Hallo,
es geht um das Hosting einer DATEV-Umgebung für eine Steuerkanzlei mit 12 DATEV-Usern. DATEV wird mit DATEV DMS genutzt.
Nach Lektüre der DATEV-Dokumente zu Hardware-Empfehlungen und Installation planen mit folgenden virtuellen Maschinen:
VM #1:
- File/SQL.
- DMS.
- Kommunikationsserver.
- Lizenz-Manager.
VM #2:
- Domänencontroller.
VM #3:
- Windows RDS Gateway + Session Broker.
VM #4:
- Windows RDS Session Host #1.
VM #5:
- Windows RDS Session Host #2.
Ich wäre Euch dankbar, wenn Ihr mir Eure Einschätzung zu den folgenden Punkten geben würdet:
1. Handelt es sich bei der o.g. Aufteilung um ein praxisbewährtes Setup?
2. Handelt man sich Probleme ein, alle DATEV-Serverdienste in eine VM zu packen?
3. Würdet Ihr Dienste aus VM #1 besser in eine separate VM auslagern, bspw. das DMS oder den Kommunikationsserver?
4. Seid Ihr umgekehrt der Meinung, dass man Dienste noch zusammenführen und sich so vielleicht 1-2 VMs sparen könnte, und falls ja, wo würdet Ihr ansetzen?
5. Habt Ihr sonstige Empfehlungen zum Aufbau aus der Praxis?
6. USB-Dongle-Server: Mit welchem habt Ihr gute Erfahrungen gemacht / welchen würdet Ihr empfehlen?
Vielen Dank und schöne Grüße
BFx
Moin!
Für 12-15 User mach ich ehrlich gesagt:
1x VM DATEV-FS und DC
1x VM DATEV-WTS
und das "wars" dann auch. Auf performanter Hardware-Basis. Kein Broker und keinerlei weitere Anstrengungen.
Als Host-System nehm ich PROXMOX, damit entfällt der USB-Dongle-Server. Stecke das Modul direkt an Host und schleife ihn mit durch.
ich schließe mich @LS4B an. Mindestens die #VM3 und #VM4 kann man zusammenfassen. Eine Trennung bringt nahezu keinen Vorteil aber zusätzlichen Wartungsaufwand.
Wenn die Hardware leistungsfähig ist, wäre #VM1 und #VM2 auch ein Kandidat zum Zusammenfassen.
Abweichend von @LS4B @würde ich bei >12 Usern tatsächlich 2 Sessionhosts anlegen. Der Nutzen in der täglichen Arbeit bei der Performance rechtfertigt den zusätzlichen Pflegeaufwand.
Wir setzen einen SEH USB-Server (2 Port) ein. https://www.seh-technology.com/de/produkte/usb-deviceserver.html - läuft problemlos. Und haben ansonsten die von mir beschriebene Konfiguration. Allerdings verteilt auf 2 Bleche, weils 2. Blech „übrig“ war und schon ein bissle in die Jahre gekommen ist (HP Gen9).
Achtung: Datensicherung hab ich nicht gefunden! Da nehmen wir Acronis auf QNAP-NAS mit 10 TB
... 12-15 ist so gefühl die "Wackelgrenze" für mich... Hängt auch bissi davon ab, wie gearbeitet wird. Muss man individuell auch ein wenig gucken. Manchmal hat man Kontrukte, wo von den 12 Leuten so gut wie nie alle gleichzeitig am Arbeiten sind (Teilzeit etc.).
Wiederspreche @Michael-Renz da nicht.
@Hallo @LS4B ,
die Kanzleierfahrung zeigt, dass selbst bei Teilzeitmitarbeitern in aller Regel Alleinerziehende dabei sind, die nur Morgens (während KiTa und Schule) können.
Ausserdem: der Internetzugang für die HomeOffice-Plätze sollte auch leistungsstark geplant sein. Basisdaten online, MS365 und Telearbeitsplatz mit viel DUo schlägt bei uns zwischenzeitlich mit hohen Bandbreitenanforderungen zu Buche.
