen anlegen und verändern kann.

  • Ein Applikations-Server mit IIS, mit 2 CPUs und etwa 500 MB RAM-Bedarf,

    • Rolle / Feature: IIS, mit folgenden wichtigen Modulen:

      • Programmierbarkeit: .Net 4.x, ASP.Net 4.x, ISAPI, WebSockets, Anwendungsinitialisierung

      • Komprimierung: alle

      • Authentifizierung: Standard, Windows, URL, Digest und Client-SSL

  • Ein DNS-Name "livescanweb.<interne-domäne>". (z.B. http(s)://livesanweb.beispiel.de).

  • Falls HTTPS gewünscht: ein SSL-Zertifikat von Ihrer Haus-CA mit AltName "livescanweb.<interne-domäne>" oder auch zusätzlich dem Host-Namen des Servers.

  • Ein vernünftiger Editor. Wir empfehlen Notepad++.

Netzwerk:

  • Zugang zum DOI-Netzwerk bzw. https://avp.testa-de.net, direkt oder über Proxy.
    Bitte die Proxy-Daten (IP/Hostname + Port) bereit halten.
    User-Auth am Proxy ist möglich, macht aber oft Probleme. Bitte wenn möglich ohne Auth.
    Entsprechende Freischaltungen an Firewalls etc. werden vorausgesetzt.

  • Das Client-Authentifizierungs-Zertifikat der Ausländerbehörde, ausgestellt von der DOI CA 7, 8, 9, 10 oder 10a.
    Die Datei heißt oft "GRP_ABH_*.p12".

Client-PCs:

  • Ein moderner Browser, also Google Chrome, Microsoft Edge oder Firefox.
    Opera, Safari und diverse Nischen- und Mobile Web-Browser funktionieren, ein Support im Sinne der vollständigen Funktion ist nicht sichergestellt.

    images/confluence/s/-ra9rmo/9004/9n8hov/_/images/icons/emoticons/warning.svg ACHTUNG!
    LiveScan Web basiert wie viele aktuelle Web-Anwendungen auf Angular.
    Der Support von Angular für IE 11 ist seit Version 12 eingestellt und ab Version 13 komplett entfernt.
    Es ist aktuell nicht mehr möglich, eine aktuelle Angular-Version mit IE 11 zu verwenden. Die Aktualisierung ist jedoch für Sicherheitsupdates und -Fixes zwingend nötig.
    Daher werden wir ab August 2022 keine Version mehr erstellen, die auf IE 11 funktioniert. Client-PCs müssen einen modernen Browser aus der Liste oben verwenden.

  • Die Scan-Dienste stehen nur für Windows ab 7 zur Verfügung.


Den Zugang zu allen Installations-Bestandteilen (LiveScan Web Installationspaket Server.zip) erhalten Sie von uns per eMail.
Darin befinden sich:

  • Server:

    • Microsoft Visual C++ Runtimes 2013 und 2017 x64 (vcredist*.msi)

    • DotNet Core 5.0.x Hosting Bundle (dotnet-hosting-5.0.x.exe)

    • URL Rewrite PlugIn 2.1 (rewrite_amd64_en-US.msi)

    • KatalogImport.zip

    • LicenseManagerServer.exe

    • LiveScan Web Server: LiveScanWeb-v2-Complete-<version>.zip

    • Setup-Skript: setup-iis.cmd

    • Update-Skript: update-iis.cmd

  • Client:

    • Microsoft Visual C++ Runtimes 2010, 2013 und 2017 x86 (vcredist*.msi)

    • L Scan Essentials 8.1.3.9 x64 Runtime.exe

    • L Scan Essentials Spoof Detection Add-On 8.1.3.9 x64.exe

    • LiveScanAgentSetup-36303-BSI-Certified.msi

Vor der eigentlichen Installation können Sie gerne schon die Bestandteile installieren, die von Microsoft stammen, d.h. die Runtimes, URL Rewrite und DotNet Core, sowie die LScan Essentials.
Die Ausführung des Skripts setup-iis.cmd und die Konfigurationsarbeiten erledigen wir zusammen per Fernwartung (TeamViewer oder AnyDesk).

Server-Updates

Für LiveScan Web gibt es regelmäßig Updates. Installiert werden diese aktuell durch Herunterladen des Update-ZIPs und Entpacken durch das Update-Skript update-iis.cmd .

