von Thomas Seitner
Die Remotedesktop- Verbindung: Sperriges Wort für ein hilfreiches Tool
Einige kennen das Problem: -das neue DVT ist installiert, alles läuft zügig auf dem Aufnahme-Computer im Röntgenraum. Aus wirtschaftlichen oder technischen Gründen (zu alter und zu langsamer PC, falsches Betriebssystem etc.) wird im Behandlungszimmer (oder Beratungszimmer, Büro) aber kein Viewer dafür installiert. Irgendwie wäre es aber doch schön, bei dem einem oder anderen kniffligen Fall „live“ durch die Kanäle „fahren“ zu können und nicht nur mit den angefertigten Screenshots arbeiten zu müssen. Hierfür gibt es eine einfache und kostengünstige Möglichkeit: die sogenannte „Remotedesktop Verbindung“. Es handelt sich um eine „Fernsteuerung“ mit 1:1 Bildübertragung des gesteuerten Rechners. Dadurch dass nur die Bildschirmgrafik, aber keine Daten übertragen werden, lässt sich z.B. selbst der 3D Viewer des Röntgenprogrammes sogar per WLan ohne merkbare Verzögerung bedienen. In den meisten Windows Varianten (Prof. Versionen) ab Win XP findet sich das nötige Programm unter dem „Zubehör“ bereits auf der Festplatte. Aber auch bei anderen Betriebssystemen wie Apple, iOS, Android etc. sind die Vorrausetzungen gegeben. Die Einrichtung ist in der Regel schnell geschehen: das Remoteprogramm starten, die IP Adresse des zu steuernden Computers eingeben und los geht es. Eventuell muss der zu steuernde PC noch für den Remotezugriff freigeben werden. Eine Anleitung findet sich unten. Eine Möglichkeit die IP Adresse unter Windows heraus zu finden ist die Eingabe von: „cmd“ im „Ausführen“ Menü. Danach „ipconfig“ und die Adresse kann abgelesen werden. Eine Verknüpfung der Remote Applikation kann zur schnelleren Bedienung mit aussagekräftigem Namen auf dem Desktop in der gewünschten Voreinstellung gespeichert werden. Ein Nachteil sei nicht verschwiegen: während der Bildschirm im Behandlungszimmer sichtbar ist, ist er am Röntgen PC gesperrt. Allerdings lässt sich diese Sperre am ferngesteuerten PC nach Sicherheitsabfrage sofort wieder aufheben.
Links:
Hallo Thomas,
danke für den informativen Beitrag, der sich auch für Nicht-Zahnis interessant liest und sicherlich den Praxisalltag vereinfacht. Eine kleine Ergänzung, da Datenschutz auch etwas ist, mit dem ich mich beruflich und privat beschäftige: Aufgrund des hier http://www.heise.de/security/artikel/Kleiner-Lauschangriff-gegen-Windows-Fernwartung-270722.html beschriebenen Angriffs auf das Remote Desktop Protocol würde ich bei Nutzung der älteren RDP-Versionen zusätzlich TLS verwenden, wenn ich es in meiner Praxis einsetzen würde, um ein relativ einfaches Ausspähen sensibler Informationen zu verhindern. Sicherlich ist die konkrete Gefahr aber, wie stets, abhängig vom Gesamtaufbau des Praxisnetzwerks (wo sind Firewalls, wo sind Daten etc.).
Herzliche Grüße und ein schönes Wochenende
Haya
Hallo Frau Hadidi, innerhalb der Praxis ist sicherlich TLS für RDP nicht notwendig. Heise empfiehlt das nur für den direkten Zugriff (ohne VPN) übers Internet auf den Terminalserver. Das sollte man m. E. grundsätzlich eher lassen (halte ich für fehleranfälliger, weil ältere RDP-Versionen das nicht unterstützen) und stattdessen ein VPN wählen, das viel flexibler zu nutzen ist.
Thomas, weil ich RDP seit ca. 10 Jahren viel nutze, ein paar Ergänzungen:
1. RDP-Clients gibt es für die Windowsversionen seit Windows 3.11,
http://camie.dyndns.org/technical/mstsc-versions/
auch für die Homeversionen von Windows. D. h., eine Windows-Pro-Version muß nur der gesteuerte Rechner besitzen, nicht der steuernde. RDP-Clients sind auch auf den meisten Linuxdistributionen vorinstalliert (bei mir: Fedora), es gibt für Linux auch einen einfach zu installierenden Terminalserver (xRDP), auf den sich von Windows aus per RDP-Client zugreifen läßt. Ich nutze so einen (virtualisierten) Linuxterminalserver für die Internetzugriffe meiner Helferinnen, denen ich den Internetzugriff von den Windowsrechnern aus gesperrt habe (mit http://www.sandboxie.com). Zwischen dem Windows-RDP-Client, der auf den Linuxserver zugreift und dem Windows-Desktop lassen sich über die Windows-Zwischenablage z. B. Internetadressen kopieren. Über ein gemeinsam geteiltes Verzeichnis auch Dateien austauschen, was wir für den Upload der Abrechnungsdateien zur KZV nutzen.
