Ein ArcGIS Server muss Prozesse starten und beenden, Daten lesen und an Speicherorte im Dateisystem schreiben sowie mit Computern kommunizieren. Für die sichere Ausführung dieser Schritte wird ein Betriebssystemkonto verwendet, das Sie bei der Installation von ArcGIS Server festlegen. Dieses wird in der Dokumentation als ArcGIS Server-Konto bezeichnet.
Einsatzbereich des ArcGIS Server-Kontos
Das ArcGIS Server-Konto wird für folgende Aufgaben verwendet:
- Prozesse, die ArcGIS Server und -Services unterstützen, starten und beenden
- im Hintergrund der Dienste die GIS-Daten lesen, wenn die registrierte Datenbank Betriebssystemauthentifizierung verwendet
- Dateien in den ArcGIS Server-Verzeichnissen lesen und schreiben; wenn Sie einen Karten-Cache erstellen, schreibt das ArcGIS Server-Konto beispielsweise die Cache-Kacheln in das Server-Cache-Verzeichnis.
- Dateien im Konfigurationsspeicher lesen und schreiben
- Dateien am ArcGIS Server-Installationsspeicherort und im temporären Systemverzeichnis lesen und schreiben; das Konto schreibt beispielsweise Protokolldateien, mit denen Sie Probleme des Servers behandeln können.
- Protokollmeldungen im Protokollverzeichnis lesen und schreiben
Hinweis:
Das ArcGIS Server-Konto ist nicht identisch mit dem primären Site-Administrator, den Sie beim Erstellen der ArcGIS Server-Site festlegen. Weitere Informationen hierzu finden Sie unter Sichern Ihrer ArcGIS Server-Site.
Als ArcGIS Server-Konto festzulegendes Konto
Für das ArcGIS Server-Konto wird standardmäßig der Name "arcgis" verwendet. Diese Standardeinstellung ist für die meisten nicht produktionsbezogenen Bereitstellungen ausreichend. Bei Produktionssystemen wird jedoch von Esri empfohlen, vor der Installation von ArcGIS Server ein Domänen- oder ein Active Directory-Konto zu erstellen. Wenn die Sicherheitsrichtlinie Ihrer Organisation nur für einen bestimmten Zeitraum gültige Kennwörter erfordert, müssen Sie das Dienstprogramm ArcGIS Server-Konto konfigurieren ausführen, um das abgelaufene Kennwort zu aktualisieren.
Sie können ein lokales Konto oder ein Domänenkonto auswählen. Sie können beim Installieren von ArcGIS Server auf dem ersten Computer der Site die Setupkonfigurationsdatei exportieren und diese verwenden, wenn Sie ArcGIS Server auf den anderen Computern der Site installieren. So können Sie sicherstellen, dass das ArcGIS Server-Konto auf allen Computern der Site genau gleich konfiguriert ist.
Domänenkonto
Ein Domänenkonto vereinfacht den Zugriff auf Daten in Remote-Systemen. Ein Domänenkonto ist auch aus Sicherheitsgründen vorzuziehen, da das Konto zentral verwaltet wird.
Wenn Sie ein Domänenkonto angeben, verwenden Sie das Format DOMAIN\Benutzername. Wenn Sie keine Domäne festlegen, erstellt der ArcGIS Server-Installationsassistent ein lokales Konto mit dem von Ihnen angegebenen Benutzernamen. Wenn Sie ein Domänenkonto angeben, das nicht vorhanden ist, wird bei der Installation ein Fehler zurückgegeben.
Wenn Sie keine Anmelderechte für den Computer haben, auf dem ArcGIS Server installiert ist, wird bei der Installation eine Fehlermeldung angezeigt. Es ist nicht notwendig, dem ArcGIS Server-Konto die Gruppenrichtlinieneinstellungen Lokal anmelden zu erteilen. Weitere Informationen finden Sie unter Erweiterte Überlegungen bei der Verwendung von Domänenkonten.
