Hi,

---

1. Wird die Smart-Card bei Eröffnung einer RDP-Session am Kommunikationsserver „nur“ nicht zur Verfügung gestellt oder gar von der VM getrennt (dann müsste diese über den Host ggf. erneut verbunden werden – falls ja erübrigen sich die folgenden Fragen)?

---

Die "lokal" gesteckte SC wird in der RDP-Sitzung nicht sichtbar. Somit ergeben sich durchaus Problematiken.

---

2. Stehen Lizenzserver und Kommunikationsserver, die ja als Dienste laufen, dem Netzwerk weiterhin zur Verfügung, wenn man am Kommunikationsserver eine RDP-Session einleitet?

Der LiMa wird weiter funktionieren, da er nicht auf die SmartCard an sich zugreift, sondern auf die SWM-Funktion. 

Der KommServer wird ggf. weiterfunktionieren, solang der Dienst nicht neu startet. Der KommServer arbeitet mit einer gerätebasierenden Absicherung. Getestet hab ich das noch nicht...

---

restliche Punkte 3 - 9:

---

Am besten administrierst Du den KommServer besser via VNC/TightVNC. Dann umgehst Du in jedem Fall die Problematik und kannst dem KommServer weiterhin in allen Punkten administrieren.

Beste Grüße
Christian Ockenfels

Nutzen Sie zur Verwaltung des KommSRV die VMWare Remote Console / VMWare Workstation, dann treten keine Probleme im Zusammenhang mit der SC auf.

Mal ganz anders gefragt, weil DATEV das jetzt offen legt: In meinen Augen ist eine eigene Backup VM immer sinnvoller bzw. allgemein pro Aufgabe eine VM / ein Server. Sonst kommt es zu den berichteten Problemen. Zudem braucht ein virtualisiertes Windows 10 eigene, andere (VDI) Lizenzen. Die "normalen" Keys funktionieren zwar, halten aber einem Microsoft Lizenzaudit nicht stand. 

Außerdem finde ich persönlich das Mischen von Windows Server und Windows nicht optimal. Nicht, dass das die Ursache ist, dass die Backup VM nicht den DC wiederherstellen kann, weil sich die Versionen unterscheiden. BackupExec hat immer geraten: der BackUp-Server hat immer das aktuellste Betriebssystem, wenn man z.B. von diesem aus per Agent ein AD-Objekt wiederherstellen möchte. Stichwort: Homogenität. Windows Server 2016 gibt es günstiger z.B. auch als Gebrauchtlizenz. Gibt es noch ältere Server 2012 R2 Lizenzen, kann man diese ebenfalls bis 2023 nutzen. 

Vielleicht als Idee: Den DATEV SQL-Server zu einem KOMM-SRV machen und zentral den für DATEV nutzen. Ebenso kann man den LiMa dorthin umziehen. Bei 1 WTS ist das noch machbar. Werden es am Ende 5 WTS, macht auch ein eigener KOMM-SRV Sinn. Dann müssen am DATEV SQL-Server aber auch alle Programme installiert werden, damit der Sammler alle Aufträge verarbeiten kann. Dann spart man sich sogar 1 VM mit DATEV zu aktualisieren und ist deutlich schneller. Würde ich sogar von Hand machen statt netzweite Aktualisierung. 

Sonst stimme ich @cwes und @chrisocki in allem zu. 

Vielen Dank für die Antworten, Bemerkungen und Vorschläge (die allesamt die o.g. Problematik grundsätzlich vermeiden und damit richtige Lösungen sind).

Die Alternativen VNC oder VMWare-Konsole waren und sind mir auch dank Datev und dieser wirklich guten Community grundsätzlich bekannt, wobei man sich ja nur ungern von gewohnten Abläufen trennt (VMWare-Konsole umständlich und VNC-Server wäre eine nicht bevorzugte Drittanwendung).

