7. mehrere Anwälte im Büro

Thomas Michael Meier-Bading (10629 Berlin)

Es gibt mehrere Möglichkeiten, wenn mehrere Anwälte mit beAte ins beA wollen, aber die Sekretärin auch Zugriff haben oder alles über einen zentralen E-Mail-Server laufen soll, zu dem vielleicht schon die Zugänge zum Handy eingerichtet sind.

Exkurs: wenn jeder Anwalt immer am selben Rechner bleibt

Wenn nur jeder Anwalt an seinem/n Rechner/n sitzt (auch ggf. im Home-Office), wie in Bürogemeinschaften üblich, dann gibt es kein Problem: jeder hat seine eigene/n beAte/n und fertig. Wenn zusätzlich noch MA auf jeden Rechner zugreifen sollen, dann ist das über die Netzwerkfreigabe auch schnell eingerichtet. In dem Fall sind Sie in diesem Beitrag falsch (nur folgender Tipp: sie sollten nur noch jede(r) ein Netzwerklaufwerk für die MA für das Versand- und ggf. Exportverzeichnis freigeben)

Hinweis: mit "" gekenntzeichnete Links sind erst sichtbar, wenn Sie mittels beAte im Forum eingeloggt sind.

Exkurs Ende.

Im hiesigen Beitrag geht es um die Konstellation, dass jeder Kollege an jedem beliebigen Rechner arbeiten können soll. Dazu stelle ich zwei grundsätzliche Varianten vor. Beide hier vorgestellte Methoden erlauben es, dass jeder Kollege bei Bedarf an jedem Rechner arbeiten kann und beA-Nachrichten lesen und versenden kann.

Möglichkeit 1 (empfohlen): je eine beAte läuft auf dem Rechner "ihres" Anwalts

Diese Methode wird empfohlen, wenn jeder Anwalt signieren können soll. Er muss zur Anmeldung seine beA-Karte an den jeweiligen Rechner mitnehmen.

Das sieht dann schematisch in etwa so aus:

: multiNetwork.png (99.32 KiB) 150162 mal betrachtet

und so geht es:

(Bitte erst alles durchlesen, dann schrittweise anfangen)
Voraussetzung ist, dass jeder Anwalt an jedem Rechner nach dem System-Login mit seinem zentral verwalteten/verlinkten Account angemeldet ist. Insbesondere muss das User-Verzeichnis auf einem Netzwerk-Laufwerk liegen und auf allen Rechner das selbe sein, so dass Änderungen an einem Rechner nach dem Login auch auf allen anderen Rechnern vorhanden sind. Wenn nicht, bitte so einrichten.

1.
Wir beginnen am Server und richten in dovecot bzw. Exchange 4 IMAP-Accounts ein, für jede Safe-ID einen. Die Zugangsdaten notieren wir uns. "4" ist natürlich nur ein Beispiel, es können auch mehr A's sein.

2.
Sodann wenden wir uns A1 zu und

loggen uns mit einem System-Nutzer ein,
installieren beAte global,
erzeugen unseren beA-Zugang
richten ein externes E-Mail-Postfach ein, und zwar das auf S
richten ein E-Mail-Programm ein, das aber im IMAP auf S zugreift und nicht auf beAte. Zum Versenden muss der SMTP-Server im E-Mail-Programm auf 127.0.0.1 gestellt bleiben.

ACHTUNG Lassen Sie nicht mit dem selben System-Nutzer mehrere beA-Zugänge abwechselnd durch beAte behandeln, sonst kommen die Nachrichten viermal an.

3.
Nun loggen wir uns aus und wiederholen Punkt 2 mit den anderen Kollegen. Weil die Einstellungen ins Nutzerverzeichnis geschrieben werden, haben auch alle anderen Rechner im Netz jetzt diese Einrichtung automatisch. Je nach Konstellation muss aber evtl. auf den anderen Rechnern noch beAte global installiert werden.

4.
Jeder Kollege kann dann mit seiner beA-Karte auf jedem Rechner mit seiner Unterschrift signieren und versenden.
Die soeben vorgestellte Methode hat den Nachteil, dass man Exchange/dovecot wie einen externen IMAP-Server behandelt, es also ein paar Beschränkungen gibt. Zum Lesen, EEB-abgeben, Signieren und Versenden reicht das aber allemal.

Variante

Achtung, die Variante ist nichts für Laien!
Man kann nun in der Variante Exchange/dovecot so einrichten, dass sie aktiv als IMAP-Clients auf beAte zugreifen. Dazu muss man, weil alle Anwälte aus Sicht von S im selben internen Netz sitzen, entweder SSL in den beAten abschalten oder jeder einen eigenen lokalen DNS-Namen geben und entsprechende Lets-Encrypt-Zertifikate besorgen, in beAte einstellen und sie aktuell halten.