Lokales Konto
Wenn Sie ein lokales Konto ausgewählt haben, muss dieses zusammen mit dem Kennwort auf jedem Computer der ArcGIS Server-Site vorhanden und identisch sein. Sie können auf jedem Computer das lokale Konto mit demselben Kennwort erstellen, bevor Sie ArcGIS Server installieren, oder das lokale Konto vom ArcGIS Server-Installationsassistenten erstellen lassen. Sie müssen jedoch sicherstellen, dass auf jedem Computer der Site der gleiche Benutzername und das gleiche Kennwort verwendet werden.
Wenn Sie im Rahmen der Installation ein lokales Konto erstellt haben, muss das Kennwort, das Sie für das Konto angeben, der lokalen Sicherheitsrichtlinie des Betriebssystems entsprechen. Wenn das Kennwort die minimale Kennwortstärke des Betriebssystems nicht erfüllt, wird bei der Installation ein Fehler zurückgegeben. Entnehmen Sie der Microsoft-Dokumentation die von Ihnen verwendete Windows-Version, um zu ermitteln, wie Sie die Sicherheitsrichtlinie auf Ihren Computern überprüfen.
Gruppenverwaltetes Dienstkonto
Ein gruppenverwaltetes Dienstkonto (gMSA) ist ein spezielles Active Directory-Domänenkonto, das die automatische Verwaltung von Kennwörtern ermöglicht. Das Konto kann nicht für interaktive Anmeldungen verwendet werden, und seine Verwendung ist auf vordefinierte Servergruppen beschränkt.
Die Verwendung eines gMSA ist insbesondere dann sinnvoll, wenn über ein Dienstkonto Software auf mehreren Computern gesteuert wird, beispielsweise in einer ArcGIS Server. Da das gMSA auf Domänenebene konfiguriert ist, kann damit das Dienstkonto-Kennwort für jeden Computer regelmäßig geändert werden, ohne dass manuelle Schritte erforderlich sind.
Mit dem unten beschriebenen Befehlszeilenwerkzeug ServerConfigurationUtility kann der ArcGIS Server-Service für die Ausführung unter einem gMSA konfiguriert werden. Im Parameter für den Benutzernamen kann das gruppenverwaltete Service-Konto mit oder ohne das Zeichen $ am Ende der Zeichenfolge angegeben werden. Der password-Parameter ist nicht erforderlich. Die Funktion der readconfig- und writeconfig-Parameter bleibt bei Verwendung eines gruppenverwalteten Service-Kontos unverändert.
Ein gMSA kann zum Beispiel mit folgendem Befehl als ArcGIS Server-Konto konfiguriert werden:
ServerConfigurationUtility.exe /username mydomain\enterprise-gmsa$ /writeconfig c:\temp\domainaccountconfig.xml
Kann ich zum Ausführen des ArcGIS Server-Service das native lokale Systemkonto von Windows verwenden?
Ja. Dies wird jedoch aus den folgenden Gründen nicht empfohlen:
- Das LocalSystem-Konto von Windows verfügt über hohe Berechtigungen, und dies hat Auswirkungen auf die Sicherheit. Weitere Informationen finden Sie unter Das LocalSystem-Konto im Microsoft Development Center.
- Das LocalSystem-Konto ist nicht für den Zugriff auf Netzwerkstandorte vorgesehen. Für den Zugriff auf den Service und die Site-Daten unter Verwendung des LocalSystem-Kontos müssen die Daten lokal gespeichert werden.
- In einer Site mit mehreren Computern kann LocalSystem nicht als ArcGIS Server-Konto verwendet werden.
Welche Berechtigungen müssen dem ArcGIS Server-Konto zugewiesen werden?
