Danke für die Lösung 👍. Aber wenn Sie schon 4 Business im Unternehmensnamen haben, würden mich Enterprise Lösungen interessieren, wie Linux ThinClients von Fujitsu, Lenovo, Dell und HP. Braucht man bei denen auch Ihre Abhilfe oder funktioniert DATEV dort nicht out-of-the-box? Für welchen Fall gilt Ihre Lösung? Wie kann man Ihre Lösung skalieren und gibt es dazu auch eine Verwaltungskonsole der ThinClients, um BIOS Updates und Co. zentral fahren zu können?

Sonst nehme ich doch keinen PC aus der Ecke und packe mir da manuell ein Astra-Linux drauf als standalone PC. 

---

@LS4B schrieb:

Dieser lautet dann z.B. "KOBIL Systems Smart Token (NE118101910) 00 00" und muss genau so beim RDP-Client hinterlegt werden.

---

Hat jeder DATEV mIDentity dann eine andere Ziffer am Ende? Heißt, der ThinClient von Frau Müller arbeitet auch nur mit Frau Müllers SmartCard und wenn Frau Meier dran arbeiten will oder muss (dank Corona oder weil Hot Desking eine Unternehmensphilosophie ist) muss man wieder aktiv werden?

---

@LS4B schrieb:

Remmina: Multimonitor-Betrieb ist nun auch mit der Version 1.4.12 ebenfalls möglich.

---

Wie viele Monitore mit welcher maximalen Auflösung? RDP kann maximal 16 Monitore und maximal 32K Pixel. 

Nachtrag in "konkret": Debian basierte Distro:

sudo apt install freerdp2-x11

sudo apt install libccid
sudo apt install libpcsclite1
sudo apt install pcscd
sudo apt install pcsc-tools

Aufruf RDP: xfreerdp /f /multimon /monitors:1,0 /u:user /d:kanzlei /p:password /smartcard:"KOBIL Systems Smart Token (NE118101910) 00 00" /v:192.168.0.2

Aufruf RDP einfach als Link am Desktop hinterlegen.

u: user

d: domain

p: password

v: IP des WTS

/F Vollbild

/monitors:1,0 zwei Displays in festgelegter Reihenfolge sonst halt 0,1,2 oder 2,0,3,4 bei mehr Displays wie gewünscht etc.. Hand aufs Herz: Wer hat mehr als drei Displays? Und wenn ja, dann kauft er/sie auch nen passenden PC dazu und will nicht nen alten NUC weiterleben lassen.

Name SmartCard mittels: pcsc_scann.

Anwendungsfall: Recycling vorhandener NUCs, Barebones und alle schwachen Kisten die sonst in die Tonne kämen zum Beispiel fürs HomeOffice angebunden per VPN. Nicht für DATEV-Anwendung primär, sondern generell.

Vollinstallation OS + Updates + alle notwendigen Pakete: getestet am alten IndustrieBareBone mit Celeron G1820@2.7 GHz und 40 GB SSD. Installationsdauer ca. 15 Minuten von ersten Boot vom Stick bis komplett fertig + 5 Minuten Desktop "schick" machen, Netzlaufwerke einhängen blah blah. Macht man sich halt 5 Sticks und paar PCs zeitgleich fertig.

Zukünftige (zentrale) Verwaltung für meinen Anwendungsfall nicht notwendig: Meldung bei anstehenden Updates am Desktop. User klickt selbstständig aus "mach et". Zeitaufwand ca. 30 Sekunden die Woche, wenn überhaupt, Neustart nicht notwendig.

Bonus: Nichts weggeworfen, schlappe PCs jetzt mit einer Bootdauer von jetzt 15-20 Sek bis zur WTS Sitzung weiterverwendet. Arbeitsaufwand Tasse Kaffee + 2 Kippen Zeitlänge.

Wer es supportet haben will, macht halt Standard... Darum gehts hier nicht- Nicht "Enterprise" aber nachhaltig...

---

@LS4B schrieb:

Hand aufs Herz: Wer hat mehr als drei Displays?

---

Hätte ja sein können, dass maximal 2 möglich sind. 3 sind schon bald "Quasistandard". Ich bin bei Linux nicht der Fachmann. 

