FileMaker Server in Windows Server Umgebungen

Thomas HirtFileMaker Server in Windows Server Umgebungen

FileMaker Konferenz 2014 Winterthur

www.filemaker-konferenz.com

FileMaker Server in Windows Server Umgebungen

Erläuterungen und Tipps für FileMaker Entwickler




Was erwartet Sie?

• Teil 1:

• Einblick in Erwartungen & Bedürfnisse von grösseren Firmen, Organisationen und Behörden an eine IT-Infrastruktur

• Wenn FileMaker-Entwickler auf grössere Windows Serverumgebungen treffen…

• Was ist "Active Directory"?

• Teil 2

• Demorechenzentrum

• Tipps zur Installation von FileMaker Server auf Windows Server

• Zugriffsrechte und gehostete FileMaker Datenbanken

• Tipps zur Kopplung von FileMaker Server mit Active Directory




Server Hardware




Erwartungen an professionelleServer- und Storagehardware

• Komponenten ausgelegt für 24/7

• Mainboards

• Festplatten

• Netzwerkkarten

• Controller

• Redundanzen für höhere Ausfallsicherheit

• Netzteile

• Festplatten (z.B. RAID-Arrays)

• ECC RAM

• Komponenten ausgelegt für Betrieb im Rechenzentrum

• Hardware-Fernsteuerung und –Fernverwaltung

• rackmountable

• stackable

• Komponenten leicht tauschbar

• viele Kerne, viel RAM und viel Storage (z.B. für VMs)

• sehr gute Garantie- und Wartungsverträge verfügbar

• 24/7 mit wenigen Stunden Reaktionszeit

• Vor-Ort-Reparatur

• proaktive Intervention

• Komponenten 5+ Jahre innert Stunden lieferbar

• Controller mit Hochleistungs-schnittstellen verfügbar

• Zertifizierungen für Software-plattformen verfügbarListe nicht abschliessend!




Serverhardware fürMac OS X vs. Windows Server

• Keine aktuell verfügbare Hardware für Mac OS X Server kann auch nur ansatzweise die Erwartungen an professionelle Serverhardware erfüllen.

• Eine Virtualisierung von Mac OS X und Mac OS X Server wird von Apple technisch und rechtlich verhindert, daher kann keine alternative Hardwareplattform für Mac OS X Server eingesetzt werden.

• Nicht jede Serverhardware im Windows-Umfeld erfüllt die Erwartungen der Liste. Besonders betroffen sind Einsteigermodelle.

• NAS-Speicher (häufig modifiziertes Linux OS mit Samba)

• preiswerte Single-Socket Tower-Server

• Mit steigendem Preis für das Basismodell sowie mit steigender Ausstattung erfüllt Serverhardware für Windows Server die Erwartungen immer besser und besser.

• Die Hardware für Windows Server kann spezifisch an die Bedürfnisse und Erwartungen eines Kunden angepasst werden.




Verbreitung vonMicrosoft Server Betriebssystemen




Verbreitung von Mobile OS

Quelle: netmarketshare.com

Android45.01%

iOS44.34%

Java ME3.77%

Windows Phone2.69%

Symbian2.61%

BlackBerry1.18%

andere0.40%




Verbreitung von Desktop OS

Quelle: netmarketshare.com

Windows91.13%

Mac OS X7.27%

Linux1.60%




Verbreitung von Server OS

Serverabsatz Q3 2013

• 12.3 Milliarden $

• ca. 2.3 - 2.5 Millionen Stück

• Herstellerrangliste nach Umsatz

• HP

• IBM

• Dell

• Cisco

• Oracle

• Herstellerrangliste nach Stück

• HP

• Dell

• IBM

• Huawei

• Fujitsu

Serverbetriebssysteme (ohne HPC)

Quelle: www.pro-linux.de (zitiert Gartner und IDC)

Win-dows50.30

%

Linux28.00

%

Unix11.10

%andere10.60%




Gründe für Windows Server OS

• Mehrheit der Geschäftsanwendungen auf Betrieb unter Microsoft Server Betriebssystem ausgelegt

• weit verbreitetes Administratoren Know-How (inkl. Zertifizierungen)

• LDAP-basierter Directory Service "Active Directory"

