Smartcard Unterstützung HP ThinClients

Hallo,
hat hier zufällig wer praktische Erfahrung mit einem HP Thinclient T5545 (bzw. generell mit HP ThinPro) im Zusammenhang mit Datev Smartcard/mIDentity? In den technischen Unterlagen dieses Gerätes ist nur von PC/SC Forwarding die Rede, aber nirgends, welche Lesegeräte unterstützt werden.

Viele Grüße,
C. Wollner

Hallo,

wir haben mit HP ThinPro versucht die Smartcard zu übergeben. Funktioniert leider nicht.
Das Problem liegt am RDP Client, in diesem Fall rdesktop.
Mein Kollege hat das an den HP Support weitergeleitet, ob hier eine Anpassung möglich wäre. Als Antwort kam ein klares nein.

Gruß
Faruk Coban

Hallo Herr Coban,
vielen Dank für Ihre Antwort. Schade, das die Verwendung der Datev Smartcards nicht möglich ist, da die Geräte ansonsten einen ganz ordentlichen Eindruck machen.

Kann mir jemand ThinClients empfehlen, bei denen im Datev Umfeld die Smartcards bzw. mIDentitys per RDP funktionieren?

Viele Grüße,
Christian Wollner

Hallo Herr Wollner.

Welche Anforderungen stellen Sie denn an solche Geräte? Je nachdem was Ihnen dabei wichtig ist kommen ganz andere Geräteklassen in die nähere Wahl.

Diese Anforderungen können sein:
* Anschaffungspreis
* Betriebskosten (Stromverbrauch)
* Herstellersupport
* Administrierbarkeit
* Zusatzleistungen

Evtl. können Sie sich auch im Bereich der Nettops umsehen.

Für ~200 bekommen Sie einen Atom N270 (Singlecore 1.6GHz) mit 1GB RAM, Onboard-VGA, 160GB Festplatte und Windows XP Home. Ich habe aktuell Leistungsdaten des MSI WindBox DC200 (in der kleinsten greifbaren Ausführung) aufgeführt.

Mit ein wenig mehr Geld ist auch ein wenig mehr Inhalt drin.

Ich habe zwei recht unterschiedliche Geräte dieser Klasse im Einsatz. Eines ist mit Atom 330, 2GB eigenem RAM und 320GB Festplatte ausgestattet, das andere mit einem D510, 2GB RAM und 1.5GB Festplatte.
Damit haben beide Geräte genügend Leistung, im nebenher problemlos einen Spiegel des Backup-Storage-Servers zu tragen. Natürlich ist diese Konstellation keine dezentrale Backuplösung weil die Geräte luftlinie trotzdem nur 30m vom Backup-Storage-Server entfernt stehen. Ein Brand oder ähnliches dürfte recht schnell alle Geräte erfassen. Trotzdem empfinde ich den Nebeneffekt "zusätzlicher Spiegel des Datenbestands" als recht brauchbar.

Meine beiden Atome brauchen jeweils etwas unter 30W (egal ob idle oder Last, weil Last natürlich ohnehin nie entsteht da ja alles via RDP am Server passiert). Ein "richtiger Thin-Client" ist sicherlich sparsamer.
Dagegen ist ein NetTop ein vollwertiger Rechner inklusive handelsüblichem Desktop-Betriebssystem und deswegen deutlich flexibler zu verwenden.

Meine Softwarekonstellation enthält ein Gast-Benutzerkonto, welches statt der explorer.exe die mstsc.exe mit passenden Conneciton-Settings startet. Der Benutzer bekommt dabei also nicht mal mit, dass der Desktop den er sieht nicht der lokale ist -- genau dieses Verhalten wünscht man sich von einem Thin-Client.

Da die Betriebssysteme dieser Geräte "Standard-Windows" sind, lässt sich darauf natürlich jede Software betreiben die man gerne hätte. Ich habe zum Beispiel Alcohol56 (leider kommerziell nicht kostenfrei aber mit 23 auch nicht der Rede Wert) im Einsatz, um die lokalen DVD-Brenner der Thinclients per iSCSI in die RDP-Session zu bekommen. Der Vorteil eines vollwertigen DVD-Brenners am Thinclient liegt wohl auf der Hand: DVDs können genau so gebrannt werden wie das am Standalone-Rechner möglich wäre.