Ich kann mich nur an bestimmte Fujitsu Linux ThinClients erinnern, die ebenfalls mit FreeRDP arbeiteten und man erst ein Firmwareupdate machen musste bzw. die aktuelle Linuxversion von Fujitsu herunterladen und installieren musste, weil sich die zu alte FreeRDP Version nicht mehr mit einem bestimmten Windows Server verbinden wollte. Hatte meine ich was mit Zertifikaten zu tun. Installation auf dem echten Fujitsu ThinClient mit 1GHz ARM CPU: eine Stunde. 

---

@LS4B schrieb:

Wer es supportet haben will, macht halt Standard... Darum gehts hier nicht- Nicht "Enterprise" aber nachhaltig...

---

Deshalb frage ich nach 😊. Bei einer Kanzlei mit 4 Standorten und 200 Arbeitsplätzen ist der Administrator froh, wenn an jedem Platz der gleiche PC steht und nahezu jeder das gleiche Notebook hat. Und sei's nur, wenn etwas getauscht wird und man bei inhomogenen Umgebungen nicht erst den Mitarbeiter nach den Displayanschlüssen am PC und Monitor fragen muss, wenn man's nicht vernünftig dokumentiert und man eine Strecke fährt und das falsche Kabel dabei hat 🙄. 

Oder wenn PC1 eine andere Fehlermeldung als PC2 auswirft, weil anderer Hersteller aber im Grunde beide Meldungen das gleiche aussagen. 

In meinen Augen funktioniert IT am besten, je homogener eine Umgebung ist. 

@LS4B: Wie lösen Sie Videokonferenzen mit Ihrer Lösung? Da im RDS/WTS Umfeld direkt dort ohne weitere Hardware wenig sinnvoll, sollen unsere Mitarbeiter lokal den Link ausführen und lokal die jeweilige Lösung nutzen, die von außen kommt, wo wir wenig Einfluss drauf haben: MS Teams, GoToMeeting, Jitsi, Cisco WebEx oder sogar Java Lösungen gibt es dort. 

Fast alles, was auf Windows geht, geht auch auf Linux.

Blaue Hosen gibts hier: https://www.bluejeans.com/de/downloads

Systemupdates kommen bei Ubuntu automatisch, teilweise komplett ohne Neustart (20.04) incl. Browserupdate etc. Einiges an alter Hardware geht nicht, z. B. eingebaute GSM Module, LAN, WLAN ist auch auf einem 10 Jahre alten Notebook kein Problem. Multifunktionsdrucker (HP) lief die Einrichtung  mit RDP schneller als bei Windows.

Insgesamt machbar.

Btw.: DATEV hat vor vielen Jahren auch einmal auf Laptops einheitlicher Herkunft gesetzt. Ein undokumentiertes  Hardwareupdate des Herstellers bei späteren Chargen hat dann zum Crash der Installation geführt. So viel dann zum Thema einheitlich.

Ich finde es einen interessanten Ansatz, der Client soll ja nur die Verbindung zum WTS herstellen, deshalb hatte ich ursprünglich mal mit ThinClients angefangen, da ging dann aber die Smartcard nicht. 

Der Rechner wird dann aber tatsächlich für genau eine Smartcard eingerichtet?! 

Und sorry für offtopic, aber wie stelle ich denn am einfachsten die Updates für die Windows Rechner im DATEVnet-Homeoffice sicher?  

---

@RAHagena schrieb:

Und sorry für offtopic, aber wie stelle ich denn am einfachsten die Updates für die Windows Rechner im DATEVnet-Homeoffice sicher?  

---

Welche Updates genau? 

Das DATEVasp Zugangspaket muss man auch manuell von Hand an jedem Client im HomeOffice aktualisieren.  

---

@RAHagena  schrieb:

Und sorry für offtopic, aber wie stelle ich denn am einfachsten die Updates für die Windows Rechner im DATEVnet-Homeoffice sicher?  

---

Bisher scheinbar nur so:

TAP deinstallieren, Update starten und dann wieder den TAP installieren.

