HomeOffice - Remote (RDP u. a.) oder vollwertige PCs (Fatclients)

Moin.

Wir nutzen großflächig ECOS SBS ("Secure Bootstick").
Das ist ein Minilinux, das vom Stick an privater Hardware startet, ein VPN aufbaut und über xfreerdp zum Firmen-PC verbindet.

->vom BSI zugelassen bis VS-NfD
->keine Datenablage auf dem Stick möglich
->funktioniert mit dem Großteil an Hardware ohne Weiteres
->Multimon problemlos möglich

Als Schwäche sehe ich graphische Anwendungen (bewegte Bilder!), die der Linux-RDP-Client im Vergleich zum Windows-RDP-Client nicht gut überträgt. Für Dokumentbearbeitung und Scrolling reicht es jedoch. Die Kosten sind nicht ganz ohne (brutto pro Stick samt Wartungsvertrag ca. 1000€), aber dafür hast Du ein als sicher geltendes System.

Guten Morgen
ja

genau so machen wir das auch. Laptop, der nur RDP kann mit Virenscanner und VPN-Client. Nicht in der Domäne, keine Adminrechte. per GPO (Am Zielrechner) das Durschleifen von Druckern, Laufwerken und der Zwischenablage unterbunden.

Wofür? Laptop (ggf. Dockingstation), dann den oder die beiden externen Bildschirme und fertig. Der Laptop baut die Verbindung auf, gearbeitet wird 1:1 wie im Büro. Kein Rechner zuhause notwendig.

spricht für dich


Und 3. Sind sie nicht notwendig.


Hol dir ein Angebot von einem Glasfaseranbieter und lass dich nicht abwimmeln. Wir hatten die Diskussion auch mal mit einem Chef eines Kunden. Der wollte unbedingt Glasfaser haben, damit seine Außenstandorte angebunden werden können. Die Zentrale war etwas Abseits in einem ehemaligen Militärgebäude. Kosten für die Verlegung der Glasfaser, weil 2 Km vom nächsten Ort entfernt mit Tiefbau und co. lagen (vor 6 Jahren) bei ca. 280.000 €. Das war dann zu viel und danach war die DSL-Anbindung schnell genug.

Meine persönliche Erfahrung ist das Führungskräfte nicht wichtiger sind, sich aber für wichtiger halten

Gruß
Doskias

Das ist gering, das lernen Leute schnell. Die meisten haben Laptops und bringen bei Abholung des Sticks Ihren Lap mit zum Test.

Was nicht 100%ig ist, ist die Stabilität. Bricht das VPN ab, so bricht die Verbindung ab und muss wieder aufgebaut werden (kein automatischer Reconnect). Da viele WLANs benutzen, kommen da Paketverluste natürlich beinahe täglich vor und somit auch Abbrüche. Hat man echte Mecker-Nutzer, dann kann man davon ausgehen, dass die dann Ihrem Hobby nachgehen und meckern.

Servus,

@departure69:

Mach ich aktuell genauso wie bei Euch!
MA bekommt Notebook mit, Office ist zwar installiert. Nicht installiert sind Fachverfahren, Druckmöglichkeit zuhause u.ä.!

Sehe ich bei Euch auch als politische Frage an!

Evt. tut sich bei uns demnächst mit der neuen Infrastruktur etwas, ist jedoch von der Führungsebene noch nicht entschieden.

Gruß
VGem-e

250MBit.
Ein RDP Client verwendet ja nur wenige kb/sek. Da gehen schon einige drauf.

Täusche dich mal nicht...wenn du Video und Audio drüber jagst, bist du ganz schnell im Mbit Bereich.

Bei uns arbeiten ca 200 Personen über RDP vom HomeOffice aus.

Oder er nimmt einen IGEL UD Pocket. Ist nichts anderes, aber günstiger ;). Dieser kann, wenn richtig konfiguriert, auch automatisch während des Bootvorgangs eine VPN Verbindung aufbauen.

Alternativ nach dem Booten mit manueller Eingabe

Die Frage ist, ob er VS-NfD benötigt.