PS:

Unsere System-Konfiguration ist sicher verbesserungswürdig, sollte m.E. aber auch nicht völlig untypisch sein. Sie wurde seinerzeit auf Grundlage der diversen Datev-Empfehlungen (u.a. für virtualisierte Umgebungen) vollständig von einem in Virtualisierung erfahrenen IT-Dienstleister – bis auf die Datevanwendungen selbst – vollständig konfiguriert und geliefert (Hardware, Software & Lizensierung – dazu gehörte auch Backupstruktur). Zugegebenermaßen habe ich die diversen Lizenzen und Ausdrucke nur durchgezählt und ordentlich abgeheftet (die ganzen Lizenzregeln und -typen sind für mich ein unübersichtlicher Dschungel). Gehe aber davon aus, dass hier alles i.O. ist (uns war es übrigens damals bei der Beschaffung des Systems explizit ein wesentliches Anliegen eine saubere Lizensierung zu haben ;-)).

Die Datev-Anwendungen wurden und werden – wie auch große Updates – von einem sehr guten und zuverlässigen Datev-Systempartner mittels Fernzugang auf meinem lokalen Rechner installiert (hier will ich vorbereitet sein). MS-Updates grundsätzlich und Service Releases zuweilen installiere ich selbst.

Unser Server lief in dieser Konfiguration bisher sehr zuverlässig und – bis auf die Langsamkeit wegen niedrigem single core – ohne nennenswerte Probleme. Er wird in ca. 1 Jahr ersetzt werden, womit Änderungen am bestehenden System aktuell eher nicht anstehen.

---

@Nutzer_8888 schrieb:

VMWare-Konsole umständlich

---

Warum? Welche ESXi Version ist es? Schon mal den VMware Player installiert? Dann fragt die Konsole, ob man's damit öffnen möchte und das fühlt sich wieder sehr schick an 👍.

---

@Nutzer_8888 schrieb:

Unser Server lief in dieser Konfiguration bisher sehr zuverlässig und – bis auf die Langsamkeit wegen niedrigem single core – ohne nennenswerte Probleme.

---

Jupp, so mache das gerne IT Dienstleister, die von DATEV keinerlei Ahnung haben und setzen da 64C bei 2,0GHz hin - was DATEV so überhaupt nicht mag. Aber das hatten Sie ja schon geschrieben. Dann bin ich gespannt, was Ihnen empfohlen wird, wenn Sie ersetzen wollen. In den Köpfen ist noch immer Intel, Intel, Intel aber AMD hat gerade im Client Bereich eine krasse Duftmarke gesetzt. AMD im Server? Sicherlich auch bald für DATEV interessant. 

Benutzen ESXi 6.5 U2. Dort ist browserbasierende WebUI (HTML5) enthalten. Diese erlaubt eine VM-Konsolensitzung, wobei dort die Tastatureingaben gerne doppelt auftauchen (hier gibt es aber Workarounds).

Haben die Free-Version, weshalb die verfügbaren komfortableren Zusatztools (z.B. vmrc) nicht sicher lizensiert sind. Wenngleich wir damals mit dem IT-Dienstleister das Thema VSphere Lizenzen diskutiert hatten, schien die Free-Licence für unsere Anforderungen zunächst völlig ausreichend (Altserver bei Kanzleiübernahme war ähnlich lizensiert).

Heute würde ich jedoch klar Empfehlen eine kleine VSphere Lizenz zu kaufen, weil damit diverse Aspekte mindestens deutlich erleichtert werden (z.B. Backups, Updates, USV-Anschluss und nun wohl auch Nutzung von VMRC).

Werde im Notfall wohl den TightVNC installieren (müssen). VMWare Player werde ich mir dennoch anschauen (danke für den Tipp).

Power reichte zunächst, wobei die Grenzen von Datev-Version zu Datev-Version deutlicher werden. Dennoch kann aktuell noch ganz gut gearbeitet werden (bin gespannt auf V14.0).

Aus aktueller Sichte werden wir wohl in die SmartIT wechseln und uns von der Serverthematik mit allen Nach- aber auch Vorteilen verabschieden.

Gut das sich hier in der Community für beide Optionen erfahrene Fachleute ehrenamtlich einbringen.

Die free-Edition von VMware 😲? Also selbst eine Essentials kostet keine Unsummen an Geld (ich meine einmalig ca. 250€). Aber free habe ich VMware tatsächlich noch nie genutzt. Man muss ja nicht gleich das komplette Paket kaufen, dass man VMs live verschieben kann. Auch wenn das im großen Stil echt schick ist 😬.

