Jap, im DATEV RZ wird das virtuell mit einem Zertifikat gelöst. Ist aber nicht nur "Zertifikat einspielen und fertig" - da steckt noch deutlich mehr Infrastruktur hinter. Also ab in die Cloud 🤓. Muss ja nicht DATEVasp sein; mit PARTNERasp ist man da technisch ein wenig flexibler unterwegs.

Alternativen per eigener DATEV Installation gibt es (afaik) nicht. Auch nicht das Zertifikat, weil das mit Komponenten im DATEV RZ sprechen muss, welche nicht via SSL Verbindung / DATEVnet erreichbar sind. 

Wir sind mit einer myUTN 50a immer gut gefahren. Läuft zuverlässig und wenn nicht, sind die remote ja schnell neu gestartet. 

Aber ja, dass das nicht mehr zeitgemäß ist - aber DATEV ist da nicht alleine, wenn ich meinen Vater reden höre. Andere Hersteller sind da schon auf eLicensing umgestiegen (Steinberg bei mir privat). 

Ja, Steinberg ist eine tolle Sache. 

Aber ok, zurück zum Thema. myUTN50 bzw. 50a ist halt eben End of Live. Da kann man nicht mehr drauf "setzen". Seit ich SEH Manager 3.3.4 installiert hab (mit myUTN-50) hab ich nur noch Probleme.

Gibt es einen Produktnamen für diese Infrastrukturkomponenten bzw. dieses virtuelle Zertifikat?

Wir sind erfolgreich weg von PartnerASP und hosten nun wieder selbst.

Virtualisierung: Erfahrungen aus der Praxis Punkt 3.2.2 stehen Alternativen drin 👍

---

@GrafZahl schrieb:

Gibt es einen Produktnamen für diese Infrastrukturkomponenten bzw. dieses virtuelle Zertifikat?

---

Nicht, dass ich wüsste. Hab's mir nicht gemerkt. Und selbst wenn, wird's bei eigenem Hosting nicht funktionieren.  

---

@GrafZahl schrieb:

Wir sind erfolgreich weg von PartnerASP und hosten nun wieder selbst.

---

Darf man fragen warum? Wir gehen bald den umgekehrten Weg: ins PARTNERasp 😊.  

Da gab es etliche Gründe: 1. strukturelle Veränderungen in der Kanzlei. 2. der Dienstleister konnte unsere Anforderungen nicht erfüllen (Besonderheiten in der Netzwerkinfrastruktur). 3. Es stand ein Serverwechsel an von 2008r2 auf was Neueres, und bei der Gelegenheit wollte man einen neuen (zweiten) 5-J-Vertrag vereinbaren. 4. Kosten. 5. mangelnde Qualität der Leistung.

danke für den Link.

Silex DS-510 ist recht zuverlässig, die Software lässt sogar als Dienst starten.

SEH, gerade die 50er Baureihe, ist völlig ungeeignet. Unzuverlässig in allen Bereichen. Bis vor Kurzem hatte ich den noch für einen USB Drucker in Betrieb, das An- und Abmelden hat nie so recht funktioniert.

Würde ich als DATEV ja als Anlass nehmen, mal drüber zu quatschen: der Partner, Du und DATEV - was man wie besser machen könnte. Aber ich bin nicht DATEV und nein, das muss man nicht weiter öffentlich diskutieren. Das kann man "hinten rum" machen, damit's beim nächsten Mal besser läuft. Liest sich nämlich nicht wirklich gut in meinen Augen und da man das DATEV Technikerzertifikat alle 2J machen muss und DATEV damit eine gleichbleibende gute Qualität gewährleisten will 😉. 

Bei uns (ESXi 6.5) lief, nach Anpassung der VMX-Datei der betreffenden Maschine (siehe auch  DATEV Hilfe-Center, Dok.-Nr. 1005755), der durchgereichte am Host gesteckte Stick (Betriebsstätten mIDentity) über Jahre stabil.

Die Einstellung bewirkt aber, dass bestimmte Anmeldeverfahren am VM-Ware-Host dann nicht mehr unterstützt werden (siehe auch https://kb.vmware.com/s/article/55789; bezieht sich auf ESXi 6.X und später), was für uns aber niemals relevant war.

Hallo Nutzer_8888,

bitte beachten Sie das das Durchreichen von Smartcards ab der Version ESXi 6.7 als experimentell gekennzeichnet wurde und daher seitens VMWare nicht mehr supportet wird.

Ich hatte bereits mehrere Fälle das die Smartcard nach Neustart bzw. nach Updates (egal welche) die Smartcard nicht mehr in der virtuellen Umgebung eingebunden wurden. Selbst nach Neustarts des Virtualllsierungshost konnte die Smartcard nicht mehr erreicht werden. Im Endeffekt wurde dann in der Kanzlei ein USB-Server aufgestellt und seitdem hat es keine Probleme mit der Konnektivität gegeben.

Mit freundlichen Grüßen 

Michael Grohganz

Installationsservice online

DATEV e.G.

Und eine "echte Lösung" wird es nicht mehr geben, oder @Michael_Grohganz? In der Cloud wird ja alles mit der Benutzerlizenz versehen, sodass man da keinen LiMa und Co. mehr braucht und den auf andere Technik umzustellen, lohnt wohl nicht mehr in den verbleibenden 7 Jahren, right? Aus welchem Jahr stammt die programmiertechnische Basis des Lizenz-Managers? 

Guten Tag Herr Grohganz,

ganz generell habe ich jedes Verständnis dafür, dass die Datev ihre Software schützen will.

