CGM Z1 Upgrade, Datenbank Verschlüsselung Hardware Tausch

[Cem1900]

Liebe Freunde,

mit meinem IT Berater möchten wir in unserer Praxis eigenständig einige Dinge technisch umsetzen und benötigen einige Informationen von erfahrenen Kollegen.

Da mein System auf Windows 10 Home läuft, möchten wir einen Hardware Tausch und auf Windows 11 Pro umsteigen. Z1 verwendet SQL 2019 als Datenbank.

Folgende Maßnahmen sind derzeit vorgesehen bzw. teilweise bereits vorbereitet:

Umstellung des Systems von MBR auf GPT (UEFI)

Zunächst ein Upgrade von Windows 10 Home auf Windows 10 Pro, anschließend ein Upgrade auf Windows 11 Pro

Zusätzlich möchten wir im Zuge des geplanten Hardwarewechsels auch die Verschlüsselung der SQL-Datenbank korrekt berücksichtigen und technisch sauber umsetzen. Denn die ist jetzt Pflicht.

Der Support ist nicht erreichbar und wir benötigen alle relevanten Informationen, technischen Voraussetzungen und Hinweise, damit alle Schritte fachgerecht, stabil und lizenzkonform durchgeführt werden können. Wir würden uns freuen, wenn auf diesem Gebiet eure Erfahrungen geteilt werden. Gerne auch als PN, falls es Bedenken gibt

[FortiSecond]

Moin,

hierzu würde ich gern zeitnah ausführlich antworten. Habe ich gerade 2 x hinter mir, entgegen "bemühten Überzeugungsversuchen" des Servicepartners.

Zu den bemühten Überzeugungsversuchen gehörten übrigens, wenn ich das richtig gelesen, verstanden bzw. interpretiert haben sollte:
- Behauptung, CGM hätte die zeitnahe Abkündigung von Access-Runtime durch Microsoft auf der Agenda (betrifft Praxisarchiv)
- Behauptung, die Datenbankverschlüsselung sei eine DSGVO-Forderung
- Behauptung, die Verschlüsselung der Datenbankkommunikation sei DSGVO-Forderung
- Behauptung, PA und Z1 würden nicht mit SQL Express funktionieren (bzw. außerhalb des Supports)
- Behauptung, es gebe eine Lizenz namens "SQL Restricted Access" (bei der die Premium-Variante dann auch die DB-Verschlüsselung beherrsche), die man möglichst kaufen möge. Zugleich will man aber nicht antworten, um welche MS-Lizenz es geht, denn MS kennt nur Express/Vollversion/Runtime. Und die Runtime ist für EIN Produkt im Zugriff vorgesehen, wobei Fragen im Sinne von "Archiv + Timer + Z1 = 3 Lizenzen?" nicht beantwortet werden.
- Die Premium-Variante würde gegen Aufpreis von zertifiziertem Personal installiert (ach, und die "normale" von Werkstudenten?)

Da allerdings der Support eher in die falsche Richtung zu gehen scheint (Support = Wir supporten den Laden mit monatlichen Zahlungen), haben die Praxen nun eine andere Strategie gewählt:
1 x Wechsel des PVS
1 x Upgrades in Eigenregie.

