Skip To Content

Konfigurieren des ArcGIS Server-Kontos

ArcGIS Server muss Prozesse starten und beenden, Daten lesen und an Speicherorte im Dateisystem schreiben sowie mit Computern kommunizieren. Für die sichere Ausführung dieser Schritte wird ein Betriebssystemkonto verwendet, das Sie bei der Installation von ArcGIS Server festlegen. Dieses wird in der Dokumentation als ArcGIS Server-Konto bezeichnet.

Einsatzbereich des ArcGIS Server-Kontos

Das ArcGIS Server-Konto wird für folgende Aufgaben verwendet:

  • Prozesse, die ArcGIS Server und -Services unterstützen, starten und beenden
  • im Hintergrund der Dienste die GIS-Daten lesen, wenn die registrierte Datenbank Betriebssystemauthentifizierung verwendet
  • Dateien in den ArcGIS Server-Verzeichnissen lesen und schreiben; wenn Sie einen Karten-Cache erstellen, schreibt das ArcGIS Server-Konto beispielsweise die Cache-Kacheln in das Server-Cache-Verzeichnis.
  • Dateien im Konfigurationsspeicher lesen und schreiben
  • Dateien am ArcGIS Server-Installationsspeicherort und im temporären Systemverzeichnis lesen und schreiben; das Konto schreibt beispielsweise Protokolldateien, mit denen Sie Probleme des Servers behandeln können.
  • Protokollmeldungen im Protokollverzeichnis lesen und schreiben
Hinweis:

Das ArcGIS Server-Konto ist nicht identisch mit dem primären Site-Administrator, den Sie beim Erstellen der ArcGIS Server-Site festlegen. Weitere Informationen hierzu finden Sie unter Sichern Ihrer ArcGIS Server-Site.

Als ArcGIS Server-Konto festzulegendes Konto

Für das ArcGIS Server-Konto wird standardmäßig der Name "arcgis" verwendet. Diese Standardeinstellung ist für die meisten nicht produktionsbezogenen Bereitstellungen ausreichend. Bei Produktionssystemen empfiehlt sich jedoch, vor der Installation von ArcGIS Server ein Domänen- oder ein Active Directory-Konto zu erstellen. Wenn die Sicherheitsrichtlinie Ihrer Organisation nur für einen bestimmten Zeitraum gültige Kennwörter erfordert, müssen Sie das Dienstprogramm ArcGIS Server-Konto konfigurieren ausführen, um das abgelaufene Kennwort zu aktualisieren.

Sie können ein lokales Konto oder ein Domänenkonto auswählen. Sie können beim Installieren von ArcGIS Server auf dem ersten Computer der Site die Setupkonfigurationsdatei exportieren und diese verwenden, wenn Sie ArcGIS Server auf den anderen Computern der Site installieren. So können Sie sicherstellen, dass das ArcGIS Server-Konto auf allen Computern der Site genau gleich konfiguriert ist.

Domänenkonto

Ein Domänenkonto ermöglicht den Zugriff auf Daten in Remote-Systemen. Ein Domänenkonto ist auch aus Sicherheitsgründen vorzuziehen, da das Konto zentral verwaltet wird.

Wenn Sie ein Domänenkonto angeben, verwenden Sie das Format DOMAIN\username. Wenn Sie keine Domäne festlegen, erstellt der ArcGIS Server-Installationsassistent ein lokales Konto mit dem von Ihnen angegebenen Benutzernamen. Wenn Sie ein Domänenkonto angeben, das nicht vorhanden ist, wird bei der Installation ein Fehler zurückgegeben.

Wenn Sie keine Anmelderechte für den Computer haben, auf dem ArcGIS Server installiert ist, wird bei der Installation eine Fehlermeldung angezeigt. Es ist nicht notwendig, dem ArcGIS Server-Konto die Gruppenrichtlinieneinstellungen "Lokal anmelden" zu erteilen. Weitere Informationen für die Verwendung von Domänenkonten finden Sie unter Szenarien der erweiterten Konfiguration.