2'.
Über die die Netzwerkfreigabe in beAte auf A1 geben wir dem S erstmal überhaupt Zugriff.
Das Externe IMAP-Konto richten wir nicht ein.
Nun kommt der schwierige Part: Bei S muss man jetzt dafür sorgen, dass die IP des Users immer auf den richtigen Rechner zeigt. Dazu legen wir in der hosts-Datei von S für jeden beAte-Nutzer eine Subdomain an, z.B.

mueller.lokalesNetzwerk.kanzlei 192.168.0.23
meier.lokalesNetzwerk.kanzlei 192.168.0.24
schulze.lokalesNetzwerk.kanzlei 192.168.0.25

Um das dynamisch zu ändern, führen A1 - A4 nach jedem Login ein Script aus, das dem Server Bescheid sagt, an welcher IP sich z.B. mueller.lokalesNetzwerk.kanzlei befindet - z.B. durch Abruf einer Webseite vom Server und ein bisschen PHP. Auf S muss dann die hosts-Datei dynamisch geändert werden.

Beschränkungen

Man kann hier statt mit Karten auch mit Software-Zertifikaten arbeiten, dann gibt es aber keine Kommunikation mit dem beA, wenn der eigene Rechner ausgeschaltet ist. VORSICHT bei der Nutzung von Softwarezertifikat und Karte parallel: sollten Nachrichten in ein externes IMAP-Konto übertragen werden, darf nur eine beAte das tun. Es sollte also immer nur maximal eine beAte mit der selben Safe-ID gleichzeitig im beA sein. Sprich: jeder darf immer nur an einem Rechner arbeiten und muss sich danach abmelden (nicht nur den Benutzer wechseln).
Wer von unterwegs signieren will, braucht einen verschlüsselten Tunnel und muss das Kartenlesegerät mitnehmen. Bei der folgenden Methode 2 wäre das irrelevant, weil man da sowieso nur am Server signieren kann.

Thomas Michael Meier-Bading (10629 Berlin)

Möglichkeit 2: mehrere beAten auf einem lokalen Server

ACHTUNG nichts für Laien!

Diese Methode wird empfohlen, wenn die Anwälte nicht unbedingt signieren müssen und man mit Software-Zertifikaten arbeiten will.
Auch wenn ein MA-Zertifikat für mehrere Postfächer eingerichtet ist, eignet sich diese Methode.

Auf S starten mehrere Instanzen von beAte, jede hat andere Ports. Diese Methode hat den Nachteil, dass die Anwälte nicht an ihrem Platz signieren können. Dafür muss man beim Installieren nicht unbedingt an den Rechner jedes Kollegen ran. Außerdem benötigt man nicht unbedingt einen zentralen dovecot oder Exchange-Server. Hier wieder eine schematische Darstellung:

: multiNetwork2.png (80.86 KiB) 150153 mal betrachtet

und so geht es (seit Version 1.8.6-064):

Voraussetzung: hier ist es im Gegensatz zu oben nicht nötig, dass alle Rechner die System-User zentral verwalten. Schadet aber nicht.

1.
Zuerst installieren wir auf S beAte und richten sie für einen User vernünftig ein, inklusive Zugang ins beA. beAte legt dann selbständig im User-Verzeichnis ein Verzeichnis .beAte an, darin sind die ganzen Daten. Beispiel:

🗀 C:\Users\müller
┠ 🗀 C:\Users\müller\.beAte
[...]

2.
Wenn das erledigt ist, erzeugen wir im User-Verzeichnis ein oder mehrere zusätzliche leere Verzeichnisse. Diese müssen alle mit .beAte-DE beginnen. Und zwar legen wir gleich alle benötigten Verzeichnisse auf einmal an. Beispiel:

🗀 C:\Users\müller
┠ 🗀 C:\Users\müller\.beAte → schon angelegt
┠ 🗀 C:\Users\müller\.beAte-DE-Meier
┠ 🗀 C:\Users\müller\.beAte-DE-Schulze
[...]

3.
Dann starten wir beAte. Findet beAte ein oder mehrere solcher Verzeichnisse, so

kopiert beAte die Einstellungen vom Verzeichnis .beAte dorthin, falls noch nicht vorhanden. Nicht kopiert wird der Zugang ins beA, damit man für jede Instanz einen anderen Zugang festlegen kann. Die Ports erhöht beAte jeweils um 10, also im Beispiel: für die erste Zusatz-Installation "Meier" 1920-1923, für "Schulze" 19030-1933 usw. Außerdem fügt beAte eine Einstellung hinzu: InitialDelay. Sie sorgt dafür, dass nicht alle beAte gleichzeitig synchronieren, sondern [InitialDelay] Sekunden nach dem Start. Man kann sie anschließend von Hand ändern, allerdings nur direkt in der settings.cfg.
Für jedes der Verzeichnisse startet beAte sodann eine eigene headless-Instanz von beAte, aber ohne eigenes Icon im Tray. Man kann die headless-Einstellung auch noch in den Einstellung der jeweiligen Installation entfernen, wenn man will.
In der Web-Ansicht fügt beAte einen Layer im Menue hinzu, mit dem man bequem zwischen den Instanzen (also den HTTP-Ports) hin-und herschalten kann.

