Seit Windows Server 2012 R2 und meinen SMB Scanproblemen würde ich nur noch Scan2FTP einsetzen. Läuft deutlich zuverlässiger und auch mehr wie 0️⃣ oder 1️⃣: geht oder geht nicht aber nicht: geht heute aber morgen nicht. 

 OK, ich verstehe Deine Intention, aber in meinem Fall geht es nicht um den Scan auf den Server...

Es geht um den Scan auf den lokalen PC im Homeoffice...

Die Damen möchten zu Hause auf Ihren Homeoffice PC einen Scan durchführen (TWAIN o.ä. geht ja auch nicht mehr, wurde ja abgeschafft/das KYO PrintCenter wäre auch noch eine (sehr umständliche) Lösung, dazu muss ich aber auf den Windows Store zugreifen können, und dass wird durch die Einstellungen des Datev Sticks verhindert: Keine Internetverbindung, wenn der Stick einmal angelernt wurde).

Den Scan auf dem lokalen PC ziehen sie dann per Kopieren und Einfügen über die RDP Verbindung auf den Server in der Kanzlei und können den dann in Datev einlesen.

Oder zum Beispiel auch für Unternehmen Online zum Hochladen von Dokumenten...diese müssen ja irgendwie auf den Rechner kommen.

Das blöde/unverständliche an der ganzen Situation ist ja, dass es mit dem "alten" Telearbeitsplatz geht. Erst die Umstellung auf SiPa Compact beim Telearbeitsplatz verursacht das Problem.

Und es ist auch nicht SiPa selber...

Ich hab hier am TestPC das Telearbeitsplatz-Paket installiert und der Scan ging nicht mehr. Also hab ich ihn wieder deinstalliert. Aufgrund des Fehlens einer Komplett-Deinstallation kann ich die beiden Programme (SiPa und NCP) nur getrennt in der Systemsteuerung deinstallieren.

Also habe ich erstmal den NCP runtergefeuert und siehe da, das scannen geht wieder.

Also wird der NCP irgendwas versauen auf dem System...

---

@GET-IT-Systeme schrieb:

Den Scan auf dem lokalen PC ziehen sie dann per Kopieren und Einfügen über die RDP Verbindung auf den Server in der Kanzlei und können den dann in Datev einlesen.

---

Oha, ich hoffe nicht, dass viel gescannt wird 😳. Wenn doch, handelt es sich beim Kyocera wohl um ein MFP statt Dokumentenscanner? Wenn ja, ist das auch nicht optimal. Mit Canon oder Brother Dokumentenscannern kann man ja mit Bildschirm am Scanner den 1-Touch-Scan einrichten und man muss die RDP-Sitzung nicht verlassen und kann daraus copy/paste. 

Statt DATEVnet und Telearbeitsplatz würde ich mich selber um eine andere, bessere Technologie kümmern. Dann hat man's selbst in der Hand und ist nicht auf DATEV angewiesen. DATEV kann Rechnungswesen, Lohn und Steuern gut. Den Rest würde ich anders lösen. Unser Systempartner hat's auch selbst in der Hand: #läuft zuverlässig. 

Sorry, wenn ich keine Lösung habe aber da kommen viele Faktoren zusammen, die zusammen noch viel ungeiler sind 😶. Dann soll der Kunden den ganzen Aufwand zahlen oder man überlegt sich eine andere Lösung. Geld kostet es so oder so und wenn der Kunde eine Wartungsflat hat, ist's fürs eigene Business eine halbe wirtschaftliche Katastrophe. 

@metalposaunist 

Ja, der Kyocera ist ein MFP, da die Damen im Homeoffice auch mal was drucken müssen...

OK, wenn es so ist, werde ich wohl nicht drum herum kommen, das KYOCERA Print Center zu installieren.

Danke trotzdem für die Hilfe!

---

@GET-IT-Systeme  schrieb:

[..]

 

Ich habe auf der Festplatte einen Ordner angelegt und im Netzwerk freigegeben. Ich kriege aber beim Scan auf diesen Ordner keine Verbindung zum System. Mit einem anderen Rechner in dem Netzwerk bekomme ich auch keinen Ping auf den Telearbeitsplatz und die Ordnerfreigabe sehe ich auch nicht.

 

[..]

---

Ich tippe darauf das beim neuen Rechner das Netzwerkprofil auf "Öffentlich" steht; somit ist kein Ping mehr möglich (blockt die Windows Firewall um Ping-Flooding zu verhindern) und der Rechner ist somit auch von keinem anderen Rechner aus zu sehen.

Sollte es das gewesen sein: Bitte auch noch daran denken das ältere Kyocera MFPs gerne die extrem unsicheren Protokolle SMBv1 / v2 nutzen. Diese werden mittlerweile automatisch deaktiviert bei neuen Windowsinstallationen, bei älteren Installationen funktioniert das natürlich noch (da SMBv1 / v2 noch aktiv ist -> siehe Windows Features aktivieren / deaktivieren).