Mit einer solchen Konstellation lässt sich natürlich auch ein extern gelagerter Arbeitsplatz problemlos realisieren, der eine VPN-Verbindung in die Kanzlei aufbaut. Auch wenn eine DVD über eine DSL-Leitung zu brennen doch eher eine akademische Situation darstelt.

Mit freundlichen Grüßen,
Stephan Schuler.

Halla Forumsteilnehmer!

Auch in unserer Kanzlei stellt sich die Frage der Hp-Clients. Die Anforderungen an diese Clients sind äußerst gering.
In einem WTS-Umfeld wieder vollwertige Windows PCs einzusetzen, wie es von den meisten DATEV-Systm-Partnern empfolen wird, finde ich definitiv einen Schritt zurück. Nachdem wir in 2006 auf WTS umgesattelt haben, wurden die alten Windows Arbeitsstationen (30 Stück) als Clients weitergenutzt. Sie dienen lediglich dazu Monitor, Maus und Tastatur-Signale in die Terminalsitzungen zu bringen.
In regelmäßigen Abständen gingen Netzteile und Festplatten kaputt, was ja auch nach 5-7 Jahren Dauerbetrieb nicht zu beklagen ist. Neue Festplatten einbauen, XP neu installieren, das waren Dinge die wir in der Zukunft nicht mehr wollten.
Daher haben wir diese Arbeitsstationen durch HP Thin Clients auf LINUX-Basis ersetzt, gerade weil sie günstig und leicht administrierbar sind, KEINE beweglichen Teile in Form von Festplatten oder Lüftern besitzen und keine Lärm- und Geräuschentwicklung haben. Wir setzen jetzt HP ThinCleints t5125, t5135 und t5145 ein und das ohne Probleme.
Jetzt wieder am lokalen Arbeitsplatz diese technisch veralteten Windows-Brummkisten mit Festplatten anzuschaffen, nur um die DATEV-Smartcard oder den MyIdentity-Stick in der TERMINAL-Sitzung als Legitimation für Emails, für SteuerkontoOnline oder digitales Belegbuchen zu nutzen kann nicht der richtige Weg sein. Ich arbeite schließlich auf dem Terminalserver da benötige ich nicht an jedem Arbeitsplatz eine WINDOWS-Lizenz (für welches Betreibssystem auch immer), 320 GB HDD und 350 WATT Netzteile. Das ist definitiv Technik von gestern auch wenn die Gehäuse mittlerweile kleiner sind. Die DATEV sollte sich überlegen, ob es da nicht eine einfachere Lösung gibt.

Hallo Forenteilnehmer,

hier unsere Erfahrung mit Thinclients und mIdentity compact.
In unserer Kanzlei haben wir einen WTS und seit ca 1 1/2-Jahren 13 Thin Clients der Firma Igel (genauer: IGEL 4610 XP Winestra - inzwischen gibt es neuere Modelle). Diese Clients sind mit einem abgespecktem XP-Betriebssystem ausgestattet. Von der Firma Kobil haben wir nur die USB-Treiber für den mIdentity heruntergeladen und installiert. Das DATEV-Sicherheitspaket wurde auf dem Thin Client nicht installiert.
Die mIdentity-Sticks funktionieren ohne Probleme. Virenscanner werden nicht benötigt, da sich die Software in einem "abgesperrten Raum" befindet. Wir sind rundum zufrieden mit der Wahl. Geringer Administrationsaufwand, geringe Wärmeentwicklung und vorallem keine zusätzliche Geräuschkulisse von Lüftern.