ACHTUNG: wir waren in der Pilotphase 17.0 und haben mit der Freigabeversion einen neuen WTS aufgesetzt, auf dem läuft Bilanzbericht nicht und DATEV findet den Fehler schon seit Wochen nicht.
Bei Neuinstallation also unbedingt darauf achten und frühzeitig testen.
Zu WTS und DMS kann ich nichts beitragen, aber:
#1 würde ich zerlegen (selbst in kleinster Umgebung) in
#1a File/SQL/Lima (auf Server-OS, Installation ohne Datev-Programme)
#1b KOMMSRV auf Desktop-OS
Falls man DMS auf einem eigenen Server installieren kann:
#1c DMS
Grund: weniger Kram auf jeder VM, der Probleme bereiten könnte.
USB-Dongle-Server: SEH dongleserver pro funktioniert sehr gut.
Und: Disaster Recovery testen.
@LS4B schrieb:
Stecke das Modul direkt an Host und schleife ihn mit durch.
Aus eigener Erfahrung: Das führt bei Migration auf einen anderen Host zu gewisser Hektik.
@BFx schrieb:
5. Habt Ihr sonstige Empfehlungen zum Aufbau aus der Praxis?
PARTNERasp - oder welchen Grund hat das, dass Du Dir das ans Bein binden willst 🤔? In Deutschland ist genug IT-Arbeit für alle da. Gerade DATEV kann ohne Erfahrung in die Hose gehen, weil es keine hippe, neue Software ist, sondern teils sehr eigen. Ist DATEV Erfahrung vorhanden? Ich gehe nicht davon aus, wenn die Hilfe Dokumente gelesen werden 🙈.
Willst Du den RDS Gateway ins Internet stellen (zwecks HomeOffice oder ähnlich)? Ein mir bekannter Solution Partner macht die Rolle rückwärts und setzt in dem Fall auf Citrix, weil das RDS Gateway über den Browser wohl zu oft ein Angriffsvektor war und das nicht mehr IT-technisch sicher ist. Wer haftet für eventuelle Schäden, die durch Häcks und Co. passieren? Bist Du dagegen rechtlich abgesichert?
Wer betreut die Datensicherung und wo ist sie? Lokal? Online? Cloud? Wenn Cloud, wie schnell kommen die Daten da wieder runter?
Du machst dann die DATEV Updates alle 4 Wochen? Abends oder soll die Kanzlei tagsüber mal Pause machen?
Ich bin super happy im PARTNERasp und habe immer noch Vollzeit mehr als genug zu tun. Teils auch Themen, die einen glücklicher machen als manuelle DATEV Updates.
@cwes: Dabei unterstützt unser guter Freund Manuel vor Ort kostenlos. Den muss man dann nur teilweise hochfahren und booten 😅.
@BFx schrieb:es geht um das Hosting einer DATEV-Umgebung für eine Steuerkanzlei mit 12 DATEV-Usern. DATEV wird mit DATEV DMS genutzt.
Ich habe das fürs Sizing relevanteste einmal hervorgehoben.
I.d.R. skaliert man beim "Hosting" eher mit mehreren kleinen VMs in die Breite anstatt "Monster VMs" zu betreiben. Wenn das dedizierte Hardware exklusiv für diesen einen Kunden ist, dann ist es nahezu egal. Ich würde aber auch dann eher auf mehrere kleine VMs setzen. Hängt also ein wenig vom Hosting bzw. vom Hoster und vor allem der dortigen Hardware ab.
Da ab und an mIDentity / Softwareschutz / SEH / Kommserver / LiMa Probleme machen und dadurch ein Reboot vom KSRV / LiMa anstehen kann bzw. ein Reboot manche Probleme einfach so fixt, würde ich den - wenn möglich - separat betreiben.
@metalposaunist schrieb:Willst Du den RDS Gateway ins Internet stellen (zwecks HomeOffice oder ähnlich)? Ein mir bekannter Solution Partner macht die Rolle rückwärts und setzt in dem Fall auf Citrix, weil das RDS Gateway über den Browser wohl zu oft ein Angriffsvektor war und das nicht mehr IT-technisch sicher ist.
