Windows fernsteuernFensterln aus der Ferne
Zugang aus der Ferne
Windows fernsteuern
Einsatzgebiete für die PC-Fernsteuerung gibt es viele: Als Hilfsmittel in der IT-Abteilung, um Rechner im Unternehmensnetzwerk zentral zu warten. Als bequemer Zugang zu den Daten und Programmen des Heimrechners vom Büro aus. Für EDV-Schulungen, bei denen der Lehrer die Displays der Schüler überwacht. Und wer gerade fern von der Heimat im Urlaubsort ist, steuert den Heimrechner vom Internetcafé oder dem Online-tauglichen PDA aus.
Das VNC-Protokoll
VNC (Virtual Network Computing) ist ein ursprünglich von AT&T entwickeltes Protokoll. Es dient dazu, den Bildschirminhalt eines entfernten Rechners auf einem lokalen PC anzuzeigen und im Gegenzug Tastatur- und Mausbewegungen des lokalen Rechners an den entfernten Rechner zu senden. Damit arbeitet der Anwender mit dem entfernten Rechner, als säße er direkt davor. Mittlerweile gibt es zahlreiche Anpassungen des VNC-Protokolls, die den Bildschirm skalieren, damit etwa ein Windows-Screen auf einem PDA dargestellt werden kann.
Kein Anspruch auf Sicherheit
Windows fernsteuern
VNC ist keine sichere Kommunikationslösung. Lediglich ein Kennwortschutz ist bei der Verbindung zwischen VNC-Viewer und Server vorhanden. Das genügt als Schutz gegen Eindringlinge ein sicheres und ausreichend langes Kennwort vorausgesetzt. Ist jedoch die Verbindung hergestellt, kann die Kommunikation, wie bei allen unverschlüsselten Verbindungen, von Dritten abgehört werden.
Wer das verhindern will, muss auf andere Verfahren, wie beispielsweise SSL, zurückgreifen. Die komfortabelste Lösung für Unternehmen mit sicherheitskritischen Informationen sind kommerzielle Fernwartungs-Tools mit integrierter Verschlüsselung, wie etwa PC Anywhere.
TightVNC die Freeware-Lösung
Die kostenlose VNC-Software TightVNC ist leicht zu installieren und bietet neben zahlreichen Sonderfunktionen, wie das Skalieren des entfernten Desktops im Fenster, hervorragende Übertragungswerte. Letzteres wird dadurch erreicht, dass die übermittelten Bildinformationen des entfernten Displays wie Fotos einer Digitalkamera, nach dem JPEG-Verfahren komprimiert werden. Dadurch baut sich, im Gegensatz zu anderen kostenlosen, aber auch kommerziellen Lösungen, der Bildschirm viel flüssigerer auf.
Aufbau eines VNC-Programms
Windows fernsteuern
In diesem Beitrag kommt die Version 1.3.7 zum Einsatz. Die ist zwar noch im Betastadium, hat sich aber in der Praxis bewährt und bietet gegenüber der Vorgängerversion zahlreiche nützliche neue Funktionen.
Ein VNC-Programm besteht aus zwei Teilen. Der Server ist ein Hintergrundprogramm, das auf dem entfernten Rechner läuft. Bei TightVNC ist dieses Programm nach dem Start nur noch als Icon im Systray neben der Uhr sichtbar. Das zweite Element bei VNC ist der Viewer. Dieser VNC-Client stellt mit dem entfernten Rechner, auf dem der Server läuft, über dessen IP-Adresse und über Port 5900 die Verbindung her.
Der Server setzt sämtliche Informationen vom Bildschirm in grafische Daten um und sendet sie gemäß VNC-Protokoll an den Viewer. Der wiederum stellt das entfernte Monitorbild in einem Fenster dar und gibt Mausbewegung und Tastatureingaben über die Netzwerkleitung weiter. Das umfasst normale Aktionen wie das Starten von Anwendungen, das Verschieben von Fenstern, aber auch beispielsweise den Neustart des Rechners. Seit der Version 1.3.7 können auf diese Weise auch Dateien hin und her kopiert werden. Da TightVNC nicht nur unter Windows, sondern auch unter Linux läuft, kann beispielsweise ein Linux-Server von einem Windows-PC gesteuert werden oder umgekehrt.
