13 Antworten Neueste Antwort am 01.12.2017 14:10 von andreasmaier

    beA - jetzt Terminalserver(WTS)-fähig

    michael.renz Einsteiger

      Hallo Community,

       

      nun ist´s offenbar soweit. Seit dem letzten Update des beA-Security-Clients läuft das System auch unter WTS-Umgebung. In unserer Kanzlei ist Windows 2016 in virtualisierten Umgebungen installiert. Als Smartcard-Leser kommen Rainer SCT cyberjack rfid komfort zum Einsatz. Damit’s funktioniert musste ich auf den Terminalservern UND auf den Clients jeweils den alten Security-Client deinstallieren und neu installieren und zudem den cyberjack auf Firmwareversion 7.4.7 anheben.

       

      Bei der ersten Anschaltung kam es zu einem ˋunbekannten Fehlerˋ. Die zweite Anschaltung kurze Zeit später hat funktioniert, war aber extrem langsam. Tags darauf ging’s problemlos - die anfänglichen Probleme könnten daher auch außerhalb unseres System gelegen haben.

       

      Die Anschaltung funktioniert auch unter DATEVnet und mit Einsatz des DATEV-Proxys und auch bei Einsatz des neuen Proxysetters mit https-Scan gegen Viren über https-Protokoll (vgl. Dok. 0904080). Man muss allerdings auch dort die Proxy-Ausnahmen manuell ergänzen, wie in Dok 1017622 beschrieben.

       

      Nachtrag

      weil ich das oben nicht ausdrücklich erwähnt habe.

      In WTS- Umgebungen muss der Treiber des Lesegerätes ( bei mir Rainer SCT) sowohl auf dem  Terminalserver als auch auf dem Jeweiligen Client installiert sein, sonst kann die auf der beA-Karte gelesene Zertifkats-Info nicht in die Terminalsession und zum BRAK-Server weitergeleitet werden!

       

      Dazu muss die RDP-Verbindung auch die Smartcard „weiterleiten“. Das ist zwar zwischenzeitlich Windows-Standard, sollte jedoch unbedingt überprüft und ggf. aktivert werden.

       

      Nachtrag 2

      nun habe ich feststellen müssen, dass die beA-Anmeldung im Web-Client aus einigen Usersessions in unserer Kanzlei nicht möglich war. Abhilfe könnte ich dadurch erreichen, dass in der Usersession der beA-Security-Client nachinstalliert wird. Dazu muss während der Installation das Admin-Passwort des Windows-Admins eingegeben werden. Ob das nur in Umgebungen mit ProxyServern der Fall ist, kann ich nicht mit Sicherheit feststellen, aber offensichtlich gibts einen Zusammenhang mit den Proxyeinstellungen.

       

      Nachtrag 3 (26.11.)

      Am 25.11. wurde der Security-Client von der BRAK auf Version 3.1.3.0 upgedatet. In WTS-Umgebungen muss daher am Terminalserver der beA-Security-Client beendet und dann neu gestartet werden, damit er sich ebenfalls updatet. Damit läuft wenigstens am Server die korrekte Version. In den Usersessions genügt dies aber NICHT. Es müsste dort die manuelle Nachinstallation (sie oben Nachtrag 2) erfolgen. Derzeit lässt aber die BRAK den manuellen Download des Security-Clients über die beA-Startseite nicht zu. Es erscheint folgende Fehlermeldung.

      Unbenannt.PNG

      Damit ist derzeit in der Usersession keine Anmeldung am Web-Client von beA möglich!!!

      Schade.

       

      Nachtrag 4

      seit ca. 17:00 Uhr gehts wieder - aber leider tritt nach der Installation jetzt auch bei mir das Problem auf, dass ein über den Web-Client angemeldeter User die Anmeldung von anderen Usern aus dem selben Netzwerk blockiert.

      Ursache dürfte sein, dass das „Arbeitsverheichnis“ des beA-Securtiyclients für alle User identisch ist und im ProgrammData-Verzeichnis des Terminalservers und nicht in den User-Verzeichnissen liegt,

       

      Ich bin SEHR SICHER, dass die Programmierer von ATOS diese Software nie im TerminalserverUmfeld getestet haben.

