Datei:         HINWEISE.TXT
Produkt:       NCP Secure Communications Software
Hersteller:    NCP engineering GmbH, Nrnberg, Deutschland
-------------------------------------------------------------------------------


Bekannte Einschrnkungen der NCP Secure Software

Die im folgenden beschriebenen bekannten Einschrnkungen der NCP Secure Software
gelten, sofern nicht ausdrcklich unterschieden wird, fr alle untersttzten 
Betriebssysteme.


Inhalt:

1.   NCP Secure Windows Client
1.1  Betriebssysteme
1.2  Konfigurieren der IPSec-Kompression
1.3  Installation der Gina-DLL
1.4  Benutzer anmelden und abmelden unter Windows XP
1.5  Das Zusatzprogramm NCP Client Tracer
1.6  Grenbeschrnkung des IP-Headers auf 120 Bytes
1.7  Zuweisung von IP Pool-Adressen
1.8  Feste IP-Adresse in der WLAN-Konfiguration
1.9  WLAN-Konfiguration unter Windows 2000
1.10 Automatische Medienerkennung
1.11 Software Update Package
1.12 Internationale Einwahl unter Version 9.0
1.13 Anwendungsabhngige Firewall-Regel
1.14 Probleme im Betrieb mit AVM WLAN Stick
1.15 Update ber Netzlaufwerk
1.16 Fehlerhafte Registry-Eintrge
1.17 Fehlerhafter Verbindungsaufbau mit WLAN-Profil

2.   NCP Secure CE/Mobile/Symbian Client
2.1  Update des NCP Secure CE Clients
2.2  bertragen des Telefonbuchs zum PDA
2.3  Einschrnkungen bei offiziellen Adress-Bereichen
2.4  Infrarotstrecke
2.5  Datenaustausch zwischen PDA und PC
2.6  Unkorrekter Verbindungsabbau
2.7  Tipps zum Einsatz des PDAs
2.8  Lizenzierung
2.9  DHCP mit Pocket PC 2002 EUU3 (oder niedriger)
2.10 Dummy-Adresse bei DHCP
2.11 Fehler beim Austausch von Profil-Einstellungen mit und ohne NCP-Dialer
2.12 Verbindungsabfall nach Wiedereinschalten des PDAs (nach Stromsparmodus)
2.13 Verwendung des Loopback-Adapters
2.14 Einsatz von Windows Mobile 5.0
2.15 Firewall-Protokollierungsdatei (Entry CE Client)
2.16 Betriebssysteme am PC (Entry CE Client)
2.17 Probleme mit ActiveSync
2.18 Adresse des Tunnel-Endpunkts (Enterprise Client Symbian)
2.19 Name des Zielsystems (Enterprise Client Symbian)
2.20 Keine Update-Mglichkeit zwischen Symbian Entry- und Enterprise Client
2.21 Neu-Installation nach Upgrade der Firmware

3.   NCP Secure Linux Client
3.1  Kobil Kaan Reader
3.2  Die Oberflche des Secure Linux Clients
3.3  Verbindungsaufbau (wechselnd)
3.4  Autostart-Ordner unter RedHat
3.5  Konfigurations-Update unter RedHat
3.6  Update von 1.0 auf 2.0

4.   NCP Secure Client Manager
4.1  Nutzung des NCP Secure Client Managers
4.2  Log-Datei
4.3  Remote-Zugriff
4.4  Ansicht der Netzwerkeinstellungen ber Remote Monitor

5.   NCP Secure Server / Secure Server Manager
5.1  Deinstallation des NCP Secure Servers
5.2  Grenbeschrnkung des IP-Headers auf 120 Bytes
5.3  Zuweisung von IP Pool-Adressen
5.4  Konfigurieren der IPSec-Kompression
5.5  Log-Anzeige des NCP Secure Server Managers
5.6  Aktivieren des Load Balance-Modus
5.7  Pool-Verwaltung
5.8  Deinstallation eines Secure Servers unter Windows NT
5.9  Installation unter dem Betriebssystem Windows 2003