TightVNC installieren
Windows fernsteuern
Eine Installationsdatei, wie dies von anderen Client-Server-Systemen bekannt ist, gibt es bei TightVNC nicht. In der Archivdatei, die Sie auf der Seite www.tightvnc.com im Download-Bereich und auf der Heft-CD (PCP-Code: TIGHTVNC) finden, sind neben zahlreichen Dokumentationsdateien zwei EXE-Dateien und eine DLL enthalten. Auf dem Server-PC werden winvnc.exe und vnchooks.dll in einen Ordner vorzugsweise in einem Unterverzeichnis von C:\Programme kopiert.
Damit nicht jeder, der die IP-Adresse des Server-PCs kennt, diesen auch übernehmen kann, verlangt TightVNC beim ersten Start des Servers, dass ein Kennwort festgelegt wird. Belassen Sie die restlichen Einstellungen bei den Vorgaben, unterstützt TightVNC das genormte VNC-Protokoll. In diesem Fall ist die Steuerung auch mit dem VNC-Viewer eines anderen Herstellers möglich, etwa von Linux, einem Mac oder einem PDA aus.
VNC im Intranet einsetzen
Windows fernsteuern
Die einfachste Form der Fernsteuerung eines PCs ist die Verbindung über ein Intranet. Innerhalb einer Domäne oder einer Arbeitsgruppe ist in der Regel nicht einmal die Kenntnis der IP-Adresse nötig, da sämtliche PCs im Netz über ihren Rechnernamen angesprochen werden können. Die typische Anwendung ist der IT-Support in einem Unternehmen. Hier kann der Administrator sämtliche Rechner im Netzwerk überwachen und Hilfeanfragen am Objekt betrachten, ohne sein Arbeitszimmer zu verlassen.
Wird der VNC-Server auf allen PCs automatisch beim Systemstart geladen, kann der Administrator sogar das gesamte Netz über den VNC Viewer verwalten. Dazu startet er den Viewer, trägt im Verbindungsfenster den Rechnernamen ein und verbindet ihn so über den Standardport 5900 mit dem jeweiligen VNC-Server-PC. Voraussetzung ist natürlich, dass dieser Port im Intranet freigeschaltet ist und eventuelle Firewalls auf den einzelnen PCs den Durchgang ermöglichen.
Alternativ zur Netzwerk-ID des PCs kann auch die interne IP-Adresse verwendet werden. Diese wird auf dem VNC-Server-Rechner angezeigt, wenn die Maus über dem VNC-Symbol im Systray verweilt. Alle Verbindungen merkt sich TightVNC, so dass beim nächsten Mal der Eintrag aus dem Listenfeld gewählt werden kann.
Systemstart möglich
Windows fernsteuern
Ist die Verbindung zwischen dem Viewer und dem Server hergestellt, erscheint das Display des entfernten PCs im Fenster und der Administrator steuert ihn, als würde er direkt davor sitzen. Maus- und Tastatureingaben werden über die VNC-Schnittstelle direkt weitergeleitet. Lediglich Tastenkombinationen wie [Strg] + [Alt] + [Entf] werden vom System abgefangen und nicht über den Viewer geleitet, können aber vom VNC-Viewer simuliert werden.
Wenn die Supportanfrage nur durch Installation eines neuen Treibers zu lösen ist, dann überträgt der Administrator über die Viewer-Symbolschaltfläche Transfer Files Dateien von einem auf den anderen Rechner. Selbst der Systemstart ist mit dem VNC-Viewer möglich. Danach muss jedoch die Verbindung neu aufgebaut werden.
Schülern über die Schulter schauen
Auch für den EDV-Unterricht an Schulen ist TightVNC bestens geeignet. Richtig eingerichtet kann der Lehrer die Monitore aller Schüler überwachen, ohne einzugreifen. Dadurch hat er stets den Überblick, als würde er im Klassenzimmer herumspazieren und den Schülern über die Schulter blicken. Wichtig ist dabei natürlich, dass weder Maus noch Tastatur des Dozenten an den Windows-PC des Schülers übertragen werden, weil dieser sonst in seiner Arbeit gestört würde. Auch für dieses Szenario ist TightVNC vorbereitet.
