Laptop statt PC

[Chuck Norris123]

Hallo,

ich hätte eine generelle Frage, einfach nur weil mich interessiert wie das abläuft:

Ich habe öfter beobachtet, dass speziell in größeren Unternehmen zunehmend der klassische Arbeitsplatz ausstirbt und stattdessen jeder nur ein kleines Notebook bekommt mit dem er sich relativ flexibel an verschiedenen "Arbeitsplätzen" wo nur noch 1-2 größere Monitore und eine Tastatur stehen anstecken kann.

Nun aber meine Frage wie man das dann intern löst, da sich derjenige ja doch an lokalen Ressourcen wie einer Domäne anmeldet, was ja nur im internen Netz oder über eine VPN funktioniert?!
Muss derjenige dann immer einen Zugang zum Internet haben, oder arbeitet er eben ohne Zugang "offline" und kann dann eben nicht auf lokale Geschichten zugreifen?

Wenn natürlich alle Daten auf der Cloud sind ist das sicher etwas einfacher, aber ist das dann nicht eher umständlich, wenn z.B. Arbeitslaufwerke, Datenbanken usw. rein im lokalen Netz sind und jeder per VPN da hineinarbeiten möchte?

Ich stelle mir das eventuell auch einfach zu kompliziert vor, aber es muss doch auch eine enorme Herausforderung sein, für all die HomeOffice-Mitarbeiter dann entsprechend eine schnelle Anbindung auch firmenseitig ans Internet bereitzustellen?

Vielleicht kann mir hier jemand einen Einblick oder eventuell auch einen Link zu dem Thema da lassen, damit ich mich da ein wenig hineinlesen kann.
Wie gesagt ist nur aus eigenem Interesse, daher danke wenn sich jemand die Zeit dafür nimmt.

Fg

 

[Duran]

Viele Firmen haben bereits Cloudzugriff, wie zum Beispiel Office 365 mit Cloudspeicher, jeder kann an der Datei arbeiten und zwar zeitgleich. Speichern ist auch nicht erforderlich, wird es direkt.

Wie du richtig festgestellt hast, haben die meisten Firmen Domänen und VPN im Einsatz, dadurch kann auch die Kommunikation geschützt werden. Ohne Internet kannst du natürlich nicht auf das Netz zugreifen, aber mit Zugang kannst du ganz normal auf lokale Ressourcen zugreifen wie in der Firma. Diese Lösungen (Software) gibt es seit Jahren, es gibt zwar manchmal Probleme aber es hat sich etabliert.

Von kleinen Notebooks bei stundenlangem Arbeiten halte ich übrigens nichts, da habe ich lieber einen PC mit dicker Anbindung und >40" Diagonale, das gilt vorallem auch für das Homeoffice. Nur Dauerpendler sollten die Dockingstation nehmen.
Du musst auch eine stabile Verbindung haben, wenn du Telefonate darüber führst.

 

[derchris]

Hier läuft alles über zscaler. Sobald der FirmenPC eine Netzwerkverbindung hat, die NICHT im Unternehmensnetzwerk liegt, macht zscaler quasi ein Tunnel in das Firmennetzwerk und es fühlt sich an, als sei ich im selben Netz.

 

[xexex]

Ich habe öfter beobachtet, dass speziell in größeren Unternehmen zunehmend der klassische Arbeitsplatz ausstirbt und stattdessen jeder nur ein kleines Notebook bekommt mit dem er sich relativ flexibel an verschiedenen "Arbeitsplätzen" wo nur noch 1-2 größere Monitore und eine Tastatur stehen anstecken kann.

Nun aber meine Frage wie man das dann intern löst, da sich derjenige ja doch an lokalen Ressourcen wie einer Domäne anmeldet, was ja nur im internen Netz oder über eine VPN funktioniert?!

Das hat doch erst einmal nichts mit der Cloud zu tun, da steht schlichtweg an jedem Arbeitsplatz eine Docking Station mit LAN Anschluss und Monitoren. Das Notebook wird dran gesteckt und funktioniert wie jedes normale Gerät in lokalem Netz.