6.   NCP Secure HA Server
6.1  Zur Funktion des NCP Secure High Availability Servers
6.2  Deinstallation des HA Servers
6.3  Update (HA Server Linux)

7.   NCP Secure Linux Server
7.1  Zur Neuinstallation
7.2  Automatischer Start unter RedHat
7.3  Secure Server und HA-Server auf einem System mit Fedora Core 3
7.4  Windows-Konfigurationsdateien unter Linux
7.5  Einfrieren von Linux-Systemen

8.   Secure Update Server
8.1  Zusammenspiel der Versionen des Update Servers und des Secure Clients

9.   Firewall-Einstellungen
9.1  Filterregel, die keinen automatischen Verbindungsaufbau zulsst 
9.2  Firewall und automatischer Verbindungsaufbau in der Client-Konfiguration

10.  NCP Secure Enterprise Management
10.1 Verwenden der gleichen Benutzer-ID fr verschiedene Clients
10.2 Aussteller-Zertifikat fr die Anmeldung am Management Server
10.3 Gleiche Aussteller-Zertifikate fr verschiedene Benutzergruppen 
     (PKI Plug-in)
10.4 Verzeichnisstruktur nach Update der Management Console
10.5 Zum Betrieb des Management Servers unter Linux 

11.  Web-Interface
11.1 Konfiguration von Link-Profilen mit IPSec over L2TP und L2Sec


-------------------------------------------------------------------------------
1.   NCP Secure Windows Client
-------------------------------------------------------------------------------


1.1  Betriebssysteme
-------------------------------------------------------------------------------
Enterprise Client

Die Version 8.31 und knftige Versionen des Secure Clients werden von der
Qualittssicherung nur noch fr die Windows-Betriebssysteme Windows 2000 und 
Windows XP und Windows Vista getestet. Fr Windows NT sowie Windows 98 oder 
lter kann somit keine Gewhr mehr fr die volle Funktionsfhigkeit der Client
Software bernommen werden.
 

1.2  Konfigurieren der IPSec-Kompression
-------------------------------------------------------------------------------
Secure Client (alle Versionen)

Die in der IPSec-Policy konfigurierten Verschlsselungsarten knnen nur einzeln 
komprimiert werden. Dazu muss unter die zu komprimierende Verschlsselungsart 
eine Dummy-Zeile eingefgt werden. Fr diese Zeile wird anschlieend das 
Protokoll auf "Comp" gesetzt. Die dann in dieser Zeile angezeigte IPSec-
Kompression gilt dann nur fr die Verschlsselung der darberliegenden Zeile.


1.3  Installation der Gina-DLL unter Windows 2000/XP
-------------------------------------------------------------------------------
Secure Client (Win 32/64)

Ist eine Gina-Dll eines anderen Herstellers bereits geladen, welche vor der
NCP Windows-Anmeldung gestartet wird, muss diese vor der Installation des
NCP Secure Clients deaktiviert werden. Andernfalls muss der Verweis auf die NCP-
Gina.Dll manuell im Registry-Eintrag des anderen Herstellers gendert werden.
(NCPGINAx.DLL -> NCPGINA1.Dll)
  
Achtung: Wird das System auf eine nicht vorhandene Gina-Dll verwiesen,
         kann des System nicht mehr gestartet werden (Blue Screen).


1.4  Benutzer anmelden und abmelden unter Windows 2000/XP und Vista
-------------------------------------------------------------------------------
Secure Client (Win 32/64)

1. Anmelden und Wechseln
Windows XP/Vista bietet die Mglichkeit, einen Benutzer zu wechseln. In diesem
Fall werden im Windows Start-Men entsprechend mehr Benutzer angelegt, die alle 
angemeldet sein knnen.

2. Abmelden und neuen Benutzer anmelden
Wenn sich ein Benutzer im Windows Start-Men abmeldet, und gleichzeitig war kein
weiterer Benutzer angemeldet, so wird der Benutzer-Account gelscht und nach
einem neuen Benutzer gefragt.