Bildschirm im Fokus
Windows fernsteuern
Die erste Einstellung betrifft die Frage, ob der Schüler merken soll, dass der Lehrer ihm über die virtuelle Schulter schaut oder nicht. In der Standardkonfiguration ist der TightVNC-Server so eingestellt, dass das Hintergrundbild nicht übertrage
n wird. Verbindet sich dann der Viewer mit dem Rechner des Schülers, wird dessen Hintergrund grau ein untrügliches Zeichen. Daher sollte bei der Installation des VNC-Servers darauf geachtet werden, dass in den Einstellungen der Punkt Remove desktop wallpaper deaktiviert ist.
Im Viewer des Lehrers wird festgelegt, dass lediglich der Betrachtermodus gewünscht ist. Dazu klickt der Dozent nach dem Programmstart die Schaltfläche Options und markiert links unten View only (inputs ignored). Lediglich an der Farbe des Systray-Icons erkennt der Schüler dann, dass sein Bildschirm im Fokus ist. Allerdings kann bei Windows XP über die Eigenschaften der Taskleiste weiter bestimmt werden, dass auf den Schülerrechnern das VNC-Symbol immer ausgeblendet wird.
Fernsteuern übers Internet
Windows fernsteuern
Während sich Intranets meist in einem Gebäude befinden, kann übers Internet ein PC von jedem Platz der Erde übernommen werden vorausgesetzt es steht eine Online-Hilfeverbindung zur Verfügung. Auf diese Weise können der heimische PC vom Büro aus nutzen oder verschiedene rechenintensive Funktionen, etwa das Leeren des E-Mail-Postfachs von Spam, aus jedem beliebigen Internetcafé weltweit genutzt werden.
Die Vorgehensweise ist grundsätzlich dieselbe wie bei der Verbindung im Intranet. Der Rechner muss dabei nur online sein und die IP-Adresse bekannt. Dies ist nicht die interne Adresse innerhalb des heimischen Netzes, sondern jene, die vom Internet-Serviceprovider bei der Einwahl vergeben wurde.
Namen für dynamische Adressen
Die meisten Provider trennen die Internet-Verbindung nach einem gewissen Zeitraum. Zwar existieren genügend Tools, um die Verbindung sofort wieder herzustellen. Die IP-Adresse bleibt dabei jedoch auf der Strecke. Sie wird wieder neu vergeben und ist somit am Urlaubsort oder im Büro nicht bekannt. Aus dem Dilemma helfen Online-Services, die statische Domainnamen an dynamische IP-Adressen weiterleiten. Wer nicht unbedingt einen eigenen .de- oder .com-Domainnamen für den Heimrechner will, kann diesen Service meist kostenlos nutzen.
Dynamischer Domain-Name-Server
Windows fernsteuern
Einer der wenigen deutschsprachigen Vertreter ist www.selfhost.de. Wer sich hier für den Service Selfhost Free registriert und einloggt, erhält unter Produkte/selfHost free einen oder mehrere Subdomain-Namen in der Form benutzer.selfhost.de oder benutzer.selfhost.tv. Nach einigen Minuten erscheinen die neu angelegten Unterdomains im Abschnitt Account als konnektiert. Nun muss dem Service mitgeteilt werden, welche IP-Adresse tatsächlich gemeint ist, wenn benutzer. selfhost.de eingegeben wird.
Hier fungiert selfhost.de als dynamischer Domain-Name-Server. Dazu stellt das System eine URL mit den Zugangsdaten zur Verfügung. Ruft der Benutzer diese von seinem PC aus auf, wird bei selfhost.de registriert, welche IP-Adresse dem Nutzer-PC von dessen Provider zugewiesen wurde. Klicken Sie im Abschnitt DynDNS-Accounts rechts neben der Weiterleitung auf Details. Hier sehen Sie die Zugangsdaten zum Update der IP-Adresse.