2. Der ferngesteuerte Windows-Pro-Rechner läßt normalerweise, wie Du schreibst, nur entweder lokalen Betrieb oder einen RDP-Zugriff zu. Allerdings gibt es verschiedene Lösungen dafür, mehrere Leute gleichzeitig über RDP-Sitzungen ergänzend zu einem lokalen Zugriff parallel auf dem Rechner arbeiten zu lassen. Mit Drittsoftware läßt sich für kleines Geld dann auch eine Windows-Homeversion als Terminalserver nutzen. Ich habe http://www.thinstuff.com im Einsatz, 10er Lite-Lizenz ca. 140 €, aber es gibt auch 5er u. 3er Lizenzen. (Googeln nach windows xp terminalserver ergibt weitere Lösungen.)
3. Man kann auch sicher von außen auf Praxisrechner per RDP zugreifen, wenn man ein VPN einrichtet. Sehr einfach u. preiswert (ca. 25 USD/Jahr) geht das mit Hamachi von Logmein, das ich nutze (auch per Laptop von jedem WLAN aus). Auch dann sind mehrere, parallele Sitzungen möglich. Ich habe z. B. jetzt von zuhause aus eine RDP-Sitzung auf mein Adminstratorkonto auf meinem (virtualisierten) Win XP-Terminalserver in der Praxis offen (für electronic banking, Gehaltsabrechnung etc.) und parallel per RDP ein Benutzerkonto für Email, Surfen im Web, normalen Praxisbetrieb. Wie flott das geht, hängt von der Uploadgeschwindigkeit ins Internet für den Terminalserver ab. Es hilft, wenn der Praxisrouter Verkehr priorisieren kann wie meine Fritzbox 7390 (gerade erschienener, noch mächtigerer Nachfolger: Fritzbox 7490).
4. Man kann, wie von Dir geschrieben, RDP-Verknüpfungen mit IP-Adressen anlegen. Aber man kann den PC auch mit seinem Namen statt seiner IP-Adresse ansprechen. Wenn man IP-Adressen nutzt, sollte man den DHCP-Server (meist auf dem Router) so einrichten, daß er den PCs im Netz immer die gleiche IP-Adresse gibt, damit es kein Durcheinander nach Neustart des DHCP-Servers gibt.
5. Der Terminalserver ist das EDV-Zentrum meiner Praxis. Ich habe dort mehrere Hundert Programme installiert (inklusive Emailserver, Groupwareserver, Bildbearbeitung, Openoffice etc.), die ich von meinen anderen PCs aus nutzen kann, ohne sie dort installieren und updaten zu müssen. Ich könnte EDV überhaupt nicht in dem Umfang nutzen, in dem ich sie nutze, wenn ich mich in dieser Weise um weitere Rechner kümmern müßte, weil das viel zu zeitaufwendig wäre.
6. Ein Terminalserver, auf dem mehrere Benutzer kontinuierlich arbeiten, sollte alle paar Tage neu gestartet werden, sonst kann es zu Abstürzen kommen. Der Datenbankserver meiner Praxis läuft deshalb virtualisiert und verschlüsselt (PostgreSQL auf Windows XP auf einer Truecrypt-Partition) im Hintergrund (d. h. in einem getrennten Benutzerkonto) auf einem anderen PC (dem Rezeptionsrechner), der wochenlang nicht neu gestartet wird.
7. Wenn man sein Kartenlesegerät per serieller Schnittstelle anspricht (seriell wird seit vielen Jahren problemlos in RDP-Sitzungen übertragen, USB nur mit teureren, neueren Thinstuff-Versionen), kann man auch in RDP-Sitzungen Krankenversicherungskarten einlesen.
8. Wenn jemand Nachfragen hat, nur zu.
Hallo zusammen,
Wow, Herr Logies, man merkt, dass IT Ihr Hobby ist. ;-)
Zum Thema SSL-Verschlüsselung, Bullrun usw. dieser Link zur Info: http://www.pcwelt.de/news/NSA_liest_verschluesselte_SSL-Verbindungen_mit-Auch_Online-Banking_unsicher-8187169.html
Auch wenn man davon ausgeht, dass die NSA wohl kaum Patientendaten eines Zahnarztes ausspäht, sollte man sich doch der Risiken bewusst sein. Im IT-Security-Bereich wird das u.a. unter den Begriffen Risikoanalyse und Schutzbedarfsfeststellung behandelt.
Herzliche Grüße
HH
Vielen Dank für die Info, Thomas !
Man sollte vielleicht noch erwähnen, dass dadurch nicht nur Kosten für neue PC´s in den Behandlungszimmern, sondern auch noch für kostenpflichtige Dongles wegfallen, die notwendig sind, um auf den PC´s in den Behandlungszimmern IDixel zu betreiben.
Herzliche Grüße
Ha -Wi
Danke Thomas für die Zusammenfassung,
verwenden wir seit Jahren für den Zugriff von zu Hause auf das Praxisnetzwerk. Wir nutzen dazu noch eine Hardwareverschlüsselung und Firewalls.
Herzliche Grüße
Andreas
Bild Nummer 7 zeigt die IP…
Das ist irrelevant, die kann man überall bekanntgeben. Die IP-Nummern im LAN sind nicht routfähig und auch nicht von außen errreichbar: https://de.wikipedia.org/wiki/Private_IP-Adresse