Requisiti di sistema
Ground Control è un’applicazione web ospitata su Windows + IIS e richiede il runtime .NET per l’esecuzione.
Sistema Operativo (Server)
- Windows Server consigliati: 2016 / 2019 / 2022
(Valutare versioni precedenti solo se già in standard aziendale e supportate dalle policy IT).
Requisiti hardware minimi (indicativi)
- RAM: 8 GB o superiore
- CPU: 1 GHz o superiore
- Disco: 2 GB liberi (più spazio aggiuntivo per log, file scambiati e crescita operativa)
I requisiti minimi vanno dimensionati considerando anche eventuali servizi già presenti sul server (SQL Server, antivirus, agent di backup/monitoring, altri siti IIS, ecc.).
Prerequisiti software
È necessario un server IIS con:
- Ruolo “Web Server (IIS)” installato
- Basic Authentication abilitata
Rete, accessibilità e certificati
HTTPS obbligatorio (certificato valido)
Business Central tende a validare i certificati nelle chiamate in uscita: la validazione lato AL/HttpClient è diventata un tema esplicito nelle release recenti e (in vari scenari) viene abilitata “by default”.
Per questo motivo, Ground Control deve essere pubblicato con:
- certificato TLS valido (CA attendibile, non autofirmato)
- nome DNS (domain name) associato al certificato
- porta pubblicata verso l’esterno (di default è la porta 8296 HTTPS)
Firewall / NAT
- Aprire in ingresso verso il server IIS la porta prevista (default 8296/TCP) solo dagli IP autorizzati (vedi whitelist sotto).
- Se possibile, pubblicare su 443 tramite reverse proxy / load balancer e mappare internamente la porta applicativa.
Whitelist IP
Per ridurre la superficie di attacco, è fortemente consigliato consentire l’accesso a Ground Control solo dagli indirizzi IP necessari[1].
Recupero IP Business Central
Gli IP possono essere ottenuti come “service tag” Dynamics365BusinessCentral[2]: Microsoft indica che il gruppo di IP è disponibile via Azure Management API e anche come file JSON scaricabile[3].
L’elenco IP può essere estratto dal JSON cercando il nodo con “name”: "Dynamics365BusinessCentral".
[1] https://learn.microsoft.com/en-us/iis/configuration/system.webserver/security/ipsecurity/add
[3] https://www.microsoft.com/en-us/download/details.aspx?id=56519
Account di servizio (Application Pool) e permessi
L’Application Pool di Ground Control deve essere eseguito con un utente dedicato (locale o di dominio) configurato in fase di installazione come “Identity” dell’app pool.
Concedere solo i permessi strettamente necessari ai moduli attivati previsti:
- NTFS: lettura/scrittura sulla cartella di installazione di Ground Control (default su C:\inetpub\wwwroot\GroundControl)
- File system / share: lettura/scrittura sulle cartelle che Business Central deve utilizzare tramite Ground Control
- Esecuzione programmi: permesso di esecuzione solo sui programmi che Ground Control deve utilizzare
- Database (se si utilizza Windows Authentication): permessi minimi per accedere ai database necessari
Raccomandazione: evitare di usare account amministrativi o “Domain Admin”. Tracciare e approvare esplicitamente ogni cartella/risorsa/DB a cui l’utente può accedere.
Checklist di configurazione finale
☐ Server Windows aggiornato e conforme alle policy IT
☐ IIS installato + Basic Authentication configurata
☐ Certificato TLS valido + DNS configurato
☐ Porta pubblicata (default 8296/HTTPS) + firewall/NAT
☐ Whitelist IP attiva (Dynamics365BusinessCentral + eventuali IP cliente)
☐ App Pool con account dedicato + permessi minimi su cartelle/DB