Durch die Installation von ArcGIS Server werden dem ArcGIS Server-Konto Berechtigungen zur Durchführung grundlegender Funktionen wie das Starten und Beenden von Serverprozessen erteilt. Zudem werden dem Konto Leseberechtigungen für alle Ordner im Installationsverzeichnis von ArcGIS Server sowie Berechtigungen zum Vollzugriff auf die folgenden Ordner gewährt:
- <ArcGIS Server installation directory>\framework
- <ArcGIS Server installation directory>\usr
- <ArcGIS Server installation directory>\bin
- <ArcGIS Server installation directory>\XMLSchema
- <ArcGIS Server installation directory>\DatabaseSupport
Bevor Sie die Site erstellen, müssen Sie dem ArcGIS Server-Konto folgende Berechtigungen erteilen:
- Berechtigungen zum Vollzugriff für den Speicherort, an dem die Serververzeichnisse erstellt werden. Beachten Sie, dass Sie dem ArcGIS Server-Konto Lese- und Schreibberechtigungen für jedes neue Serververzeichnis erteilen müssen, das Sie nach der Site-Konfiguration erstellen.
- Berechtigungen zum Vollzugriff für den Speicherort, an dem der Konfigurationsspeicher erstellt wird.
- Berechtigungen zum Vollzugriff für das Verzeichnis, in dem ArcGIS Server-Protokolle gespeichert werden, und Berechtigungen zum Erstellen dieses Ordners, wenn Sie diesen nicht bereits manuell erstellt haben. Dieses Verzeichnis ist standardmäßig C:\arcgisserver\logs.
- Leseberechtigungen für die Verzeichnisse, in denen sich Datenbankverbindungsdateien befinden, die Sie vor dem Veröffentlichen von Web-Services bei der ArcGIS Server-Site registrieren. Wenn Sie die Windows-Authentifizierung anstelle der Datenbankauthentifizierung verwenden, müssen Sie dem ArcGIS Server-Konto auch Schreibzugriff gewähren.
- Leseberechtigungen für die GIS-Datenordner, die Sie vor dem Veröffentlichen von Web-Services bei der ArcGIS Server-Site registrieren. Wenn Sie zulassen, dass beim Veröffentlichen die Daten auf den Server kopiert werden (siehe Automatisches Kopieren von Daten auf den Server beim Veröffentlichen), werden die Daten in den Serververzeichnissen gespeichert, für die das ArcGIS Server-Konto bereits über Berechtigungen verfügt. Den ursprünglichen Serververzeichnissen müssen keine weiteren Berechtigungen gewährt werden.
- Vollzugriff für den Ordner "Python27". Dieser Ordner ist nur vorhanden, wenn Sie die Funktion zur Unterstützung der ArcMap-Runtime in ArcGIS Server 10.9.1 aktivieren. Wenn Sie ArcGIS Server auf dem Laufwerk C: installiert haben, befindet sich dieser Ordner standardmäßig unter C:\Python27.
Wenn Sie die Site erstellen, werden dem ArcGIS Server-Konto Lese- und Schreibzugriff auf das ArcGIS Server-Protokollverzeichnis gewährt. Wenn Sie einen neuen Speicherort für die Protokolle erstellen, müssen Sie dem ArcGIS Server-Konto den Lese- und Schreibzugriff manuell gewähren.
Das ArcGIS Server-Konto muss sich auf keinem Computer der Site in der Gruppe der Windows-Administratoren befinden.
Ändern des ArcGIS Server-Kontos
Zum Ändern des ArcGIS Server-Kontos müssen Sie die Installation von ArcGIS Server nicht erneut ausführen. Nach der Installation können Sie das Konto mithilfe des Dienstprogramms "ArcGIS Server-Konto konfigurieren" ändern, das in der Software enthalten ist. Dies ist möglicherweise bei einer Änderung der Sicherheitsrichtlinie oder der Behebung von Problemen mit dem Server erforderlich.