       

      Viel Spass ab dem 1.1.18 - hoffentlich haben die bemitleidenswerten Servicemitarbeiter EXTREM gute Nerven.

       

      FAZIT

      seit dem Client-Update auf Ver 3.1.3.0 geht Terminalserver nicht mehr.

      Geändert am 26.11.17 um 19:31 Uhr
        Alle Antworten
        • 1. Re: beA - WTS-fähig
          andreasmaier Beginner

          Danke für die Informationen!

          • 2. Re: beA - jetzt Terminalserver(WTS)-fähig
            andreashofmeister Fachmann

            Vielen Dank Michael Renz für Ihre Info.

             

            Ja, zumindest  wird jetzt die Anmeldeprozedur der beA-Karten via JAVA-Komponente jetzt durchgereicht und entsprechend erkannt (nach einigen Anlaufschwierigkeiten....).

             

            Das scheint dann wirklich seitens des Softwareanbieters gelöst zu sein.

             

            Bin nun gespannt, wie es dann demnächst weitergeht....

             

            mfG

             

            A. Hofmeister

            • 3. Re: beA - jetzt Terminalserver(WTS)-fähig
              stevi Beginner

              Vielen Dank für die Infos. Ich wusste nicht, dass der Client in einer WTS-Umgebung auch lokal installiert werden muss.

              • 4. Re: beA - jetzt Terminalserver(WTS)-fähig
                dombrowski Einsteiger

                Da ich bei dem Thema bisher weitestgehend außen vor war und diesen "Security-Client" auch nicht kenne der lokal installiert werden muss, wie bildet man dies bei einer WTS Farm ab, die nur über Linux Thin-Clients angesprochen wird? Unsere jetzigen Smart-Cards werden einfach durchgeschliffen und das wars.

                • 5. Re: beA - jetzt Terminalserver(WTS)-fähig
                  michael.renz Einsteiger

                  Lieber Kollege Dombrowski,

                   

                  wenn sie auf der Web-Seite : https://www.bea-brak.de/bea/index.xhtml?dswid=7031

                  mit der Maus auf den Begriff "Linux"  zeigen, verändert sich dessen Farbe (bei mir in "weiß") und die Anzeigevariante des Mauszeigers (bei mir in eine Hand mit Zeigefinger). Mit "rechtsklick" auf den Begriff "Linux" läßt sich der Security-Client herunterladen und dann - nach den Regelungen des jeweils eingesetzten Betriebssystems auf dem Gerät installieren.

                  Unbenannt.PNG

                   

                  Diese Beschreibung gilt sinngemäß für Windows und MacOS natürlich in gleicher Weise!!

                   

                  Alles klar???

                  • 6. Re: beA - jetzt Terminalserver(WTS)-fähig
                    dombrowski Einsteiger

                    Ganz so einfach ist das bei einem Thin-Client leider auch nicht. Dennoch Danke für die Antwort.

                    • 7. Re: beA - jetzt Terminalserver(WTS)-fähig
                      tom-tmp Neuling

                      Sehr geehrter Herr Renz,

                       

                      vielen Dank für Ihre Informationen. Wir haben einen virtualisierten Terminalserver und folgendes festgestellt:

                      Das Pop-Up-Fenster zur Tokenauswahl bei Anmeldung wird immer nur bei einem Nutzer angezeigt und zwar scheinbar bei dem Nutzer, der als erstes die Client-Security-Komponente startet.

                       

                      Können Sie sich vorstellen, was wir evtl. noch einstellen müssen, damit mehrere Leute gleichzeitig das beA auf dem WTS nutzen können?

                       

                      Die Client-Security-Komponente habe ich aus dem Autostart wieder entfernt, da nicht bei jedem Nutzer bei der Anmeldung der beA-Start angezeigt werden soll.

                       

                      Mit freundlichen Grüßen

                      Thomas Mech

                       

                      Nachtrag

                      1. Wenn Nutzer A die Client Security zuerst startet und Nutzer B auf "Anmelden" klickt, poppt das Token-Fenster immer bei Nutzer A auf

                      2. Wenn Nutzer A die Client Security wieder schließt, funktioniert es bei Nutzer B trotzdem nicht. Da kommt dann immer die Meldung, dass die Client-Security angeblich nicht installiert ist. Auch ein Neustart der Client-Security bringt an dieser Stelle nichts.