Hat Igel denn Zertifikate zur Absicherung (SmartCard + PIN)? Sieht mir nicht so aus.
Wie wird dort das VPN aufgebaut?
Ermöglicht das Igelteil Datendownload auf den Igel? Wäre hier ein No-Go.

Dann würde ich den Chefs sagen, FAT-Clients gibt es nur, wenn die Dich die Leitung aufbohren lassen. Ansonsten müssen sie das gleiche wie das Fußvolk benutzen.

lks

Mit Ausnahme des Chefs hat er aber keine doppelten Stromkosten. Er hat 1 x im Büro. Die Stromkosten aus dem HomeOffice zahlt ja der MA und nicht der Chef.

Wir haben auch keine Terminalserver im Einsatz. Hat aber mehr organisatorische als Politische gründe. Bis auf Office gibt es maximal 2 Leute, die identische Programme haben und das meiste davon müsste dann für alle User lizensiert werden. Warum soll ich Software für 80 Leute lizensieren, wenn es maximal 2 nutzen? Kosten für Einzelplatz-Lizenzen 2 x 250 €, Kosten für Terminalserver Lizenz 5.000 € + 50 je User. Rechnet sich erst ab einer viel größeren zahl als 2

Noch ein Denkanstoß zu den Stromkosten: Sind die bei euch wirklich relevant? Wieviel Strom verbraucht ihr am Tag und wie viel davon verbrauchen die PCs? Bei uns spielt das zum Glück keine Rolle.

Doch....hat es...man muss es nur konfigurieren

Während des Bootvorgang oder danach.
IPsec, OpenVPN oder Cisco AnyConnect

Nein. Auch ein Zugriff auf die Lokale Festplatte (Privater Laptop) kann verhindert werden.
Das ist ein komplett geschlossenes Linux

Wir setzen es unter anderem für Clients ein (RDP)

Aber auch für Besucherterminal oder Digitale Anzeige , bei dem jegliche Aktion gesperrt ist

Moin,

bei uns gehen, wie bei vielen anderen auch, Wunsch-der-IT und Realität auseinander.

Wunsch wäre gewesen, dass alle auf Terminalserver arbeiten und sich mit nem Laptop nur einloggen, VPN aufbauen und remote arbeiten können.

Realität ist, dass ich so nur 2 Arbeitsplätze habe. Der Rest arbeitet mit den neu angeschafften und voll ausgerüsteten Laptops direkt auf unseren Systemen über VPN, was zugegebenermaßen besser läuft als erwartet. Elegant hieran ist, dass bei Videokonferenzen die Last nicht von der Zentrale getragen werden muss, sondern von den Kollegen-Laptops und deren Heim-DSL-Anschlüssen.

Die DSL 100/40 Verbindung von der Zentrale, auf die sich alle einwählen (mittlerweile 12MA) bekommen die bis dato nicht klein (bei aktiven 12MA und 2 site-to-site-Tunneln).

Das von Dir erwähnte Szenario remote-auf-dem-Büro-PC-arbeiten habe ich aus diversen Gründen abgelehnt (Umweltschutz, doppelter Verwaltungsaufwand der PCs und Laptops).

Gruß

Looser

Ich habe einfach mehrere Terminal VMs installiert. Eine davon ist für reines Office ohne Spezialprogramme. Die RDS Cal zahlt man ja nur einmal, also kostet jede neue RDP VM nur eine halbe Server Std. Lizenz. Ich habe auch eine VM ohne Office (bzw nur mit Libre Office), auf der sich einige mit ihren Spezialprogrammen herum tummeln.

Aber ja, da den günstigsten Mittelweg zu finden ist eine Herausforderung.

Gruß,

Dies kommt aber darauf auf, wie VPN konfiguriert ist. Bei uns ist festgelegt, dass bei aktiver VPN Verbindung ALLES über das Firmen Gateway laufen muss und aufgrund der Sicherheit kein Zugriff auf das PRivate Netz erfolgen darf, wenn die VPN Verbindung besteht.

