69011
Goto Top

DATEV MyIdentity Stick + MyUTN Dongle Server + Terminalserver Server 2016

Hallo zusammen,

ärgere mich seit ein paar Tagen mit diesem Problem rum.

Windows Server 2016 dient als Terminalserver für eine kleine Tochtergesellschaft, hier ist DATEV installiert. Die Mitarbeiterin hatte früher den USB Stick (MyIdentity) von Datev lokal am PC angesteckt. Mittlerweile hat Sie nur noch einen Igel ThinClient.

den USB Stick habe in eine SEH myUTN 80 eingsteckt. der USB Dongle wird sauber erkannt und aktiviert, im Geräte Manager erhalte ich eine Smart Card mit Smart Token.

Außerdem habe ich das DATEV Sicherheitspaket 6.1 installiert.

Ich greife per RDP auf diesen Terminalserver und da kann das DATEV Sicherheitspaket meine SmartCard nicht erkennen und nutzen. Wenn ich auf den Server per VCenter Console zugreife ist alles perfekt, das Sicherheitspaket wird grün und ich erhalte sämtliche Infos zu "ausgestellt für" und "user id" etc.

Probleme macht nur der Zugriff per RDP.

per GPO habe ich noch "Smartcard-plug & Play Dienst aktiviert", und "RDP-Umleitung für andere unterstützte Remote FX USB -Geräte auf diesem Computer zulassen" aktiviert. die GPO wird sauber auf dem Server ausgerollt.

Was mache ich falsch? Hat jemand eine ähnliche Konstellation erfolgreich zum laufen gebracht?

Danke an alle

Content-Key: 453835

Url: https://administrator.de/contentid/453835

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 21.05.2019 um 16:21:56 Uhr
Goto Top
Hallo,

Warum packst du den Dongle nicht direkt an den Terminalserver, so würd ich das machen. Kann ich dich auch gerne bei Unterstützen, wenn du partout nicht weiter kommst.

Viele Grüße,

Christian
certifiedit.net
Mitglied: STITDK
STITDK 21.05.2019 um 16:23:27 Uhr
Goto Top
Servus,

Vermutlich richtig so da du es als Admin gemacht hast.

Du musst das ganze als Benutzer hinzufügen. Ansonsten wenn es ein Windows ThinClient ist, bitte wieder lokal einstecken.


Oder

KOM-Server Installieren wenn möglich.
Mitglied: 69011
69011 21.05.2019 um 16:52:18 Uhr
Goto Top
hallo certifiedit

bei dem Terminalserver handelt es sich um einen virtuelle Maschine, dort direkt anstecken ist schwierig.
Mitglied: 69011
69011 21.05.2019 um 16:53:11 Uhr
Goto Top
Jetzt muss ich blöd fragen: was ist ein KOM Server?
Mitglied: Dani
Dani 21.05.2019 aktualisiert um 16:55:55 Uhr
Goto Top
Moin,
du hast bei DATEV das Dokument Einsatz von Thin Clients im DATEV-Software-Umfeld und deren Folgelinks gelesen?!

Ich greife per RDP auf diesen Terminalserver und da kann das DATEV Sicherheitspaket meine SmartCard nicht erkennen und nutzen. Wenn ich auf den Server per VCenter Console zugreife ist alles perfekt, das Sicherheitspaket wird grün und ich erhalte sämtliche Infos zu "ausgestellt für" und "user id" etc.
Das liegt daran, dass die Smartcard der administrativen Sitzung (Konsole 0) durchgereicht wird = Admin.

per GPO habe ich noch "Smartcard-plug & Play Dienst aktiviert", und "RDP-Umleitung für andere unterstützte Remote FX USB -Geräte auf diesem
Computer zulassen" aktiviert. die GPO wird sauber auf dem Server ausgerollt.
Was möchtest du mir der Konfiguration erreichen?

@certified.net
rum packst du den Dongle nicht direkt an den Terminalserver, so würd ich das machen.
Der Beschreibung nach ein virtualsierte Server. Da wird es mit direkt anschließen schwierig...

