(Wird das "Sicherheitsniveau" an allen anderen Stellen (mindestens mal) genau so hoch gelegt? :-)) ... Mehr anzeigen

@StB_in  schrieb:   Den Wechsel in die Cloudprogramme möchten nicht alle vor dem Ruhestand noch mitmachen, andererseits ist die Hardware in den nächsten zwei Jahren auszutauschen. Klingt irgendwie nach einer wie auch immer aussehenden "ASP Lösung". Sollte am flexibelsten sein.   (Generell hätte eine "ASP Lösung" auch in einer reinen DATEV Cloud Lösung sicherlich noch seinen Charme.) ... Mehr anzeigen

@Algo  schrieb: Viele Abläufe sind jedoch direkt mit meinen Rechten im RechtsOnline-Portal verbunden, sodass ohne meine Mitwirkung und Zeitaufwand kein Fortschritt möglich ist. Möglicherweise: Betriebsstätten mIDentity am Server gegen einen "personalisierten" mIDentity tauschen und die passenden Rechte geben, damit der Solution Partner über diesen Stick unterstützen kann. ... Mehr anzeigen

@Algo  schrieb: Zunehmend entsteht der Eindruck, dass Steuerberater faktisch dazu gedrängt werden, sich zu unentgeltlichen DATEV-IT-Spezialisten weiterzubilden und gewissermaßen kostenlos für DATEV mitzuwirken – selbst dann, wenn sie bereits technikaffin sind. Zahlreiche Tätigkeiten, die eindeutig in den Bereich einer kostenfreien technischen Betreuung oder eines adäquaten DATEV-Supports fallen sollten, werden vollständig auf die Kanzleien abgewälzt (friss oder stirb!).   In der täglichen Arbeit verbringe ich inzwischen einen erheblichen Teil meiner Zeit mit der Bewältigung von Neuerungen und der Lösung technischer Probleme – etwa im Zusammenhang mit der neuen Rechteverwaltung Online, laufenden Systemanpassungen oder technischen Unterstützungsleistungen für Mandanten (DUO). Dafür gibt es doch Solution Partner und/oder (freie) Consultants.   Soll ich bspw. das Finanzamt "anprangern" mir kostenlos eine private Einkommensteuererklärung zu erledigen? Soll ich als (Klein-) Unternehmen bspw. das Finanzamt "anprangern", dass die mich im Endeffekt zum Steuerberater "zwingen"? Da bleibt ja auch nur die Wahl "friss oder stirb" (oder bezahle jemanden). ... Mehr anzeigen

Ob man einen ThinClient (neu) kauft oder einen Windows (Fat) Client macht dann preislich auch nix mehr aus. Vorteile beim ThinClient wären (idealerweise) ein zentrales Management und ggfs. ein "Abschließen" in einen read-only Mode.   Solange ich nicht zentral managen möchte, ist es eigentlich egal, ob Windows / Linux / ThinClient. Ob ich zur Verwaltung jetzt für das hier genutzte Linux Ansible oder ähnlich in Betrieb nehme, für Windows ein Active Directory und/oder Entra Id inkl. Intune oder einen fertigen ThinClient mit Managementlösung vom Hersteller, ist am Ende egal. Am einfachsten dürfte in diesem Fall der ThinClient mit Verwaltung per Herstellerlösung sein. Bei den anderen Lösungen hängt es halt vom Know How ab. Für Linux / Windows könnte man dann auch noch auf "RMM Lösungen" / "fertige Endpointverwaltungen" gehen, die eine Verwaltung wieder einfacher machen. Dann hängt es wieder am Preis.   Letztlich hat halt alles Vor- und Nachteile. Kommt halt drauf an was man möchte.   Securitytechnisch wäre der Linux Client (der ThinClient oder Windows Entra Id Client) hier natürlich total simpel in ein eigenes Client (V)LAN zu verbannen und nur tcp 443 zu einem RD Gateway (oder tcp/udp 3389 zum Broker + Worker(n)) zu erlauben.  ... Mehr anzeigen

