Ferne Fenster

PC-Fernsteuerung nicht nur mit Remote Desktop

Praxis & Tipps | Praxis

Die Fernsteuerung grafischer Oberflächen über ein Netzwerk gilt als lahme Krücke für Notfälle. Zu Unrecht, denn dank schneller Verbindungen und pfiffiger Bilddatenreduktion lässt sich ein Rechner, der am anderen Ende des Flurs oder der Republik steht, benutzen, als brummte er unter dem Schreibtisch.

Die Einsatzmöglichkeiten für die PC-Fernsteuerung sind vielfältig: Sie hilft, aus der Firma oder von unterwegs einen vergessenen Informationsschnipsel vom heimischen PC zu holen. Auf Seite 196 zeigen wir sogar, wie man den Rechner einschaltet, wenn niemand daheim ist.

Umgekehrt holt die Fernsteuerung auch den Desktop aus dem Büro auf den heimischen PC und bringt die Anwendungen des Desktop-PC aufs Notebook, um auf dem Sofa oder im Garten in der gewohnten Umgebung zu arbeiten. Solange dabei ein hinreichend schnelles Netz zum Einsatz kommt, lässt sich das durchaus mit lokaler Benutzung eines PC vergleichen.

Perfekt eignet sie sich auch dazu, entfernt stehende Rechner zu administrieren, egal, ob nun den Server beim Hoster oder eine Workstation bei einem Freund oder Kunden. Viele Unix-Gurus schmunzeln beim Stichwort „Fernwartung“ nur überheblich, murmeln „SSH-Konsole“ - und verpassen das Beste. Denn um ein wenig an der Systemkonfiguration herumzufummeln, mag eine Textkonsole ausreichen. Doch für immer mehr Aufgaben muss man inzwischen auf grafische Programme zurückgreifen; und auch wo das nicht zwingend nötig ist, darf man ruhig komfortabel klicken, ohne den Verlust des Guru-Status zu befürchten.

Für solche Anwendungen benötigt der Nutzer volle Kontrolle über Maus und Tastatur. Je nach Aufgabe und grafischem Programm auf dem fernen Rechner muss er den gesamten Desktop oder auch nur ein einzelnes Fenster per Netzwerk auf seinen Rechner bekommen. Wichtig ist jedoch, dass beim Login alles automatisch abläuft, also niemand in der Nähe des gesteuerten Rechners sein muss. Deshalb genügt es auch, wenn während der Fernsteuerungssitzung dort der Bildschirm dunkel bleibt.

Sehr sinnvoll ist es außerdem, wenn während der Sitzung die lokale Peripherie dem entfernten Rechner zur Verfügung steht, also in Gegenrichtung zur Fernsteuerung. Dann dudelt der auf dem ferngesteuerten Rechner gestartete MP3-Player nicht im Rechenzentrum, sondern versorgt die Boxen auf meinem Schreibtisch. Und ein auf dem PC beim Hoster erstellter Brief fällt aus dem Drucker in meinem Büro.

Wer als Admin im Firmennetz oder als Computer-Profi mit einem weniger kenntnisreichen Freundeskreis ständig zu klemmenden PCs gerufen wird, wünscht sich bald eine andere Fernsteuerungsfunktion: Die Hilfe übers Netz, den Remote Support. Damit können Berg und Prophet an ihrem Platz bleiben; die Predigt zur korrekten Benutzung der Tabellenkalkulation findet dann schuhe- und kräfteschonend übers Netzwerk statt.

Bei einer solchen Hilfesession sitzt vor beiden Rechnern jemand, und so sollen beide dasselbe zu sehen bekommen. Dafür braucht der Helfer nicht sofort die volle Kontrolle über Tastatur und Bildschirm, da er tunlichst erst mal zuschaut, an welcher Stelle der andere denn stecken bleibt. Aber auf Anforderung muss er den fernen Rechner durchaus steuern können, um live einzugreifen, oder dem geplagten Anwender die richtigen Klicks vorzumachen. Um zu erklären, was daran wichtig und richtig ist, gehört zur Fernhilfe auch ein Chat- oder Sprachkanal.