Gruß,
Dani
Mitglied: falscher-sperrstatus
falscher-sperrstatus 21.05.2019 um 16:56:06 Uhr
Goto Top
ähm, wofür dann der myUTN 80?
Mitglied: falscher-sperrstatus
falscher-sperrstatus 21.05.2019 um 16:56:55 Uhr
Goto Top
Hat doch den Netzwerkdongleserver, der direkt an den vServer koppeln und gut? also Datev kann manchmal ne echte Zicke sein, aber _das_ ist soweit eines der kleinsten Probleme.
Mitglied: STITDK
STITDK 21.05.2019 um 17:01:51 Uhr
Goto Top
Dann muss er die die USB Software trotzdem als Benutzer ausführen der die SmartCard braucht.

KOM-Server da du nicht weiß was dasss ist vermute ich benutzt du das Mittelstandspacket.
Mitglied: ukulele-7
ukulele-7 21.05.2019 aktualisiert um 20:27:35 Uhr
Goto Top
Für was genau wird denn der MyDentity benötigt, ist das das Softwareschutzmodul für die gesamte DATEV Installation oder ist das jetzt nur eine User SmartCard mit der sich der User z.B. für Unternehmen online oder andere Sachen anmeldet? Das eine muss an den Admin durchgereicht werden, (und natürlich an den richtigen vServer, du hast ja keine DATEV Serverinstallation auf dem Terminal Server oder?) das andere natürlich nur in die User Sitzung.

Grundsätzlich müsste ein Smartcard-Leser oder ein Stick an einem Igel Client laufen, habe ich mal getestet vor Jahren. Ganz ohne Sicherheitspaket, das lief dabei auf dem Terminal Server, nicht lokal. Für gewisse Dinge reicht auch das Sicherheitspaket compact.

Ein Softwareschutzmodul kann man auf verschiedenen Wegen an einen vServer kriegen. SEH USB to LAN geht, unter VMware kannst du den aber z.B. auch direkt an den ESX stecken und durchreichen.

PS: Wenn ihr kein eigener Berater seit und die Software über euren Steuerberater bezieht dann sollte der eigentlich wissen was zu tun ist.
Mitglied: Vision2015
Vision2015 21.05.2019 aktualisiert um 21:21:10 Uhr
Goto Top
Moin....
Zitat von @69011:

Hallo zusammen,

ärgere mich seit ein paar Tagen mit diesem Problem rum.
echt jetzt... dafür gibbet aber fachfirmen, die wissen was zu tun ist.... oder ordentlich die Doku lesen....

Windows Server 2016 dient als Terminalserver für eine kleine Tochtergesellschaft, hier ist DATEV installiert. Die Mitarbeiterin hatte früher den USB Stick (MyIdentity) von Datev lokal am PC angesteckt. Mittlerweile hat Sie nur noch einen Igel ThinClient.
jo, dann steck den doch in den Thin Client! do soll der auch rein!

den USB Stick habe in eine SEH myUTN 80 eingsteckt. der USB Dongle wird sauber erkannt und aktiviert, im Geräte Manager erhalte ich eine Smart Card mit Smart Token.
warum machst du das? das ist ein USB Server... hast du einen Kommunikationsserver? Nein? dann wirst du wirst das ding nicht brauchen!

Außerdem habe ich das DATEV Sicherheitspaket 6.1 installiert.
ok... ich hoffe auch alles gelesen!

Ich greife per RDP auf diesen Terminalserver und da kann das DATEV Sicherheitspaket meine SmartCard nicht erkennen und nutzen. Wenn ich auf den Server per VCenter Console zugreife ist alles perfekt, das Sicherheitspaket wird grün und ich erhalte sämtliche Infos zu "ausgestellt für" und "user id" etc.
jo... ist ja auch richtig... wenn der admin nebenbei die steuern macht face-smile

Probleme macht nur der Zugriff per RDP.
nein, das Problem ist, du hast nicht den Treiber für SmartCard-Lesegeräte und den DATEV mIDentity auf dem Thin Client Installiert...

per GPO habe ich noch "Smartcard-plug & Play Dienst aktiviert", und "RDP-Umleitung für andere unterstützte Remote FX USB -Geräte auf diesem Computer zulassen" aktiviert. die GPO wird sauber auf dem Server ausgerollt.
wiso auf den Server?... die RDP client software muss das können!