Ich muss aber dazu sagen, dass wir 2 x 1 Gbit DCIP haben und somit auch genügend Bandbreite.

Kommt wie gesagt auf die VPN Policy an.

So lösen wir es auch.
Wir haben 2 Terminalcluster.

1 x Verwaltung, 1 x Produktion, da diese kein Office benötigen.

Du kannst auch in der RDP-Farm bereits die Zwischenablage und Laufwerksweitergabe unterbinden, insofern können keine Dateien hoch oder runtergenommen werden, dazu brauch ich nicht zwangsläufig den Stick.

Die Weitergabe von Daten kann man in vielen Fällen aber auch deutlich besser über den firmeneigenen Mailserver durchführen, insofern ist der Hinweis zwar schön, wenn aber nicht gleichzeitig auch der Mailserver entsprechend konfiguriert ist, umgeh ich das ganze einfach via Mail.

Im schlimmsten Fall kann ich auch über Screenshots mir Daten vom Firmenserver auf meinen heimischen PC ziehen. Also wer will, wird auch Wege dazu finden.

Richtig. Sind 2 Einstellungen in der GPO und der Datenaustausch zwischen RDP-Sitzung und lokalem Host sind deaktiviert,

Bei uns geht es weniger um Daten aus dem Firmennetz rauszunehmen als zu verhindern, dass daten reinkommen. Ich rede da jetzt nicht von Notwendigen Daten, aber auf der anderen Seite sitzen User, keine Admins. Wer weiß mit was für verseuchten USB-Sticks die hantieren und wie verseucht deren Heimnetzwerk ist. Nach dem Motto: Prepare for the worst

Auch das kann man mit der richtigen lokalen Einstellung verhindern. Aber wie du schon sagtest: Wenn er die Daten Raushaben will, dann bekommt er sie raus. zur not kann er den Bildschirm immer noch abfotografieren oder schreibt sich die Kundendaten mit einem Stift ab.

Entweder oder über die Bereitstellungseigenschaften der Remotesitzungen - dann kann man sich sogar die GPO sparen.

Wieso wird ein Terminalserver nicht in Erwägung gezogen? Was für Gründe sprechen denn dagegen?

Bei uns gibts vollwertige PCs, Tinys Laptops und Terminalserver. Letzeres macht am wenigsten Spaß, schon alleine das anmelden dauert ewig. Noch länger als auf den Notebooks, die mit so viel Schrott zugepflastert sind, dass die auch deutlich länger brauchen als ein normaler PC. Dann darf ich da als Admin/Entwickler nix installieren, eine Read-Only Umgebung...

Und die so hoch gepriesenen Vorteile davon sind meiner Erfahrung nach ansonsten auch eher naja, wobei das ein Stück weit definitiv auf die Kollegen zurückführen ist. Ich habe auf einen vernünftigen PC bestanden und es nicht bereut, im Gegenteil. Als die Homeoffice-Geschichte startete, waren vor allem diejenigen die direkt im VPN gearbeitet haben extrem lahm. Ich habe per RDP auf meinem PC im Büro gearbeitet und hatte dort 100Mbit Down, ohne die Tickets wärs mir gar nicht aufgefallen. Schon erstaunlich, wie wenig Bandbreite RDP braucht.

Richtige PCs setzen wir aber nur da ein, wo es Sinn macht. Also User die Power brauchen wie z.B. Admins/Entwickler. 0815 User bekommen Tinys, Laptops oder eben nur Citrix. Vom Stromverbrauch her finde ich das auch sinnvoll, nicht jedem einen vollwertigen PC hinzustellen. Für die Standard-Büroaufgaben reichen Laptops oder Tinys locker. Die Tinys haben mittlerweile Power, da kann man schon recht viel mit machen. Privat empfehle ich Stand-PCs auch nur noch für Zocker oder versierte Leute die das brauchen. Dem Rest reichen Laptops oder Tinys meistens, weniger Platz braucht es auch.

