RDP und DATEV mit Remote SmartCard - DATEV-Community

LaS · ‎19.09.2020

Guten Tag,

auch bei uns ist es nun, durch das Upgrade auf DATEV 14 (09.20 Release) zu dem bekannten Problem gekommen, das über RDP Sessions unserer Clientcomputer, die SmartCard nicht mehr funktioniert. (miDentity Dongle)

Selbstverständlich habe ich mir dazu, die von DATEV bereitgestellten Dokumente und auch diverse Threads hier zu dem Thema sorgfältig durch gelesen und dies soll nur nochmal auf den Punkt bringen, welche Lösungsmöglichkeiten mir genau offen stehen.

Vorweg und um unsere Situation etwas konkreter zu beschreiben. Bei uns wird DATEV Faktura und ReWe zwar genutzt aber nicht ansatzweise vollumfänglich, sondern vielmehr als Schnittstelle zum StB für unsere Buchhaltung.

Dabei arbeitet nur eine Kollegin von mir (bis dato via RDP) auf dem DATEV Server, (Windows Server 2019 Std) an dem wiegesagt der miDentity Stick angeschlossen ist.

Aus meiner jetzigen Recherche und bitte korrigiert mich falls ich falsch liegen sollte, stehen mir folgende Lösungsmöglichkeiten offen:

1.) WTS (Windows Terminal Server) Role zzgl. CALs

(soweit ich weiß besteht WTS standardmäßig auf ein AD, lässt sich über die PowerShell aber auch ohne AD installieren, korrigiert mich hier gerne, falls jemand das genau weiß)

2.) Den miDentity Stick am jeweiligen Client verwenden, der zum DATEV Server verbindet.

Da der miDentity auch für das Lizenz Management verwendet wird, müsste ich ein zusätzliches SWM bestellen,

(z.B SWM-Mini) mit dem LiMa verknüpfen und könnte dann den frei gewordenen miDentity Stick an den Clients verwenden. In Dokument 1009322 ist dieser Anwendungsfall beschrieben.

3.) Andere Drittanbietersoftware zur Remoteverwaltung nutzen bspw. AnyDesk oder TeamViewer.

Über diese Tools lässt sich die SmartCard, nach wie vor reibungslos verwenden.

Variante 1 fällt aus meiner Sicht faktisch raus, da bei uns auch auf längere Sicht nur eine einzige Person in DATEV arbeitet. Neben den CALs kämen abgesehen davon weitere Kosten für MS Office hinzu.

Variante 2 Klingt eigentlich nach der für uns sinnvollsten Lösung. Die Kollegin führt den Dongle dann mit und kann von zuhause am Laptop oder im Büro via RDP weiterhin so arbeiten, wie sie es gewohnt ist, mit der kleinen Unannehmlichkeit, den Dongle vorher an den Clientrechner anstecken zu müssen.

Variante 3 wäre aus meiner Sicht eher eine provisorische, schnelle Lösung als eine wirklich dauerhafte.

Ist das soweit korrekt, habe ich eventuell etwas vergessen und ließe sich Variante 2, so wie von mir beschrieben umsetzen oder spricht was Entscheidendes dagegen?

Vorab vielen Dank.

metalposaunist · ‎19.09.2020

@LaS schrieb:
1.) WTS (Windows Terminal Server) Role zzgl. CALs
(soweit ich weiß besteht WTS standardmäßig auf ein AD, lässt sich über die PowerShell aber auch ohne AD installieren

Soweit ich weiß, ist das standardmäßig seit 2012 R2 nicht mehr ohne weiteres per GUI möglich. Per Powershell mag es klappen aber machen Sie sich nicht damit eine neue Baustelle, wenn man was nutzt, was so nie technisch vorgesehen ist 😉. Exchange 2016 und höher auf einem AD Server kann man auch machen, bekommt dann aber keine CUs drauf. Nur als Beispiel und weiteres Gedankenspiel.

@LaS schrieb:
Variante 2 Klingt eigentlich nach der für uns sinnvollsten Lösung. Die Kollegin führt den Dongle dann mit und kann von zuhause am Laptop oder im Büro via RDP weiterhin so arbeiten, wie sie es gewohnt ist, mit der kleinen Unannehmlichkeit, den Dongle vorher an den Clientrechner anstecken zu müssen.