Ich habe aber eine Bitte: bitte diskutieren Sie doch intern, ob das künftig wirklich in Form eines physischen Dongles sein muss. Es gäbe so viele technische Lösungen, die einem da nicht so im Weg wären wie ein Stück Hardware. Beispielsweise könnte ein individuelles Token ausgetauscht werden. Das wäre mindestens genau so sicher. Und es würde diese Dongle-Logistik vermeiden, ferner wäre der Verzicht auf Dongle-Hardware ein Beitrag zum Klimaschutz. Und auch Strom müsste nicht unnötig durch so ein Stück Hardware fließen.

Freue mich, von Ihnen zu hören.

Das direkt durchzureichen wäre mir zu riskant. Es gibt hier weitere Software, die ebenfalls Dongles erfordert. Das ist alles so 80er und einfach nicht mehr zeitgemäß.

@GrafZahl 

Unabhängig von der Funktion des Softwareschutzmoduls hat das Betriebsstätten mIdentity noch die Aufgabe der Absicherung der Kommunikation mit dem RZ für den KommServer. Die Alternative wäre die Absicherung jedes einzelnen Arbeitsplatzes mit einem mIdentity für diesen Zweck.

---

@Michael_Grohganz schrieb: ab der Version ESXi 6.7 als experimentell gekennzeichnet

...

Ich hatte bereits mehrere Fälle das die Smartcard nach Neustart bzw. nach Updates (egal welche) die Smartcard nicht mehr in der virtuellen Umgebung eingebunden wurden.

---

Tja, so ist es dann mit diesen "Enterprise-Lösungen" ... 😉.

Weil ich kein Folgeprodukt nach 6.5 hatte, möchte ich vorsichtig sein. Aber ich denke in Fällen von Problemen liegen die Details schon in der Konfiguration des Virtualisierungs-Hosts und der VM. Leider ist dies aber eine ganz eigene ebenfalls nicht ganz triviale Welt, die i.d.R. wohl nicht von Datev und Windows-Fachleuten gänzlich überblickt werden kann, sondern spezialisierte VMWare Experten braucht.

In der von VMWare verlinkten Anleitung wird übrigens auch auf das Beenden eines Dienstes verwiesen und die Maßnahme ist als "informativ" gekennzeichnet (war sicher niemals mehr als das oder?). WMWare hat meines Wissens nie garantiert, dass z.B. ein mIDentity durchgereicht werden kann (nicht auf Hardware-Kompatibilitätsliste). Die Datev könnte die Sticks aber sicher zertifizieren und eine solide Konfiguration, welche die Durchreichung erlaubt, abstimmen. Oder die angesprochenen Alternativen (MS braucht auch keine Dongel) nutzen.

Offiziell unterstützt Datev die Virtualisierung m.E. auch nur informativ. Wäre dem nicht so, hätte man sicher die Lizenzverwaltung anders organsiert.

Für eigene Zwecke dagegen, werden kostenoptimierte virtuelle Lösungen unterstützt, die sogar völlig von den offiziellen Installationsempfehlungen abweichen (siehe SmartIT) und keinen "Dongle" brauchen...

Kann das im Grunde aber wegen der weiter zunehmenden Komplexität und den aufwändigen Abklärungen von Fehlern durchaus verstehen.

Besteht Ihre Erfahrung mit den Problemen erst ab 6.7 oder gab es diese Fälle auch zuvor?

Unabhängig davon hatte ich erst mit Fujitsu Servern TX300 S8 erlebt, dass alle Nase lang der mIDentity nicht erkannt wurde. Meine Information seinerzeit: mIDentities sind wohl empfindsam, was die 5V Stromversorgung angeht und das konnte Fujitsu wohl nicht so sicher halten. Ob das zu 100% stimmt: keine Ahnung. Wir sind dann auf SWM mini + SmartCard Reader SC3310 umgestiegen: lief 👍. 

---

@Nutzer_8888 schrieb:

Wäre dem nicht so, hätte man sicher die Lizenzverwaltung anders organsiert.

---

Deshalb meine Frage, wie alt die technische Basis der Lizenzverwaltung ist 😉. Auch da hat man nichts weiter verändert und das war "damals" halt so. Heute haben wir 2022 und nicht mehr damals. Läuft noch immer. Morgen kommt die Cloud, wenn man die Schnelligkeit der IT betrachtet. 

---

@metalposaunist schrieb: Fujitsu Servern TX300 S8 ... 5V Stromversorgung angeht ... wohl nicht so sicher halten

---

Wundern würde mich sowas nicht.

Wir hatten HPE ML350 G9 ProLiant und nach korrekter Erstkonfiguration hier jedoch wirklich nie Probleme. Zusätzlich hing gar noch ein USB-3 RDX-Laufwerk dran.

Aber, falls das bei uns nicht sicher funktioniert hätte (auch sporadisch), hätten wir einen USB-Server parat gehabt (der liegt auch jetzt noch unbenutzt da).

Und ja, letztlich ist USB-Durchreichen von einem Host auf eine VM eine semiprofessionelle Krücke, um Kosten für sündhaft teure und für kleine Systeme völlig überdimensionierte Netzwerktechnik zu sparen oder halt die notwendigen Dongles durchzureichen (WMWare hebt sich da von Hyper-V, wo das generell nicht geht, deutlich ab).

Für die VMs sind - statt USB passthrough - aber in der Tat Netzwerkdienste und -geräte die natürlichere Umgebung.

Nachtrag: großer Vorteil eines USB-Servers ist, dass der losgelöst vom lauten Server "leicht" zugänglich im Büro stehen kann. Leider gab es seinerzeit keine geeigneten USB-3 Server, weil dann hätten wir den erhöhten Stromverbrauch akzeptiert und auch das RDX-Laufwerk im Büro gehabt, was die Cartridge-Wechsel stark erleichtert hätte....