Geräte die kein SMBv3 unterstützen sollten allerdings nicht mehr eingesetzt werden.

Mehr dazu hier:
https://learn.microsoft.com/de-de/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server 

Beste Grüße

Bob

@spawngebob 

Moin!

Gute Idee, aber das ist es nicht... das Profil ist Privat, habs auch schon mit Domäne versucht und auch die Firewall entsprechend eingestellt.

Nachweislich liegt es am NCP. Sobald der installiert ist, wird irgendwas blockiert. 

Moin @GET-IT-Systeme,

---

Firewalleinstellungen habe ich auch kontrolliert und gleich, wie auf dem funktionierenden Rechner eingestellt. 

---

Da ist dann noch die Frage ob der Scanner SMB2 und höher unterstützt. Wenn er nur SMB1 kann, dann entweder die Finger davon lassen oder auf Windows das SMB1 nachinstallieren/aktivieren --> Sicherheitsrisiko bewerten!

---

Die Smartcard wurde auf dem Neuen noch gar nicht eingelesen, der NCP hat also auch noch keine Daten.

---

Das ist dann definitiv ein Problem, da der DATEV-NCP direkt mit einem Adapterschutz ausgeliefert wird (ob der Originale NCP das auch macht, habe ich nicht getestet). Erst wenn das Telearbeitsplatzprofil eingelesen wurde (mit SC), sind die entsprechenden Einstellungen aus dem DATEVnet aktiv (ggf. mit lokaler Internetverbindung).

---

@metalposaunist schrieb: Scan2FTP 

---

Auf einem HomeOffice-Rechner ein büschen zuviel... 😉

---

TWAIN o.ä. geht ja auch nicht mehr, wurde ja abgeschafft/das KYO PrintCenter wäre auch noch eine (sehr umständliche) Lösung,

---

Evtl. noch als Alternativ das NAPS2? Dann braucht es ggf. nur den Treiber.

---

Oder zum Beispiel auch für Unternehmen Online zum Hochladen von Dokumenten...diese müssen ja irgendwie auf den Rechner kommen.

---

Nicht zwangsläufig, wenn der MFP auch Scan2Mail kann. Dann könnte er auch via UploadMail in DUO einreichen. Da dann aber auch bitte die Sicherheitsabwägung wegen Übertragung via Mail.

---

Also wird der NCP irgendwas versauen auf dem System...

---

siehe oben --> Adapterschutz

---

@metalposaunist schrieb: Statt DATEVnet und Telearbeitsplatz würde ich mich selber um eine andere, bessere Technologie kümmern. 

---

1. ist das nicht unsere Aufgabe hier über besser oder schlechter zu DATEVnet zu argumentieren

2. wenn DATEVnet von der Kanzlei so gewünscht ist, dann ist es so.

Beste Grüße
Christian Ockenfels

---

@GET-IT-Systeme  schrieb:

@spawngebob 

 

Nachweislich liegt es am NCP. Sobald der installiert ist, wird irgendwas blockiert. 

---

DATEV Hilfe-Center, Dok.-Nr. 1008725

Die im NCP-Client enthaltene Firewall sorgt in Verbindung mit einem lokalen Virenschutz und den zentralen Sicherheitsmechanismen (zentrale Virenscanner, Firewall-Systeme, Spamfilter etc.) für maximalen Schutz des PC.

Da die Firewall des NCP-Client ausschließlich ausgehende Verbindungen in private IP-Adressbereiche erlaubt, ist...

• … das Suchen/Browsen über die Netzwerkumgebung innerhalb eines LAN nicht möglich - innerhalb einer WTS-Sitzung dagegen schon.

• … der Zugriff auf korrekt verbundene Netzlaufwerke und Netzwerkdrucker innerhalb eines LAN sowie einer WTS-Sitzung problemlos möglich.

• … der Einsatz auf einem Peer-Server innerhalb eines Peer-to-Peer-Netzwerks nicht möglich. Es gibt keinen Zugriff vom Netzwerk auf Freigaben/Laufwerke des Peer-Servers/DATEVnet-PC - hierfür muss DATEVnet Netz bestellt und eingerichtet werden.

---

@GET-IT-Systeme  schrieb:

Nachweislich liegt es am NCP. Sobald der installiert ist, wird irgendwas blockiert. 

---

Dann bleiben ja nur Port 139 (uralt) bzw. 445 die da geblockt werden. Wurde das Telearbeitsprofil mit der SmartCard bereits eingelesen?

Wenn ja, müsste es eigentlich funktionieren und wenn nicht, hilft evtl. die Freigabe des / der Ports innerhalb der DATEVnet-Administration.