Das es verschiedene Denkansätze gibt um eine vernünftige Arbeitsumgebung zu erstellen steht ja außer Frage. Aber bitte wenn schon Vergleiche dann auch fair bleiben. Im Regelfall dauert das Einbinden der User-Profildisk nicht wesentlich länger. Wenn ich dagegen das Userprofil erstmal über VPN auf einen Laptop übertragen muss und das Profil 2-3 Gigabyte groß ist und der User noch über eine wackelige Leitung verfügt, wird schätzungsweise der WTS der über VPN angesprochen wird um längen schneller dem User die Arbeitsoberfläche präsentieren.

Neben dem Profil kann es natürlich auch sein, das Deine WTS-Umgebung nicht richtig im LAN steht und mit mehreren Flaschenhälsen zu kämpfen hat. Das macht dann natürlich keinen Spaß - aber ist erstmal nicht der Ideologie hinter dem WTS geschuldet, sondern der Konfiguration Deiner Umgebung


Der hochgepriesene Vorteil ist meiner Meinung Redundanz - wenn ich 10 WTS in einem Farmbetrieb am laufen hab, kann ich nebenher "gemütlich" Wartung an einzelnen Kisten durchführen und die User merken davon erstmal nichts. Dadurch das ich rund 10-15 User pro WTS halten kann, spar ich mir eine Menge Installationsarbeit für einzelne Anwendungen, gerade die, wo sich eher schlecht über WSUS & Co verwalten lassen.

Das der WTS etwas mehr Pflegebedarf ist richtig, aber wenn man die Routinen erstmal im Griff hat, läuft der auch ganz zuverlässig. Eine Rennkiste wird vermutlich der WTS nie werden oder die Anschaffung sehr guter Hardware wäre dann erforderlich, aber die "vollwertigen" PC's verschlingen auch mal locker 400-600 Euro pro Stück und bei 200 Mitarbeitern sind das auch schon Anschaffungen von rund 120 TEuro. Für die Differenz zu WTS + ThinClint hab ich aber wiederum auch ein ordentliches Budget um mir schöne Failovercluster aufzubauen.


Warum sollte der Admin den keine Software installieren können? Die Frage stellt sich doch immer, was für eine Software wird auf dem WTS benötigt? Viele schnelle User-Installationen auf einem Arbeitsplatz-PC führen auch manchmal zu höherem Supportaufkommen, weil man sich ziemlich jeden virenverseuchten Dreck installiert hat und dabei einfache Bordmitteln von Windows & Co. gerne mal übersieht.

Fazit: Ich will keine Lanze für den WTS brechen, ist dieser aber sauber aufgesetzt und man arbeitet damit umsichtig, ist er ein zuverlässiger Partner im Arbeitsumfeld und das Thema mal schnell ins HomeOffice switchen ist dann plötzlich gar kein Problem mehr und obendrein fast zum Nulltarif - sofern man den VPN-Zugang mal außen vorlässt. Für alles andere, hat man darunter den ThinClient - der gerne in die Bresche springen kann, wo der WTS an seine Grenzen kommt.

PS: Zur Umfrage, wir arbeiten mit einer überwiegend reinen WTS-Umgebung unabhängig der Standorte. Nur in wenigen Ausnahmen nutzen wir Laptops die autark arbeiten - das ist aber eher den jeweiligen Standorten geschuldet, bei denen wir kein Internet haben und keine echtzeitkritischen Daten ausgewertet werden müssen. Den klassischen ThinClient (Igel & Co.) nutzen wir aber nicht sondern MiniPCs mit Windows10. Standorte und HomeOffice werden über VPN angebunden. Drucker werden, sofern im HomeOffice vorhanden, über die RDP-Session mit hochgenommen (Umleitung). An den Standorten sind alle Drucker über Druckserver eingebunden.