Dazu gehen Sie wie folgt vor:

  1. kopieren Sie bitte das Update-ZIP (LiveScanWeb-v2-Complete-<version>.zip) von unserem Download-Bereich in C:\inetpub\LiveScanData\Update

  2. benennen Sie dieses in LiveScanWeb-v2-Complete.zip (ohne Version) um

  3. führen Sie das direkt daneben liegende Skript update-iis.cmd als Administrator auf einer echten administrativ berechtigten CMD- oder PowerShell-Konsole aus.
    images/confluence/s/-ra9rmo/9004/9n8hov/_/images/icons/emoticons/warning.svg Bitte NICHT mit Rechtsklick → Als Admin ausführen, das funktioniert nicht.

Das Update dauert etwa 2-3 Minuten und hat einen Fortschrittsbalken. Davor wird der AppPool des Servers automatisch heruntergefahren, und danach wieder gestartet.
Die Anwendung ist danach sofort wieder einsatzbereit, braucht für ihren Start jedoch 10-20 Sekunden.

images/confluence/s/-ra9rmo/9004/9n8hov/_/images/icons/emoticons/warning.svg Vereinzelt und abhängig von Ihren Browser-Einstellungen kann das Update vom Browser "ignoriert" werden, ganz oder teilweise. Das äußert sich an schwer nachvollziehbaren Fehlermeldungen.
Bitte rufen Sie deshalb nach einem Update die Anwendung auf und drücken Sie ein paarmal hintereinander STRG+F5, um den Cache für die Anwendung zu verwerfen und sie vollständig neu zu laden.
Danach sollte sie normal funktionieren.

Inbetriebnahme eines Clients

Hin und wieder muss ein neuer Client in Betrieb genommen werden, z.B. bei Rechner-Umzug oder Erweiterung durch eine weitere Station.

Hierbei sind folgende Dinge zu tun:

  1. Download / Auffinden der Installations-MSIs, darunter:
    (Alternativ können Sie das ZIP LiveScanAgent-41387-All.zip herunterladen, dieses enthält alles davon.)

    1. Microsoft Visual C++ Runtimes 2010, 2013 und 2017 x86 (vcredist*.msi)

    2. LScan Essentials 8.1.3.9 x64 Runtime.exe

    3. LScan Essentials Spoof Detection Add-On 8.1.3.9 x64.exe

    4. LiveScanAgentSetup-x86-41387-BSI-Certified.exe

  2. Ausführen aller Installationspakete in der obigen Reihenfolge.
    Je nach Group Policies können Sie mehrfach aufgefordert werden, die Installation mit einem administrativen Konto zu autorisieren.

  3. Importieren des Localhost-SSL-Zertifikats.
    Bitte führen Sie die Datei C:\Program Files (x86)\LiveScanAgent\import-ssl.cmd als Admin aus.
    Verwenden Sie dabei bitte nicht die Option "Als Administrator ausführen" im Kontextmenü, die tut nicht, was sie sagt.
    Statt dessen, starten Sie eine Konsole mit Suche von "cmd" im Startmenü und "Ausführen als Administrator". Darin navigieren Sie nach C:\Program Files (x86)\LiveScanAgent und führen dort "import-ssl.cmd" aus.

  4. Anpassen der Konfiguration.
    Editieren oder ersetzen Sie die Datei "C:\Program Files (x86)\LiveScanAgent\config.local.json". Eine Beispiel-Datei finden Sie als "config.local.default.json".
    Wenn Sie schon eine funktionierende Station haben, kopieren Sie die Datei "config.local.json" von dort.
    Ansonsten, suchen Sie bitte den Eintrag "AllowedOrigins" und ersetzen Sie den leeren Wert ("") durch eine Angabe Ihres LiveScan Web-Servers. Bitte achten Sie besonders darauf, ob dieser per http oder https angesteuert wird.

  5. Neustart des Dienstes.
    Entweder mit dem Programm "Dienste" von Windows, Eintrag "HECOSYS LiveScan Agent" - Neustarten. Sie benötigen wieder Admin-Rechte.

    Oder per administrativ berechtigtem cmd (s.o.), mit folgenden Befehlen:

    net stop HECOSYSLiveScanAgent
    net start HECOSYSLiveScanAgent

Damit ist die Installation komplett und der Client funktioniert wie der bisherige.

Es kann natürlich noch sein, dass der verwendete Browser den Zugriff auf den LiveScan Agent per SSL mit localhost-Zertifikat für jeden Benutzer einzeln genehmigen muss. Diese Einstellungen werden nicht von Station zu Station übertragen, außer Sie haben per Group Policy die Benutzerkonten-Synchronisation konfiguriert.
Dazu folgen Sie bitte den Anweisungen unter "Häufige Fragen und Lösungen" unter dem Titel "Der Dienst ist nicht erreichbar oder kann nicht gestartet werden".