Fernwartung

Da steht er nun, der Server im Rack oder der Besenkammer und arbeitet vor sich hin. Als Administrator ist es relativ unbequem vor einem Rack zu stehen und von unten mit Kaltluft angeblasen zu werden oder die Staubschicht der Besenkammer aufzuwirbeln. Aber auch der Mitarbeiter im anderen Bürotrakt oder vielleicht sogar der Außendienstmitarbeiter im Hotelzimmer stehen manchmal vor Problemen, bei denen sich der Helpdesk einfach nur wünscht, dem Anwender über die Schulter zu schauen. Der Entschluss steht fest: eine Fernwartung muss her.

Betrachten und betrachtet werden

Die meisten Programm unterscheiden in der Regel zwei Betriebsarten

  • Betrachtet werden
    Das System, dass aus der Ferne unterstützt werden soll, muss eine Software ausführen, die die Bildschirminhalte an die Gegenseite übermittelt und von dort Tastatureingaben und MAusbewegungen annimmt. Diese Software muss nicht immer laufen, sondern kann auch bei Bedarf erst gestartet werden. Soll jedoch ein Server aus der Ferne gesteuert werden, dann muss das Programm in der Regel als Dienst eingerichtet und permanent gestartet sein.
    Dieser Teil wird sehr oft als "Host" bezeichnet, so wie früher der Großrechner eben auch über ein Terminal "fernbedient" wurde.
  • Betrachter = Gast
    Die unterstützende Person muss das passende Gegenstück gestartet haben, um eine Verbindung mit dem Host aufzubauen und die Inhalte von dort angezeigt zu bekommen. Diese Software wird in der Regel nur bei Bedarf gestartet

Natürlich erschöpft sich die Anwendung nicht nur auf eine einfache Fernsteuerung. Die meisten Produkte und Programme erlauben auch eine Dateiübertragung und teilweise sogar Zugriffe auf Drucker und Soundkarte. Einige Programme erlauben auch die umkehr der Betrachtungsrichtung, z.B. damit ein Supporter dem Anwender etwas von seinem lokalen PC "zeigen" kann. Auch eine Funktion kann sein, dass mehrere Personen gemeinsam auf ein System schauen.

Aus Gründen des Datenschutzes sollten normale Arbeitsplätze immer erst eine Aufforderung erhalten, um eine Fernsteuerung zu erlauben. Bei Servern wäre dies aber kontraproduktiv. Besonders die Programme, die einen Server ohne lokale Aktionen fernsteuern, sollten eine gesonderte Anmeldung erfordern. Ansonsten könnte ein Angreifer sich sehr einfach mit dem Desktop eines Servers verbinden, der nicht gesperrt wurde. Leistungsfähige Programme erlauben sogar eine Steuerung von Zugriffsrechten je nach Benutzer. Ein kleines AddOn für Supporter ist die Möglichkeit, eine Sitzung als Video mitzuschneiden, um die Veränderungen beim Kunden auch dokumentieren zu können.

Die Verbindung

Zwischen den beiden Programmen muss natürlich eine Verbindung aufgebaut werden. Hier gibt es drei Optionen:

  • Gast (Supporter) -> Host (Anwender)
    Gerade wenn ich als Administrator einen Server fernsteuern möchte, erfolgt die Verbindung in der Regel von meinem PC zum entfernten Server. Heute wird dazu überwiegend das Protokoll IP genutzt. Entsprechend müssen natürlich die Wege durch Firewalls, Router und NAT durchgängig sein.
  • Host -> Gast
    Es ist aber nicht immer zwingend, dass die Verbindung vom Betrachter zum zu betrachtenden System aufgebaut wird. So gibt es auch Programme, die beim Supporter permanent aktiv sind und ein Anwender quasi "Hilfe Anfordern" kann. Der Anwender startet dann die Unterstützungssoftware und diese baut eine Verbindung zum Helpdesk auf. Dies ist z.B.: hilfreich, wenn Sie Außendienstmitarbeiter haben, die hinter einen Router mit NAT zuhause sitzen und daher nicht erreichbar sind. Sie können dann ihren PC oder ein Gateway ins Internet stellen, um Supportverbindungen anzunehmen.
  • Host -> Gateway <- Gast
    Beide vorher genannte Verfahren haben den Nachteil, dass eine Seite Verbindungen "annehmen" muss und damit natürlich auch für Angriffe offen ist. Zudem verhindern Firewalls oder auch einfach nur ein Router mit NAT auf jeder Seite, dass eine Verbindung aufgebaut werden kann. Mittlerweile gibt es immer mehr Produkte, die einen Vermittler verwenden. Dies eignet sich besonders für den Support, bei dem auf beiden Seiten ein Mensch die Verbindung initiieren kann. Beide Systeme bauen die Verbindung zum Gateway auf. Das funktioniert auch über Router mit NAT problemlos. Einige Produkte nutzen dazu sogar HTTP/HTTPS, und können damit fast jede Firewall passieren. Das Gateway vermittelt dann die Daten der beiden Stationen.

Damit ist der Weg frei, einen entfernten Computer zu steuern. Hierzu gibt es nun eine breite Auswahl an Produkten und immer mehr auch schon im Betriebssystem enthaltenen Lösungen. Hier ein paar Beispiele der kostenfreien Wege:

Lösung Betriebssystem Zugriff auf Protokoll

Windows Terminal Services

Windows 2000 Server
Windows 2003 Server

2 virtuelle Terminal
2 virtuelle Terminals + Konsole

TCP 3389

Windows Remote Desktop

Windows XP Workstation

Konsole/Desktop

TCP 3389

NetMeeting mit Remote Desktop Freigabe

Windows 2000 Server
Windows 2000 Workstation
Windows 2003 Server
Windows XP Workstation

Konsole/Desktop

TCP 1730
+ dynamisch

VNC (TightVNC, ultraVNC, GenControl u.a.)

Windows
Unix

Konsole/Desktop

TCP 5900

Daneben gibt es natürlich auch jede Menge andere kommerzielle Programme, um ihre Server aus der Ferne zu kontrollieren, einen Mitarbeiter zu unterstützen oder selbst Hilfe von einem Dienstleister anzunehmen.

Fernwartung kostenfrei

Fernwartung über HTTP

Programme, die primär über HTTP/HTTPS und ein Gateway funktionieren.

Die hier genannten Preise hatte ich im Moment der Aufnahme recherchiert aber können Sich natürlich ändern. Zudem müssen die Anbieter ja den Zentralserver bereitstellen. Aussagen über deren Qualität und Verfügbarkeit kann ich leider nicht machen.

Sonstige Fernwartungsprodukte

Daneben gibt es natürlich noch jede Menge kommerzielle Programme, die klassische über eigene Protokolle eine Fernwartung und mehr erlauben, und sich für den Einsatz im internen Netzwerk und bei direkten Verbindungen der beiden Systemen eignen, wie

  • PCAnywhere
  • RemCon
  • PCDuo
  • Remotely Possible
  • Carbon Copy
  • CloseUp

Da diese aber meist nicht per HTTPS über ein Gateway kommunizieren, ist eine direkte Verbindung zwischen den beiden PCs erforderlich. Sie eignen sich also eher für "interne" Zugriffe.