Lokales Konto

Wenn Sie ein lokales Konto ausgewählt haben, muss dieses zusammen mit dem Kennwort auf jedem Computer der ArcGIS Server-Site vorhanden und identisch sein. Sie können auf jedem Computer das lokale Konto mit demselben Kennwort erstellen, bevor Sie ArcGIS Server installieren, oder das lokale Konto vom ArcGIS Server-Installationsassistenten erstellen lassen. Sie müssen auf jedem Computer der Site den gleichen Benutzernamen und das gleiche Kennwort verwenden.

Wenn Sie im Rahmen der Installation ein neues lokales Konto erstellt haben, muss das Kennwort, das Sie für das Konto angeben, der lokalen Sicherheitsrichtlinie des Betriebssystems entsprechen. Wenn das Kennwort die minimale Kennwortstärke des Betriebssystems nicht erfüllt, wird bei der Installation ein Fehler zurückgegeben. Entnehmen Sie der Microsoft-Dokumentation die von Ihnen verwendete Windows-Version, um zu ermitteln, wie Sie die Sicherheitsrichtlinie auf Ihren Computern überprüfen.

Gruppenverwaltetes Dienstkonto

Ein gruppenverwaltetes Dienstkonto (gMSA) ist ein spezielles Active Directory-Domänenkonto, das die automatische Verwaltung von Kennwörtern ermöglicht. Das Konto kann nicht für interaktive Anmeldungen verwendet werden, und seine Verwendung ist auf vordefinierte Servergruppen beschränkt.

Die Verwendung eines gMSA ist insbesondere dann sinnvoll, wenn über ein Dienstkonto Software auf mehreren Computern gesteuert wird, beispielsweise in einer ArcGIS Server. Da das gMSA auf Domänenebene konfiguriert ist, kann damit das Dienstkonto-Kennwort für jeden Computer regelmäßig geändert werden, ohne dass manuelle Schritte erforderlich sind.

Mit dem unten beschriebenen Befehlszeilenwerkzeug ServerConfigurationUtility kann der ArcGIS Server-Service für die Ausführung unter einem gMSA konfiguriert werden. Im Parameter für den Benutzernamen kann das gruppenverwaltete Dienstkonto mit oder ohne das Zeichen $ am Ende der Zeichenfolge angegeben werden. Der password-Parameter ist nicht erforderlich. Die Funktion der readconfig- und writeconfig-Parameter bleibt bei Verwendung eines gruppenverwalteten Dienstkontos unverändert.

Ein gMSA kann zum Beispiel mit folgendem Befehl als ArcGIS Server-Konto konfiguriert werden:

ServerConfigurationUtility.exe /username mydomain\enterprise-gmsa$ /writeconfig c:\temp\domainaccountconfig.xml

Ausführen des Windows-Service mit dem nativen lokalen Systemkonto von ArcGIS Server

Sie können zum Ausführen des ArcGIS Server-Service das native LocalSystem-Konto von Windows verwenden. Jedoch empfiehlt sich dessen Verwendung aus den folgenden Gründen nicht:

  • Das LocalSystem-Konto von Windows verfügt über hohe Berechtigungen, und dies hat Auswirkungen auf die Sicherheit. Weitere Informationen finden Sie unter Verwenden des LocalSystem-Kontos als Dienstanmeldungskonto im Microsoft Development Center.
  • Das LocalSystem-Konto ist nicht für den Zugriff auf Netzwerkstandorte vorgesehen. Für den Zugriff auf den Service und die Site-Daten unter Verwendung des LocalSystem-Kontos müssen die Daten lokal gespeichert werden.
  • In einer Site mit mehreren Computern kann LocalSystem nicht als ArcGIS Server-Konto verwendet werden.