Ich stelle mir das eventuell auch einfach zu kompliziert vor, aber es muss doch auch eine enorme Herausforderung sein, für all die HomeOffice-Mitarbeiter dann entsprechend eine schnelle Anbindung auch firmenseitig ans Internet bereitzustellen?

Du verwirfst hier alles mögliche zusammen. Arbeiten die Clients über VPN im aus dem Home Office, werden die meisten sich vermutlich auf einen Terminal Server anmelden und letztlich wird nur noch die Bildausgabe über die Leitung geschoben. Eher selten schaufelt man da die Daten mit denen man arbeitet hin und her.

 

[Mickey Mouse]

ich verstehe die Fragestellung nicht so richtig, wahrscheinlich bin ich schon komplett betriebsblind

"innerhalb" der Firma müssen sich die Laptops und Anwender genauso authentifizieren wie mit einem Desktop Rechner. Da gibt es verschiedene Methoden, Stichworte zum Nachgucken wären hier z.B. WLAN/Radius/802.1x oder CISCO ISE

wenn sie sich außerhalb befinden, dann geht man über VPN. Ob das jetzt automatisch passiert und wie man das absichert (Zertifikate, 2FA in Hard- oder Software usw. usf.), das macht jeder anders.

 

[h00bi]

Ich stelle mir das eventuell auch einfach zu kompliziert vor, aber es muss doch auch eine enorme Herausforderung sein, für all die HomeOffice-Mitarbeiter dann entsprechend eine schnelle Anbindung auch firmenseitig ans Internet bereitzustellen?

Hier kommt seit Corona immer häufiger "Split Tunneling" zum Einsatz, so dass nicht aller Traffic (doppelt) über die Firmenleitung geht.
Das bringt natürlich ein paar Sicherheitsrisiken mit sich, aber belastet den Firmenanschluss deutlich weniger.

Sehr hilfreich ist ansonsten auch (das persönliche Androhen von) Abmahnungen für privates Surfen / Streamen über die Firmen-VPN-Infrastruktur. Da sinkt der Traffic dann auch erheblich, sobald es sich über den Flurfunk verbreitet hat.

 

[Axxid]

Es kommt auch immer darauf an was am Rechner gemacht wird. Wer den ganzen Tag nur mit einer Hand voll PDF, Word und Excel-Dateien arbeitet (ver)braucht kaum Resourcen (Speicher, Bandbreite).
Daten gehören alleine schon wegen der Ausfallsicherheit auf den Firmenserver.

Die Kollegen aus der CAD-Abteilung greifen entweder nur Remote auf einen dicken Rechner zu oder haben den noch direkt unterm Schreibtisch stehen.

 

[Chuck Norris123]

Hallo,

wie xexex schon geschrieben hat, habe ich das etwas schwierig formuliert, wobei ich nun ja doch einige Antworten bekommen habe.
Das natürlich jemand intern sich auch intern anmeldet usw. ist schon klar. Mir ging es eher um die Anbindung bzw. wie man das dann löst, wenn sich diese Person dann extern bewegt, von zu Hause oder irgendwo mobil aus. In die Richtung zielt das Ganze mit Laptop/Tablet ja, wenn ich die Personen mobil ausstatte, da man ja intern sonst auch einfache PC-Client-Geräte installieren könnte und die Mitarbeiter wechseln eben den Schreibtisch.

Und wenn ich das jetzt richtig verstehe gibt es da im großen und ganzen diese Möglichkeiten:

• Direkt eine VPN um sich quasi virtuell ganz normal in der Domänen-Struktur der Firma anzumelden, als würde man im Firmen-Netzwerk sitzen, wobei das eher für klassische Büroarbeit und nicht für größere Datenmengen geeignet ist.
• Über eine VPN einen im Netz befindlichen Client per Remote steuern, was natürlich Daten spart, da ja die eigentlichen Daten nicht übertragen werden aber von der User-Experience vielleicht nicht so gut umsetzbar ist?
• Über eine VPN auf einen Terminal-Server zugreifen, welcher aber so wie ich das verstanden habe - und ich kann und werde mich wahrscheinlich irren - nicht einer klassischen Domänen-Struktur entspricht, da er ja alle Dienste in sich vereint bzw. emuliert? Daher bei gewissen Anwendungen auch nicht so geeignet ist? Abgesehen davon das er dann die Rechenpower haben muss und nicht das Client-Gerät selbst?
• Oder und das scheint ja auch bei vielen kleineren und mittleren Unternehmen Einzug zu halten man verlegt die Dinge in die Cloud wie Office 365, OneDrive, Dropbox usw.