Beste Grüße,
Bob


P.S. Sorry, ich sehe gerade das sich diverse Antworten hier zeitlich überschneiden. 

@spawngebob 

Bei der Dame im Homeoffice ist der Stick eingelesen und die VPN Verbindung sowie RDP funktionieren.

Komischerweise geht ja bei den bereits eingerichteten HomeOffice plätzen alles ohne weiteres.

Mit den freizugebenen Ports muss ich mit dem Kunden nochmal in der Administration schauen, danke für den Tipp.

Hallo @GET-IT-Systeme,

unserer Meinung nach hat der Fall nichts mit dem veränderten SiPa zu tun. Eine Kommunikation über SMB funktioniert in der Regel ohne Weiteres. Bitte schicken Sie uns einen Servicekontakt, dann können wir klären, ob zum Beispiel mit der SmartCard ein Problem besteht.

Moin!

Ich habe noch ein bisschen experimentiert.

Kann es sein, dass 

1. der NCP sämtliche Kommunikation im Netzwerk sperrt, solange keine Smartcard eingelesen und die Einstellungen von Datev geladen sind?

2. Die Sperrung des Internetzugangs bei einer Smartcard fürs Homeoffice auch das SMB killt?

Weil:

Ich habe eben nochmal auf einem frischen PC den Telearbeitsplatz installiert und hatte dann keine Verbindung mehr zum Internet und auch keinen SMB Scan mehr.

Dann habe ich unsere Smartcard eingelesen, mit der wir bei unserem Kunden den Server fernwarten können.

Auf dieser Smartcard ist der Internetzugang freigegeben.

Nach dem Einlesen und Laden der Daten von Datev klappte der Internetzugang wieder und auch der SMB Scan.

Dieses verhalten muss aber erst neu im NCP sein, weil wir ja schon mehrere Homeofficeplätze beim Kunden gebaut haben und ich da vor Ort immer erst die Smartcard der Mitarbeiterin eingelesen habe, nachdem ich alles installiert habe (Treiber usw. aus dem Internet). Die Telearbeitsplatzsoftware war damals schon von uns vorinstalliert, aber noch keine Smartcard eingelesen...

Ich weiss, dass bei den Smartcards der Mitarbeiterinnen der Internetzugang gesperrt ist... ich hab das Gefühl, das hängt zusammen.

Kann das jemand bestötigen?

Danke!

---

@GET-IT-Systeme  schrieb:

 

Kann es sein, dass 

1. der NCP sämtliche Kommunikation im Netzwerk sperrt, solange keine Smartcard eingelesen und die Einstellungen von Datev geladen sind?

2. Die Sperrung des Internetzugangs bei einer Smartcard fürs Homeoffice auch das SMB killt?

 

---

Dies DATEV Dokumentation deutet dies an:

Da die Firewall des NCP-Client ausschließlich ausgehende Verbindungen in private IP-Adressbereiche erlaubt

---

@GET-IT-Systeme  schrieb:

@metalposaunist 

Ja, der Kyocera ist ein MFP, da die Damen im Homeoffice auch mal was drucken müssen...

 

OK, wenn es so ist, werde ich wohl nicht drum herum kommen, das KYOCERA Print Center zu installieren.

 

Danke trotzdem für die Hilfe!

---

Fürs Scannen am Arbeitsplatz hat bei uns inzwischen die Mehrheit UploadMobil auf dem Handy installiert. Die Scan-Ergebnisse sind teilweise sogar besser als im Scanner, man hat nichts rumstehen und das Handy hat man im Zweifel zur Hand. 

Dann haben Sie also ein MDM - Mobile Device Management - und eine BYOD - Bring Your Own Device - Policy entwickelt, die auch gelebt wird 😃? Was passiert, wenn die Smartphones der Mitarbeiter gestohlen / verloren werden? Wer meldet an wen was? Wie schnell werden die SmartLogins gesperrt? Wie kann man die DATEV Apps ggf. löschen? Hat jeder Mitarbeiter die Möglichkeit der Fernlöschung? Wer haftet, wenn nicht an die Kanzlei gemeldet wird und Daten in falsche Hände geraten? 

Vor dem Hintergrund des Häcks von Convotis sollte man spätestens jetzt alles hinterfragen und in allem ein Worst Case Szenario ausmalen und in der Schublade haben. 

Fürs Scannen am Arbeitsplatz hat bei uns inzwischen die Mehrheit UploadMobil auf dem Handy installiert. Die Scan-Ergebnisse sind teilweise sogar besser als im Scanner,

dafür sind die Dateien aber auch deutlich größer. Oder wie stellt man das gescheit am Handy ein?