---

@Nutzer_8888 schrieb:

USV-Anschluss

---

Verstehe ich nicht? Die USV hat eine Netzwerkkarte eingebaut, wird mit ins Netzwerk gehangen und auf dem Host wird eine VM von APC installiert auf Linux-Basis, die man per Webkonsole dann konfiguriert und ihr sagt, was die USV mit dem Host und sich selbst machen soll, wenn der Strom weg ist. Kann man von klein (1 Host, 1 USV) bis ganz groß (mehrere Hosts, mehrere USVs) alles einstellen. Dann muss nur der Switch auch an die USV dran, sonst geht das Konstrukt im Falle des Falles nicht auf 😄. Auch schon erlebt aber eine USV wird nicht mit mit USB oder anderen Lösungen an VMware Umgebung angebunden. Und dem Host muss man sagen "wenn Du herunterfährst, bitte fahre auch die VMs herunter". Nicht einfach ausschalten, was meine ich noch immer als Standard hinterlegt ist. Und andersrum sollten die VMs automatisch starten, sobald der VMware Host wieder da ist. 

---

@Nutzer_8888 schrieb:

Power reichte zunächst, wobei die Grenzen von Datev-Version zu Datev-Version deutlicher werden. Dennoch kann aktuell noch ganz gut gearbeitet werden (bin gespannt auf V14.0)

---

Vielleicht kitzelt der SQL 2017 statt 2014 noch ein paar % raus. 

Bzgl. Smart-IT: Vorher einmal informieren, was geht und was nicht. Scan-to-FTP wie im DATEVasp geht schon mal nicht, weil kein Router ein VPN herstellt, sondern x Clients auch x VPNs gleichzeitig aufmachen. Anbindung der TK-Anlage für den DATEV grünen Hörer? Nope, zumindest nicht mit einer TK vor Ort. Mit einer Cloud-TK könnte es wieder klappen. Nur mal so in den Raum geworfen 😉. 

---

@Nutzer_8888  schrieb:

Benutzen ESXi 6.5 U2. Dort ist browserbasierende WebUI (HTML5) enthalten. Diese erlaubt eine VM-Konsolensitzung, wobei dort die Tastatureingaben gerne doppelt auftauchen (hier gibt es aber Workarounds).

Haben die Free-Version, weshalb die verfügbaren komfortableren Zusatztools (z.B. vmrc) nicht sicher lizensiert sind.

---

Für wenig Geld bekommen Sie auch eine VMWare Workstation Lizenz. Damit können Sie auch auf die Konsolen der virtuellen Maschinen auf ESXi Hosts zugreifen.

Hi,

---

zgl. Smart-IT: Vorher einmal informieren, was geht und was nicht. Scan-to-FTP wie im DATEVasp geht schon mal nicht, weil kein Router ein VPN herstellt, sondern x Clients auch x VPNs gleichzeitig aufmachen. Anbindung der TK-Anlage für den DATEV grünen Hörer? Nope, zumindest nicht mit einer TK vor Ort. Mit einer Cloud-TK könnte es wieder klappen. Nur mal so in den Raum geworfen

---

Auch Drucker werden nur von dem lokalen Rechner in die Sitzung geschleift. Aktuell hab ich einen guten Bekannten, der Dank HomeOffice das Problem hat:

Er sitzt mit der Kanzlei quasi in seinem Wohn- und Kanzleihaus. Eine Kollegin sitzt im HomeOffice und schreibt z.B. Schriftsätze, die der Chef unterschreiben soll. Nun kann Sie aber nicht direkt auf den Netzwerkdrucker in der Kanzlei drucken, da dieser Drucker nicht via Router, etc. im WTS der SmartIT verfügbar ist.

Also müsste Sie Dokument in DokAblage speichern, Chef informieren, Chef sucht, druckt und unterschreibt. Vom Workflow wäre es der Kanzlei lieber, wenn die Kollegin direkt druckt und Chef nur noch informiert.

Nun ja...  SmartIT: Günstig, einfach in der Einrichtung, kein Wartungsstress, etc. Aber im Detail gehen dann doch einige Dinge nicht... 

Bzgl. Cloud-PBX: Ich bin mir nicht sicher was den Einsatz von Drittsoftware auf SmartIT angeht, ich glaube da ist Essig... 

Beste Grüße
Christian Ockenfels

Ich antworte mal auf @metalposaunist , @Nutzer_8888 und @cwes mit den Posts sind aber auch berücksichtigt.