Mit kollegialen Grüßen

Christoph Lecher

Vielen Dank für Ihren Tip, Herr Lecher,

Er kam gerade zur rechten Zeit, den auch wir müssen vor der Umstellung auf Datev Pro unsere Monitore austauschen. Da die Graphikgkarten der betagten Arbeitsstationen sich dafür nicht mehr eignen, müssen wir auch da für Ersatz sorgen. In so fern stellt sich für uns Datev Pro erst einmal als größerer Kostenaufwand dar. Wir hoffen, dass dieser Aufwand sich irgendwie rechnet. Überzeugt sind wir davon aber nicht.
Da in einem Netzwerk mit 2 WTS die Verwendung von Thin Clients Sinn macht, wollen auch wir diese einsetzen. Fast hätten wir aber Geräte bestellt, die anschließend nicht mit der mIdentity klargekommen wären. Dank Ihres Hinweises konnten wir rechtzeitig handeln.
Allerdings muss man Herrn Heese Recht geben, dass seitens der Datev eine nicht gerade geniale Verwirklichung der mIdentity-Funktion vorliegt. Dieses hätte anders geregelt werden müssen. Eventuell mit einem USB-Stick am Server und der Rechtevergabe für die einzelnen Mitarbeiter mittels einer Software (wie das ja auch bei der Datev-Nutzungskontrolle gehandhabt wird). Nur wegen der mIdentity auf den Einsatz von Thin Clients zu verzichten und stattdessen wieder lokale PC´s einzurichten und zu pflegen, ist wie mit einem LKW zum Brötchenholen zu fahren.

Hallo zusammen.

Mir erscheint es nur logisch, dass die Perspektiven hier recht unterschiedlich sind. Allerdings sind viele hier genannte Argumente derart spezifisch zu betrachten, dass man in Hinblick auf eine allgemiengültige Musterlösung dazu häufig nur sagen kann: Ist anders, aber auch nicht unbedingt schöner.

Auf den finanziellen Aspekt einer Windowslizenz auf dem Client möchte ich hier nur bedingt eingehen. Lediglich folgendes sei gesagt: Lizenzen benötigt man immer, und wenn man vergleichbare Hardware der infragekommenden Geräteklassen mit unterschiedlichen Betriebssystemen vergleicht halte ich den finanziellen Mehraufwand für ein Gerät mit Windows gegenüber einem Gerät mit Linux für überschaubar. Wenn es dann um Administration, Konfiguration und ggf. Programmierung von auf den Geräten unmittelbar laufender Software geht sind 20 für ein Windows XP nur noch eine untergeordnete Rolle. Die Frage nach kostenpflichtigen oder kostenfreien Betriebssystemlizenzen für Windows oder Linux ist für mich daher eher Prinzipfrage denn Kostenfrage.

Es ist, wenn mich nicht alles täuscht, durchaus möglich, mittels "Kommunikationsserver" in einigen Teilen auf mIDentity zu verzichten. Der Kommunikationsserver benötigt dazu entsprechende Hardware, die Clients nicht mehr. Natürlich muss in dieser Konstellation auf solche Leistungen verzichtet werden, die -- aus welchen Gründen auch immer -- nur personalisiert zur Verfügung gestellt werden.
Ein grundsätzliches Wort zur clientseitigen Hardwareauthentifizierung: Die Two-Factor-Authentifizierung "etwas das man hat plus etwas das man weiß" ist gängige Praxis, nicht nur bei DATEV. Für welche Leistungen eine derartige (möglichst) sichere Authentifizierung notwendig ist, darüber lässt sich sicherlich streiten. Grundsätzlich darauf vollständig zu verzichten, nur weil man den Umstand clientseitiger Software nicht mag ist allerdings nicht unter allen Umständen eine Alternative.

Generell, glaube ich, sollte hier erst einmal der Begriff eines Thin-Clients definiert werden, bevor wir dafür oder dagegen argumentieren können. Dem Namen nach sind damit wohl leistungsschwache Computer gemeint, etwas formeller solche schwere Arbeiten nicht sebst durchführen sondern von entsprechenden Servern durchführen lassen.
Eine MSI Windbox aus der 200 -Kategorie mit einem Atom-Singlecore 1.6GHz, 160GB Festplatte, 1GB DDR2 und einem vorinstallierten Windows XP Home die ich als RDP-Client mit Windows Boardmitteln betreibe erfüllt in meinen Augen beides.