                      Geändert am 23.11.17 um 13:21 Uhr
                      • 8. Re: beA - jetzt Terminalserver(WTS)-fähig
                        andreashofmeister Fachmann

                        Haben Sie dazu mal ein Ticket bei ATOS aufgemacht?

                        • 9. Re: beA - jetzt Terminalserver(WTS)-fähig
                          tom-tmp Neuling

                          Hallo Herr Hofmeister,

                           

                          bisher nicht, aber ich werde das mal in Angriff nehmen. Melden die sich denn in absehbarer Zeit?

                           

                          Viele Grüße

                          Thomas Mech

                          • 10. Re: beA - jetzt Terminalserver(WTS)-fähig
                            andreashofmeister Fachmann

                            Auf jeden Fall habe ich diesbezüglich nur gute Erfahrungen. Ist allerdings noch aus der Zeit, wo es noch viel mehr Probleme gab....(als man quasi erklären musste, was ein WTS ist.....) und die Probleme noch in Verbindung mit dem DATEV-Proxy auftraten....

                            • 11. Re: beA - jetzt Terminalserver(WTS)-fähig
                              michael.renz Einsteiger

                              Sehr geehrter Herr Mech,

                               

                              dieses Phänomen habe ich bei uns nicht.

                               

                              Allerdings gibt es einen Arbeitsplatz, der partout nicht mit beA kommunizieren will. Dort kommt - egal was ich anstelle - der Dialog mit der Safe-Id und Pin-Abfrage nicht. Das Gerät ist sowohl hard- als auch softwareseitig identisch mit den anderen Geräten und auch die Rechte in ActiveDirectory etc etc unterscheiden sich nicht.

                               

                              Ich rate auch dazu, bei ATOS ein Ticket zu machen - die sind zumindest bemüht - wenn auch meist nicht sonderlich hilfreich. Ab second level aufwärts wird´s besser - aber es ist trotzdem "weit weg von gut" - jedenfalls aber einen Versuch wert.

                              • 12. Re: beA - jetzt Terminalserver(WTS)-fähig
                                andreasmaier Beginner

                                Sehr geehrter Herr Renz,

                                 

                                die Erfahrungen mit dem ATOS-Support kann ich nur bestätigen. Zwar bemüht und nett, aber absolut erfolglos. Aufschalten auf einen betroffenen Rechner nicht möglich, Probleme werden mit "naja, wenn es kein reproduzierbares Problem ist, ist es nicht unser Problem, woanders läuft die Software ja" abgetan...

                                 

                                von 3 Fällen bislang konnte nur ein Support Fall gelöst werden, da aber erst nach 3 Wochen.

                                 

                                Bin gespannt, was das wird wenn das beA mal wirklich flächendeckend genutzt werden muss...

                                Geändert am 01.12.17 um 14:10 Uhr
                                • 13. Re: beA - jetzt Terminalserver(WTS)-fähig
                                  andreasmaier Beginner

                                  wir haben ein Ticket bei ATOS aufgemacht.

                                  Hier die Antwort:

                                   

                                  Kurzbeschreibung: Einsatz Terminalserver

                                  Beschreibung: Herr XY hat Fragen zur Nutzung des beA in eine Terminalserverumgebung.

                                   

                                  Lösungsbeschreibung:

                                  Die beA-Software wurde für die Verwendung mit verschiedenen Betriebssystemen entwickelt. In der Verbindung mit Terminalservern wird die beA-Nutzung mit der aktuellen Version aus Sicherheitsgründen nicht unterstützt. Die BRAK arbeitet mit ihrem Entwicklungspartner an einer Lösung und wird entsprechend informieren, sobald ein entsprechendes Update zur Installation bereitgestellt werden kann.

                                  Wenn Sie weitere Fragen haben, steht Ihnen das Team des beA-Supports gerne weiterhin zur Verfügung.

                                  Kontakt:

                                  1 von 1 Personen fanden dies hilfreich