Eine VMWare Essentials kostet netto um die 500,00 EUR, als Mehrwert zur free Variant sind viele API Schnittstellen nutzbar, die Wichtigste ist hier die API für Backup Programme.

Zum Thema USV: APC ist da recht pingelig, ParaChute lässt sich nicht auf virtualisierten Rechnern installieren, es braucht dann die Appliance und, natürlich, die entsprechende API aus dem Essentials Paket. Die Appliance kann aber nur mit der APC Netzwerkkarte umgehen die sich dummerweise in viele Smart USVs nicht einbauen lässt. Zum Glück gibt es noch andere Hersteller, leider oft mit eher "gebastelten" Softwarepaketen (Vertrauen sieht manchmal anders aus).

Wer kostengünstig virtualisieren möchte kann sich auch Proxmox ansehen, gerade die Dateiformate aus den Workstation oder free Varianten von VMWare lassen sich gut umwandeln. Kleine Warnung am Rande, CentOS VMs reagieren auf die Umwandlung manchmal komisch.

Zum Thema SmartCard Rechtedilemma ist ja eigentlich fast alles gesagt, ich erlaube mir den Hinweis, dass sich im Bereich LiMa etc. vieles auch als Dienst installieren lässt und DATEV bieten ein Tool zur Startsteuerung der Sienste an. In die richtige Reihenfolge gebracht kann der Stress vermindert werden.

---

@chrisocki schrieb:

Bzgl. Cloud-PBX: Ich bin mir nicht sicher was den Einsatz von Drittsoftware auf SmartIT angeht, ich glaube da ist Essig... 

---

Also wenn da ESTOS nicht zusammen mit Nouvelcom gehen sollte, dann verstehe ich die Welt auch nicht mehr 😬. 

damit sollten sich die Probleme erledigt haben.. https://apps.datev.de/dnlexka/document/1022094

Hi,

---

damit sollten sich die Probleme erledigt haben.. https://apps.datev.de/dnlexka/document/1022094

---

Jaein...

Der KommServer will und möchte für seine Dienste den Betriebsstätten-mIDentity nutzen. Wenn die VM hochgefahren wird, wird der BS-mIDentity an die VM herangereicht. LiMa und KommServer starten ihre Dienste. 

Wenn Sie jetzt mit dem SiPa 6.82 eine RDP auf den KommServer aufbauen, würde die lokal am RDP-Client steckende SC an den KommServer herangereicht. Dem LiMa ist das egal, er nutz die SWM-Funktion.

Aber der KommServer könnte hierbei aus dem Tritt kommen, wenn er für die DFÜ-Verbindung zugrunde liegende SC "getauscht" bekommt. 

Also eher Vorsicht.

Beste Grüße
Christian Ockenfels

Das sehe ich anders. Hier geht es um eine lokal gesteckte Smartcard - Ganz gleich ob physisch oder virtuell.

Durch die noch vorhandene Einschränkung kann man zurzeit keine RDP-Verbindung auf einen Komm-Server mit gesteckter Smartcard aufbauen. Hier muss man zwingend die Konsole einsetzen.

Um zu vermeiden dass die Smartcard in der RDP-Sitzung durchgereicht wird, sollte es ausreichen diese Einstellung im RDP-Client zu deaktivieren.

Hi,

---

Durch die noch vorhandene Einschränkung kann man zurzeit keine RDP-Verbindung auf einen Komm-Server mit gesteckter Smartcard aufbauen. Hier muss man zwingend die Konsole einsetzen.

---

Falsch, es kann immer eine RDP-Verbindung aufgebaut werden. Die Frage ist und war, wird eine am RDP-Client gesteckte SC an den RDP-Server durchgereicht. Hier gab es bei den Pseudo-RDP-Servern (Win 10-Rechner mit aktiven RDP) das bekannte Problem. Nur "vollwertige" RDP-Server haben die RDP-Client-SC akzeptiert. Dies wird jetzt von DATEV generell ermöglicht.

Fakt bleibt und ist, was DATEV auch hier in der Community klar gestellt hat, MS und somit DATEV werden in einer RDP-Sitzung keinen Zugriff mehr auf eine an dem RDP-Server gesteckte SC erlauben. 