Die wechselnde Praxis hat gerechnet und festgestellt: Man kauft also Lizenzen für ein Datenbanksystem eines Dritten, ohne das die CGM-Software nicht läuft bzw. künftig angeblich nicht mehr läuft (Praxisarchiv) für viel Geld ohne erkennbaren Mehrwert und nur, um (behauptete) Vorgaben zu erfüllen. Dabei steht nicht im Raum, dass das Datenbanksystem aktuell sein sollte (Support, Sicherheit, Funktion, Kompatibilität etc.), sondern es geht darum, dass das Datenbanksystem bald mehr kostet als das eigentliche Programm -> während bei anderen Herstellern oder auch hausinternen PVS die Datenbanklizenz enthalten ist bzw. keinen Aufpreis kostet.
Bei einer Praxis mit 12 Plätzen sind das: SQL-Serverlizenz, Installation, Lizenzen pro Nutzer/Client. Da kommen einige Tausender zusammen. Das erreicht schnell die Schwelle, bei der die Einmalkosten und der operative Mehraufwand für Anpassung an ein anderes PVS nicht mehr weit entfernt sind. Und wenn man sich dann anschaut, wie offen manche Wettbewerber mit Anleitungen, Changelogs, Hilfestellungen umgehen und dem Kunden eine gewisse Souveränität zusprechen, dann ist die Überlegung nicht falsch. Ist manchmal eine Frage der zeitlichen Perspektive.

Aber eines ist klar: Was nützt es, die SQL-Datenbank und die Kommunikation mit dieser zu verschlüsseln, wenn KIM-Mails im Klartext herumliegen, Abrechnungsdateien als .CON gelagert werden, Z1 sich mit einem 1-stelligen Passwort starten lässt... Okay, Whataboutism, und irgendwo muss man ja mal anfangen. Bitlocker?

So, aber davon abgesehen sind wir ja für Austausch hier.
Sobald ich Zeit finde, schreibe ich meine Erfahrungen hier rein. Könnte bis morgen der Fall sein, auch wenn ich nichts versprechen will.
Vorab: Es ist möglich und weniger zeitaufwendig als zu erwarten.

[Cem1900]

Alles klar ich danke dir, für die Verschlüsselung der SQL Datenbank bietet Cgm an, dass man dies über Fernwartung für einen Aufpreis von 70 € machen kann . Lt. dem IT Experten, der uns berät, ist das wohl einfach auch ohne Cgm zu erledigen. Bei dem letzten Z1 Update 2.92 gab es mehrere Fehlermeldungen. Anscheinend laufen in einigen Praxen die Programme nicht mehr richtig rund auch das Praxisarchiv soll betroffen sein. Wir warten auf das Update und würden unser Anliegen zunächst auf einer virtuellen Maschine testen. Wir gehen davon aus, dass man Z1 mit der Datenbank nicht einfach auf einer neuen Festplatte oder Hardware installieren kann, da die Gegenstelle eine veränderte Umgebung erkennt (Lizenz). Wir hatten bei diesem Versuch schon die Fehlermeldung Arbeitsplatz Fehler 1. Z1 ließ sich danach erst gar nicht öffnen. Für uns sind insbesondere eine fehler- und datenverlustfreie Übertragung von Mbr auf Gbt, dann das Upgrade auf Windows Home zu Pro anschließend auf Windows 11 wichtig. Die Anbindung an die Sql Datenbank, die Z1 Programmupdates auf Windows 11 und die Anbindung an die Telematik sind für mich zunächst das Wichtigste. Wir benutzen das Praxisarchiv nicht. Falls ihr den Umstieg zu einem anderen PVS noch nicht vollzogen habt, solltest du dich mit meinem IT Experten austauschen. Er kennt sich aus mit Datenbanken bei größeren Unternehmen.

[FortiSecond]

Bin unterwegs, aber zu MBR/GPT kann ich schnell was sagen.

Im laufenden System in der Eingabeaufforderung (als Administrator):
mbr2gpt /validate /allowFullOS -> Wenn fehlerfrei, dann zu 98% auch möglich.

- PC muss UEFI-Boot beherrschen, muss im BIOS umschaltbar sein.
- Bei gleichzeitiger Umstellung auf NVMe gelten Besonderheiten!
- Man "könnte" nun nach erfolgreichem validate-Testlauf das "mbr2gpt /convert /allowFullOS" ausführen und zu 98% erwarten, dass das fehlerfrei durchläuft. Danach Neustart und BIOS auf UEFI umstellen. Allerdings kann es dann immer noch sein, dass der UEFI-Boot aus irgendwelchen Gründen nicht klappt. Das wäre ärgerlich, denn der Weg zurück zu MBR ist steinig. Immerhin lässt sich dann die SSD noch in ein geeignetes Gerät umbauen und damit starten...