Verwenden Sie dieses Dienstprogramm, statt das ArcGIS Server-Konto manuell mithilfe der Betriebssystemwerkzeuge zu ändern. Das Dienstprogramm wendet Berechtigungen auf alle erforderlichen Verzeichnisse (wie oben erläutert) auf allen Computern der Bereitstellung an. Hiervon ausgenommen ist das Verzeichnis "Python 2.7". Wenn Sie das Konto manuell ändern und Ihnen dabei ein Fehler unterläuft, könnte ein Serverfehler verursacht werden, der zu Systemausfällen führt.
Hinweis:
Das Dienstprogramm "ArcGIS Server-Konto konfigurieren" gewährt keine Berechtigung für das Verzeichnis "Python 2.7". Sie müssen die Berechtigung für das Verzeichnis "Python 2.7" nach der Verwendung des Dienstprogramms manuell gewähren.
Führen Sie folgende Schritte aus, um das ArcGIS Server-Konto mithilfe des Dienstprogramms zu ändern:
- Öffnen Sie auf einem der Computer der ArcGIS Server-Site das Dienstprogramm ArcGIS-Server-Konto konfigurieren.
- Geben Sie den Namen und das Kennwort des Kontos an, das Sie als ArcGIS Server-Konto festlegen möchten. Klicken Sie auf Weiter.
- Optional können Sie das Stammserververzeichnis und die Konfigurationsspeicherorte angeben, die von der ArcGIS Server-Site verwendet werden. Beispiel:
- Wenn das Stammverzeichnis des Servers und der Konfigurationsspeicher über lokale Laufwerksbuchstabenpfade verfügbar sind und Sie diese Verzeichnisse im Dienstprogramm angeben, gewährt das Dienstprogramm dem neuen Konto automatisch die Lese- und Schreibberechtigungen für diese Verzeichnisse.
- Wenn das Stammserververzeichnis und der Konfigurationsspeicher Netzwerkpfade (UNC) nutzen, füllen Sie diese Felder nicht aus und gewähren Sie dem neuen Konto die Lese- und Schreibberechtigungen für diese Verzeichnisse manuell, nachdem Sie das Dienstprogramm beendet haben.
- Geben Sie optional das Protokollverzeichnis an. Wenn Sie ein Verzeichnis eingeben, gewährt das Dienstprogramm dem neuen Konto die Lese- und Schreibberechtigungen für dieses Verzeichnis automatisch. Wenn Sie dieses Feld nicht ausfüllen, müssen Sie dem neuen Konto die Lese- und Schreibberechtigungen für die Verzeichnisse auf jedem Computer der ArcGIS Server-Site manuell erteilen, nachdem Sie das Dienstprogramm beendet haben.
Hinweis:
Das Protokollverzeichnis hat keinen Bezug zu den Serververzeichnissen oder dem Speicherort für den Konfigurationsspeicher. Wenn Sie das Protokollverzeichnis ändern, achten Sie nach Möglichkeit darauf, den Speicherort auf der Stammverzeichnisebene der ArcGIS Server-Site einzurichten. Ein Netzwerkverzeichnis kann nicht als Speicherort für die Protokolle angegeben werden. Weitere Informationen finden Sie unter Serverprotokolle.
- Klicken Sie auf Weiter.
- Im Dialogfeld Serverkonfigurationsdatei exportieren ist Folgendes zu beachten:
- Wenn die ArcGIS Server-Site mehrere Computer enthält, exportieren Sie die Konfigurationsdatei. Auf diese Weise müssen Sie die Informationen für die übrigen Rechner der Site nicht erneut im Dienstprogramm eingeben. So können Sie sicherstellen, dass das ArcGIS Server-Konto auf allen Computern der Site genau gleich konfiguriert ist. Geben Sie einen sicheren Speicherort für die Konfigurationsdatei an, und klicken Sie auf Weiter.
- Sie können die Konfigurationsdatei exportieren und optional speichern, wenn die ArcGIS Server-Site nur einen Computer enthält. Speichern Sie sie an einem sicheren Ort, und klicken Sie auf Weiter.