Das Drucken auf dem jeweils andern Rechner ist jedoch ebenso überflüssig wie die gemeinsame Nutzung anderer Peripherie. Wegen dieser unterschiedlichen Anforderungen stecken Fernsteuerung und Remote-Support oft in verschiedenen Programmen. Für beide Anwendungen stellen die verbreiteten Betriebssysteme Bordmittel zur Verfügung, die stellenweise durch Freeware ergänzt werden können.

Die unterschiedlichen Windows-Versionen sind sehr verschieden ausgestattet. Schon Windows 95 bringt Netmeeting mit, das auch weiterhin zum Lieferumfang gehört. Das Videokonferenzprogramm erlaubt sowohl die gemeinsame Nutzung eines Desktop für die Hilfestellung als auch die Fernsteuerung.

Die meisten modernen Windows-Fassungen bringen weiterentwickelte Werkzeuge mit. Alle enthalten die Remoteunterstützung zur Hilfestellung, und nur bei XP Home fehlt der Remote Desktop zur Fernsteuerung. Den Client für den Zugriff auf den XP-Desktop stellt Microsoft auch für ältere Windows-Versionen und Mac OS X zur Verfügung (siehe Soft-Link). Linux und andere Unix-Varianten versorgt das Open-Source-Projekt rdesktop mit einem ausgereiften Programm. Wo er zur Verfügung steht, ist der Remote Desktop eindeutig das Mittel der Wahl zur Fernsteuerung eines aktuellen Windows-Systems. Er ist schnell, komfortabel und nahtlos ins System integriert.

Mac OS X enthält zwar ab Werk den Apple Remote Desktop, um den Bildschirm freizugeben. Doch das passende Programm für den Zugriff ist Teil einer mehrere hundert Euro teuren Management-Software, und kommt deshalb hier nicht weiter vor. Stattdessen behandelt der Artikel auf Seite 106 das ebenfalls mitgelieferte VNC (Virtual Network Computer), das auch unter Linux und anderen Unix-Systemen die Standardfernsteuerung ist.

VNC ist ein Open-Source-Projekt mit bewegter Geschichte, das mit seinen Server- und Client-Programmen die ganze Palette der aktuellen Betriebssysteme abdeckt, vom Unix-Server über die Windows- oder Mac-OS-Desktops bis zum Java-fähigen Telefon. Das System lässt sich flexibel sowohl zur reinen Fernsteuerung als auch zur Beobachtung einer fremden Session einsetzen.

Allerdings fehlt ihm für die Hilfe übers Netzwerk ein integrierter Kanal für die Kommunikation zwischen Helfer und Hilfeempfänger, für den ein anderes Programm sorgen muss, beispielsweise ein üblicher Chat-Client [1].

Die Wahl fiel auf VNC als freies Werkzeug, weil es die größte Zahl an Systemen abdeckt. Daneben gibt es die neue Entwicklung NoMachine [2]. Der Server ist ein kommerzielles Produkt, zu dem der Hersteller kostenlose Clients für viele Betriebssysteme verteilt. Zu dem offen gelegten Protokoll gibt es inzwischen auch einen kostenlosen Server. Er läuft jedoch wie der kommerzielle nur unter Unix; deshalb besprechen wir hier das universellere VNC.

Welches Betriebssystem in welcher Version sich mit welchem der hier besprochenen Programme am besten fernsteuern lässt, zeigt die Tabelle auf Seite 98.