Vorsichtsmaßnahmen:
1) Image vom System ziehen
2) Ein UEFI-System nehmen, dort W10 oder W11 im UEFI-Modus installieren, die SSD aus diesem System testweise in den Ziel-PC stecken und UEFI-Boot testen. Wenn es hochfährt, wird es auch das originale System nach GPT-Umstellung starten.
3) Im Idealfall die Konvertierung nicht aus dem laufenden System heraus vornehmen, sondern mittels z.B. USB-Stick mit Hiren´s drauf direkt im UEFI-Modus starten und dann in der PE-Umgebung konvertieren. Hinweis zu Hiren´s: Ist Vertrauenssache und Frage der Quelle, es gibt auch andere PE-Umgebungen (z.B. BartPE).

Wie ich das normalerweise mache, auch weil ich oft direkt auf NVMe umstelle (und sei es per Steckkarte):

- Bei Wechsel auf NVMe: sc config stornvme start=boot vor dem ganzen Prozedere auf dem laufenden System ausführen. So startet Windows 10 den NVMe-Treiber, der zum Booten gebraucht wird.
- Zusätzlich ggf. besondere Treiber wie intel Rapid Storage etc. entfernen bzw. Windows auf Standard-AHCI oder SATA umstellen (systemabhängig).

- SSD ausbauen, in externes Gehäuse stecken, BIOS auf UEFI umstellen
- PE-Umgebung vom Stick booten, dann mit passender Software (z.B. Macrium Reflect) die SSD auf die neue spiegeln
- Alte SSD abstöpseln, dann mbr2gpt auf die neue SSD laufen lassen (ggf. mit /disk:1 als Argument)
- Danach dann neu starten und zuschauen, wie Windows 10 sich anpasst. Updates laufen lassen (Treiber etc.)
- Wenn alles geklappt hat, Windows 11 installieren. Wenn System kein TPM und Secure Boot hat oder man das nicht will, dann muss man mit Flyby11 oder anders modifiziertem Installer ran.


So, das als kleines Puzzleteil... ohne Haftung und Anspruch auf Vollständigkeit, denn es ist sehr vereinfacht dargestellt.

[DocZahn]

Hallo,

wir sind (noch) nicht beim HW Tausch und OS Upgrade, doch scheitern erstmalig am Z1.PRO Update 2.91. -- das Update mit der Datenbankverschlüsselung. Das Update, welches nach einem neuen DB Pwd und einem neuen Admin-PWD fragt. Nach der Eingabe dieser können wir erfolgreich das Password und das Techniker-Protokoll ausdrucken. Anschliessend (nach "weiter") gibt es einen Datenbankzugriffsfehler. Der Serverdienst und die Anwendungen laufen jedoch "reibungsfrei" d.h. können auf die DB (MS SQL Server) zugreifen. Gibt es Ideen, woran es liegen könnte und vielmehr wie dieses Problem zu lösen ist?

Gruss
DocZahn

[FortiSecond]

Hallo,

wir sind (noch) nicht beim HW Tausch und OS Upgrade, doch scheitern erstmalig am Z1.PRO Update 2.91. -- das Update mit der Datenbankverschlüsselung. Das Update, welches nach einem neuen DB Pwd und einem neuen Admin-PWD fragt. Nach der Eingabe dieser können wir erfolgreich das Password und das Techniker-Protokoll ausdrucken. Anschliessend (nach "weiter") gibt es einen Datenbankzugriffsfehler. Der Serverdienst und die Anwendungen laufen jedoch "reibungsfrei" d.h. können auf die DB (MS SQL Server) zugreifen. Gibt es Ideen, woran es liegen könnte und vielmehr wie dieses Problem zu lösen ist?