Sehe ich auch so. Die "Unannehmlichkeit" ist auch hier keine, weil es ja nie anders vorgesehen war (@chrisocki). Auch wenn der Vergleich mit einem Autoschlüssel hinken mag, wie ich gelernt habe, ist das die Besitzkomponente, die man im Besitz haben muss, damit das Sicherheitskonzept von Microsoft aufgeht 😉. Und spätestens, wenn Sie eine Kanzlei mit 140 Mitarbeitern im DATEVasp administrieren, wird aus der "Unannehmlichkeit" ein notwendiges Übel.

Ist das einzige Unbekannte der Faktor DATEV: bis wann lässt DATEV noch das Info-DB online und diese Möglichkeit das SiPa zu überlisten, dass es doch ohne echten WTS/RDS klappt? Wird DATEV diese Hintertür ohne Ändern der besagten Datei im Info-DB unterbinden, führt kein Weg an einem echten WTS/RDS oder anderen Lösungen dran vorbei.

Da Sie wohl kein zentrales AD haben, wird der Aufwand zum WTS sehr hoch werden. Die Kosten halten sich in Grenzen, wenn man auf gebrauchte MS Lizenzen setzt und mit bestimmten Office365 Lizenzen sich diese auch auf dem Server installieren lassen. Dann wird vermutlich nur der Weg eines Laptops bleiben, das man mit z.B. Veeam sichern kann oder einer "echten" Cloudlösung wie DATEV Smart-IT oder PARTNERasp. Die Kosten dazu sind auf Dauer aber ggf. höher als eine lokale WTS Lösung.

viele Grüße aus dem Rheinland – Daniel Bohle
www.metalposaunist.de

ralore · ‎20.09.2020

Ich habe auch Problem mit Datev Sicherheitpaket auf WTS mit Silex USB Server. Er findet einfach kein smartcard, ist aber gefunden von der USB Server. 😞

LaS · ‎20.09.2020

@metalposaunist

Danke, (wie so oft) für die schnelle Antwort. 🙂

Ein SWM-Mini habe ich bereits bestellt.

Ist die korrekte Vorgehensweise den miDentity durch den SWM-Mini als Master-SWM zu ersetzen,

in Dok.-Nr.: 1035572 beschrieben oder muss ich eine andere Vorgehensweise beachten?

Müssen am miDentity Änderungen vorgenommen werden, bevor dieser durch meine Kollegin am

Client PC/Laptop nutzbar ist?

edit:

Wäre es ggf. nicht sogar besser gewesen einen zweiten miDentity compact zu holen, statt des SWM-Mini?

Den zusätzlichen miDentity hätte man dann auf die Arbeitskollegin personalisieren können und den ersten im Prinzip unverändert am Server belassen.

Auf die Art und Weise könnte ich als Admin via RDP auf den Server connecten und über das RZ Updates durchführen. Diese Möglichkeit habe ich mit dem SWM-Mini als einzigen Stick am Server nicht, oder bin ich da falsch informiert?

Gelöschter Nutzer · ‎20.09.2020

Ein WTS ist aktuell nicht notwendig wenn Remote=2 nach DATEV SmartCard in einer Remotedesktopsitzung ohne Terminalserver nutzen gesetzt wurde und würde auch nichts ändern wenn der mID am WTS stecken bleibt und per RDP verwendet werden soll.

->Lösung SWM Mini an den WTS anschließen und nach Master-Softwareschutz-Modul austauschen aktivieren.

Den mID dann an den PC von dem aus die RDP Verbindung zu dem Windows 2019 Server hergestellt werden soll.

Zu einem zweitem mID direkt an einem PC/Server der kein WTS ist steht hier und hier schon etwas.

Hier im Bild ein Windows 2019 Server (FS kein WTS) mit angestecktem SWM Mini der gerade als Ersatz SWM für den mID aktiviert wurde und am dem der mID per RDP vom Client aus verbunden wurde (Remote=2).

Gelöschter Nutzer · ‎20.09.2020

Falls es tatsächlich ein WTS ist kann ein mID der per Silex verbunden ist NUR in der Console verwendet bzw. für den LiMa oder KOMM Server konfiguriert werden.