Nunja, im Bereich "Citrix" hat sich das Netscaler Gateway bzw. der Netscaler / Citrix ADC im Bezug auf "IT-technisch sicher" auch nicht mit Ruhm bekleckert. 😉
Man kann sich sowohl mit wie auch ohne "Citrix" um Security bemühen oder es sein lassen bzw. werden Netscaler Gateways sicherlich nicht weniger attackiert wie RDS Gateways. 😉 Wer mag kann sogar den RDP Proxy vom Netscaler nutzen und damit seine RDS Infrastruktur veröffentlichen. 🙂
@janm schrieb:
Nunja, im Bereich "Citrix" hat sich das Netscaler Gateway bzw. der Netscaler / Citrix ADC im Bezug auf "IT-technisch sicher" auch nicht mit Ruhm bekleckert. 😉
So wie ich das aktuell verstehe, kann man sich auch bei Citrix die Lösungen einkaufen und mieten, sodass Citrix für die Sicherheit verantwortlich ist aka sich so wie ein Exchange online verhält, wo meiner Meinung nach bis auf den Microsoft Generalschlüssel China Hack bisher nichts vorgefallen ist. Wer Citrix selbst betreibt und wartet, muss auch 24/7 sicherstellen, dass man alle Updates asap einspielt, wenn es welche gibt, weil hier Citrix nicht mehr eingreifen kann.
In Sachen IT-Security vertraue ich zu 100% auf die Aussagen der Kegler IT. Die werden nicht aus Jux & Tollerei auf Citrix setzen, wenn ein RDS Gateway genauso sicher wäre. Geld hat niemand zu verschenken.
Auch bei Citrix DaaS gibt es genau wie im M365 Bereich grundsätzliche Dinge, die man sicherheits-technisch umsetzen sollte ( / eigentlich muss).
Im "reinen RDP Universum" kann ich mir den Azure Virtual Desktop ins Haus stellen und verbinde mich dann über den Workspace in/aus Azure. Sehr ähnliches Prinzip wie mit Citrix DaaS.
Unterm Strich: Nur weil es Citrix ist oder aus einer Cloud kommt, ist es nicht automatisch sicher. Würden alle Anbieter alles direkt "total sicher" ausrollen, wäre die Akzeptanz bei ganz vielen Lösungen sehr, sehr klein. 🙂
@janm schrieb:
Unterm Strich: Nur weil es Citrix ist oder aus einer Cloud kommt, ist es nicht automatisch sicher.
Microsoft ist ein schlechtes Beispiel, weil too big to fail aber der Imageschaden sollte recht hoch sein, wenn der Anbieter selbst seine Produkte nicht sicher gestaltet und entsprechend schnell reagiert. Dann droht Kundenverlust und das sollte in keinem Sinne eines Unternehmens sein. Will nicht wissen, wie viele Kunden von Convotis zu einem anderen Partner gewechselt sind. Ob der nun zwangsläufig "besser" ist, spielt erstmal keine Rolle. Der Kundenverlust zählt.
Moin Moin,
es gibt bereits viele gute Antworten. Ich steuere vor allem Details dazu.
Den Komm-Server auf dem Fileserver zu installieren, hat sich bei uns bewährt. Hat allerdings unser Dienstleister eingerichtet. Ich kann mich erinnern, das hier der Community auch Ärger berichtet wurde.
Wenn Sie jetzt auf neue Hardware alles aufbauen möchten, ist der Tipp vom @metalposaunist erwägenswert, Partnerasp stattdessen zu nutzen. Der Gedanke dahinter ist, das Datev letztlich alle on premise-Anwendungen in Cloud-Anwendungen schieben will - tut auch mit der Zeit tut. On premise-Anwendungen sterben aus und werden vorher nur noch mit den nötigsten Updates versorgt.
