Die einfachsten Methoden, remote auf einen David Server zuzugreifen, sind die Webbox oder ein via Port 267 zugreifender David Client.
Die Webbox sollte möglichst die Daten verschlüsselt übergeben. Dazu lässt sich mit David Bordmitteln eine SSL-Verschlüsselung (https) leicht einrichten.
David via Port 267 nutzt Kerberos. Der Zugriff ist - im Gegensatz zu einer sehr leicht zu hackenden Remoteverbindung über Port 3389 - nur auf die David Archive möglich. Und auch dort nur auf die Archive, auf die der eingeloggte David-User Zugriffsgenehmigung hat.
VPN ist aus Sicherheitsaspekten weitergehend: Die Datenkommunikation erfolgt getunnelt UND verschlüsselt. - Die Software-VPN Verbindungen, wie sie Lancom und Bintec, aber auch AVM anbieten, sind für normale Betriebsansprüche ausreichend sicher. Die Wahrscheinlichkeit, dass auf den Remoterechner via Trojaner ein unbefugter Zugriff erfolgt halte ich um mehr als den Faktor 100 höher als die Wahrscheinlichkeit, dass der VPN-Tunnel gehackt wird. Die Arbeitsgeschwindigkeit via RDP über VPN ist meist merklich höher als die über Port 267. - Bei den drei hier genannten Herstellern sind Sicherheitsrisiken der VPN-Software nicht bekannt, wenn die verfügbaren Firmware-Aktualisierungen (!) kurz nach Freigabe installiert werden.
Noch höhere Sicherheit gegen Zugriff auf den Datenstrom bieten IP-SEC VPN-Verbindungen von Router zu Router. Die sind mit gängigen Mitteln bis dato nicht zu knacken. Das Hacken einer IP-SEC VPN Verbindung in weniger als einer Woche würde den Einsatz eines modernen Supercomputers aus der Cray XC Serie und speziell ausgebildetes Personal nötig machen. Der Angriff auf die VPN-Verbindung würde aber soviel Performance von der Leitung zu den VPN-Gateways wegnehmen, dass praktisch keine Datenübertragung mehr stattfindet. - Hardware-basierende IP-sec VPN-Verbindungen sind mit ganz wenigen Ausnahmen nicht für Notebooks oder Tabletts geeignet, die oft an unterschiedlichen Einsatzorten genutzt werden.
Bezüglich der ursprünglichen Frage vonn Flicflac30 ist zunächst festzustellen, welche Art von Internet-Zugang (Kabel, DSL, Satellit) im Betrieb genutzt wird und welche Gateyway-Hardware zum EInsatz kommt. Denn davon hängt die einsetzbare Client-Software ab. Ist das Gateway nicht VPN-fähig (z.B. Speedport), dann muss entweder eine neue Hardware für den Internet-Zugang gekauft werden oder es muss eine der in David integrierten Remotezugangs-Varianten genutzt werden. Sofern die Daten in David nicht geschäftskritisch sind oder der Geheimhaltung unterliegen spricht nichts gegen die Nutzung der David-Features.
Die Geschwindigkeit, mit der RemoteDeskTop (RDP) via VPN läuft, ist normalerweise in keiner Weise davon abhängig, ob ein Terminalserver läuft oder nicht. Maßgeblich sind nur die Geschwindigkeiten der Internetanbindung auf Serverseite und auf Client-Seite. Die meisten DSL-Internetanschlüsse laufen asymmetrisch (ADSL). Infolgedessen ist die beim Remotezugriff relevante Upload-Geschwindigkeit auf der Serverseite ~ um den Faktor 10 geringer als die maximal verfügbare Downloadgeschwindigkeit. - Eine Workstation, zum Beispiel mit Betriebssystem Windows 8.1, lässt immer nur einen zugreifenden User zu. Ist der Remote-user aktiv, dann ist jeder lokale User ausgeloggt. Ein Windows Server hingegen lässt den Remote-Zugriff von bis zu zwei Usern gleichzeitig zu. Voraussetzung ist nur, dass beide User Administrator-Rechte haben. Greifen lokal und remote User gleichen Namens nacheinander auf den Server zu, dann wird die Session des zuerst eingeloggten Users automatisch beendet.
Nota bene:
Für Behörden, Bearbeitung von Personaldaten großer Betriebe, geheime Daten aus der Produktentwicklung und MIL-Anwendungen sollten Remote-Zugänge grundsätzlich nur über VPN erfolgen, und die verwendeten Geräte sollten ausnahmslos CC EAL 4+ konform sein.