---

@metalposaunist  schrieb:

Dann haben Sie also ein MDM - Mobile Device Management - und eine BYOD - Bring Your Own Device - Policy entwickelt, die auch gelebt wird 😃? Was passiert, wenn die Smartphones der Mitarbeiter gestohlen / verloren werden? Wer meldet an wen was? Wie schnell werden die SmartLogins gesperrt? Wie kann man die DATEV Apps ggf. löschen? Hat jeder Mitarbeiter die Möglichkeit der Fernlöschung? Wer haftet, wenn nicht an die Kanzlei gemeldet wird und Daten in falsche Hände geraten? 

 

Vor dem Hintergrund des Häcks von Convotis sollte man spätestens jetzt alles hinterfragen und in allem ein Worst Case Szenario ausmalen und in der Schublade haben. 

---

Du möchtest sagen, dass Upload mobil eine Sicherheitslücke ist oder einfach nur trollen? 

Was kann denn ein Dieb mit der App anfangen? Erst recht mit gesperrtem Smartlogin?? 

---

@jena  schrieb:

Fürs Scannen am Arbeitsplatz hat bei uns inzwischen die Mehrheit UploadMobil auf dem Handy installiert. Die Scan-Ergebnisse sind teilweise sogar besser als im Scanner,

dafür sind die Dateien aber auch deutlich größer. Oder wie stellt man das gescheit am Handy ein?

---

Seitdem das Speichervolumen deutlich aufgestockt wurde, gibts eigentlich keine Probleme mehr mit zu großen Dateien, zumindest nicht aus UploadMobil.

---

@rahagena schrieb:

Du möchtest sagen, dass Upload mobil eine Sicherheitslücke ist oder einfach nur trollen? 

---

Weder noch? 🤔 Ich wollte nur zum Nachdenken anregen. Ich ziehe die Dinge ja gern immer größer und mag‘s, wenn man skalieren ⬆️ kann. 

Gibt es denn eine festgelegte Regelung, was passiert im Falle X? 

---

@rahagena schrieb:

Was kann denn ein Dieb mit der App anfangen? Erst recht mit gesperrtem Smartlogin?? 

---

Oder wenn die Kinder / fremde Personen den PIN Code kennen oder die Eltern das Smartphone den Kindern geben, aus welchen Gründen auch immer. 

So bedenkenlos kommt weder SmartLogin noch Teams noch eine andere berufliche App aufs private Smartphone. Glaube auch nicht, dass DATEV das einfach so erlaubt, sonst gäbe es bei denen keine iPhones, die mittels Blackberry MDM verwaltet werden. 

Und wenn „diese“ Einstellung bei Contovis herrschte - hm, schwierig 😕. Hoffe nicht, dass die dachten „was soll schon passieren“. Wenn Häcker einem zeigen müssen, was passieren kann, ist‘s leider zu spät. 

---

@metalposaunist  schrieb:

---

So bedenkenlos kommt weder SmartLogin noch Teams noch eine andere berufliche App aufs private Smartphone. Glaube auch nicht, dass DATEV das einfach so erlaubt, sonst gäbe es bei denen keine iPhones, die mittels Blackberry MDM verwaltet werden. 

Was Du Dir alles ausdenkst, wie ich hier handele, ist schon echt abenteuerlich. 

Schon das "private" in Smartphone hast du Dir ausgedacht, hab ich nie behauptet.

Uns aus meiner Nachfrage, was denn in diesem konkreten passieren soll, machst Du eine Grundhaltung.

Als "Antwort" wandelst Du Deinen Fall dann geschwind ab, schon sind es die Kinder, die den Code kennen... 

---

@rahagena schrieb:

Schon das "private" in Smartphone hast du Dir ausgedacht, hab ich nie behauptet.

---

OK. Aber auch geschäftliche iPhones muss man dann schützen. Wie jede andere IT Hardware / Komponente auch. Und ein iPhone ohne MDM kann man meines Wissens nach nur mittels iCloud löschen. Dann hat jeder Mitarbeiter einen "privat geschäftlichen" iCloud Account? Auch geschäftliche Geräte brauchen ein MDM. 

Abgesehen davon, dass ein iPhone rein dazu teurer als ein Dokumentenscanner ist 😇. Da kommt der Kaufmann in mir durch. 

---

@rahagena schrieb:

schon sind es die Kinder, die den Code kennen... 

---

Nicht unwahrscheinlich, wenn die Kinder den Eltern das iPhone erklären / Support leisten müssen. Da muss man ja nur einmal zuschauen, wie der Code lautet. Würde sagen, dass es nicht wenige Kinder sind, die die IT der Eltern verwalten, weil es zu kompliziert geworden ist. 

Aber ich will nicht streiten. Dass ich anders bin, weiß ich 😊. Sonst kapern wir auch den Thread von @GET-IT-Systeme - wo das Problem doch an ganz anderer Stelle lag.