@RWillborn  schrieb: Der Fileserver ist noch alte Infrastruktur, eine VM-Ware-VM on Premise im klassischen AD. Danke für die Hinweise, ich gucke mir die alle nochmal an. Das wird mit einer sehr, sehr, sehr hohen Wahrscheinlichkeit zum Scheitern verurteilt sein. Welche Bandbreite und was für eine Verbindung (VPN, Express Route, Express Route Direct, ...) liegt denn zwischen On-Premises und "Azure" an?   ... Mehr anzeigen

@RWillborn  schrieb: Wenn ich es richtig verstehe, muss die AVD-Maschine auch im AD eingebunden sein? Korrekt. Generell evtl.: Virtuelle Maschinen in der Public Cloud (Azure): Erfahrungen aus der Praxis - DATEV Hilfe-Center   Läuft der Fileserver ebenfalls in Azure? Oder ist nur der AVD in Azure und der Fileserver steht "irgendwo anders"? ... Mehr anzeigen

Generell sollte das machbar sein.   Wo befindet sich der Fileserver und wo der/die AVDs? Ist das in Azure oder auf Azure Local? Fileserver und AVD(s) sind Mitglied in einem "klassischen" Active Directory? ... Mehr anzeigen

@Rebekka_Gross  schrieb:   ... ggf. eine Entschädigung. Wenn am Montag die Leute , gerade am Jahresende, nicht ihre Arbeit aufnehmen können. Ist doch hier (Leistungsbeschreibung DATEVasp, Version 3.0, Art.-Nr. 42004, (Produkt für ... - DATEV Hilfe-Center) unter Punkt 2.6 alles geregelt.   (Am Montag (01.12.) geht es jedenfalls um 7:45 (erstmal) mit 100% Verfügbarkeit von vorne los.) ... Mehr anzeigen

@Kaleo  schrieb: Vielen Dank für die Rückmeldung. Teams läuft über RDP mit Kamera und Video. Wir haben je TS ein XEON 6342 CPU. Insgesamt sieben TS (mit bis zu 8-9 Usern drauf), ein DATEV DMS auf einem Server. Sind die Server tatsächlich alle physikalisch oder sind das virtuelle Maschinen? Ich gehe ja eher von VMs aus  und da wäre halt die Frage, wie viele dieser VMs mit wie vielen vCPUs (Cores) auf wie viel echter Hardware unten drunter laufen (und was da ansonsten noch so auf den Hosts läuft). ... Mehr anzeigen

Wie wird denn Teams genutzt? Ist Citrix Virtual Apps and Desktops im Boot, um Teams zu optimieren oder läuft das "plain" über RDP mit Kamera und Video?   "Dynamischer RAM" ist eigentlich immer Käse. (Sollte aber nicht das Problem sein.)   Wie viele vCPUs haben denn die Terminalserver und wie viele Terminalserver gibt es pro Host? Bzw. wie sieht generell und konkret das Overcommitmentder CPUs aus? ... Mehr anzeigen

Naja, der "Header" ist zu groß / enthält zu viele Daten und soll entsprechend gekürzt werden. Mehr kann man da von außen wohl erstmal nicht beitragen.   Der Client IPv6 nach scheint es sich auf der absendenden Seite um Exchange online oder zumindest Exchange online Protection zu handeln. Was passiert denn "im Transport" so alles mit den Mails? Sind irgendwelche Service im Boot, die Signaturen o.ä. anfügen bzw. gehen die Mails erst noch an diverse andere Gateways, um irgendwas mit den Mails zu machen? ... Mehr anzeigen

@sandrame  schrieb: Den Gedanken habe ich auch gerade. Meine Kollegin arbeitet gerne morgens zwischen 6-8 im Home Office. Ich bin ab 8 im Büro. Sie geht gerne aus dem PC ohne sich abzumelden, mit der Begründung "mein Laptop-Akku war leer". Heißt ich kann erstmal nicht arbeiten.  Ich sehe hier entweder kein Problem mit/nach der Umstellung oder das Problem besteht jetzt bereits.   Kollegin schaltet sich aus dem Home Office auf einen PC / WTS im Büro und meldet sich nicht ab, da der Akku leer ist. Dann ist die Lizenz belegt, ob mit Benutzerlizenz oder "herkömmlich". Oder ich verstehe das Home Office Szenario nicht. 🙂 ... Mehr anzeigen