Dazu kommt, dass Microsoft (der eigentliche Treiber in die Cloud) es auch immer schwerer macht, sei es WIndows 11 sei es M365 alles wird on premise mit der Zeit vernachlässigt. Die diversen Sicherheits-Desaster von Exchange-Server on premise zeigen das deutlich genug. Wenn MS die Unterstützung von M365 (und damit Office on premise) für Windows Server beendet (geplant ist es ja), dann ist der eigene Hostserver wohl Vergangenheit.
Wer jetzt umsteigen will/muss, sollte das Risiko mit dem eigenen System nicht mehr arbeiten zu können unbedingt bedenken. Partnerasp verschiebt dieses Risiko zum Dienstleiter.
Warum Partnerasp und nicht Datevasp? Datevasp liegt im Datev-RZ. Nach meiner persönlichen Meinung gibt es dort zu viele Ausfälle während der Arbeitszeit, die Datvasp auch lahmlegen. Bei Partnerasp funktioniert dann noch die Software, nur die Kommunikation mit dem RZ ist halt gestört. Man kann also dann weiterarbeiten.
Meine Meinung, die sich auch auf die Erinnerung an Community-Beiträgen stützt.
Sofern Sie 2 Hostserver nutzen wollen, machen 2 Terminalserver Sinn. Auf jedem Bleck einer. Dann auch bitte 2 Domaincontroller und den Fileserver klonen. Fällt ein Hostserver aus, kann der zweite alle Aufgaben übernehmen. Vielleicht etwas langsamer, aber überhaupt weiterarbeiten zu können, wird es fast immer wert sein.
HTH
QJ
@quantenjoe schrieb:Sofern Sie 2 Hostserver nutzen wollen, machen 2 Terminalserver Sinn. Auf jedem Bleck einer. Dann auch bitte 2 Domaincontroller und den Fileserver klonen. Fällt ein Hostserver aus, kann der zweite alle Aufgaben übernehmen. Vielleicht etwas langsamer, aber überhaupt weiterarbeiten zu können, wird es fast immer wert sein.
Beim Thema "Verfügbarkeit" setzt man dann aber auf ein Cluster und nicht auf "DR Mechanismen" wie Replikation ("Klonen").
@quantenjoe schrieb:Warum Partnerasp und nicht Datevasp? Datevasp liegt im Datev-RZ. Nach meiner persönlichen Meinung gibt es dort zu viele Ausfälle während der Arbeitszeit, die Datvasp auch lahmlegen. Bei Partnerasp funktioniert dann noch die Software, nur die Kommunikation mit dem RZ ist halt gestört. Man kann also dann weiterarbeiten.
Viele PartnerASP liegen auch im Datev-RZ. Bspw. Geiger BDT/Convotis oder auch das vom @metalposaunist empfohlene.
@metalposaunist schrieb:oder welchen Grund hat das, dass Du Dir das ans Bein binden willst 🤔? In Deutschland ist
Der Hauptgrund ist dieser Knopf:
Um Lösungen auszuprobieren, mit denen man sich etwas von den energiezehrenden Würgarounds in der Datev-Software (sehr) langsam befreien kann. (Ich denke da z.B. jetzt schon an den Tag, an dem ProCheck abgekündigt wird, und nonchalant mitgeteilt wird "um weiterhin Lesezugriff auf die Checklisten zu erhalten, exportieren Sie die bitte jede einzeln als PDF".)
Hallo,
bitte tut euch immer den Gefallen und lasst einen DC seine Aufgabe ungestört machen.
Auf einem sauberen DC haben keine anderen Applikationen etwas zu suchen.
Selbst in einer sehr kleinen Umgebung würde ich die DC-Rolle immer auf eine separate VM packen.
Hintergrund: Sobald man einen DC aus einer Sicherung wiederherstellen muss, wird man vor gewisse Herausforderungen gestellt. Wenn man einen zweiten funktionsfähigen DC im Netz hat, dann kann man den "defekten" auch händisch aus dem AD herausholen und bequem einen neuen installieren.