Bitte beachten Sie, dass die Option eines Benutzerwechsels (siehe 1.) nicht von
der NCP Secure Client Software untersttzt wird!

Abhilfe:
Ein Benutzerwechsel ist im Rahmen der An- und Abmeldeprozedur (siehe 2.)
mglich.


1.5  Das Zusatzprogramm NCP Client Tracer
-------------------------------------------------------------------------------
Secure Client (Win 32/64)

Um einen Trace protokollieren zu knnen, ist es mglich die Log-Daten des 
Zusatzprogramms NCP Client Tracer in einem Logfile zu speichern. Der Dateiname 
ist frei whlbar und trgt die Endung LOG.

Bitte beachten Sie unbedingt, dass das Trace-Programm Sie nicht informiert, wenn 
Sie eine bereits bestehende LOG-Datei berschreiben!

Whlen Sie bei der Speicherung neuer Traces unbedingt neue Namen fr die LOG-
Dateien!


1.6  Grenbeschrnkung des IP-Headers auf 120 Bytes
-------------------------------------------------------------------------------
Secure Client (alle Versionen) / Secure Server

Im Zusammenhang mit dem Kommando "ping -r" kommt es bei einer Gre des
IP-Headers ber 120 Bytes zu einem Absturz des zustndigen Dienstes
(NCPWSUP.EXE Version 5.21 NCP Secure Server, NCPRWSNT.EXE Version 7.21 NCP 
Secure Client).
Bei frheren Versionen kommt es bereits bei einer Gre des IP-Headers ber
20 Bytes zur Beendigung des zustndigen Dienstes (Server Version kleiner 5.21, 
Client Version kleiner 7.21). Versionen 5.01 und darunter (Server) sowie 7.01
und vorhergehende (Client) verursachen in diesem Fall einen Systemabsturz.


1.7  Zuweisung von IP Pool-Adressen
-------------------------------------------------------------------------------
Secure Client (alle Versionen) / Secure Server

Wenn vom NCP Secure Server keine freien Pool-Adressen mehr vergeben werden 
knnen, kann auch kein Verbindungsaufbau durch einen weiteren Client mehr 
erfolgen. Aus Sicherheitsgrnden wurde darauf verzichtet, eine entsprechende 
Meldung an den Client zu schicken, dessen Verbindungswunsch deswegen abgewiesen 
wird. Der NCP Secure Client zeigt aus diesem Grund keine Meldung zum 
Verbindungsaufbau im grafischen Statusfeld.


1.8  Feste IP-Adresse in der WLAN-Konfiguration 
-------------------------------------------------------------------------------
Secure Client

Wird in der Konfiguration der WLAN-Einstellungen innerhalb eines WLAN-Profils 
die IP-Adresse automatisch ber DHCP bezogen, so ist unbedingt darauf zu achten, 
dass nach einer nderung zu einer festen IP-Adresse das System neu gebootet 
wird. Die feste IP-Adresse aus dem "WLAN-Profil / IP-Adressen" wird sonst nicht 
vom System bernommen. Dieses Problem tritt nur unter Win2000 auf.


1.9  WLAN-Konfiguration unter Windows 2000 
-------------------------------------------------------------------------------
Secure Client 

Die Nutzung der WLAN-Profile unter Windows 2000 ist nur dann ohne Einschrnkung
mglich, wenn fr Windows das Service Pack 4.0 installiert wurde.


1.10 Automatische Medienerkennung
---------------------------------------------------------------------------
Secure Client 

Wenn Telefonbucheintrge fr die "automatische Medienerkennung" konfiguriert 
werden, ist es zwingend erforderlich, dass fr alle diese Telefonbucheintrge 
ein (NAS-)Passwort eingegeben wird, andernfalls kommt der Verbindungsaufbau 
nicht zustande.


1.11 Software Update Package
---------------------------------------------------------------------------
Secure Client 

Fr die Windows-Betriebssysteme XP 64-Bit und Vista 64-Bit stehen erst ab 
Version 9.10 Software Update Packages zur Verfgung. Voraussetzung ist die 
Version 2.02 des Secure Enterprise Managements.