(LiMa am WTS wird nicht gerne gesehen funktioniert aber.)

In einer RDP Sitzung wird dann bei Bedarf ein zweiter mID benötigt der an dem PC steckt von dem aus die Verbindung zum WTS aufgebaut wird.

ralore · ‎20.09.2020

humm.. ich habe ein neu mydentity, und folgende Problem: "Die gerätebezogene Absicherung der RZ-Verbindung muss aktiviert werder " aber der Sicherheitspaket findet meine mydentity nicht, auch nicht per console... wie kann ich aktivieren ? 🙂

Gelöschter Nutzer · ‎20.09.2020

Ist es ein WTS?

Falls ja, ist Remote=1 und nicht 2 wie beim "PC" (Dok.-Nr.: 1009322 nicht durchführen!)?

Erfolgt auf Aufschaltung auf die Console per VNC oder direkt phy. am WTS (oder z.B. per VMware vmrc oder HP iLO)?

Ein am Client angesteckter mID kann in der RDP Sitzung kann nicht für den LiMa verwendet werden und die "Gerätebezogene Absicherung der RZ-Verbindung" die für den KOMM Server benötigt wird kann nicht verwendet werden (#SPP12010).

Steht im Task-Manager bei Sitzung auch Console?

( https://www.datev.de/dnlexom/api/content/v01/image/st12979359243_de.png )

Bei Silex könnte es auch sein dass es ggf. auch am Treiber liegt s.h. Virtualisierung: Erfahrungen aus der Praxis .

Wird die Silex mit dem SX Virtual Link oder dem SX-Virtual Link Lite als "SX-VL als Dienst" eingebunden?

metalposaunist · ‎20.09.2020

@Gelöschter Nutzer schrieb:
Ist es ein WTS?

Nö, ist ein Windows Server 2019 auf dem als DATEV Einzelplatz per RDP gearbeitet wird. Silex macht auch bei unserem Mandanten ab und zu Probleme und aktiviert nicht immer nach Neustart den USB-Stick. Mit SEH myUTN haben wir bessere Erfahrungen sammeln können.

viele Grüße aus dem Rheinland – Daniel Bohle
www.metalposaunist.de

ralore · ‎20.09.2020

Silex habe ich wieder gestartet, aber jetzt habe ich Lizenz Server Manager inkonsistent..und wieder Dfü Fehler...was für ein Wochenende... ich weiß nicht mehr was ich machen soll... Hilfe ?

Gelöschter Nutzer · ‎20.09.2020

Wie sieht denn die Systemumgebung überhaupt aus?

FS?

WTS?

mID, wieviele und wo stecken die?

Der LiMa-Server ist wo installiert?

Verwendet der LiMa einen mID oder ein SWM (Mini oder Hardlock)?

Ist nur RZ oder auch ein KOMM-Server installiert?

Wo ist die RZ bzw der KOMM-Server installiert?

Wie wird auf die "Maschine" an dem der mID durch die Silex verbunden wurde zugegriffen?

Welche Silex Treiber werden denn verwendet?

ralore · ‎20.09.2020

Moin,

Silex mit dem SX-Virtual Link Lite

ralore · ‎20.09.2020

Moin

FS (Server 2019)

mID, wieviele und wo stecken die? Silex Usb Server

Der LiMa-Server ist wo installiert? Lima hier installiert

Verwendet der LiMa einen mID oder ein SWM (Mini oder Hardlock)? Hardlock

Ist nur RZ oder auch ein KOMM-Server installiert? auch KOMM-Serve

Wo ist die RZ, bzw der KOMM-Server installiert? FS

Danke!!!

Gelöschter Nutzer · ‎20.09.2020

Sehe ich es dann richtig dass nicht um einen WTS sondern nur um einen FS (2019) geht der einen LiMa-Server mit einem Hardlock als SWM hat und der einen mID für den KOMM-Server hat der über die Silex eingebunden wird?

->Das würde so nicht funktionieren wenn man per RDP auf den FS aufgeschaltet ist und arbeiten möchte.

Die bisherige Aussage war aber WTS und Console!?

Ist der FS der einzige "PC" auf dem mit DATEV gearbeitet wird?