• Virtualisierung mit Hyper-V (inkl. Clustering) im Preis enthalten

• riesiges "Universum" an Produkten und Diensten von Drittfirmen

• zentralisiertes Management

• Grundfunktionen enthalten

• erweiterte Funktionen in Form verschiedener Produkte erhältlich

• Wartung & Support durch Hersteller für 10+ Jahre (pro Version)

• unterschiedliche Generationen von Microsoft Serverbetriebssystemen sind (mit Einschränkungen) im gemischten Betrieb einsetzbar




Wenn FileMaker-Entwickler auf grössere Windows

Serverumgebungen treffen…




Wenn FileMaker-Entwickler auf grössere Windows Serverumgebungen treffen…

• stark beschränkte Zugangsberechtigungen

• Sicherheitseinstellungen oder spezielle Sicherheitssoftware, die starke Beschränkungen durchdrücken

• strenges, zentrales Patch- und Updatemanagement

• restriktive Handhabung von Portfreigaben auf Firewalls

• komplexe Netzwerkumgebungen mit diversen Sicherheitszonen

• ausschliesslich zentrale Authentifizierung via Active Directory

• Virtualisierungsumgebungen

• Systemadministratoren mit wenig Spielraum oder wenig Lust zur Kooperation

Womit muss der FileMaker-Entwickler rechnen?





• ohne Testing davon ausgehen, dass seine Lösung, die auf der Entwicklermaschine prächtig funktioniert hat, selbstverständlich auch in der komplexen Serverumgebung anstandslos läuft

• erwarten, dass die Admins einer komplexen Umgebung ihm sofort und ohne kritische Rückfragen alle Wünsche erfüllen

• ohne Rücksprache

• Software installieren oder deinstallieren

• grundlegende Servereinstellungen verändern

• Server neu starten oder herunterfahren

• Netzwerkkomponenten umkonfigurieren oder umstecken

• einfach 'mal ausprobieren, was alles gesperrt ist und was nicht

Was sollte ein FileMaker-Entwickler nicht tun?





• sich bei den Systemadministratoren über deren Erwartungen an eine Anwendung informieren und (falls nötig) Schnittstellen definieren

• die eigenen Anforderungen genau notieren

• zu installierende Software

• Verzeichnisse

• Zugriffe und Zugriffsrechte auf lokale und entfernte Ressourcen

• Netzwerkports

• Backupkonzept

• mit den Systemadministratoren das Gespräch suchen und deren Erwartungen mit den eigenen Anforderungen abgleichen

• sich (zumindest teilweise) an eine bestehende Umgebung anpassen

Was kann ein FileMaker-Entwickler tun, um die Zusammenarbeit mit Systemadministratoren fruchtbar zu gestalten?





• Bereitstellung eines Systems, welches komplett in die Umgebung integriert ist und nur noch auf die Installation von FileMaker Server wartet

• Systemmanagement und Systemwartung

• Backup

• Benutzermanagement (via Active Directory)

• Zugriffsrechte (soweit via Active Directory geregelt)

Welche Aufgaben werden dem FileMaker-Entwickler möglicherweise komplett abgenommen?




Active Directory




Was ist Active Directory?

• Active Directory (AD) ist ein Verzeichnisdienst

• Ein Verzeichnisdienst (directory service) ist ein Serverdienst, über welchen insbesondere Daten über Personen, deren Berechtigungen sowie über Rechner und deren Konfigurationen hinterlegt und abgefragt werden können.

• AD ist ein directory service aus der Familie der LDAP-basierten Verzeichnisdienste.

• LDAP = lightweight directory access protocol

• LDAP wurde 1993 an der Universität von Michigan entwickelt.

• Ein LDAP-Verzeichnis weist eine Baumstruktur auf.

• Es existieren sowohl Open Source Implementierungen (z.B. Linux) wie auch kommerzielle Implementierungen (z.B. AD).





dn: uid=bbeta, ou=employees, dc=fmk2014, dc=ch objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson uid: bbeta givenname: Berta sn: Beta cn: Berta Beta telephonenumber: +41 79 141 41 41 roomnumber: 9999 o: FMK 2014 mailRoutingAddress: [email protected] mailhost: mail.fmk2014.ch userpassword: {crypt}6xy234buq9 uidnumber: 1234 gidnumber: 1110 homedirectory: /home/bbeta loginshell: /usr/local/bin/bash

dc=ch

dc=fmk2014

ou=servers

uid=fmserv

uid=ctrl

ou=employees

uid=aalpha

uid=bbeta

ou=filemaker

uid=fmadmin








Warum hat Microsoft mit Active Directory seit Jahren Erfolg?

