IPhone im Unternehmensnetzwerk – kurzer Erfahrungsbericht

27 03 2012

Gestern früh war solch ein schöner Tag. Die Sonne schien durch den Rollladen, die Vögel zwitscherten und ich hatte sehr gut geschlafen. Auf Arbeit war die Stimmung der Kollegen gut und nach dem Wochenende gab es immer die „News“ zu erzählen.
Kurzum, alles war perfekt, sehr wahrscheinlich zu perfekt. Gegen 10:30 Uhr kam der Geschäftsführer rein und stürmte zum IT-Leiter. Er erklärte ihm er habe am Wochenende, wahrscheinlich am Samstag, sein IPhone verloren. Was lässt sich nun tun damit niemand an seine Daten rankomme. Der erste Schritt ist ein Remote Wipe zur Säuberung des Handys. Der Cheffe meldete sich an seinem OWA an und schickte den Befehl ab. Gebannt schaute er auf den Bildschirm und fragte dann, wann erscheint die Erfolgsmeldung? Ein anderer Kollege meinte kurz und knackig: „gar nie“. Wenn das Gerät  keine Verbindung zu einem Sendemasten hat wir der Wipe Befehl nie ausgeführt!
Der Cheffe nun deutlich angespannter sprach mit lauter Stimme zum IT-Leiter wie hoch die Chancen liegen dass der Finder Daten auslesen kann. Er habe sein Gerät mit dem 4-stelligen PIN gesichert. Der IT-Leiter zog seine Projektmappe aus der Schublade und schlug im Projektverzeichnis unter „Projekt: Mobile Endgeräte“ nach und sagt kurz und knapp: „ca. 30-60 Minuten“. Diese Zeitspanne basiert auf Recherchen im Internet.
Der Chef war nun wirklich sauer, weil er habe in seinen E-Mails wichtige Kundendaten und Passwörter drin. Zudem seien überall die Zugänge für verschiedene Kunden und Portale gespeichert. Nun schimpfte er noch auf die IT was für ein Schlammperladen wir seien.

Der IT-Leiter wiederum blätterte eine Seite um und sprach ihn harsch an:“ Darf ich Sie an das Gespräch im August letzten Jahres erinnern?“. Der IT-Leiter hatte damals einen Vergleich mit Black Berry und IPhone gezogen. Damit Schnitt das IPhone im Einsatz für das Unternehmensnetzwerk sehr, sehr schlecht ab. Das IPhone Konfigurationsprogramm war nicht das Gelbe vom Ei und im größeren Umfeld nicht zu gebrauchen. Die Geschäftsführung entschied sich trotzdem für das IPhone. Ein Black Berry Gerät sei nicht mehr zeitgemäß und repräsentiere das Unternehmen als rückständig.  Jede Abteilung konnte sich nach Auslauf des Vertrages selbst entscheiden welches Gerät er möchte. Neben dem IPhone tummeln sich noch zig andere Hersteller auf dem Markt. Der IT-Leiter meinte er könne dieses Durcheinander nicht verwalten lassen und somit war jeder Mitarbeiter selbst für sein Mobiles Endgerät verantwortlich.
Der IT-Leiter hatte sich dies schriftlich geben lassen und legte dieses Schreiben nun dem Chef vor. Da meinte der Chef: „Verdammt, das hab ich selbst unterschieben!“.

Ich zog den Cheffe zu mir rüber und wir änderten zuerst alle Zugänge. Am Abend erhielten wir eine E-Mail mit der Aufforderung eine Aufstellung der Kosten für einen Umzug auf Black Berry zu erarbeiten.





App-V und Remotedesktopserver

12 03 2012

Bisher verwendeten wir App-V ausschließlich für Programme die in sich abgeschlossen sind, d. h. keine externen Komponenten benötigen beispielsweise Datenbankzugriffe. Das Schöne am App-V ist seine abgeschottete Umgebung in einer Sandbox. Jede App-V läuft in seiner eigenen Umgebung, mit seiner eigenen Registry und kann trotzdem mit dem Hostsystem kommunizieren. Unsere Buchhaltung ist zur Verwendung deren Lohnprogramms auf ein Microsoft Office Word 2003 angewiesen. Die Unternehmensrichtlinie schreibt aber ein Office 2010 vor. Mittels App-V kein Problem dies parallel zu ermöglichen.
Doch gehen wir einen Schritt weiter… unser Geschäftsführer möchte zukünftig direkt und überall sein Navision öffnen. Die Buchhaltung verwendet einen Navision Client pre Version 5 und die Entwickler möchten möglichst mit vielen RTC und Classic Clients testen. Die Datenbanken für das Navision laufen auf verschiedenen SQL Servern in der Firma und sind nicht an extern publiziert. Somit hat logischerweise das Programm im Internet keinen Bezug zu diesen SQL Servern und kann diese logischerweise auch nicht finden und meckert den fehlenden Server an. Alle Mitarbeiter gemein möchten zudem ein möglichst einfaches Handling, sprich auf ein Icon klicken und das Programm soll starten ohne großartig sich an Webseiten oder VPN Tunnels anzumelden. Das große Problem ist hier, wie verhindert man bei lokaler Installation Schwierigkeiten der unterschiedlichen Versionen und das allerwichtigste überhaupt, wie bekommt der Cheffe sein Navision über das Internet?
Bei uns war diese Überlegung relativ einfach. Wir verwendeten bereits Microsoft Remotedesktopserver mit  Remotedesktopgateway jeweils auf Basis eines Windows Servers 2008R2. Auf dieser soliden Basis installieren wir den App-V Client für RDS auf die Remotedesktopserver und streamen diese über RemoteApp direkt zum Client! Die RemoteApp, im Prinzip nichts anderes als eine Textdatei mit RDP Kommandos, wird bei uns direkt auf den Client beim Anmeldevorgang an der Domäne übertragen. In der RemoteApp steht das auszuführenden Programm. Ob es sich hierbei um ein lokal installiertes Programm auf dem RD-Server handelt oder um ein App-V Programm, spielt überhaupt keine Rolle. Der Server führt das Programm aus und streamt die Anzeige zum Client!
Das wirklich schöne an der Lösung ist die Einfachheit für die Mitarbeiter und die IT Abteilung. Ein App-V Paket muss nur einmal Sequenziert und einmalig auf den RDS verteilt werden. Erhält ein App-V ein Update so spielt man dieses einmalig im Paket ein und die Verteilung bzw. das Update erfolgt durch den App-V Client automatisch. Der Mitarbeiter hat immer den gleichen Ablauf, RemoteApp anklicken, sich Authentifizieren und arbeiten. Somit hat der Mitarbeiter garantiert immer den aktuellsten Programmstand! Das entlastet vor allem die IT Abteilung die sich um Projekte und andere wichtigere Dinge kümmern kann!
Übrigends wer die Sicherheit erhöhen möchte kann auch mit RSA Token sich am RD-Server anmelden. 😉
Die Kombination Remotedesktopserver mit dem Remotedesktopgateway und App-V ist hervorragend! Klar muss im Vorfeld geprüft sein welches Programm Sinn oder Unsinn ist oder evtl. doch besser auf dem Terminalserver direkt installiert. Auf alle Fälle, so rockt IT !
Vielleicht behält der eine oder andere diese Möglichkeit im Hinterkopf 🙂
Schöne Grüße und bis demnächst 😉