Falls ja wird ein KOMM-Server nicht unbedingt benötigt (außer DFÜ-Sammler, ...) warum ist ein KOMM-Server installiert?

Der LiMa Fehler sieht mir mehr so aus als ob der Master getauscht wurde und noch keine Lizenzen vorhanden sind, bitte etwas genauer erklären was gemacht wurde.

---

Mit dem zweiten nachgelieferten Bild wird der KOMM-Server Fehler klarer.

Da der LiMa-Server nicht läuft fehlt auch die KOMM-Server Lizenz.

Welches SWM, mID oder Hardlock ist aktuell im LC der Master?

Welches SWM ist im LiMa als SWM eingestellt mID oder Hardlock?

Wurde erst vor kurzem umgestellt?

Wurde der Master über Ersatz SWM umgestellt?

ralore · ‎20.09.2020

Sehe ich es dann richtig dass nicht um einen WTS sondern nur um einen FS (2019) geht der einen LiMa-Server mit einem Hardlock als SWM hat und der einen mID für den KOMM-Server hat der über die Silex eingebunden wird? RICHTIG!

->Das würde so nicht funktionieren wenn man per RDP auf den FS aufgeschaltet ist und arbeiten möchte. Wir arbeiten nicht auf dem File Server, wir haben 5 WTS.

Die bisherige Aussage war aber WTS und Console!?CONSOLE

Ist der FS der einzige "PC" auf dem mit DATEV gearbeitet wird? Nei, 5 WTS

Falls ja wird ein KOMM-Server nicht unbedingt benötigt (außer DFÜ-Sammler, ...) warum ist ein KOMM-Server installiert?

Der LiMa Fehler sieht mir mehr so aus als ob der Master getauscht wurde und noch keine Lizenzen vorhanden sind, bitte etwas genauer erklären was gemacht wurde. Richtig, ich habe eine neue benutz, hat nicht geklapt, habe ich 150 Km gemach an unsere RZ, und den alte Master Stecker wieder instaliert an Silex.

Gelöschter Nutzer · ‎20.09.2020

Steckt jetzt der Hardlock und der mID am FS und wird NUR per Console auf den FS zugegriffen?

War der mID der bisherige Master und jetzt soll es der Hardlock sein?

ralore · ‎20.09.2020

Sorry, war MASTER und soll weiter MASTER sein. Zugriffen per Console oder RDS klappt nicht.

Gelöschter Nutzer · ‎20.09.2020

Ich denke das ist ein Fall den die Installationshotline in 10 Min. lösen kann und die auch heute bis 20 Uhr erreichbar ist, über das Forum ist es so etwas "zäh".

Also der mID steckt am FS, der soll wieder Master sein und war es vorher und die Aufschaltung erfolgt per Console?

Welches SWM ist denn im LiMaAdmin aktuell eingestellt?

Bitte immer etwas mehr Infos was gemacht wurde wie es akutell ist und wie es sein soll.

ralore · ‎20.09.2020

heute bis 20 Uhr erreichbar ???? NEIN 😞

ralore · ‎20.09.2020

Welches SWM ist denn im LiMaAdmin aktuell eingestellt? SmartCard ( MyDentity), Status: OK

Status:

Lizenzpool ist NICh konsistent

Poolsicherung NICHT o.k.

Lizenzen sind KEINE vorhanden

Gelöschter Nutzer · ‎20.09.2020

Das mit der Hotline steht zumindest hier!?

LaS · ‎20.09.2020

Um nochmal kurz auf meine Sache zurück zu kommen.

Wenn ich den gestern bestellten SWM-Mini innerhalb der kommenden Wochen erhalte und entsprechend, der in Dokument 1035572 beschriebenen Vorgehensweise mit dem miDentity tausche, muss ich dennoch dem

Logistik Center von DATEV die neue Softwareschutzmodul-ID auf telefonischem Wege mitteilen, korrekt?

Eine elektronische, schnellere Möglichkeit den SWM-Mini dauerhaft zu aktivieren gibt es nicht?

Müssen daraufhin auch Änderungen an dem miDentity durchgeführt, respektive an DATEV gemeldet werden oder kann ich nach erfolgreicher Anmeldung des SWM-Mini, den mDi direkt an die Kollegin, zur Nutzung an ihrem Client-PC/Laptop weitergeben?