Mit diesem Benutzernamen und diesem Passwort erstellen Sie eine URL der Form https:\\user: password@carol.selfhost.de/nic/update, wobei Sie statt user den angezeigten Benutzernamen und statt password das vorgegebene Kennwort verwenden, also etwa https:\\ 5263:MultKulti32@carol.selfhost.de/nic/update. Diese URL legen Sie als Verknüpfung auf den Desktop und aktualisieren bei Bedarf. Über den Windows-Dienst Taskplaner, der im Ordner C:\Windows\Tasks abgebildet ist, lässt sich diese Aufgabe beispielsweise im Stundentakt automatisieren. Hier wird beim Aufruf immer das Browserfenster mit den Statusinformationen angezeigt. Wem dies nicht gefällt, der findet unter www.ive-soft ware.de/cron-job-simulator.php3 das Programm Cron Job Simulator, das HTTP-Aufrufe ohne Anzeige durchführt.
Viele DSL-Router bieten in ihrem Verwaltungsinterface die Möglichkeit, bei der Einwahl, also beim Wechsel der IP-Adresse, diese Information automatisch an einen Dyn-DNS-Server zu übermitteln.
VNC über einen DSL-Router
Windows fernsteuern
Befindet sich der Rechner, auf dem der VNC-Server läuft, direkt an einem ADSL-Modem, kann er auch übers Internet mit der vom Internet-Serviceprovider zugewiesenen IP-Adresse angesprochen werden. An einem Router hingegen können zahlreiche PCs angeschlossen sein. Der Router wird innerhalb des Intranets wie jeder andere Rechner anhand einer internen IP-Adresse angesprochen. Daneben hat er auch eine Internet-ID, eben jene IP-Adresse, die auch beim DynDNS-Dienst hinterlegt ist und an die Anfragen weitergeleitet werden. Das Problem ist nun, einen oder mehrere Rechner des internen Netzes anzusprechen, obwohl nach außen hin nur die Adresse des Routers bekannt ist.
Gelöst wird das Dilemma über die Ports. Wenn die standardmäßige Kommunikation per VNC über den Port 5900 läuft, kann in fast allen Routern ein so genanntes Port-Forwarding eingestellt werden. Statt die Anfragen an den Port 5900 selbst zu beantworten, leitet der Router den Datenstrom an den Port 5900 eines anderen Rechners im Intranet beispielsweise mit der IP-Adresse 192.168.1.2 weiter. Will der Anwender noch einen zweiten PC fernsteuern, muss er eine zusätzliche Port-Adresse zur Weiterleitung definieren, beispielsweise Port 5901 des Routers, die dann an die interne Adresse 192.168.1.3:5900 weitergeleitet wird. Im ersten Falle reicht es, die vom ISP zugewiesene Internetadresse, also beispielsweise 62.15.22.134, im VNC Viewer einzugeben. Weitergeleitet wird es dann direkt vom Router an den Rechner 192.168.1.2.
Wenn der Anwender hingegen den zweiten Rechner ansprechen will, ist zusätzlich der Port 5901 bei der VNC-Serverabfrage zu nennen. Im Gegensatz zur üblichen Notation, bei der IP-Adresse und Port durch einen einzelnen Doppelpunkt getrennt werden, verlangt TightVNC zwei Doppelpunkte. Im Beispiel würde der zweite Rechner entsprechend also über 62.15.22.134::5901 angesprochen.
Vorsicht Firewall!
Windows fernsteuern
Während Firewalls von Routern in der Regel keine Probleme bei der VNC-Steuerung machen, sieht die Sache bei lokalen Varianten, wie beispielsweise Zonealarm, ganz anders aus. Insbesondere der Stealth-Modus, also das Unterdrücken der Antwort-Funktion sämtlicher Rechner-Ports, wodurch dieser nach außen hin »unsichtbar« wird, behindert die Kommunikation. Hier muss in der Firewall der VNC-Port, also im vorangegangenen Beispiel 5900 und 5901, zur Kommunikation freigegeben werden.
Das zweite Problem liegt darin, dass ein VNC-Server von der Definition her nichts anderes ist als ein Trojaner. Das Programm zeigt exakt, was der Benutzer an seinem Rechner tut, welche Eingaben er vornimmt, welche Programme er startet und lässt sogar in unbeobachteten Augenblicken den kompletten Zugriff auf das System zu. Von jedermann gefürchtete Trojaner haben zumeist sehr viel weniger Möglichkeiten. Der Unterschied ist jedoch die Absicht, die beim VNC-Fernsteuern gewollt ist. Das jedoch weiß ein Security-Paket nicht und zeigt somit einen VNC-Server als Malware an.