Ich höre hier ein wenig die Ansicht "Ein Thin-Client läuft nicht mit Windows" durch. Das ist allerdings weder allgemeingültig noch marktüblich. Es gibt anforderungsspezifisch beides, und die Anforderung von DATEV lautet schon seit Jahrzehnten "Windows".

In dem Zusammenhang halte ich auch die Anforderung, ein Thinclient muss vollständig mit Boardmitteln funktionieren für zu kurz gedacht. Diese Forderung wurde hier zwar nicht wörtlich formuliert, auch das glaube ich allerdings deutlich zu erkennen, mindestens aus der Vorstellung, der Thinclient braucht doch sicher kein Sicherheitspacket. Das mag zwar manchmal richtig sein aber eben auch nicht für jeden.
Hierzu müsste zunächst fixiert werden, was ein Thinclient denn mit Boardmitteln kann. Eine Thin-Client-Infrastruktur mit VMware View zum Beispiel lässt sich nur mit einer Hand voll Geräte in ihrem Auslieferungszustand betreiben, auf den meisten muss noch der entsprechende Client installiert werden. Trotzdem zählt VMware View aufgrund seiner Leistungsfähigkeit zu den stärksten Konkurenten zu RDP. Alle Geräte auf denen View nicht ab Werk vorinstalliert ist nicht als Thin-Clients zu bezeichnen würde hier sicherlich niemandem einfallen. View dagegen als "Boardmittel" zu bezeichnen ebenfalls nicht.

Es wurde als Argument "gegen Windows" angeführt, dass man das neu installieren muss, wenn die Festplatte den Geist aufgibt und man selbige tauschen muss. Die einfache Handhabung von ThinClients mit Kleinst-Linux in diesem Zusammenhang beruht auf drei Aspekten:
Erstens werden häufig kleine 2-4GB große SSDs verwendet die aufgrund geringerer mechanischer Beanspruchung seltener ausfallen. Für 40 bekomme ich als Privatkunde allerdings eine 8GB große SSD mit SATA-Interface, diesen Vorteil kann ich also wenn ich möchte auch in einem herkömmlichen Desktoprechner haben.
Zweitens kann man das Gerät vollständig einschicken und gegen ein anderes austauschen. Wenn die Austauschsituation eines Desktop-Computers als RDP-Client allerdings lediglich bedeutet, mstsc in den Autostart zu legen und Bildschirmschoner zu deaktivieren liegt da ein unterforderter Fat-Client auch nicht viel weiter hinten.
Drittens kann ich mir vom Hersteller häufig das Betriebssystem fertig intalliert als dd-File oder selbstextrahierenes ISO besorgen, nachdem das dann extrahiert ist ist das Gerät vollständig konfiguriert. Einen Windowsrechner als Backup auf einer DVD im Schrank zu lagern kommt dem aber auch schon recht nahe.

Natürlich kann man einen Desktoprechner als "veraltete Brummkiste" bezeichnen, und als stromhungrig. Ich habe bereits die 200 -MSI-Winxbox-Klasse genannt, aus dieser Kategorie gibt es alledings noch andere (das HD-ND01 zum Beispiel wenn es DVI sein soll). Zielmarkt dieser Geräte ist wohl der Desktopersatz im Privatbereich mit wenig bis keinem Leistungsanspruch. Als RDP-Client taugen diese leistungsschwachen Dinger mit 60W-Netzteil aber trotzdem und nachdem ein Windows XP Home installiert ist lässt sich auch ein mIDentity-USB-Stick zu 100% nach Handbuch installieren.

Mich interessiert, ganz ab vom Thema, aber, in welchem Zusammenhang Grafikkarten in Rechnern eines WTS-Clients nicht geeignet sein können. Ich kann mir da gerade lediglich vorstellen, dass entweder nur ein Display-Ausgng vorhanden ist (was kein zwingender Hinderungsgrund ist) oder die Auflösung nicht ausreichend ist.

Grüße,
Stephan Schuler