Als DATEV-Administrator muss man leidgeprüft sein. Solange man alles, aber auch wirklich alles nach den Vorgaben aus Nürnberg macht und ja nichts anderes oder zusätzlich verwendet wird ist alles gut, aber Wehe wenn nicht.
Zu Unterscheiden sind Einzelplatzlösungn wie z.B. DATEV Mittelstand Faktura mit Rechnungswesen und die Kanzleilösungen. In diesem Beitrag geht es um die Einzelplatzlösung.
Bei den Einzelplatzlösungen dient der mIDENTITY-Stick nicht nur zur Anmeldung des Benutzers, sondern zusätzlich wird dieser für die Lizenzverwaltung verwendet! Letzteres setzt den direkten oder via USB-Device-Server realisierten Anschluss an den PC voraus, eine Umleitung via RDP funktioniert nicht!
Bei einem Kunden und 10 Jahre oder länger im Allgemeinen (bei anderen Kunden) funktionierte es bislang unter anderem auch so, das der DATEV mIDENTITY-Stick direkt am PC gesteckt war und man via RDP auf den diesen PC zugreifen und arbeiten konnte. Ein ReinerSCT-Kartenleser für’s Online-Banking konnte einfach via RDP umgeleitet werden. Der Client, also ob Windows oder z.B. Thin Clients von Igel, machten dabei keinen Unterschied. Es lief einfach.
Seit dem DATEV-Update auf Version 14.0 kann dieses Szenario nicht mehr verwendet werden, denn die DATEV hat die bislang verwendeten SmartCard-Komponenten entfernt und setzt nun auf die Microsoft-Bordmittel. In Folge wird eine direkt am Ziel-Computer angeschlossene SmartCard beim Zugriff via RDP nicht mehr erkannt bzw. akzeptiert. Laut DATEV entspricht dies dem gewünschten Verhalten von RDP und man hätte keinen Einfluß darauf, es liege an Microsoft.
Die DATEV schreibt in ihrer Hilfe das man Alternativ auf andere Lösungen wie z.B. VNC zurückgreifen kann. Ja das stimmt, bleibt aber das Problem mit dem Umleiten des ReinerSCT-Kartenlesers.
Letztlich lösen konnte man das Ganze bis hierhin wie folgt:
- Auf dem Ziel-Computer TightVNC (o.ä.) installieren.
- Den ReinerSCT-Kartenleser mittels eines USB-Device-Servers von z.B. SEH myUTN-50a (mein Favorit, seit Jahren bewährt) oder Silex DS-510 (noch nicht getestet) an den Ziel-Computer weiterleiten bzw. verbinden.
- Vom Thin Client oder einem anderen Computer aus mittels VNC-Viewer auf den Ziel-Computer zugreifen.
Das Ganze ist zwar dann nicht mehr so performant und von der Bildschirmauflösung her so skalierbar wie mit RDP, aber wenigstens funktioniert es in etwa wieder so wie zuvor. Für den Dateiaustausch (bedingt) und Drucken oder andere Geräte umleiten muss man sich ggf. etwas überlegen.
Troubleshooting
Sollte der ReinerSCT-Kartenleser nicht gleich erkannt werden, gemeint ist in der ReinerSCT-Software, nachdem er zuvor immer per RDP umgeleitet wurde, dann über die Systemsteuerung einmal das entsprechende Symbol anklicken. I.d.R. erscheint eine Meldung die auf einen Fehler hinweist und eine Korrektur anbietet. Dies einmal durchführen, anschließend einmal den ReinerSCT-Kartenleser USB-seitig ab- und erneut anstecken.
Absch(l)ussbemerkung
Der DATEV-Weg ist keineswegs verkehrt, aber wenn z.B. aus dem HomeOffice-heraus gearbeitet werden soll und die VPN-Verbindung mit einem RSA-/OTP-/SmartCard oder weiteren Tokens abgesichert ist, wird sich der Anwender “bedanken” wenn er bzw. sie einen ganzen Schlüsselbund voll mit Tokens herumschleppen darf.
Wie eingangs erwähnt muss man zwischen Einzelplatz- und Netzwerk-Lösung bei DATEV unterscheiden. Beim Einzelplatz hat man wohl keine andere Wahl mehr als etwas anderes als RDP einzusetzen.
Bei der Netzwerk-/Kanzlei-Lösung und wenn kein WTS (Windows Terminal Server) verwendet wird, kann wie in den Quellennachweis angegeben noch etwas tricksen. Das funktioniert dann allerdings nur für die DATEV-Sticks, mit der sich Benutzer anmelden!
Der Vollständigkeit halber: Ein Weiterleiten von USB-Geräten via Igel Thin Client hat im Test überhaupt nicht funktioniert, siehe dazu https://www.mcseboard.de/topic/216585-thinclient-terminalserver-smartcard-problem/
Quellen:
DATEV – LEXinform/Info-Datenbank online – SPP12517 im DATEV Sicherheitspaket
Microsoft – Docs – Why can’t I see my local smartcard readers when I connect via RDP?
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Schreibe einen Kommentar