Gruss
DocZahn

- Update am Server eingespielt, zuvor alle Clients abgemeldet, Server neu gestartet, Virenschutz abgeschaltet?
- Klappt der Start von Z1 am Server, wenn alle Clients abgemeldet sind?
- Ist das Update abgebrochen? Also ist noch die Vorversion aktiv?
- Was passiert bei erneutem Start des Updates?

[Cem1900]

Wo und wie druckt man beim Update das Technikerprotokoll, das scheint mir entgangen zu sein. Ich habe gestern nach einem Backup der gesamten Festplatte eine neue Festplatte eingerichtet, auf der ich in der Eingabeaufforderung mbr in gbt umgewandelt habe. Danach Umstieg auf pro und anschließend Windows 11 Update. Derzeit läuft das System stabil. Zu dem Hardwaretausch habe ich von der Cgm bisher keine Rückmeldung auf meine Anfrage erhalten, daher der Umstieg nur auf eine neue SSD, damit es keine Sperre wegen der Lizenz gibt. Wie vollziehen wir die nun anstehende Datenbankverschlüsselung? Hat das schon jemand gemacht?

[FortiSecond]

Wo und wie druckt man beim Update das Technikerprotokoll, das scheint mir entgangen zu sein.

Eigentlich kommt man draum drumherum, denn nachdem die Verschlüsselung erfolgreich eingerichtet wurde, kommt ein entsprechendes Meldungsfeld.

Ich habe gestern nach einem Backup der gesamten Festplatte eine neue Festplatte eingerichtet, auf der ich in der Eingabeaufforderung mbr in gbt umgewandelt habe. Danach Umstieg auf pro und anschließend Windows 11 Update. Derzeit läuft das System stabil.

Das klingt mal so richtig erfolgreich. Klasse!

Zu dem Hardwaretausch habe ich von der Cgm bisher keine Rückmeldung auf meine Anfrage erhalten, daher der Umstieg nur auf eine neue SSD, damit es keine Sperre wegen der Lizenz gibt.

Aus Erfahrung kann ich Folgendes beschreiben:
- SSD aus Server (alter Wortmann Terra oder Bluechip oder sowas mit E3-1220v2) umgesteckt in hp Z2, das olle Win 2012R2 hochgefahren, Hardwareanpassungen laufen lassen. Mit Z1 Alles gut.
- Inplace-Upgrade auf Server 2022: Auch gut, sogar mit SQL14 drauf.

[/i]- Monate später dann Upgrade des SQL-Servers (ebenfalls im bestehenden System): Ebenfalls gut.

Das passierte vollständig frei von Lizenzproblemen mit einer Ausnahme, die eher exotisch ist:
- Faxtreiber, dessen Lizenz an die MAC-Adresse der Netzwerkkarte gebunden ist. MAC-Adresse manuell angepasst im Treiber, dann auch gut.

·
Verschlüsselung: Wird beim Drüberinstallieren erneut angeboten, wobei ich meine, dass es da noch einen Weg gibt. Kann ich erst später was zu schreiben - hab gerade drei Praxen, bei denen TM spinnt.

[Cem1900]

Ja ihr meint die Eingabemaske, in der das Admin-Datenbankkennwort und das Z1 -Datenbankkennwort mit der Weiter Taste erscheinen, die soll man aufbewahren. Ich habe davon nur ein Screenshot gemacht. Kann mich nach der Weitertaste nicht erinnern aufgefordert zu sein, ein Protokoll auszudrucken. Oder meint ihr die Kennwörter?
Haben wir denn überhaupt eine Möglichkeit ohne die Unterstützung der Cgm oder eines zertifiziertes Cgm Vertriebspartners die Datenbank zu verschlüsseln

[Cem1900]

Mittlerweile konnte ich die Ursache für den Arbeitsplatzfehler identifizieren: Es lag nicht – wie zunächst vermutet – an einer Lizenzverletzung, sondern daran, dass das Temp-Verzeichnis auf eine andere Festplatte ausgelagert war.