@Vorzimmerdrache  schrieb:   Wir gestalten jetzt ein Anschreiben, in dem wir den Active Directory Hinweis aufnehmen und darum bitten, dieses an die zuständige IT weiterzuleiten.  Dann möge der Mandant aber bitte noch den Reifendruck des linken Vorderrades seines Zweitwagens vom letzten Vollmond liefern. Dürfte in diesem Fall dann ähnlich relevant sein. 🙂   @Iris_Hierteis sind tatsächlich die EO Kolleginnen und Kollegen für den Versand der E-Rechnungen und der beteiligten Mailserver zuständig? Wäre es nicht zielführender im Servicekontakt eine Auswahl zu integrieren "E-Rechnung Empfang / Versand", wo die Mails direkt an jemanden gehen, der sich die beteiligten SMTP Logs ansehen kann?   Generell scheint so richtig niemand dafür Verantwortlich zu sein, was bei der E-Rechnung E-Mail-technisch passiert. Das hier (E-Mail Weiterleitung an E-Rechnungspostfach - DATEV-Community - 463012) hat sich letztlich 6 Monate gezogen, bis es "behoben" wurde. Daher wäre es total toll, eine Option zu bekommen, direkt mit den "Mailverantwortlichen" über so etwas zu Reden und nicht erst über die EO Fachabteilung.   -Ggf. wurde die E-Mail wegen Einstellungen im Active Directory beim Mandanten nicht zugestellt. Um herauszufinden, ob die E-Mail-Adresse funktioniert: Test-E-Mail an die E-Mail-Adresse des Mandanten senden. Das ist ja ebenfalls schon geprüft worden. Das zeigt leider recht deutlich, dass es wohl aus einer Fachabteilung kommt, die technisch genau nichts mit E-Mail am Hut hat. (Was gar nicht schlimm ist, wenn man zumindest die Chance hat sich direkt an jemanden zu wenden, der Zugriff auf die relevanten Logs hat.)     ... Mehr anzeigen

Da sind doch dann aber auch die Dienstanbieter dran schuld.*   Ich bite meinen Dienst nur "per Hyperscaler 1" an. Dann bin ich eben weg bei einer entsprechenden Störung. Was hindert mich als Anbieter daran, meine Services bspw. "bei Hyperscaler 1" und zusätzlich "bei Hyperscaler 2" zu betreiben?   *Und am Ende hat der Endkunde dann halt Schuld: You get what you pay for.   Mit den mir häufig entgegenkommenden "Anforderungen" "Verfügbarkeit > 102 %" und "Geiz ist geil" / "Billig will ich" sollte eigentlich jedem klar sein, dass es nicht klappen kann. ... Mehr anzeigen

Was in diesem Internet wohl tagtäglich ausfallen würde, wenn es kein Cloudflare und Co geben würde?   Welcher Dienstanbieter (würde zu welchem Preis) bspw. eine solche DDoS Abwehr auf die Beine stellen können und hätte noch ein weltweit verteiltes "Caching". Und welcher Endkunde würde das bezahlen wollen? ... Mehr anzeigen

@Peggy2  schrieb: Bin gespannt, wie lange wir jetzt tatenlos rumsitzen müssen und wer erstattet eigentlich die Kosten? Bekommen wir eine Gutschrift auf die DATEV-Rechnung + Verdienstausfall und zusätzlichen Zeitaufwand für Anträge auf Fristverlängerung beim Finanzamt? Ich frag mal fürn Freund... Sofern es diesen Monat an Arbeitstagen zwischen 7:45 Uhr und 18 Uhr bereits etwas mehr als 2 Stunden Ausfall gab bzw. die Verfügbarkeit unter 98,99 % lag, gibt es 15 % oder mehr: Leistungsbeschreibung DATEVasp, Version 3.0, Art.-Nr. 42004, (Produkt für ... - DATEV Hilfe-Center (Punkt 2.6). 😉 ... Mehr anzeigen