1.12 Internationale Einwahl
---------------------------------------------------------------------------
Secure Client 

Sofern ein Client mit zustzlichem Verbindungs-Manager fr die internationale 
Einwahl in Betrieb ist, so muss bei einem Update auf Version 
9.0 ber das Management-System das Software Package 9.0 angepasst werden.

Dazu muss die Datei conman.dl_ als conman.dll nochmals ins gleiche Verzeichnis 
am Management-Server kopiert werden. Sie befindet sich im 
Installationsverzeichnis des Management-Servers unter 
%installdir%\client\win32\v_900_0\ncple.

Sollte der installierte Client nach einem Software Update nicht mehr gestartet 
werden knnen, weil die Umbenennung der Datei conman.dl_ versumt wurde, so muss 
die bestehende conman.dll im Installationsverzeichnis des Clients gelscht 
werden und die neue conman.dl_ als conman.dll eingespielt werden.


1.13 Anwendungsabhngige Firewall-Regel
---------------------------------------------------------------------------
Secure Client 

Wird der Secure Client (Entry/Enterprise) unter dem Betriebssystem Windows 2000
SP4 betrieben, so kann einer der nachfolgenden Patches fr dieses Betriebssystem
eine Blockade der Kommunikation innerhalb der Personal Firewall bewirken, wenn 
unter den Firewall-Einstellungen eine anwendungsabhngige Firewall-Regel 
konfiguriert wurde. D.h. die Anwendungsabhngigkeit dieser Regel wird durch die 
Funktion AllocateAndGetTcpExTableFromStack so auer kraft gesetzt, dass keine 
Anwendung mehr ber diese Regel nach auen kommunizieren kann.


1.14 Probleme im Betrieb mit AVM WLAN Stick
---------------------------------------------------------------------------
Secure Client 

Wird mit dem Enterprise oder Entry Client ein AVM WLAN Stick mit WPA2-
Verschlsselung eingesetzt, so kann es unter den Windows 64-Bit Betriebs-
systemen XP und Vista zum Einfrieren (Programmabsturz) des Client Monitors 
kommen, wenn der Verbindungsaufbau (WLAN-Strecke und VPN-Tunnel) bei aktiver 
Link Firewall mehrmals hintereinander erfolgte. Das Betriebssystem muss neu 
gestartet werden.


1.15 Update ber Netzlaufwerk
---------------------------------------------------------------------------
Secure Client 

Ein Update des Secure Clients ist mit der Option "Firewall bei gestopptem Client 
weiterhin aktivieren" (Firewall-Einstellungen / Optionen) nicht mglich. Diese 
Option muss vor einem Update zuerst deaktiviert werden. 


1.16 Fehlerhafte Registry-Eintrge
---------------------------------------------------------------------------
Secure Client 

Bei einem Update oder einer erneuten Installation knnen falsche Registry-
Eintrge zu Fehlern fhren. Die daraufhin erscheinende Meldungsbox ist mit einem 
OK zu schlieen, wodurch die Fehler behoben werden. Anschlieend muss das System 
erneut gestartet werden. Danach muss der Installations- oder Update-Vorgang 
erneut ausgefhrt werden.


1.17 Fehlerhafter Verbindungsaufbau mit WLAN-Profil
---------------------------------------------------------------------------
Secure Client 

Wird die Verbindung eines WLAN-Profils zu einem Access Point getestet indem in
schnellem Wechsel die Buttons fr Verbinden und Trennen gedrckt werden, so kann
es zu einem fehlerhaften Verbindungsaufbau kommen.




-------------------------------------------------------------------------------
2.   NCP Secure CE Client
-------------------------------------------------------------------------------


2.1  Update des NCP Secure CE Clients
-------------------------------------------------------------------------------
Secure CE Client

Soll ein Update der PC-Komponente durchgefhrt werden, so ist darauf zu achten, 
dass die Software nicht geladen ist, d.h. vorher beendet wurde.