Aktuell besteht nur noch die Herausforderung mit der Datenbankverschlüsselung.
Daher meine Frage in die Runde: Muss dies zwingend über das Systemhaus erfolgen, oder hat jemand von euch die Verschlüsselung bereits eigenständig umgesetzt?

Falls ja, wäre es großartig, wenn jemand einen kurzen Leitfaden oder eine Schritt-für-Schritt-Anleitung dazu erstellen könnte. Das würde sicherlich auch anderen weiterhelfen, die vor einer ähnlichen Aufgabe stehen.

Vielen Dank vorab!

[EDVHK]

Habe die SSL-Verschlüsselung aktiviert und funktioniert. Dabei habe ich diese Anleitung verwendet: https://www.combit-support.net/de/suppo ... vieren.pdf

[Cem1900]

Danke EDVHK, da sind aber zwei unterschiedliche Wege erklärt.
Muss man folgender Anleitung folgen: SQL Server SSL-Verschlüsselung aktivieren oder
Einzelne Verbindung zwischen Microsoft SQL Server Management
Studio und SQL Server Verschlüsseln. Optional wird auch folgendes beschrieben: Aktivierung einer verschlüsselten Verbindung für einen bestimmten Client

[DocZahn]

Hallo,

wir sind (noch) nicht beim HW Tausch und OS Upgrade, doch scheitern erstmalig am Z1.PRO Update 2.91. -- das Update mit der Datenbankverschlüsselung. Das Update, welches nach einem neuen DB Pwd und einem neuen Admin-PWD fragt. Nach der Eingabe dieser können wir erfolgreich das Password und das Techniker-Protokoll ausdrucken. Anschliessend (nach "weiter") gibt es einen Datenbankzugriffsfehler. Der Serverdienst und die Anwendungen laufen jedoch "reibungsfrei" d.h. können auf die DB (MS SQL Server) zugreifen. Gibt es Ideen, woran es liegen könnte und vielmehr wie dieses Problem zu lösen ist?

Gruss
DocZahn

- Update am Server eingespielt, zuvor alle Clients abgemeldet, Server neu gestartet, Virenschutz abgeschaltet?
- Klappt der Start von Z1 am Server, wenn alle Clients abgemeldet sind?
- Ist das Update abgebrochen? Also ist noch die Vorversion aktiv?
- Was passiert bei erneutem Start des Updates?

Danke FortiSecond !
2 Wochen spaeter und kein bisschen weiter:
. Alle Clients wurde abgemeldet (Z1 & Timer gecshlossen)
. Server nach dem ersten Updateschritt (Systemrelevante Dateien aktualisiert) neu gestartet
. VIrenschutz (ESET) lief noch
. Z1 startete bis vergangenen Freitag nach wie vor (alte Version) am Server oder auch an alle Clients. Seit Freitag bekommen wir dort auch Fehler, dass sich keine Verbindung zum DB Server (MSSQL) herstellen laesst.
. Ich kann das Update beliebig oft starten. Es bricht stets an gleicher Stelle mit gleicher Meldung ab.
. Heute habe ich MS SQL Server von 2017 Standard auf 2019 Standard angehoben, da TDE von 2017 Std nicht unterstuetzt wird.

-> Das Problem besteht weiterhin. Nun geht gar nichts mehr. Die konfigurierte ODBC DSN funktioniert (mit meinem login). Das Passwort f. den DB Benutzer Z1 fehlt mir allerdings.

Was nun?

DocZahn

[DocZahn]

... Problem geloest. Das entsprechende Systemhaus hat's nach etwas "Rumdoktern" vor meinen Augen geloest. Am Ende war es eine txt-Datei, die geloescht werden musste.

DocZahn