Das macht wenig keinen Sinn. Broker in eigene VM oder drauf verzichten.   Beim Broker HA sollte man abwägen, ob es die "Komplexität" wert ist und korrekt bis zu Ende gedacht, muss dann auch der SQL HA sein. Evtl. wäre hier eine Azure SQL Instanz für den Broker eine Idee.   So eine dedizierte Broker VM dürfte ca. 50 GB an Daten beinhalten und sollte recht zügig aus dem Backup wieder hergestellt werden können. Während der Broker "defekt" ist, sind vorerst nur keine neuen Anmeldung möglich, könnte also auch vernachlässigbar sein.   Kommt am Ende ein bisschen drauf an. 😉 Evtl. wäre ja auch Parallels RAS o.ä. ein Ansatz. Hier sind die Redundanzen bspw. deutlich einfacher "zu bauen". ... Mehr anzeigen

Windows Home im DATEV Umfeld? Maximal auf einem Einzelarbeitsplatz Daher ist GPO gesetzt AppLocker gibt es seit September / Oktober 2022 auch in Pro (KB5024351—Removal of Windows edition checks for AppLocker - Microsoft Support) Vorher konnte man AppLocker über die "MDM CSPs" "missbrauchen" SRPs gingen AFAIK schon immer (sind im Vergleich zu AppLocker aber sehr bescheiden) Windows Defender Application Control bzw. jetzt AppControl (for Business) war ebenfalls schon immer ab der Pro SKU machbar Rollen- / Featuretechnisch sind wir ja beim nur installieren, was gewünscht. Die Dienste und teilweise Tasks oder auch nervende "Bloatware" / App Suggestions / "Werbung", joa. Weiß man, kennt man, entfernt man im Deployment (bzw. per GPO). Windows Updates: Im Serverumfeld je Rolle / Applikation einen Server und es patched sich recht entspannt. Natürlich fliegt einem mal was um die Ohren. Das bleibt unter Linux aber ebenfalls nicht aus. Clients: Hoch lebe der Terminalserver :-); Dann ist der Client nur noch ein "Wegwerfprodukt": Fehler am Client? -> Ersatz Notebook / Gerät -> Autopilot Rest -> ~15 bis 30 Minuten später ist der alte PC einsatzbereit oder als neues Ersatzgerät da Zurück auf Anfang: Im Beschaffungsprozess habe ich Anforderungen. Ist ine Muss-Kriterium, dass die Anwendung auf OpenSource Software läuft, dann bin ich mit DATEV halt falsch abgebogen. Haben sich später die Interessen auseinandergelebt, muss man eben abwägen. Könnte man mit der Ehe vergleicehn: Drum prüfe wer sich ewig bindet, ob er nicht was besseres findet. 😉 ... Mehr anzeigen

Das wird (vermutlich) kein Assistent machen. In grob:   BRV Nottool erstellen Datenbanken im SQL Manager trennen SQL Dienste am Server stoppen (Lizenzmanager Dienst deaktivieren / Autostart deaktivieren) <LW>:\WinDVSW1\DATEV\DATEN auf den neuen Einzelplatz in %ProgramData%\DATEV\DATEN kopieren %DATEVDP%\DATEN\LIMASERV nach %ProgramData%\DATEV\DATEN\LIMASERV kopieren (Ggfs. dem neuen PC den Namen vom alten "Server" geben) DATEV Basis Installer mit aktuellsten SRs laden und installieren ... Mehr anzeigen