Ist es davon abgesehen auch korrekt, wenn mit dem SWM-Mini als einziges am Server direkt angeschlossenes SWM nicht mehr wie bisher die Möglichkeit besteht, mit meinem lokalen Admin User Account auf dem Server Programmupdates über das RZ zu beziehen, sondern ich müsste das quasi von dem Rechner aus durchfrühren, an dem der miDentity Stick angeschlossen ist, oder meine Kollegin explizit bitten, diesen vorübergehend an den Server anzuklemmen um es wie gehabt von dort (per Remote) durchführen zu können.

Wäre es dann nicht sinnvoller einen weiteren mDi zu bestellen, anstatt des SWM-Mini? Den bisherigen mDi am Server zu belassen und den neuen auf meine Kollegin anzumelden?

Danke nochmal an alle für die hilfreiche Unterstützung.

Gelöschter Nutzer · ‎20.09.2020

Der mID wird erkannt und ist im LiMa auch als SWM eingestellt!

Ist er auch im LC Master und war es bisher?

Wurde der mID an dem FS schon mal als Master erfolgreich verwendet?

... was war mit dem Hardlock wie wurde der bisher verwendet was wurde mit dem gemacht?

->Die Hotline würde je nach Fall mit K04006 beim Starten eines DATEV-Programms oder Master-Softwareschutz-Modul zurücksetzen und anschließendem RZ Abruf das Problem lösen falles der mID bisher der Master im LC war und das auch noch ist.

->Schnellste Lösung ist und bleibt über die Hotline.

ralore · ‎20.09.2020

Meine Fehler!!!! ich habe der falsche nummer angerufen... DATEV Installation Hotline hat mich super geholfen und es läuft Wieder!!! ( Shift + f12... ) 🙂

Vielen Danke an Euch Alle!!!

Gelöschter Nutzer · ‎20.09.2020

Der Master muss im LC innerhalb von 10 Tagen auf das neue SWM umgebucht und danach ein neuer RZ Abruf durchgeführt werden ansonsten stellt der LiMa nach 10 Tagen seinen Dienst ein.

Eine weitere Verlängerung ist nicht möglich!

Der mID ist nach dem Umbuchen des Masters ein ganz normales Client SWM, weitere Aktionen (Zurücksetzen) sind erst erforderlich wenn der mID wieder Master werden soll.

Den RZ Abruf müsste dann die Kollegein von ihrem PC aus machen an welchem auch der mID steckt.

(Sofern die notwendigen Rechte vergeben sind.)

Die Installation kann aber danach vom Administrator am Windows 2019 Server auch ohne mID gemacht werden.

Bei Bedarf kann natürlich ein weiterer mID für den Administrator bestellt werden welchen er dann von seinem PC aus per RDP an den Windows 2019 Server "durchreicht".

Für den LiMa würde ich wie schon mehrfach geschrieben ein SWM Mini bevorzugen.

Gelöschter Nutzer · ‎20.09.2020

Super +1😀

Der Generalschlüssel mit "Shift+F12" hilft bei so einem Fall immer!

Gelöschter Nutzer · ‎20.09.2020

Hier noch zum Abschluss noch ein Bild von einem WTS 2019 mit DVD 14.0 und mID für LiMa und RZ über Silex per iLO Console.

->Auch das funktoniert nach wie vor

ralore · ‎20.09.2020

😞 bei mir ist immer rot!!!

Gelöschter Nutzer · ‎20.09.2020

Das ist doch der FS mit ganz normal Remote=1, oder?

Der LiMa läuft doch jetzt wieder mit den mID als Master auf diesem FS und ist grün!?

->ggf. ist nur das Icon rot!?

->im Startmenü unter DATEV das Sicherheitspaket 6.8 bitte direkt starten, wird dann das Icon grün?

ralore · ‎20.09.2020

Das ist der FileServer , zugriff via VMware Remote Console.

Der LiMa läuft doch jetzt wieder mit den mID als Master auf diesem FS und ist grün!? Lima Ist Grün

->ggf. ist nur das Icon rot!? Ja, Ist ROT

-> im Startmenü unter DATEV das Sicherheitspaket 6.8 bitte direkt starten, wird dann das Icon grün?nein, immer ROT.

😞 😞 😞