Von den Datendurchsätzen läuft das ganz gut. Im Schnitt haben wir rund 20 bis max. 30 MBit Upload/Download-Bandbreiten vom Rechenzentrum aus weg. Pro User vor Ort kalkulieren wir mit rund 1 MBit Download und 0,2 MBit Upload (ADSL/VDSL ohne Problem möglich).
Damit der Terminalserver aber gut genutzt werden kann sind vorrangig die Latenzen der Leitung wesentlich, oberhalb von 80ms macht es kaum noch Sinn.

Anwender die nur auf Mails zugreifen müssen, können aber auch über OWA und Exchange-ActiveSync via Smartphone Daten abrufen und schreiben. Vor zwei Jahren haben wir auf eine Cloud-TK-Anlage umgestellt, die hat sich in der Pandemie jetzt schon wieder sehr bewährt.

Im Grunde beides. Die wo nur auf dem Terminalserver waren nutzen zuhause halt Citrix auf ihren privaten Geräten.

Nicht nur die Anmeldung, auch Software läuft gefühlt zäher als auf einem richtigen PC. Vor allem beim ersten Start. Warum das so ist keine Ahnung, dafür ist eine andere Abteilung zuständig und ich hab keine Rechte auf den Systemen. Ich will nur ein schnelles System, auf dem ich ordentlich arbeiten kann. Für 0815 User die nur ein paar Standardprogramme brauchen ist das vielleicht akzeptabel, für mich ist ein vollwertiger Rechner die wesentlich bessere Lösung. Da werde ich auch nicht z.B. übers WE abgemeldet und kann problemlos VMs starten, das habe ich im letzen Post vergessen.

Normale User natürlich nicht, aber wie gesagt spreche ich von MIR als Admin/Entwickler. Da reicht die 0815 SW nicht und es würde auch keinen Sinn machen, jedes Tool das ich nutze für jeden auf dem Server zu installieren.

Stimmt beides. Die Win Platte ist read only, ein Netzlaufwerk für Arbeitsdaten gibt es natürlich. Aber das bringt mir im Bezug auf Programminstallationen wenig, darauf hatte ich mich bezogen weil auch die Programme die keine Adminrechte zur Installation brauchen dann weg sind, nachdem man vom TS geschmissen wurde und sich neu anmelden muss.

Ne weder noch: Ich war per Citrix auf dem Terminalserver im internen Netz und von dort per RDP auf meinem PC, hätte ich vllt dazu schreiben sollen damit es klarer wird.

Im Büro sind das so kleine Boxen mit minimaler Hardware drin, die nur eine Verbindung zum TS herstellen und anzeigen. Zuhause installieren das die Leute auf ihrem privaten PC/Laptop um damit ins Firmennetz zu kommen. Wir nutzen da das Ding dass schon öfter mit schweren Sicherheitslücken aufgefallen ist, Netscaler hieß das glaub, müsste ich schauen.

Und was sind Tinys? Den Ausdruck hab' ich im Zusammenhang mit IT noch nie gehört, meinst Du damit etwa Thin-Clients?
Lenovo Tiny: https://www.lenovo.com/de/de/desktops-and-all-in-ones/thinkcentre/m-seri ...
Das sind Thin Clients, ja.

Kommt vllt daher eil wir eben nahezu alles haben, zusammengefasst (im Homeoffice):
- Direkt im VPN auf Firmenlaptops
- Firmenlaptops die nur als VPN Zugang genutzt werden, gearbeitet wird per RDP auf dem Büro PC
- Citrix auf privaten Geräten zum arbeiten auf dem internen TS
- Citrix auf privaten Geräten um über den internen TS RDP auf einen Büro PC (vollwertiger PC oder Tiny -> Thin-Client) zu machen

Kein Problem

Hallo Doskias,

der Trick ist gut, den kannte ich noch nicht Ich mach das mehr so nach dem Prinzip Kundenerziehung und die Sendung mit der Maus. Und erkläre dem Kunden, dass halt so manche Software nicht für die Highspeed Buschtrommelverbindungen bei uns auf dem Land geeignet sind.

Wenn er es dann doch noch immer nicht glauben will, lasse ich ihm das einfach vom Software Anbieter bestätigen.

Viele Grüße
Christian