Neben den Bordmitteln und VNC gibt es eine Unmenge an mehr oder weniger teuren Programmen, Geräten und Diensten, die unter den Bezeichnungen „Remote Access“ und „Remote Control“ laufen. Durch die ins Betriebssystem integrierten Dienste hat Microsoft zwar einigen den Markt weggenommen, doch in vielerlei großen und kleinen Nischen gedeihen pfiffige Lösungen. So gibt es beispielsweise Remote-Support-Bibliotheken, die in ein Anwendungsprogramm so einkompiliert werden, dass der Nutzer nur noch auf einen „Hilfe“-Knopf drücken muss, um per Internet mit der Support-Abteilung des Herstellers verbunden zu werden. Oder altbekannte Pakete wie Timbuktu oder PCAnywhere, die die über Windows verstreuten Funktionen wie Fernsteuerung und Dateiübertragung unter einer einfachen Oberfläche zusammenfassen, die bei einigen sogar betriebssystemübergreifend gleich ist. Sie kümmern sich auch um die Einwahl in den Host per Modem oder ISDN, sodass die Internetverbindung nicht vorab bestehen muss.

Wer Funktionen braucht, die in den hier vorgestellten Programmen nicht stecken, findet sicher irgendwo seine Speziallösung.

Für VNC und die Windows-Bordmittel gibt es zwei wichtige Voraussetzungen. Die erste klingt trivial, ist aber gar nicht so einfach umzusetzen: Der fernzusteuernde PC muss an sein. Bei Servern ist das garantiert, und verantwortungsvolle Administratoren stellen die Stromversorgung durch eine passende USV-Anlage sicher. Doch Desktop-PCs oder Notebooks, also die Mehrheit der Computer, sind normalerweise länger aus als an. Und wenn man „nur mal eben“ über das Internet etwas nachsehen muss, liegt der Netzschalter garantiert gerade in der falschen Position.

Das heißt aber nicht, dass auch ein Desktop-PC per USV abgesichert ständig Atomstrom nutzlos in Wärme umsetzen muss, nur weil der Besitzer vielleicht einmal im Jahr virtuell daheim vorbeischauen möchte. Die Industrie bietet über das Netzwerk schaltbare Steckerleisten an, die jedoch mehrere hundert Euro kosten. Die kostenneutrale Lösung, einen aktuellen PC per „Wake on LAN“ (WOL) nicht nur im LAN, sondern sogar über das Internet einzuschalten, präsentierten wir vor kurzem in c't [3]. Doch viele Rechner machen beim WOL Zicken, und ältere Geräte unterstützen es gar nicht. Daher zeigt der Artikel auf Seite 196, wie man mit einfachen Mitteln und für sehr wenig Geld eine Steckdose per Telefonanruf schaltet.

Die zweite Voraussetzung ist ebenso offensichtlich: Zwischen Host und Client muss sich eine Verbindung über ein Netzwerk herstellen lassen. In einem LAN oder VPN ist das kein Problem, und außerhalb solcher Netze lassen sich alle Betriebssysteme so konfigurieren, dass sie sich beim Booten automatisch ans Internet hängen.

Nur bei der Hilfe übers Netz kann es schwierig werden, wenn das Problem gerade die Internetanbindung betrifft. Wer damit rechnet, anderen helfen zu müssen, sollte sich daher darauf vorbereiten, dem anderen am Telefon Schritt für Schritt das Herstellen der Verbindung zu erklären. Wenn auf dem problemgeplagten Rechner ein anderes Betriebssystem läuft als auf dem des Helfers, kann dieser den Ablauf gut anhand der Anleitung von der Support-Seite eines Internetproviders durchspielen.

Für die Fernwartung eines nicht bootenden Servers taugt das natürlich nicht. Dafür gibt es Geräte, die statt Maus, Tastatur und Monitor angeschlossen werden und die Signale per Netzwerk austauschen. So ist selbst das BIOS über das Internet zugänglich. Die meisten dieser KVM-over-IP-Extender nutzen übrigens auch das VNC-Protokoll, sodass zur Steuerung ein beliebiges Betriebssystem und im Extremfall ein PDA genügt. Allerdings liegt der übliche Preis derzeit bei rund 1000 Euro.