2.2  bertragen des Telefonbuchs zum PDA
-------------------------------------------------------------------------------
Secure CE Client

Bitte beachten Sie, dass auch ein leeres Telefonbuch zum PDA bertragen werden 
kann. Auf diese Weise kann ein eventuell bereits bestehendes Telefonbuch am PDA 
gelscht werden!

Sollte whrend der bertragung des Telefonbuchs oder eines Zertifikats auf den 
PDA eine Verbindung bestehen, so wird diese ohne Vorwarnung beendet.


2.3  Einschrnkungen bei offiziellen Adress-Bereichen
-------------------------------------------------------------------------------
Secure CE Client mit RAS-Dialer

Bitte beachten Sie, dass ein Zugriff ber VPN auf Systeme mit offiziellen IP-
Adressen aus dem Bereich des gewhlten ISP, derzeit nicht mglich ist, da der 
RAS-Adapter von Microsoft diesen Zugriff direkt herstellt. Diese Einschrnkung 
gilt nur bei Benutzung des RAS-Dialers.

In einigen Fllen lassen sich diese Probleme durch Eintragung fester Routen im 
Telefonbuch unter "VPN-IP Netze" umgehen. 


2.4  Infrarotstrecke
-------------------------------------------------------------------------------
Secure CE Client

Treten fehlerhafte Verbindungen auf, so kann dies an der Infrarotstrecke liegen. 
Achten Sie deshalb darauf, dass das verwendete Handy nicht zu weit vom PDA 
entfernt ist.

Wird der PDA abgeschaltet, whrend einer bestehenden Infrarot-Modem-Verbindung, 
wird nach dem Wiedereinschalten der MS Infrarot-Stack nicht erneut 
initialisiert. Somit sind neuerliche Verbindungen ber die IR-Schnittstelle erst 
nach einem Softreset des PDA wieder mglich.


2.5  Datenaustausch zwischen PDA und PC
-------------------------------------------------------------------------------
Secure CE Client
Wenn der Verbindungsaufbau auf automatisch eingestellt ist, kann keine 
ActiveSync-Verbindung ber die USB-Schnittstelle hergestellt werden, aufgrund 
von Routing-Problemen.


2.6 Unkorrekter Verbindungsabbau
-------------------------------------------------------------------------------
Secure Entry CE Client

Wird eine bestehende Verbindung durch Ausschalten des PDAs abgebrochen, so 
treten folgende Begebenheiten auf:

- Bestand vorher eine LAN-Verbindung, dann zeigt der Client-Monitor nach dem 
erneuten Einschalten einen grnen Verbindungsbalken, als bestnde die Verbindung 
noch. Der Balken bleibt bis nach Ablauf des Timeouts erhalten. Erst danach wird 
auch optisch die Verbindung abgebaut. Sollte nach dem wieder Einschalten des 
PDAs die LAN-Karte oder das LAN-Kabel entfernt werden, so verschwindet nach ca. 
10 Sekunden auch der grne Balken.

- Bestand vorher eine Modem-Verbindung, dann zeigt der Client-Monitor nach dem 
Einschalten einen grnen Verbindungsbalken, wie bei einer bestehenden 
Verbindung. Dieser Balken bleibt bis nach Ablauf des Timeouts erhalten. Erst 
danach wird auch optisch die Verbindung abgebaut (wie bei der LAN-Verbindung). 
Sollte nach dem erneuten Wieder-Einschalten die Infrarot-Verbindung unterbrochen 
werden, so verschwindet nach ca. 10 Sekunden auch der grne Balken.


2.7  Tipps zum Einsatz des PDAs
-------------------------------------------------------------------------------
Secure CE Client

Allgemein PocketPC 2002:
Fr Infrarot-Verbindung ber NCP-Dialer die COM3 Schnittstelle verwenden 
(COM2 "IRDA Connection" funktioniert meist nicht).