Beste Grüße
Christian Ockenfels

Nicht ganz.. es kann aktuell zwar eine RDP-Verbindung aufgebaut werden, sogar mit verbundener lokaler Smartcard - ABER nur dann, wenn man vorher die initiale Anmeldung per Konsole durchgeführt hat.

Und das Problem mit dem Durchreichen einer SC bestreite ich gar nicht. SC's werden nur in Verbindung mit einem WTS durchgereicht.

Ein Versuch allen zu antworten.

@einmalnoch möchte ich vollständig zustimmen hinsichtlich des Preises und der Einschränkungen bei den APIs – dennoch gibt es hierzu offensichtlich zuverlässige „Workarounds“ auch bei der free-Version (kenne keine qualifizierten Details hierzu – hat seinerzeit unser IT-Dienstleister gemacht).

@metalposaunist: Für eher kleine Kanzleien mit nur einem lokalen Host und einem VMWare erfahrenen Partner (Stichpunkt „Workarounds“) kann nach unseren Erfahrungen letztlich wohl auch mit der kostenlosen Version gearbeitet werden. Dennoch würde ich heute bei einer Neuanschaffung und Nutzung von WMWare auch in unserer Umgebung die Essentials kaufen – nicht aber für unseren Bestandshost, um mich an eine VM bequemer per Konsole anmelden zu können (notfalls wird halt doch TightVNC installiert – ist scheinbar sehr handlich und wenig ressourcenhungrig). Geeignete RDP-Vermeidungsoptionen sind also vorhanden 😉.
SmartIT-Einschränkungen, die erforderliche lokale Infrastruktur, Datenübernahme, Kosten, Möglichkeiten zur Rückkehr zum lokalen Host … werden wir versuchen bis Mitte nächsten Jahres möglichst genau abzuklären und dann letztlich final entscheiden (diverse SmartIT-Einschränkungen sind aber bereits bekannt - unter anderem auch wegen Ihrer Beiträge).

@chrisocki, ähnliche, wie die von Ihnen aufgeworfenen Aspekte haben mich initial beschäftig. Wollte allerdings keine lokale SmartCard vom Client durchreichen (kannte auch schon Release Info zu SiPa 6.82 – wollte Text aber nicht noch mehr aufblähen), sondern „nur“ wissen, ob eine RDP-Session (ohne SmartCard am Client) eben den Kommunikationsserver (remote, virtuell mit Betriebststätten-MiDentity) temporär oder dauerhaft aus dem Tritt bringt, weil ggf. die Dienste gestört werden. Dann müsste für diesen Fall RDP m.E. wohl regelrecht verboten werden, was Datev aktuell aber auch nicht getan hat (nur die Nutzung der SmartCard am RemoteComputer und die Installation bestimmter Datev-Programmteile sei nicht möglich …).
Wir nutzen (künftig: nutzten?) RDP Verbindungen zum Kommunikationsserver für Administrierung von Backups und Initiieren und Prüfung von MS-Updates. Mit Datev-Programmen wird dort nicht gearbeitet (auch bei Datev-Updates lief bisher die RDP-Session „eher“ zur Überwachung und für das finale Abmelden).

Der von @chris2344 aufgeworfene Aspekt des Verhaltens bei der Übernahme einer Konsolensitzung ist durchaus interessant, weil solches bei RDP-Anmeldung z.B. bei laufender netzweiter Aktualisierung vorkommen könnte.

In der Diskussion sollten die Fälle SmartCard am Client oder SmartCard am Remotecomputer klar auseinandergehalten werden (ggf. nun auch noch ein dritter Fall, wenn beides der Fall wäre?).

Die von mir initial aufgestellten Fragen gehen von einem am RemoteComputer (virtualisierter Kommunikationsserver) gesteckten Betriebsstätten-MiDentity aus, auf dem man sich von einem ClientComputer ohne SmartCard (in diesem Fall auch kein SiPa und ohne Datev-Software) mit RDP anmeldet.

Danke allen für die lebhafte, interessante und fassettenreiche Diskussion.

Damit ist nun eigentlich alles gesagt.

Gilt Ihre Empfehlung, die für DATEV-Anwndungen ja klar ist, auch streng für MS-Updates?

Vielen Dank Herr Puritscher für diese Erklärungen.