Ich wäre froh, wenn hier einer eine andere Möglichkeit aus dem Ärmel zaubert. Die nicht empfohlene DATEVnet-Konfiguration der DATEV (Interenet trotz VPN in der DATEVnet-Konfiguration freigegen) kann es ja nicht sein, oder?

Schön wäre dann auch , wenn man auf den TAP direkt per  Fernzugriff (meinetwegen Teamviewer) zugreifen könnte..

Bin gespannt, ob es für DATEVnet-TAP eine Alternative gibt...

Schönen Sonntag!

---

@andreashofmeister schrieb:

Schön wäre dann auch , wenn man auf den TAP direkt per  Fernzugriff (meinetwegen Teamviewer) zugreifen könnte..

---

Dafür gibt's doch im NCP Client die Einstellung Split-Tunneling? Oder sperrt DATEV das DATEVnet Profil mit einem Kennwort? Sonst dort das Netz eintragen und dann gehen wirklich nur Daten, die das andere Netz betreffen durchs VPN und man kann lokal surfen und auch Teamviewer geht dann. 

Wenn nicht: Kann man nicht im Teamviewer mit aktivierten DATEVnet VPN einen Proxy eintragen? Damit müsste es doch wieder gehen?  

Für weniger IT-affine kann man das ganze per Batch schreiben und auf den Desktop legen: Proxy AN und Proxy AUS per Doppelklick. 

Alle die man so braucht, bei uns DATEV (TAP) und Windows. 

Da wäre ja die Linux Variante schon schicker, wobei die wahrscheinlich am VPN Client scheitert?

Scheint ja tatsächlich nur über Turnschuh-Administration zu gehen, schade auch.  

Proxy läuft. -> Proxysetter.exe nutzen! 

---

@RAHagena schrieb:

Alle die man so braucht, bei uns DATEV (TAP) und Windows. 

---

Windows Updates werden direkt von Microsoft heruntergeladen und den TAP muss man wohl wie im DATEVasp zu Fuß aktualisieren, wobei ich meine, dass DATEV hier ebenfalls an einem AutoUpdate arbeitet. 

---

@RAHagena schrieb:

Da wäre ja die Linux Variante schon schicker, wobei die wahrscheinlich am VPN Client scheitert?

---

Was ist daran so viel schicker? Updates brauchen alle Systeme. Vielleicht gehen die unter Linux schneller, okay. Sonst scheitert's am VPN und der Unterstützung von SmartCards durch DATEV unter Linux, korrekt. 

---

@metalposaunist  schrieb:

---

@andreashofmeister schrieb:

Schön wäre dann auch , wenn man auf den TAP direkt per  Fernzugriff (meinetwegen Teamviewer) zugreifen könnte..

---

Dafür gibt's doch im NCP Client die Einstellung Split-Tunneling? Oder sperrt DATEV das DATEVnet Profil mit einem Kennwort? Sonst dort das Netz eintragen und dann gehen wirklich nur Daten, die das andere Netz betreffen durchs VPN und man kann lokal surfen und auch Teamviewer geht dann. 

 

Wenn nicht: Kann man nicht im Teamviewer mit aktivierten DATEVnet VPN einen Proxy eintragen? Damit müsste es doch wieder gehen?  

 

Für weniger IT-affine kann man das ganze per Batch schreiben und auf den Desktop legen: Proxy AN und Proxy AUS per Doppelklick. 

---

@metalposaunist hast Du das mal versucht?

M.E. unterdrückt DATEVnet das.....ansonsten wäre das Konzept ja ziemlich "nutzlos"...

Es soll genau das ja vermieden werden...Zumindest sind das die bisherigen Aussagen. Und welchen Proxy denn? man hat ne VPN-Verbindung via Internet-DSL-Zugang.

---

@RAHagena  schrieb:

 

Da wäre ja die Linux Variante schon schicker, wobei die wahrscheinlich am VPN Client scheitert?

Den müssen Sie ja irgendwie auf den Client "prügeln". Ob das bei NCP geht....

Sofern wir über DATEVnet reden, win-proxy.services.

Das VPN ist ja der Tunnel in die Kanzlei bzw. ins DATEVnet, von da aus gehts nur über Proxy raus. 