Berechtigungen für das ArcGIS Server-Konto

Durch die Installation von ArcGIS Server werden dem ArcGIS Server-Konto Berechtigungen zur Durchführung grundlegender Funktionen wie das Starten und Beenden von Serverprozessen erteilt. Zudem werden dem Konto Leseberechtigungen für alle Ordner im Installationsverzeichnis von ArcGIS Server sowie Berechtigungen zum Vollzugriff auf die folgenden Ordner gewährt:

  • <ArcGIS for Server installation directory>\framework
  • <ArcGIS for Server installation directory>\usr
  • <ArcGIS for Server installation directory>\bin
  • <ArcGIS for Server installation directory>\XMLSchema
  • <ArcGIS for Server installation directory> \DatabaseSupport

Bevor Sie die Site erstellen, müssen Sie dem ArcGIS Server-Konto folgende Berechtigungen erteilen:

  • Berechtigungen zum Vollzugriff für den Speicherort, an dem die Serververzeichnisse erstellt werden. Sie müssen dem ArcGIS Server-Konto Lese- und Schreibberechtigungen für jedes neue Serververzeichnis erteilen, das Sie nach der Site-Konfiguration erstellen.
  • Berechtigungen zum Vollzugriff für den Speicherort, an dem der Konfigurationsspeicher erstellt wird.
  • Berechtigungen zum Vollzugriff für das Verzeichnis, in dem ArcGIS Server-Protokolle gespeichert werden, und Berechtigungen zum Erstellen dieses Ordners, wenn Sie diesen nicht bereits manuell erstellt haben. Dieses Verzeichnis ist standardmäßig C:\arcgisserver\logs.
  • Leseberechtigungen für die Verzeichnisse, in denen sich Datenbankverbindungsdateien befinden, die Sie vor dem Veröffentlichen von Web-Services bei der ArcGIS Server-Site registrieren. Wenn Sie die Windows-Authentifizierung anstelle der Datenbankauthentifizierung verwenden, müssen Sie dem ArcGIS Server-Konto auch Schreibzugriff gewähren.
  • Leseberechtigungen für die GIS-Datenordner, die Sie vor dem Veröffentlichen von Web-Services bei der ArcGIS Server-Site registrieren. Wenn Sie zulassen, dass beim Veröffentlichen die Daten auf den Server kopiert werden (siehe Kopieren von Daten beim Veröffentlichen auf ArcGIS Server), werden die Daten in den Serververzeichnissen gespeichert, für die das ArcGIS Server-Konto bereits über Berechtigungen verfügt. Den ursprünglichen Serververzeichnissen müssen keine weiteren Berechtigungen gewährt werden.
  • Vollzugriff für Ordner "Python27". Wenn Sie ArcGIS Server auf dem Laufwerk C: installiert haben, befindet sich dieser Ordner standardmäßig unter C:\Python27.

Wenn Sie die Site erstellen, werden dem ArcGIS Server-Konto Lese- und Schreibzugriff auf das ArcGIS Server-Protokollverzeichnis gewährt. Wenn Sie einen neuen Speicherort für die Protokolle erstellen, müssen Sie dem ArcGIS Server-Konto manuell Lese- und Schreibzugriff darauf erteilen.

Das ArcGIS Server-Konto muss sich auf keinem Computer der Site in der Gruppe der Windows-Administratoren befinden.

Ändern des ArcGIS Server-Kontos

Zum Ändern des ArcGIS Server-Kontos müssen Sie die Installation von ArcGIS Server nicht erneut ausführen. Nach der Installation können Sie das Konto mithilfe des Dienstprogramms "ArcGIS Server-Konto konfigurieren" ändern, das in der Software enthalten ist. Dies ist möglicherweise bei einer Änderung der Sicherheitsrichtlinie oder der Behebung von Problemen mit dem Server erforderlich.

Verwenden Sie dieses Dienstprogramm, statt das ArcGIS Server-Konto manuell mithilfe der Betriebssystemwerkzeuge zu ändern. Das Dienstprogramm wendet Berechtigungen auf alle erforderlichen Verzeichnisse (wie oben erläutert) auf allen Computern der Bereitstellung an. Hiervon ausgenommen ist das Verzeichnis "Python 2.7". Wenn Sie das Konto manuell ändern und Ihnen dabei ein Fehler unterläuft, kann ein Serverfehler verursacht werden, der zu Systemausfällen führt.