MDA von T-Mobile (xda von O2 wahrscheinlich hnlich):
ber RAS-Dialer sind GSM und GPRS Verbindungen mglich, nicht aber ber den NCP-
Dialer. Als Gert "Cellular Line" verwenden.

Fr GPRS ist eine spezielle Telefonnummer ntig: 
+~GPRS!internet.t-d1.de
(Das "+~GPRS!" muss immer am Anfang stehen, dahinter steht die zu T-D1 passende 
APN.)

Der Secure CE Client funktioniert nicht zusammen mit einem Odyssey Client. Der 
Odyssey Client ist hufig auf Del-PDAs mit eingebautem wireless LAN 
vorinstalliert.


2.8  Lizenzierung
-------------------------------------------------------------------------------
Secure CE Client

Folgende Funktionen sind nur noch ab 2.0 Lizenz-Schlsseln verfgbar: 
- IPSec Tunneling
- IP-Adresse eines Update-Servers im Telefonbuch 
- EAP (auch mit V2 Schlsseln noch nicht funktionsfhig) 
- Firewall: IPNat (wenn Firewall aktiviert -> es werden immer alle Ports ein- 
und ausgehend blockiert) 

Dies uert sich so: Beim Hochladen des Telefonbuchs / der CNF-Datei werden 
alle Telefonbucheintrge durchsucht und obige Optionen OHNE Warnung deaktiviert. 


2.9  DHCP mit Pocket PC 2002 EUU3 (oder niedriger)
-------------------------------------------------------------------------------
Secure CE Client

Aufgrund des DHCP-Verhaltens des Betriebssystems Pocket PC 2002 EUU3 knnen 
folgende Fehler auftreten:
- Ist am PDA auf dem Ethernet Adapter DHCP konfiguriert und eine Verbindung mit 
Zertifikat soll hergestellt werden, so schlgt der erste Verbindungsaufbau meist 
fehl.
- Wird der Tunnelendpunkt (Ziel) als DNS-Name angegeben werden, und der Ethernet 
Adapter am PDA bezieht seine IP-Adresse ber DHCP, so kommt keine Verbindung 
zustande. (Wenn dem PDA die IP-Adresse ber DHCP zugewiesen wird, muss auch der 
DNS-Server ber DHCP mitgeteilt werden.)
Wenn eine feste IP-Adresse fr den LAN-Adapter verwendet wird, treten diese 
Probleme nicht auf.


2.10 Dummy-Adresse bei DHCP
-------------------------------------------------------------------------------
Secure CE Client

Wurde DHCP konfiguriert, erhlt der CE Client die Dummy-Adresse 
192.168.254.2, die im LAN bereits anderweitig vergeben sein kann. Ist dies der 
Fall so kommt es zu Adresskonflikten. Fhren Sie dann einen Soft-Reset durch und 
vergeben eine feste IP-Adresse fr den CE Client.


2.11 Fehler beim Austausch von Profil-Einstellungen mit und ohne NCP-Dialer
-------------------------------------------------------------------------------
Secure CE Client

Mit dem Programm NCPCONFIG.EXE kann die Untersttzung von WAN-Adaptern am PDA 
konfiguriert werden. Standardmig werden Verbindungen ber den RAS-Adapter 
aufgebaut. Der NCP(Loopback-)Adapter kann nur fr bestimmte Verbindungen genutzt 
werden (siehe -> Handbuch, Profil-Einstellungen, Grundeinstellungen) und ist 
standardmig aktiv.

Wird der NCP-Dialer fr eine Profil-Einstellung aus den bereits upgeloadeten 
Profilen am PDA nicht genutzt (wurde mit NCPCONFIG.EXE deaktiviert), und wird 
eine neue Profil-Einstellung erzeugt fr die der NCP-Dialer eingesetzt wird, so 
erscheint nach einem Upload des neuen Profils auf den PDA dort ein leeres Feld 
fr dieses Profil bei den Zieleintrgen.

Abhilfe:
Entweder NCP-Dialer aktivieren oder das Modem im Profil-Eintrag auf die RAS-
Verwendung konfigurieren.