Alles valide Punkte. Wir müssen nicht darüber reden, dass "Windows" im A*sch ist.    Was passiert denn mit einem (per Default) "sicher" konfigurierten Linux? Anforderung A funktioniert nicht; Google; Blogbteitrag "Wie richte ich A ein"; Security wird "abgeschaltet". Am Ende wird leider an zu vielen Stellen zu schnell der einfache Weg eingeschlagen. (Der Microsoft Exchange Server 2019 (oder auch SE) aktiviert bspw. die Extended Protection seit 2 oder 3 CUs. Was passiert "in the wild"? Wird "erstmal" abgeschaltet. -_-)   Ich nehme diese Einstellungen "selbst" vor mit den tollen Microsoft Bordmitteln. Ich kann mich jetzt hinsetzen und stundenlang die (kostenlosen) CIS Benchmarks im PDF Format durchgehen und die Einstellungen in GPOs packen. Natürlich kann ich auch Geld auf den Tisch legen für eine CIS Mitgliedschaft oder eben beim GP-Pack. Da Microsoft (als Hersteller) selber das SCT anbietet oder auch die STIGs der DISA kostenlos bereitgestellt werden, warum? Das wichtigste Bordmittel ist doch da -> GPO. (Mit Server 2025 wird das auch noch per OSConfig mitgeliefert und müsste nur aktiviert werden.)   Die Domänen Admins (Tier 0) auf die Domain Controller (/ ins Tier0) verbannen, im "Kleinen" einen Server Admin (Tier 1) erstellen und für Clients einen Client Admin (Tier 2) bereitstellen.   Jetzt noch per Software Whitelisting / Application Control nur das erlauben, was ich brauche und "ein wenig" die NTFS Rechte im Griff haben.   Priviligierte Konten in die Protected User packen und schon werden deren Kennwörter nicht mehr gecached und NTLM entsprechend verboten.   FunFact: Das schlägt halt auch der Hersteller selber vor: https://aka.ms/ws2025securitybook (FunFact2: Microsoft versucht ja nach und nach (und langsam) die Kurve in Richtung "Secure by Default" zu kommen. Da ist es dann aber schlicht hinderlich, wenn Win 11 doch auf der abgehangenen Hardware installiert, weil die ja noch gut ist.)   Es bietet sich halt an das alles nach und nach zu implementieren, um nicht direkt alles abzuschießen. Am Ende bleibt das in DATEV Umgebungen aber sehr, sehr schmerzfrei.   Ich kenne übrigens genug "KRITIS" mit reichlich Microsoft Infrastruktur. 😉 ... Mehr anzeigen

@hapet  schrieb:   Naja, genau solche Lösungen sind ein Ausdruck des „Hinterherrennens“ und somit nicht geeignet, die Probleme mit MS und W11 zu relativieren. Man muss mittlerweile einen riesigen Popanz, z. T. unter Hinzuziehung von Drittanbieterlösungen veranstalten, um Löcher in der Wundertüte Windows zu finden und zu stopfen und die verstümmelte Benutzeroberfläche für den Alltagsgebrauch herzurichten.    Das implementiert man und hält es up to date. Ist genau wie mit Updates für alle Produkte. Eigentlich war es auch schon (weit) vor Windows 11 mehr als "Best Practice" ein wenig "Hardening" zu betreiben. Das ist BTW. alles mit MS Bordmitteln umzusetzen. Der Enforce Administrator macht am Ende des Tages "auch nur" diverse Baselines, die per PowerShell DSC auf Stand gehalten werden.   Für die genannten Tools gibt es doch nur deshalb eine Nachfrage, weil MS alles schön komplex und intransparent hält und grundlegende Systemeinstellungen versteckt oder gar unmöglich macht. Da darf man schon mal rumnörgeln und die Probleme bei anderen (z. B. dem Hersteller des Betriebssystems) suchen. Die "Tools" sind alles nur (Beispiel) Baselines zu einer (möglichst) sicheren Konfiguration. Überwiegend sind es halt Gruppenrichtlinienobjekte, die sich easy peasy importieren und dann evaluieren sowie umsetzen lassen.   Wenn der Wahnsinn zur Normalität wird… Naja, anpacken und loslegen anstatt "nöhlen" und die Vogel-Strauß-Taktik fahren. 🙂 ... Mehr anzeigen

@dtx  schrieb:   ... anstatt die heutigen Möglichkeiten zu nutzen und den Leuten die Wahl zu lassen, womit sie sich mit dem im RZ installierten Server verbinden. ... Ich komme mit SmartLogin zurecht (und benötige keinen mIDentity): Clientless per HTML5 im Browser (notfalls) mit MS Bordmitteln oder deutlich angenehmer per Citrix Virtual Apps & Desktops, Parallels RAS, Thinfinity Workspace, ... Ich brauche zwingend den mIDentity: Zugriff per Citrix Workspace App auf Citrix Virtual Apps and Desktop (Zugriff per Citrix HTML5 Receiver aus einem (nahezu) beliebigen Browser in eine " (persistente) Single Session VDI" mit deaktiviertem SmartCard Hooking und mIDentity per USB Server in die VM verbunden; Wenn man die passende DLL patched, sollte das auch mit den o.g. Wegen per HTML5 im Browser machbar sein)   Wo ein Wille ist, ist auch ein Weg. 😉 ... Mehr anzeigen

