Technik:CoPlanner-Server Installation

Aus CoPlanner 10
Zur Navigation springenZur Suche springen

Dieses Kapitel unterstützt Sie im Rahmen einer CoPlanner-Installation bei der Einrichtung der benötigten Berechtigungen. Es wird davon ausgegangen, dass CoPlanner im vollen Funktionsumfang genutzt wird. Sollte dies nicht der Fall sein können gegebenenfalls Punkte übersprungen werden.

Benutzer

Es empfiehlt sich für den laufenden CoPlanner Betrieb zumindest zwei Domänenbenutzer anzulegen. Die Namen sind frei wählbar, exemplarisch werden in diesem Dokument folgende Benutzer verwendet:

DOMAIN\COPSERVICE: Das ist der Benutzer unter dem der CoPlanner Dienst am Applikationsserver läuft.
DOMAIN\COPUSER: Dieser Benutzer wird für Fernwartungszugriffe auf den Applikationsserver verwendet. Sollten personengebunden Benutzer angelegt werden, so sind für alle dieselben Berechtigungen zu setzen
Hinweis  Damit der OLAP Zugriff über den CoPlanner funktioniert müssen die SQL Dienste (MSSQL, SSAS, SSRS) unter einem Domänen Benutzer Account laufen. Nur so können die weiteren notwendigen Anpassungen vorgenommen werden.

SQL-Server

Für alle Fernwartungsbenutzer müssen am SQL Server Anmeldungen eingerichtet werden:

Technik, SQL Server Anmeldung

Auf der ersten Seite wird lediglich der Domänenbenutzer eingetragen:

Technik, Domänenbenutzer

Auf der zweiten Seite dem Fernwartungsbenutzer die Serverrollen „public“ und „bulkadmin“ zuweisen:

Technik, Serverrollen

Auf der Seite „Benutzerzuordnung“ müssen dem jeweiligen Fernwartungsbenutzer alle CoPlanner relevanten Datenbanken (Systemdatenbank, Staging-Datenbank, Reporting-Datenbank, etc.) zugeordnet werden. Außerdem benötigen die Fernwartungsbenutzer bestimmte Rollen auf der MSDB und TEMPDB. Die genaue Auflistung dazu im Anschluss.

Technik, Benutzerzuordnung


Hinweis  Das Standardschema muss immer das dbo-Schema sein.


Datenbank Benötigte Rollen
CoPlanner Datenbanken db_datareader, db_datawriter, public, db_ddladmin, db_securityadmin, db_backupoperator, db_accessadmin
MSDB db_datareader, db_datawriter, public, db_ssisadmin, SQLAgentOperatorRole
TEMPDB db_datareader, db_datawriter, public, db_ddladmin

Analysis Services

Um die erforderlichen Berechtigungen für die OLAP-Datenbank einstellen zu können, muss mit dem SQL Server Management Studio eine Verbinundg zu den Analysis Services hersgestellt werden. Mit rechter Maustaste die Eigenschaften des Servers aufrufen:

Technik, Berechtigungen für die OLAP-Datenbank

In den Eigenschaften unter „Sicherheit“ müssen alle Administratoren (CoPlanner Service User - der User unter dem der CoPlanner Dienst läuft) hinzugefügt weden.

Damit der Zugriff auf den OLAP Server vom CoPlanner Client aus funktioniert müssen die SPN's korrekt gesetzt sein. Diese können mit dem Tool Microsoft Kerberos Configuration Manager for SQL Server überprüft und gegebenenfalls korrigiert werden. Zusätzlich muss dem Benutzer unter dem der CoPlanner Server Dienst läuft auch das Recht zur Delegierung der Dienste gegeben werden:

CoPlanner Service User - Delegierung
Hinweis  Der Benutzer unter dem der OLAP Dienst rennt muss noch zur Active Directory Gruppe Windows Autorisierungszugriffsgruppe hinzugefügt werden:


OLAP Service User hinzufügen

Um zu überprüfen ob der OLAP Service User genügend Rechte besitzt kann beim browsen eines Cubes im SSMS die Funktion "Benutzer wechseln" ausprobiert werden. Dabei sollte es keine Fehlermeldung geben.

Reporting Services

Um das CoPlanner Berichtswesen verwenden zu können, müssen alle Fernwartungsbenutzer auf den relevanten Berichtsordner Vollzugriff haben. Dazu in einem Webbrowser zum Berichtsportal (http://BERICHTSSERVER/reports) navigieren und dort im CoPlanner Verzeichnis auf Ordnereinstellungen klicken:

Technik, Berechtigungen für die Reporting Services

Im Tab „Sicherheit“ unter „neue Rollenzuweisung“ die Fernwartungsbenutzer hinzufügen – die relevante Rolle ist „Inhaltsmanager“.

Technik, Neue Rollenzuweisung
Technik, Inhaltsmanager


Hinweis  Wird für den Webzugriff ein Proxy vorausgesetzt, funktioniert das Reporting aus dem CoPlanner Client nicht, da im CoPlanner kein Proxy eingetragen werden kann.

XP_CMDSHELL

Zum Ausführen von SSIS-Paketen benötigen die Fernwartungsbenutzer das Recht XP_CMDSHELL des SQL Servers auszuführen. Dazu muss im ersten Schritt XP_CMDSHELL prinzipiell für den SQL Server aktiviert werden:

Technik, XP_CMDSHELL aktiveren
Technik, XP_CMDSHELL freischalten

Nachdem XP_CMDSHELL aktiviert wurde, muss es für die ausführenden Fernwartungsbenutzer freigeschalten werden. Für die Ausführung von XP_CMDSHELL verwendet der SQL Server einen Proxy Account. Auch dieser muss eingerichtet werden, es bietet sich an dafür den CoPlanner Serviceuser zu verwenden. Ist dies nicht der Fall, dann müssen für den Benutzer des Proxy-Accounts ebenfalls die in diesem Dokument beschriebenen Berechtigungen konfiguriert werden.
T-SQL Skript zum Freigeben der XP_CMDSHELL für Benutzer:

USE [master]
GO
GRANT EXECUTE on xp_cmdshell to [DOMAIN\COPSERVICEUSER]

Skript zum Festlegen des Proxyaccounts:

EXEC sp_xp_cmdshell_proxy_account 'DOMAIN\COPSERVICEUSER', 'PASSWORT';

Zum Feststellen, mit welchem Benutzer ein xp_cmdshell-Befehl ausgeführt wird:

EXEC xp_cmdshell 'echo %username%';

Fileshare

Sollten zum Austausch von Daten Fileshares verwendet werden, so sollten alle Fernwartungsbenutzer Zugriff auf diese Freigaben haben. Außerdem ist es von Vorteil, wenn am SQL Server eine Freigabe eingerichtet wird, von der aus Backup/Restore Operationen am SQL Server durchgeführt werden können.

SQL Server Client Tools

Für den Zugriff auf die Datenbanken und zur Entwicklung von SSIS-Paketen, OLAP-Würfeln und Reporting Services Berichten sollten am Applikationsserver alle SQL Client Tools (SQL Server Management Studio, SQL Server Business Intelligence Development Studio) vollständig installiert werden.

Abgerufen von „https://copsupport.coplanner.com/help10/index.php?title=Technik:CoPlanner-Server_Installation&oldid=18709