Dann wäre das sozusagen zusammenfassend das, was gängig ist, da zscaler ja eigentlich ein VPN-Dienst ist?

Danke für eure Hilfe bis hier hin!
Vielleicht gibt der ein oder Andere noch was dazu, das ich jetzt vergessen habe oder korrigiert natürlich etwaige Missverständnisse von mir.

Fg
Chuck

 

[Rickmer]

• Über eine VPN einen im Netz befindlichen Client per Remote steuern, was natürlich Daten spart, da ja die eigentlichen Daten nicht übertragen werden aber von der User-Experience vielleicht nicht so gut umsetzbar ist?

Das wohl eher selten und nur für Arbeitsplätze, die lokal wirklich Rechenleistung brauchen, z.B. Video editing.
Aber auch das kann man zentral gemanaged lösen entsprechend dem nächsten Punkt.

• Über eine VPN auf einen Terminal-Server zugreifen, welcher aber so wie ich das verstanden habe - und ich kann und werde mich wahrscheinlich irren - nicht einer klassischen Domänen-Struktur entspricht, da er ja alle Dienste in sich vereint bzw. emuliert? Daher bei gewissen Anwendungen auch nicht so geeignet ist? Abgesehen davon das er dann die Rechenpower haben muss und nicht das Client-Gerät selbst?

Da hast du irgendwas falsch verstanden. TerminalServer - in welcher Form auch immer, da gibt es mehrere Optionen - sind in klassischer Domänen-Struktur.
Man baut ganz normal die gesamte Domäne mit allen Diensten auf und irgendein Server ist der Terminal Server, der 'Client Ersatz', auf dem alle Client-Programme wie Office, Browser usw. installiert sind und User sich zum arbeiten drauf anmelden. Das ganze ist (typischerweise*) Multiuser-fähig, womit sich eine Vielzahl gleichzeitig am selben Gerät anmelden und drauf arbeiten.

Microsoft hat ihre TerminalServer Lösung unter Nutzung von RDP zur Anmeldung, aber es gibt auch Konkurrenten. Der bekannteste davon dürfte Citrix sein.

Citrix (bzw. Citrix Virtual Apps and Desktops) ist btw nicht mit einer VPN zu verwechseln. Bei einer Citrix Sitzung wird letztendlich der Video Output der Sitzung an den User gestreamt und von dem kommen Maus- und Tastatureingaben zurück. Dafür braucht man nichtmals zwingend lokal was installiert haben, das kann man auch über einen Browser aufrufen und nutzen.


Bezüglich Anwendungen: Die müssen halt zur Benutzung am Terminalserver (bzw. Multiuser-OS) freigegeben sein. Das ist primär erstmal eine Lizenzfrage und ob das Programm mit dein Eigenheiten eines Multiuser-System klar kommt.
Ein Negativbeispiel, das mir spontan einfällt, ist da z.B. der Polling Client von DHL. Da geht nichts, der läuft nur auf dedizierter Hardware.


*Für Poweruser wie Video Editoren oder Ingenieure, die komplexe CAD Zeichnungen bearbeiten müssen, ist eine geteilte Maschine ohne dedizierte GPU völlig unzureichend. Aber auch das kann zentralisiert werden. Dann steht irgendwo ein (oder mehrere) physische Server mit nvidia grid GPUs verbaut, wo dann auf einem Server mit z.B. 4 physischen GPUs dann 32 CAD-Zeichner mit jeweils einer logischen GPU die 1/8tel einer physischen GPU beinhaltet drauf arbeiten.
Bei einer NVIDIA A800 PCIe 80GB sind das immernoch 10GB Vram pro Person, im Zweifelsfall kann man die GPU aber auch in kleinere Segmente unterteilen, z.B. halbieren oder vierteln. Eine Mischung davon ist (glaube ich) auch möglich.