Grundsätzlich lässt sich mit einem PC über das Netzwerk ähnlich gut, aber nicht immer genauso flüssig arbeiten, wie mit einem unter dem Schreibtisch. Die Einschränkung kommt von der Bildschirmdarstellung, wie schon ein Blick auf die nackten Zahlen zeigt: Selbst bei konservativen Monitoreinstellungen von 1024 mal 768 Pixeln bei 60 Hz Bildwechsel und einer Farbtiefe von 16 Bit fallen über 750 MBit/s allein an Bildschirmdaten an - zu viel für jedes Netzwerk. Die Fernsteuerungen reduzieren die Datenmenge durch Kompression, indem sie nur die veränderten Teile des Bildschirms übertragen und Maloperationen wie die Darstellung des Mauszeigers auf den Client verlagern. Sie erreichen damit sogar über ISDN-Leitungen ein passables Bild. Aber das vernünftige Abspielen von Filmen oder das Zocken eines Spiels jenseits von Minesweeper liegt unabhängig von der Netzwerkgeschwindigkeit außerhalb jeder Vorstellung.

Störender als die Darstellungsqualität ist die verzögerte Reaktion von Maus und Tastatur aufgrund der Laufzeiten im Netzwerk (Ping-Zeiten). Außerdem steht die für den Bildschirminhalt genutzte Bandbreite für die Übertragung von Maus- und Tastatureingaben nicht zur Verfügung. Selbst wenn auf dem Desktop wenig los ist, kann das Arbeiten sehr zäh abgehen. Wer dann eine schlechtere Bilddarstellung auf einem eventuell verkleinerten Desktop akzeptiert, kann oft eine promptere Reaktion von Maus und Tastatur erreichen.

Auch die zur Verschlüsselung benötigte Rechenzeit verschlechtert das Antwortverhalten. Wenn einer der Rechner extrem langsam ist, kann sich das merklich auswirken. Daher bieten die Windows-Bordmittel auch unverschlüsselte Verbindungen. Wer sie benutzt, muss sich aber ständig klar sein, dass er im Prinzip seinen Desktop wie ein Fernsehprogramm netzwerkweit ausstrahlt. Jeder andere Netznutzer ist dann ein potenzieller Zuschauer.

Bei VNC ist die Situation umgekehrt, denn das Protokoll selbst enthält gar keine Verschlüsselung. Darum muss sich der Anwender selbst kümmern, indem er die VNC-Verbindung durch ein ad hoc zusammengebautes VPN [4] oder einen SSH-Tunnel schickt [5].

Ebenso selbstverständlich wie die Verschlüsselung sind gute Passwörter für den Fernzugriff auf den eigenen Rechner: Mindestens acht Zeichen, in keinem Wörterbuch der Welt verzeichnet, keine Namen und möglichst mit Ziffern und Satzzeichen. Denn wenn Ihr fernsteuerbarer Rechner aus dem Internet für jeden erreichbar ist, steht zwischen einem bösen Hacker und dem Vollzugriff auf den PC nur dieses Passwort.

Wenn der PC unter Windows XP oder einer seiner Server-Varianten, jedoch nicht der kastrierten Home-Version läuft, ist der Remote Desktop die optimale Lösung zum Fernsteuern des Rechners. In der Home Edition finden sich nur einzelne Teile wieder, die sich allenfalls durch die Installation spezieller Software zu einem echten Remote Desktop aufbohren lassen - ThinSoft Inc. liefert seit langem schon WinConnect XP, das Windows XP Home, Professional und Small Business Server in einen Terminal-Server verwandelt, der mehrere Verbindungen gleichzeitig zulässt.

Mit der Technik des Remote Desktop Protocol (RDP), das aus der Server-Welt stammt, seinerzeit von Citrix als ICA erfunden und von Microsoft übernommen worden ist, hatten die Mannen von Bill Gates mehr vor: Sie entwickelten unter dem Namen Mira „Smart Displays“, die den Desktop mittels WLAN beliebig verlängern sollten. Anfang 2003 gab es einige wenige Produkte, die inzwischen aber fast vollständig vom Markt verschwunden sind.