Ich würde in diesem Setup den Kommunikationsserver auslagern und zusammen mit einem LIMA auf einer VM parken.
In einer größeren Umgebung könnte man das DMS noch auf einen separaten File/SQL-Server packen.
Sobald man mit zwei WTS unterwegs ist, gehört ein Session-Broker (bei Bedarf mit Gateway) davor.
Aus meiner Sicht schaut deine Aufteilung daher schon sehr gut aus. Wie gesagt: Für den DC solltest du eine eigene VM nehmen und am besten noch einen zweiten DC irgendwo daneben stellen.
Je weniger Rollen sich auf einer VM befinden, desto weniger Stress hat man, wenn es Probleme gibt.
Gruß
@bjoern schrieb:
Ich würde in diesem Setup den Kommunikationsserver auslagern und zusammen mit einem LIMA auf einer VM parken.
Der LiMa sollte nach DATEV Vorstellung am besten am SQL-Server laufen, weil auch der LiMa in Zukunft Updates braucht. In dem Fall mit einem Kommunikationsserver nicht so schlimm, weil es dort auch eine DATEV Umgebung gibt aber den LiMa standalone möchte DATEV schon länger nicht, weil der bei Updates gerne vergessen / ignoriert wird und es zu Problemen kommen kann.
@bjoern schrieb:
Je weniger Rollen sich auf einer VM befinden, desto weniger Stress hat man, wenn es Probleme gibt.
Desto mehr VMs hat man, desto höher der Wartungs- und Pflegeaufwand.
Wer sich mit was anderem beschäftigen möchte, möge PARTNERasp nutzen. Macht es deutlich entspannter.
ZItat: "Beim Thema "Verfügbarkeit" setzt man dann aber auf ein Cluster ..."
Moin Moin
Ja, wenn man groß genug ist. Für eine 1-2 Hostserver-Bude ... Ist das Risiko wirklich den Mehraufwand und die Kosten wert?
Aber auch richtig, natürlich muss man sich in der Vorplanung unbedingt Gedanken um Ausfallsicherheit, Datensicherheit und andrem mehr machen. Im Idealfall gleich mit den verschiedenen Dokumentationen für den Datenschutz.
QJ
@BFx schrieb:
Ich wäre Euch dankbar, wenn Ihr mir Eure Einschätzung zu den folgenden Punkten geben würdet:
1. Handelt es sich bei der o.g. Aufteilung um ein praxisbewährtes Setup?
Aus Sicherheitsgründen würde ich das RDS Gateway ins Perimeternetz ohne AD tun.
2. Handelt man sich Probleme ein, alle DATEV-Serverdienste in eine VM zu packen?
Das kann so sein. Ich bevorzuge eine striktere Dienstetrennung. Ob man sich das bei 12 Benutzern schon antun sollte, ist Ansichtssache und aufgrund der Angaben nicht bewertbar.
3. Würdet Ihr Dienste aus VM #1 besser in eine separate VM auslagern, bspw. das DMS oder den Kommunikationsserver?
Das ist wie gesagt Ansichtssache. Dazu kennen wir weder das Anwenderverhalten noch das Datenaufkommen.
4. Seid Ihr umgekehrt der Meinung, dass man Dienste noch zusammenführen und sich so vielleicht 1-2 VMs sparen könnte, und falls ja, wo würdet Ihr ansetzen?
Nein.
5. Habt Ihr sonstige Empfehlungen zum Aufbau aus der Praxis?
Freigabe von Hard- und Software vom Hersteller, nichts selber schrauben, gute Supportverträge für Hardware, Datensicherung, Datensicherung und nochmal Datensicherung, vertrauensvolles Systemhaus mit guten SLAs, ist ein RDS Gateway das richtige Mittel der Wahl, passt die Virtualisierungsplattform, ist VDI eine Alternative, ...
6. USB-Dongle-Server: Mit welchem habt Ihr gute Erfahrungen gemacht / welchen würdet Ihr empfehlen?
SEH
Guten Morgen,
eine Alternative zu SEH wäre noch Silex!