- Überprüfen Sie im Zusammenfassungsbereich die Kontoeigenschaften, und klicken Sie auf Konfigurieren. Das neue Konto wird als ArcGIS Server-Konto konfiguriert. Schließen Sie das Dienstprogramm.
- Führen Sie das Dienstprogramm auf jedem Rechner der Site aus. Sie können das Dienstprogramm auf die zuvor erstellte Konfigurationsdatei verweisen oder die oben angegebenen Informationen erneut eingeben.
- Gewähren Sie dem neuen Konto die Leseberechtigungen für die Datenverzeichnisse und die Datenbankverbindungsdateien, die Sie bei der ArcGIS Server-Site registriert haben. Wenn Sie die Windows-Authentifizierung anstelle der Datenbankauthentifizierung verwenden, müssen Sie dem Konto auch Schreibzugriff auf die Verbindungsdateien gewähren.
Ändern des ArcGIS Server-Kontos über die Befehlszeile
Statt den Dienstprogrammassistenten "ArcGIS Server-Konto konfigurieren" auszuführen, können Sie die ausführbare Datei über eine Befehlszeile ausführen. Das Befehlszeilendienstprogramm ServerConfigurationUtility.exe ist im Verzeichnis <ArcGIS Server installation location>\bin installiert. Sie können für Aktualisierungen des ArcGIS Server-Kontos ein Skript erstellen, nachdem Sie Aktualisierungen auf die Sicherheitsrichtinie der Organisation angewendet haben.
Folgende Parameter stehen zur Verfügung:
ServerConfigurationUtility /readconfig /writeconfig /username /password /rsdir /csdir /logsdir
- /readconfig: Optionaler Pfad zu einer Konfigurationsdatei, die Sie bei einer früheren Ausführung des Dienstprogramms gespeichert haben
- /writeconfig: Optionaler Pfad, unter dem eine Konfigurationsdatei gespeichert wird, damit dieselben Eigenschaften bei zukünftigen Ausführungen des Dienstprogramms angewendet werden können.
- ArcGIS Server: Der für das /username-Konto zu verwendende Name
- /password: Das Kennwort für das ArcGIS Server-Konto
- /rsdir: Der Pfad des Stammserververzeichnisses. Dieser Parameter ist optional, wenn er jedoch nicht bereitgestellt wird, müssen dem ArcGIS Server-Konto die Lese- und Schreibberechtigungen für das Stammverzeichnis des Servers manuell gewährt werden.
- /csdir: Das Verzeichnis des Konfigurationsspeichers. Dieser Parameter ist optional, wenn er jedoch nicht bereitgestellt wird, müssen dem ArcGIS Server-Konto die Lese- und Schreibberechtigungen für den Konfigurationsspeicher manuell gewährt werden.
- /logsdir: Der Pfad zum ArcGIS Server-Protokollverzeichnis. Dieser Parameter ist optional, wenn er jedoch nicht bereitgestellt wird, müssen dem ArcGIS Server-Konto die Lese- und Schreibberechtigungen für das Protokollverzeichnis manuell gewährt werden.
Beispiel: ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs
Angeben des Gebietsschemas des ArcGIS Server-Kontos
Als Gebietsschema des ArcGIS Server-Kontos ist das Gebietsschema des Windows-Kontos festgelegt, das während der Installation angegeben wurde. Wenn kein Konto angegeben wurde und der Standardwert (arcgis) verwendet wird, wird das Gebietsschema des Kontos durch Ihre Betriebssystemeinstellungen festgelegt. Das Gebietsschema ist wichtig, da alle von ArcGIS Server generierten Meldungen (z. B. Protokolle) im Gebietsschema des ArcGIS Server-Kontos angezeigt werden. Um die Meldungen in einer anderen Sprache oder einem anderen Format anzuzeigen, müssen Sie für jeden Computer der ArcGIS Server-Site die Anzeigesprache für das ArcGIS Server-Konto ändern. Spezielle Anweisungen für die von Ihnen verwendete Betriebssystemversion finden Sie in der Microsoft-Dokumentation.