 

[Mickey Mouse]

Das wohl eher selten und nur für Arbeitsplätze, die lokal wirklich Rechenleistung brauchen, z.B. Video editing.
Aber auch das kann man zentral gemanaged lösen entsprechend dem nächsten Punkt.

ich habe mir das hier mal als "Einleitung" heraus gepickt.
man kann da NICHTS verallgemeinern!

eine Versicherung arbeitet ganz anders als ein Entwicklung/Ingenieurbüro und die wieder ganz anders als eine reine Produktionsfirma.

ich habe da schon ein paar verschiedene Branchen durch
in der Chip-Entwicklung laufen die Tools auf Servern, die in Turnhallen großen Serverräumen aufgeregt stehen und der Ingenieur greift eh immer per VNC auf "seine" (virtuelle) Maschine(n) zu. Da läuft es bei 90% der Mitarbeiter auf genau die Methode hinaus, die oben als "Ausnahme" definiert wurde.

ich kenne es aber auch so, dass häufig irgendwo eine physikalische "Team-Maschine" steht und darauf von remote zugegriffen wird.
auch ist es nicht selten, dass auf dem Schreibtisch ein Mini-PC steht und die Leute darauf vom Laptop aus remote zugreifen, ganz einfach um den Laptop "möglichst dumm" zu halten (Datensicherheit, schneller Austausch mit 08/15 Standard Image bei Verlust/Defekt usw.)

inzwischen geht der Trend dahin, dass (virtuelle) Maschinen in der (bei uns Azure) Cloud stehen und man darauf arbeitet, von remote oder "lokal" aus der Firma ist dann eigentlich egal.

wir haben aber auch Guacamole Server, über die man dann "gezielt" auf für die jeweilige Gruppe freigegebener Maschinen (wobei Maschinen in diesem Fall wörtlich zu nehmen ist, das kann von einer VM über physikalisch Windows/Linux bis hin zu einem Roboter oder einer S7 SPS wirklich alles sein.

also wie gesagt, pauschalisieren kann man da gar nichts, was für den einen das normalste der Welt ist, ist für den anderen kaum exotischer vorstellbar und wenn man gestern noch den 2FA Code von seinem RSA "Lolli" abgetippt hat, bestätigt man heute die Abfrage der Sicherheit-App auf dem Firmen-Handy.

 

[Chuck Norris123]

Da hast du irgendwas falsch verstanden. TerminalServer - in welcher Form auch immer, da gibt es mehrere Optionen - sind in klassischer Domänen-Struktur.

Ok das habe ich dann sicher falsch verstanden.
Das bedeutet eigentlich ist der Terminal-Server sozusagen in der Domäne dann X Clients, sprich man könnte auch mischen und gewisse Mitarbeiter dezentral auf ihren Rechnern und andere über den Terminal-Server arbeiten lassen?

Jedenfalls lese ich hier heraus das es eigentlich viele verschiedene, auch über darauf spezialisierte Software, verfügbare Lösungen für diese Probleme gibt und man wenn überhaupt, nur grob in ein paar Kategorien einteilen kann?

Sprich meine oben aufgelistete Zusammenfassung ist im Grunde nicht so zutreffend?

Fg

 

[cartridge_case]

da man ja intern sonst auch einfache PC-Client-Geräte installieren könnte und die Mitarbeiter wechseln eben den Schreibtisch.

Also ich würde behaupten, dass es schon etliche Jahre so ist, dass ein Laptop da präferiert wird. Eben, weil man seine eigene Arbeitsumgebung immer mit sich nehmen kann. Deswegen verstehe ich auch den Titel nicht so richtig. Dir geht es doch allgemein eher um die mobile Arbeit und die Verbindung zum Netzwerk des Unternehmens, oder?