Hinweis:

Das Dienstprogramm "ArcGIS Server-Konto konfigurieren" gewährt keine Berechtigung für das Verzeichnis "Python 2.7". Sie müssen die Berechtigung für das Verzeichnis "Python 2.7" nach der Verwendung des Dienstprogramms manuell gewähren.

Führen Sie folgende Schritte aus, um das ArcGIS Server-Konto mithilfe des Dienstprogramms zu ändern:

  1. Öffnen Sie auf einem der Computer der ArcGIS Server-Site das Dienstprogramm ArcGIS-Server-Konto konfigurieren.
  2. Geben Sie den Namen und das Kennwort des Kontos an, das Sie als ArcGIS Server-Konto festlegen möchten. Klicken Sie auf Weiter.
  3. Optional können Sie das Stammserververzeichnis und die Konfigurationsspeicherorte angeben, die von der ArcGIS Server-Site verwendet werden. Beispiel:
    • Wenn das Stammverzeichnis des Servers und der Konfigurationsspeicher über lokale Laufwerksbuchstabenpfade verfügbar sind und Sie diese Verzeichnisse im Dienstprogramm angeben, gewährt das Dienstprogramm dem neuen Konto automatisch die Lese- und Schreibberechtigungen für diese Verzeichnisse.
    • Wenn das Stammserververzeichnis und der Konfigurationsspeicher Netzwerkpfade (UNC) nutzen, füllen Sie diese Felder nicht aus und gewähren Sie dem neuen Konto die Lese- und Schreibberechtigungen für diese Verzeichnisse manuell, nachdem Sie das Dienstprogramm beendet haben.
  4. Geben Sie optional das Protokollverzeichnis an.

    Wenn Sie ein Verzeichnis eingeben, gewährt das Dienstprogramm dem neuen Konto die Lese- und Schreibberechtigungen für dieses Verzeichnis automatisch. Wenn Sie dieses Feld nicht ausfüllen, müssen Sie dem neuen Konto die Lese- und Schreibberechtigungen für die Verzeichnisse auf jedem Computer der ArcGIS Server-Site manuell erteilen, nachdem Sie das Dienstprogramm beendet haben.

    Hinweis:

    Das Protokollverzeichnis hat keinen Bezug zu den Serververzeichnissen oder dem Speicherort für den Konfigurationsspeicher. Wenn Sie das Protokollverzeichnis ändern, achten Sie nach Möglichkeit darauf, den Speicherort auf der Stammverzeichnisebene der ArcGIS Server-Site einzurichten. Ein Netzwerkverzeichnis kann nicht als Speicherort für die Protokolle angegeben werden. Weitere Informationen finden Sie unter Serverprotokolle.

  5. Klicken Sie auf Weiter.
  6. Im Dialogfeld Serverkonfigurationsdatei exportieren ist Folgendes zu beachten:
    • Wenn die ArcGIS Server-Site mehrere Computer enthält, exportieren Sie die Konfigurationsdatei. Auf diese Weise müssen Sie die Informationen für die übrigen Rechner der Site nicht erneut im Dienstprogramm eingeben. So können Sie sicherstellen, dass das ArcGIS Server-Konto auf allen Computern der Site genau gleich konfiguriert ist. Geben Sie einen sicheren Speicherort für die Konfigurationsdatei an, und klicken Sie auf Weiter.
    • Sie können die Konfigurationsdatei exportieren und speichern, wenn die ArcGIS Server-Site nur einen Computer enthält. Speichern Sie sie an einem sicheren Ort, und klicken Sie auf Weiter.
  7. Überprüfen Sie im Zusammenfassungsbereich die Kontoeigenschaften, und klicken Sie auf Konfigurieren.

    Das neue Konto wird als ArcGIS Server-Konto konfiguriert.