• Wieso ist AD seit seiner Einführung im Jahr 1999 einer der grössten "Knüller" von Microsoft?

• relativ leicht über Verwaltungswerkzeuge von Microsoft Server aufsetzbar und verwaltbar

• Verwaltungswerkzeuge helfen bei der engen Verzahnung mit weiteren, essentiellen Diensten, wie z.B. DNS, DHCP oder WINS

• GUI

• LDAP-Schema weitgehend vorgegeben

• Verzahnung mit weiteren Werkzeugen aus der Windows-Welt

• Group Policies

• Software Management & Deployment

• Microsoft Exchange Server

• usw.




Was ist eine Windows Domäne?

Directory Server

Management Server

File Server

Mail Server

Database Server

Web Server

Print Server

Security Groups

Organizational Units




Mein Demorechenzentrum

Intel NUC (Vorderansicht)

Intel NUC (Hinteransicht)





Intel NUC

• Intel Core i5-4250U

• 16 GB RAM

• 256 GB SSD

• Windows 8.1 Pro Hyper-V Host





Domain ControllerFile Server




Praktische Tipps und kleine Demos zu FMS in Windows Domänen




Tipps zur Installation von FileMaker Server in Windows Domänen

• Worauf muss FileMaker Server Zugriff haben?

• lokaler Zugriff auf dem FileMaker Server

• Zugriff auf Netzwerkressourcen in der Domäne

• Scheduled Scripts

• Werden Importe oder Exporte durchgeführt?

• Wohin sind Importe/Exporte möglich?

• Kopplung von FileMaker Server mit Active Directory

• Firewall Ports

• Firewall "Edgeausnahme"




Installation von FileMaker Server
















Zugriffsrechte von FileMaker ServerExternal Data Sources




Zugriffsrechte von FileMaker ServerManage Containers

Auslagerung von Containerdaten ins Netzwerk nur von FileMaker Pro aus. Funktioniert nicht mit FileMaker Server!









Auslagerung von Containerdaten auf Netzwerkshares ist nativ nur von FileMaker Pro aus möglich. Mittels Server-Plugins lässt sichdie Beschränkung umgehen.





Ausgelagerte Containerdaten werden auf FileMaker Server in einem Unterverzeichnis von RC_Data_FMS gespeichert.




Installation von FileMaker ServerImport/Export via Scheduled Script• FileMaker Knowledge Base Answer ID 7035

• nur bestimmte Dateiformate unterstützt, *.fmp12 gehört NICHT dazu

• nur 2 Ordner + Unterordner unterstützt

• Get ( DocumentsPath )

• Get ( TemporaryPath )

• Je nachdem, was mit den Dateien vor und nach dem Import/Export geschieht, kann es notwendig sein, für den Import/Export-Ordner eine Dateifreigabe zu definieren.




Installation von FileMaker ServerImport/Export via Scheduled Script

Demo




Installation von FileMaker ServerKopplung mit Active Directory












Installation von FileMaker ServerFirewall Ports












Installation von FileMaker ServerFirewall Edgeausnahme




Authentifizierung via AD

AD Security GroupPrivilege Set




Authentifizierung via AD

deaktivieren!!!




Authentifizierung via ADkombiniert mit eigenen Berechtigungen

• Es ist innerhalb von FileMaker leider unmöglich, abzufragen zu welcher AD Sicherheitsgruppe ein angemeldeter Benutzer gehört.

• Die einzige Information, welche innerhalb von FileMaker direkt zugänglich ist, ist der AD Benutzername mittels Get ( AccountName ).

• Wenn man pro AD Sicherheitsgruppe ein Privilege Set erstellt, kann man die AD Sicherheitsgruppe indirekt via Get ( AccountPrivilegeSetName ) abfragen.

• Wenn man sich die Mühe macht innerhalb von FileMaker alle Benutzerkonti des AD mitzuführen (evtl. automatisch aktualisiert), lassen sich mit FileMaker-eigenen Mitteln sehr feingranuläre Berechtigungen implementieren.

• ACHTUNG: Die FileMaker Funktion Get ( AccountName ) liefert nicht immer zurück, was man erwarten würde!




Authentifizierung via ADkombiniert mit eigenen Berechtigungen

Demo




Vielen Dank unseren Sponsoren

Danke für das Bewerten dieses Vortrages