---

@RAHagena  schrieb:

Sofern wir über DATEVnet reden, win-proxy.services.

Das VPN ist ja der Tunnel in die Kanzlei bzw. ins DATEVnet, von da aus gehts nur über Proxy raus. 

---

Ab der Kanzlei ja. Aber dann sind Sie ja schon "drin". Vorher ist nix mit konfigurierbarem Proxy. Sobald der DATEVnet TAP ja installiert ist, sind Sie ja im Tunnel....die Konfiguration können Sie dann nicht mehr ändern.

Oder?

Schneller ist durchaus schicker, aber läuft tatsächlich auf ein ähnliches hinaus, unter Linux gibts wahrscheinlich auch Virenscanner?! Und ohne Internet wird auch Linux kein automatisches Update hinbekommen...

Ich kann auf jedem Homeoffice PC proxysetter.exe ausführen und anschließend (proxy-)normal auch auf der unteren Ebene ins Internet, auch wenn dies über die Administration noch gesperrt ist. 

---

@RAHagena  schrieb:

 auch wenn dies über die Administration noch gesperrt ist. 

---

Dann hebelt sich DATEVnet da ja selbst aus...?

Oder meinen Sie, bevor der Tunnel "aktiviert" wurde...? Auch bei bestehendem Zugang zu Kanzlei?

Innerhalb von DATEVnet darf ich doch ausdrücklich über den Proxy (=gefiltert) ins Internet. Gibt afaik keine Restriktionen, welche Rechner das dürfen und welche nicht. 

Und das geht nur solange der Tunnel aktiv ist. 

---

@andreashofmeister schrieb:

@metalposaunist hast Du das mal versucht?

---

Nein, wir haben DATEVasp mobiler Arbeitsplatz inkl. Cisco AnyConnect dahinter. Und bei uns kann man lokal alles noch machen. Warum man beim DATEV TAP sämtlichen Traffic durchs VPN leiten muss zur Kanzlei und dort ordentlich Bandbreite braucht, erschließt sich mir nicht. Bei uns sind immer 35 Leute mobil eingeloggt. Wenn das via TAP realisiert würde ... besser nicht ausdenken.

Zumal man dann wie hier von Usern berichtet bei Videokonferenzen alles durch den Tunnel leitet und dann braucht man mindestens 2Mbits pro User stabil = 70Mbits bei uns 😲. Am besten via SDSL, weil die sogenannte "Business" 400er Unity ... ja, auf dem Blatt Papier 😂. Dann also braucht's 250Mbits VDSL.  

Dann frage ich mich, wozu das dann deaktiviert (Standard) sein soll. Und DATEV auch selbst sagt, dass man an die TAPs von aussen nicht dran kommt....

Aber dann gibt es doch auch kein Problem mit dem Windows-Update...., oder?

Ich zitiere mal:

---

Die im NCP-Client enthaltene Firewall sorgt in Verbindung mit der Hardware-Firewall des DATEV-Routers in Ihrer Zentrale für maximalen Schutz des ausgelagerten Arbeitsplatz-PC. Das heißt:

• Unmittelbar ab der Installation des NCP-Client ist die anderweitige (ungeschützte) Nutzung des Internet direkt von diesem PC aus nicht mehr möglich. Wenn Sie zulassen wollen, dass auch bei deaktiviertem VPN-Tunnel das Internet genutzt werden kann, müssen Sie das ausdrücklich konfigurieren.

• Wenn der VPN-Tunnel aktiv ist, sorgt diese Firewall immer dafür, dass direkt von diesem PC aus keine anderweitige (ungeschützte) Nutzung des Internet möglich ist.

---

und weiter

---

Für den DATEVnet Telearbeitsplatz sind die gesetzlich vorgeschriebenen Maßnahmen des Datenschutzes und der Datensicherheit zu ergreifen. Die Verantwortung des Steuerberaters weitet sich auf den ausgelagerten Arbeitsplatz aus.

---

sowie

---

Wenn Sie zulassen wollen, dass von diesem PC auch bei deaktiviertem VPN-Tunnel das Internet genutzt werden kann: Die jeweiligen Kontrollkästchen in der Spalte ungeschützter Internetzugang aktivieren.