@dtx  schrieb: In meinem Beitrag ging es aber nicht darum, mit wem bzw. was das Terminal in der Kanzlei "redet". Sondern was von wem zum Schwätzen mit einem ASP-Server offiziell eingerichtet und supportet bekommt, wer selber lediglich buchen kann oder will.  Das kann man doch vorab mit den potentiellen Anbietern klären? Alternativ ist bei gewissen Anforderungen ein "klassisches" *asp halt keine Lösung und man muss eben alles selber betreiben. Dann kann man auch bestimmen, wer wie womit warum und wann zugreift. ... Mehr anzeigen

@andreashofmeister  schrieb: Solange der WTS nicht unter Windows läuft, ist doch alles gut..... Dann ist das aber ein NuWlWTS. Also ein "Nicht unter Windows laufender Windows Terminal Server. 😉 ... Mehr anzeigen

Wenn wir schon in Erinnerung schwelgen: Was waren das für Zeiten, als die Gummistiefel noch aus Holzwaren und ein Freibier gab's für nur fünf Mark.   @andrereissig  schrieb:   Natürlich kann man die DATEV hier stellvertretend für Microsoft an den Pranger stellen, genauso können Sie aber in die Steckdose schreien, weil der Strom zu teuer ist. Hach, der Freitag ist gerettet. 😁           ... Mehr anzeigen

@dtx  schrieb: @janm  schrieb: ... Wird irgendjemand gezwungen DATEV und somit auch Microsoft Produkte zu nutzen? Gerade im "Unternehmens Sektor" gibt es doch sicherlich reichlich fetzige Alternativen zu "Mittelstand Faktura".   Na, gut, praktisch relevant wäre eher, ob überhaupt ein Mitbewerber fachlich völlig unbedarften Anwendern wenigstens noch eine ASP-Lösung auf etwas anderem als Windows installieren und dann auch supporten wollen würde. Die Zahl solcher "fetzigen Alternativen" dürfte sich wohl in überschaubaren Grenzen halten. Bei Lexware Office redet man "nach außen" mit nem Apache, der sicherlich nicht auf Microsoft Software läuft. Die nutzen (wohl) recht intensiv AWS (Case Study: Haufe-Lexware), was dann letztlich auch wieder closed source ist. Aber (vermutlich) kein Microsoft.   Die easybill Login Seite kommt von einem nginx, der wohl bei Hetzner in Falkenstein untergebracht ist und wird sicherlich ebenfalls nicht auf Microsoft Produkten betrieben.   (Man wird bestimmt auch genug ERP / WaWi Systeme mit Buhhaltungsmodul auf Open Source Basis für Linux und Co. finden.)   ... Mehr anzeigen

Wer das alles "verstanden" hat und dennoch auf Software setzt, die genau das "nicht verstandene" voraussetzt, hat evtl. selber ein Verständnisproblem?!   Wird irgendjemand gezwungen DATEV und somit auch Microsoft Produkte zu nutzen? Gerade im "Unternehmens Sektor" gibt es doch sicherlich reichlich fetzige Alternativen zu "Mittelstand Faktura".   Wo ist das Problem den "zwangsweise benötigten gesamten MS Krempel" isoliert und nahezu offline zu betreiben? Im "Worst Case" ein Server OS als "All in One" in eine VM im eigenen VLAN und eingehend nur RDP. (Mit etwas Infrastruktur drum rum wäre dann (ggfs.) auch ein reiner Browserzugriff per HTML5 denkbar.) Ausgehend für DATEV:   RZ-Kommunikation und Kommunikationsserver: Konfiguration der Firewall - DATEV Hilfe-Center Einstellungen in Proxy, Firewall und Antivirenprogramm für den RZ-Abruf aus dem ... - DATEV Hilfe-Center (Weiteres evtl. benötigtes müsste man halt prüfen und ggfs. ein wenig Logs wälzen.)   ... Mehr anzeigen