  8. Schließen Sie das Dienstprogramm.
  9. Führen Sie das Dienstprogramm auf jedem Rechner der Site aus.

    Sie können das Dienstprogramm auf die zuvor erstellte Konfigurationsdatei verweisen oder die oben angegebenen Informationen erneut eingeben.

  10. Gewähren Sie dem neuen Konto Leseberechtigungen für die Datenverzeichnisse und die Datenbankverbindungsdateien, die Sie bei der ArcGIS Server-Site registriert haben. Wenn Sie die Windows-Authentifizierung anstelle der Datenbankauthentifizierung verwenden, müssen Sie dem Konto auch Schreibzugriff auf die Verbindungsdateien gewähren.

Ändern des ArcGIS Server-Kontos über die Befehlszeile

Statt den Dienstprogrammassistenten "ArcGIS Server-Konto konfigurieren" auszuführen, können Sie die ausführbare Datei über eine Befehlszeile ausführen. Das Befehlszeilendienstprogramm ServerConfigurationUtility.exe ist im Verzeichnis <ArcGIS Server installation location>\bin installiert. Sie können für Aktualisierungen des ArcGIS Server-Kontos ein Skript erstellen, nachdem Sie Aktualisierungen auf die Sicherheitsrichtlinie der Organisation angewendet haben.

Hinweis:

Bei Active Directory-Benutzern benötigt ServerConfigurationUtility.exe ein DNS-Suffix, mit dem das angegebene Konto gefunden werden kann.

Folgende Parameter stehen zur Verfügung:

ServerConfigurationUtility [/readconfig] | [/writeconfig] | [/username] | [/password] | [/rsdir] | [/csdir] | [/logsdir]

  • <readconfig>: optionaler Pfad zu einer Konfigurationsdatei, die Sie bei einer früheren Ausführung des Dienstprogramms gespeichert haben
  • <writeconfig>: optionaler Pfad, unter dem eine Konfigurationsdatei gespeichert wird, damit dieselben Eigenschaften bei zukünftigen Ausführungen des Dienstprogramms angewendet werden können
  • <Benutzername>: Der für das ArcGIS Server-Konto zu verwendende Benutzername
  • <Kennwort>: Das Kennwort für das ArcGIS Server-Konto
  • <rsdir>: Der Pfad des Stammserververzeichnisses Dieser Parameter ist optional, wenn er jedoch nicht bereitgestellt wird, müssen dem ArcGIS Server-Konto die Lese- und Schreibberechtigungen für das Stammverzeichnis des Servers manuell gewährt werden.
  • <csdir>: Das Verzeichnis des Konfigurationsspeichers Dieser Parameter ist optional, wenn er jedoch nicht bereitgestellt wird, müssen dem ArcGIS Server-Konto die Lese- und Schreibberechtigungen für den Konfigurationsspeicher manuell gewährt werden.
  • <logsdir>: Der Pfad zum ArcGIS Server-Protokollverzeichnis Dieser Parameter ist optional, wenn er jedoch nicht bereitgestellt wird, müssen dem ArcGIS Server-Konto die Lese- und Schreibberechtigungen für das Protokollverzeichnis manuell gewährt werden.

Beispiel: ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs

Angeben des Gebietsschemas des ArcGIS Server-Kontos

Als Gebietsschema des ArcGIS Server-Kontos ist das Gebietsschema des Windows-Kontos festgelegt, das während der Installation angegeben wurde. Wenn kein Konto angegeben wurde und der Standardwert (arcgis) verwendet wird, wird das Gebietsschema des Kontos durch Ihre Betriebssystemeinstellungen festgelegt. Das Gebietsschema ist wichtig, da alle von ArcGIS Server generierten Meldungen (z. B. Protokolle) im Gebietsschema des ArcGIS Server-Kontos angezeigt werden. Um die Meldungen in einer anderen Sprache oder einem anderen Format anzuzeigen, müssen Sie für jeden Computer der ArcGIS Server-Site die Anzeigesprache für das ArcGIS Server-Konto ändern. Spezielle Anweisungen für die von Ihnen verwendete Betriebssystemversion finden Sie in der Microsoft-Dokumentation.