Was mache ich falsch? Hat jemand eine ähnliche Konstellation erfolgreich zum laufen gebracht?
ja... hundertfach...
wie wäre es, wenn du mal alle dokus richtig liest, und oder noch besser den Der DATEV-IT-Administrator für die Kanzlei machst...


Danke an alle
Frank
Mitglied: sofifreak
sofifreak 22.05.2019 um 08:23:44 Uhr
Goto Top
Hallo,

wir nutzen Datev auf Windows Terminalserver 2012 R2. Bei uns liegt die Installation von Datev, bzw deren Datenbank auf einem eigenen viruellen Server. Sprich das virtuelle Datevkonstrukt umfasst 2 Server. (3 mit PMS). Die Anbindung mit einem MyUTN auf dem Datevserver klappt problemlos.

Ich kann aber nur raten, bei Datev einen externen Profi mit ins Boot zu holen. Gerne kann ich die Kontaktdaten weitergeben.

Schönen Tag noch.

Gruß Daniel.
Mitglied: Mosurama
Mosurama 22.05.2019 um 09:54:38 Uhr
Goto Top
Hallo,

im Fall DATEV auf Terminal Servern muss du dich von der Denke verabschieden, dass der mIDentity ein USB-Gerät ist.
Soll bei aktivierter RDS-Rolle die SmartCard, rein um die geht es hier, in der User-Session Verwendung finden, muss diese zwingend über das RDP-Protokoll übertragen werden.

Ansonsten würde das den Gedanken der SmartCard, eine persönliche Authentifizierung zu ermöglichen, aushebeln weil ja alle TS-Benutzer über die lokal am Terminal Server gesteckte Smartcard anmelden würden, egal ob über einen Device Server oder direkt angeschlossen.

Deswegen braucht es bei DATEV auch zwingend einen WTS-Client, auf dem man die Treiber für die DATEV-Leser installieren und über das RDP-Protokoll in die Session mit durchreichen kann.

Ich hoffe, das ist einigermaßen verständig erklärt...

viele Grüße
Mitglied: ukulele-7
ukulele-7 22.05.2019 um 10:58:25 Uhr
Goto Top
Zitat von @Mosurama:

Ansonsten würde das den Gedanken der SmartCard, eine persönliche Authentifizierung zu ermöglichen, aushebeln weil ja alle TS-Benutzer über die lokal am Terminal Server gesteckte Smartcard anmelden würden, egal ob über einen Device Server oder direkt angeschlossen.

Deswegen braucht es bei DATEV auch zwingend einen WTS-Client, auf dem man die Treiber für die DATEV-Leser installieren und über das RDP-Protokoll in die Session mit durchreichen kann.

Theoretisch ließe sich die SmartCard auch über einen USB Server gezielt an eine (und nur eine) Terminal Sitzung weiter reichen aber ist schon richtig, das ist so nicht gedacht. SmartCard an Igel ThinClient sollte aber kein Problem sein.
Mitglied: Vision2015
Vision2015 22.05.2019 um 14:51:11 Uhr
Goto Top
moin...
Zitat von @ukulele-7:

Zitat von @Mosurama:

Ansonsten würde das den Gedanken der SmartCard, eine persönliche Authentifizierung zu ermöglichen, aushebeln weil ja alle TS-Benutzer über die lokal am Terminal Server gesteckte Smartcard anmelden würden, egal ob über einen Device Server oder direkt angeschlossen.

Deswegen braucht es bei DATEV auch zwingend einen WTS-Client, auf dem man die Treiber für die DATEV-Leser installieren und über das RDP-Protokoll in die Session mit durchreichen kann.

Theoretisch ließe sich die SmartCard auch über einen USB Server gezielt an eine (und nur eine) Terminal Sitzung weiter reichen aber ist schon richtig, das ist so nicht gedacht. SmartCard an Igel ThinClient sollte aber kein Problem sein.
nicht nur Theoretisch... mir dem Komm Server und der Datev Authentisierung kein problem!

Frank