Für jede Installation richten wir sodann einen Zugang ins beA ein, passen das Versand- und ggf. das Exportverzeichnis an und verbinden den zentralen Mailserver (dovecot mit fetchmail in Linux oder Exchange in Windows) mit den beAten am jeweils richtigen Port.

4.
Auf den Clients A1 bis A4 richten wir das jeweilige E-Mail-Programm mit 4 IMAP-Zugängen (oder bei Mehrbenutzersystemen pro System-Nutzer mit einen) zum zentralen Mailserver ein. Bei SMTP muss pro Konto der richtige Port angegeben werden.

Variante

Wir sparen uns auf S den Mailserver. Alle E-Mail-Programme kommunizieren an den korrekten Ports direkt mit den 4 beAten.

Ergänzung

5.
Sofern nicht das komplette Userverzeichnis als Netzwerklaufwerk eingebunden ist, richten wir uns ergänzend noch das beAte-Versand- und ggf. noch das Exportverzeichnis ein (sofern man den Export pro Anwalt trennen will) und geben sie ins Netzwerk frei. Beispiel:

🗀 C:\beAte → ins Netz freigeben
┃
┠ 🗀 C:\beAte\Versand
┃ ┠ 🗀 C:\beAte\Versand\Müller
┃ ┠ 🗀 C:\beAte\Versand\Meier
┃ ┖ 🗀 C:\beAte\Versand\Schulze
┃
┖ 🗀 C:\beAte\Export
┠ 🗀 C:\beAte\Export\Müller
┠ 🗀 C:\beAte\Export\Meier
┖ 🗀 C:\beAte\Export\Schulze

In der beAte mit dem Zugang von RA Müller wird dann C:\beAte\Versand\Müller als Versandverzeichnis und bei Bedarf auch noch C:\beAte\Export\Müller als Exportverzeichnis eingetragen.

Diese Freigabe binsen wir auf A1-A4 als Laufwerk ein, z.B. als Laufwerk Z: (bzw: im Mac und Linux: mounten sie) und verlinken z.B. Z:\Versand auf den Desktop. Dann kann jeder Kollege von überall bequem sein Versandverzeichnis befüllen.

Beschränkungen

Die Signierfunktion ist fest an den Rechner gebunden, auf dem beAte läuft, es muss also jeder zum Zentralrechner tappen und die Karte wechseln, wenn er signieren will. Mehrere Karten am selben Rechner gehen noch nicht und dementsprechend helfen auch keine USB-über-IP-Lösungen.
Jede Installation verbraucht ca. 600 MB Arbeitsspeicher, allein schon von der Größe her ist das also auf wenige Kollegen beschränkt.
Ich habe das hier auf einem 8-Kern-Prozessor mit Linux und 16 GB Arbeitsspeicher mal mit 7 Instanzen getestet (natürlich alle mit dem selben Software-Zertifikat, ich habe ja nur eines), es funktioniert und ist noch performant.
Übrigens: Wer auf die Idee kommt, als S ein Raspberry Pi zu nehmen: nicht machen! beAte läuft nicht auf ARM und würde hier vermutlich sowieso einbrechen.

Thomas Michael Meier-Bading (10629 Berlin)

Größere Kanzleien

wir hatten mal eine Anfrage einer Großkanzlei mit mehreren hundert Kollegen. Die wollten die zweite Methode, damit jeder Anwalt von jedem Rechner darauf zugreifen kann. Wie gesagt: das Problem mit der Signaturkarte bleibt ohnehin.
Es macht aber auch generell mehr Sinn, die Rechenlast und Arbeitsspeicher (600 MB pro Anwalt) auf viele Rechner zu verteilen. Natürlich kann man Möglichkeit 2 auch skalieren und mehrere S mit vielleicht 20-50 beAten gleichzeitig laufen lassen - ich habe nicht getestet, wann es zu viel ist. Dennoch ist beAte für solch extreme Konstellation nicht wirklich ausgelegt - aber vermutlich auch sonst kaum eine Software, denn irgendwo muss man mit den übertragenen Dateien ja hin.

Multiuser-beAte

Plan C wäre es, beAte in zukünftigen Versionen so zu verändern, dass mit einer Installation mehrere beA-Verbindungen realisiert werden können. Es macht aber von der Performance und vom Arbeitsspeicher her keinen großen Unterschied zu Möglichkeit 2, sondern erleichtert vor allem die Konfiguration. Weil das selten nachgefragt wird, sehen wir derzeit von einer solchen Änderung ab, beAte müsste dazu komplett umgestrickt werden. Wer dazu den Preis eines Neuwagens investieren möchte, mag sich gern melden.

Unterstützung zu Methode 2 geben wir hingegen jederzeit gern.