Übrig geblieben ist eine solide Fernsteuerung, die auch über lahme Leitungen gut funktioniert, um einen PC mit Windows fernzubedienen. In den Desktop-Betriebssystemen ist der Remote Desktop normalerweise auf eine Verbindung beschränkt. Die Server lassen immerhin zwei gleichzeitige Verbindungen zu, erlauben dafür den Zugriff aber nur für Administratoren. Allein im extra zu bezahlenden Applikationsservermodus dürfen sich dann normale Benutzer auch in größerer Zahl verbinden. Für die Fernwartung stellt diese Beschränkung kein wirkliches Problem dar, weil eine Sitzung sich nacheinander von verschiedenen Clients übernehmen lässt und dabei den jeweils vorherigen Fernsteuerer automatisch trennt.

Der Remote Desktop wird auf der „Remote“-Seite der Eigenschaften des Systems aktiviert, die über die Systemsteuerung oder einen Rechtsklick auf den Arbeitsplatz zu erreichen sind. In Windows XP findet sich dort der Knopf „Remotebenutzer auswählen“, über den ein Admin auch einzelnen Nicht-Administratoren den Remotezugriff erlauben kann. Der Remote Desktop bohrt sich beim Start automatisch ein Loch in die Firewall von XP mit dem Service Pack 2. Es genügt die Freigabe des Ports 3389; das heißt, man muss für RDP auch auf einem externen Gateway nur diesen einen Port durchleiten.

Wer sichergehen will, dass sich Unberechtigte auf diese Weise keinen Zugang erschleichen, sollte für zusätzliche Sicherung sorgen. VPN-Techniken [4] bieten sich an: Von außen lässt man nicht direkt Zugriffe via RDP zu, sondern nur eine nach gängigen Standards - etwa PPTP oder IPSEC - geregelte Anmeldung ans Netz. Erst wer diese Hürde genommen hat, kann intern via RDP auf den Remote Desktop zugreifen. Der Aufwand empfiehlt sich, denn über die Sicherheitsrisiken von RDP ist nur wenig bekannt: Microsoft legt lediglich offen, dass in der höchsten Sicherheitsstufe 128-Bit-Verschlüsselung im Spiel ist - welche, bleibt im Dunkeln.

Wenn man den Zugang übers Internet dennoch ohne weiteren Schutz freigeben will, dann empfiehlt es sich, Windows die Anmeldeereignisse protokollieren zu lassen. Das geht über den Aufruf von gpedit.msc (Startmenü „Ausführen“) und das Aktivieren der Option „Anmeldeereignisse überwachen“ unter Richtlinien für lokaler Computer, Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, Lokale Richtlinien und Überwachungsrichtlinien. Sie sollten das Häkchen sowohl bei Erfolgreich als auch Fehlgeschlagen setzen. Ein gelegentlicher Blick in die Ereignisanzeige (erreichbar über einen Rechtsklick auf Arbeitsplatz und Auswahl von Verwalten) unter Sicherheit, gibt Aufschluss über Logins und Einbruchsversuche. (je)

[1] Urs Mansmann, Die Stimme seines Herrn, Clients für Instant Messaging, c't 20/04, S. 180

[2] Peter Siering, Terminal-Dienste für Unix: (Free)NX, c't 7/05, S. 70

[3] Benjamin Benz, Netzwerkwecker, Rechner per Wake-On-LAN übers Internet einschalten, c't 02/05, S. 200

[4] Karsten Violka, Privatweg durchs Internet, Das eigene VPN mit Windows, c't 10/03, S. 108

[5] Johannes Endres, Muschel aufbohren, Tipps und Tricks zu Secure Shell, c't 1/04, S. 172

http://ct.de/0510096

"PC-Fernsteuerung"
Weitere Artikel zum Thema PC-Fernsteuerung finden Sie in der c't 10/2005:
Remote Desktop S. 96
Hilfe übers Netzwerk S. 102
Netmeeting S. 105
VNC für Linux, Mac OS und Windows S. 106
SSH-Konsolen beobachten S. 110
PC einschalten per Telefonanruf S. 192

Kommentare

Kommentare lesen (37 Beiträge)

Anzeige