Die Aktivierung dieses Kontrollkästchens bewirkt: Bei der möglichen direkten Internetnutzung sind Sie nicht durch die im NCP-Client enthaltene Firewall geschützt. Bei bestehendem VPN-Tunnel sind alle Sicherheitsmechanismen des DATEVnet Telearbeitsplatz weiterhin wirksam.

---

wg. der Zitate kann ich nicht mehr ordentlich editieren 😫

Also, lokales Internet erlauben, Tunnel NICHT aufbauen, Windows Updates ziehen!

Danke @siro .

Dann frage ich mich aber wie das bei @RAHagena 's TAPs trotzdem funktioniert...

Oder reden wir über verschiedene Dinge...?

---

@andreashofmeister  schrieb:

Danke @siro .

 

Dann frage ich mich aber wie das bei @RAHagena 's TAPs trotzdem funktioniert...

 

Oder reden wir über verschiedene Dinge...?

---

Wenn ich bei aufgebautem Tunnel lokal am TAP ins Internet will, dann muss ich halt den Datev Proxy setzen! Und für automatische Win Updates dann auch den System-Proxy netsh winhttp import proxy source=ie wenn vorher über proxysetter von Datev gesetzt.

Aber dann jauche ich den Traffic mit bummeligen irgendwas MBit über den Tunnel statt direkt am TAP mit der vollen (V)DSL Geschwindigkeit

Bei meiner geschilderter Konstellation kommt natürlich kein DATEVNet zum Einsatz. Alle HomeOffice Plätze sind "normal" per OpenVPN Roadwarrior zur Kanzlei-Firewall verbunden. Von daher stellt sich für mich die Frage mit dem NCP-Client eh nicht.

Muss man so ein wenig im Gesamtumfang betrachten... kein DATEVNet-Nutzer. Firewall oder normaler VPN-Router in der Kanzlei der halt OpenVPN kann, pfSense, NethServer, usw. => je nach dem (ich würde letzteren einsetzen).

Dafür galt o.g. Ansatz um HomeOffice Plätze mit minimalen, vorhandenen Mitteln zu realisieren. VPN per OpenVPN oder IPSec, ob nun RoadWarrior oder Site2Site lassen sich ja auch anders realisieren als wie mit DATEVNet - natürlich auch im Bewusstsein des (vielleicht) geringeren Schutzes. Wobei man ja aktuell auch sieht, wie anfällig "grosse" Lösungen sein können (Exchange).

@LS4B ,

... ist die Ortsangabe in Ihrem Impressum nur für Besucher aus dem Ausland gedacht ? 😉

---

D-32549 Deutschland

---

Thanks, your welcome!

Ende meines kleinen Tests für RDP-Clients im DATEV WTS-Umfeld:

Zielsetzung: Linux Distro auf vorhandener schwacher Hardware als simpler RDP-Client für DATEV-WTS-Server.

- Sehr schön lässt die das Unterfangen dann doch mit SolusOS realisieren.

- Solus Grundinstallation durchführen

- Updates holen / installieren

- Pakete nachinstallieren:

• pcsc-lite
  pcsc-lite-devel
  phython-pyscard
  qca
  qca-devel
  pcsc-tools
  acsccid

Dann Kommandozeile:

sudo eopkg install pcsc-lite perl-pcsc pcsc-tools ccid opensc
sudo systemctl start pcscd
sudo systemctl enable pcscd

USB-Modul kann nun (darf erst jetzt) angesteckt werden.

RDP-Client Remmina installieren. Wir können damit per GUI Multimonitor-Betrieb und Smartcard teilen realisieren. Die weiteren Einstellungsmöglichen sind wie beim Windows RDP-Client identisch und wir brauchen nix per Shell zu machen.

# Am Rande: Das DATEV Modul kann hin-und-her getauscht werden, es wird nicht mittels seiner Kennung hinterlegt.

# Problemlösung Mauszeiger bei Multimonitor nicht sichtbar: "Mauszeigerschatten deaktivieren" im Remmina-Client.