2.12 Verbindungsabfall nach Wiedereinschalten des PDAs (nach Stromsparmodus)
-------------------------------------------------------------------------------
Secure CE Client

Wie mit einer bestehenden Verbindung nach dem Wiedereinschalten verfahren wird, 
wird ber die erweiterte Installation mit AUTOINSTALL.EXE festgelegt:
Autoinstall.exe im Installationsverzeichnis am PC aufrufen: 
autoinstall-disconnectafterpoweron 0 [oder] 1
0 = die Verbindung wird nach dem Einschalten nicht getrennt
1 = die Verbindung wird nach dem Einschalten getrennt

Nach bertragung der Registry-nderung an den PDA wird dort die entsprechende 
Einstellung vorgenommen, sofern kein DHCP auf dem NCP(Loopback-)Adapter aktiv 
ist. Standard am PDA = 1. 

Bei Schalterstellung 0 am PDA kann es (nach Ausschalten im Stromsparmodus) 
vorkommen, dass nach Wiedereinschalten des PDAs die Verbindung getrennt wird. 
Dies erfolgt aufgrund des DPD-Pollings.

Abhilfe: Ca. 30 Sekunden warten. Danach ist eine erneute Anwahl mglich und 
das DPD-Polling funktioniert wieder. Oder -
DPD in der Konfiguration der Profil-Einstellungen unter "IPSec-Einstellungen" 
ausschalten. 

2.13 Verwendung des Loopback-Adapters
-------------------------------------------------------------------------------
Secure CE Client

Bitte beachten Sie: Auf Windows CE-Gerten der PocketPC Plattform wird der 
virtuelle Netzwerkadapter "NCP Loopback" bei der Neuinstallation standardmig 
deaktiviert. Dadurch sind Profil-Einstellungen mit NCP Dialer und teilweise auch 
automatischem Modus nicht einsetzbar. Diese Profile werden am PDA nach einem 
Upload vom Configurator automatisch ausgeblendet. Dazu erscheint im Log-Fenster 
ein Text, der darauf hinweist, dass die Profile nicht kompatibel zur aktuellen 
Einstellung am PDA sind.
Der Betrieb ohne virtuellen Netzwerkadapter ist auf Gerten mit PocketPC 2003 
Phone Edition zu empfehlen.

Ist der virtuelle Netzwerkadapter "NCP Loopback" deaktiviert - was bei einer 
Neuinstallation standardmig der Fall ist - so muss bei der Erzeugung einer 
"Filter-Regel / lokal" folgendes beachtet werden:
Die Firewall blockiert die Kommunikation, sofern nicht "Alle IP-Adressen", 
unabhngig vom lokalen Netzwerkadapter, zugelassen werden . Eine "Eindeutige IP-
Adresse" oder "Mehrere IP-Adressen" aus dem lokalen Bereich kann nur verwendet 
werden, wenn der Loopback-Adapter aktiviert wird. Dies erfolgt ber das 
Konfigurationsprogramm NCPCONFIG.EXE am PDA. Das Konfigurationsprogramm befindet 
sich normalerweise im Installationsverzeichnis:
\Programme\NCP Secure CE Client\

2.14 Einsatz von Windows Mobile 5.0
-------------------------------------------------------------------------------

Der Client untersttzt auf Pocket PCs und MDA Pro von T-Mobile das Windows 
Betriebssystem Mobile 5.0. Dabei ist zu beachten, dass nur der Loopback- und 
Media-Treiber signiert ist, nicht jedoch alle anderen ausfhrbaren Dateien.
Beim MDA Pro ist das Nachfragen bei der Installation von unsignierten Dateien 
abgeschaltet. Bei anderen Herstellern knnen jedoch Message-Boxen aufgeblendet 
werden. Diese Boxen knnen geschlossen werden. Nur auf Gerten mit Two-Tier-
Sicherheitseinstellung knnen keine unsignierten Dateien ausgefhrt werden.

2.15 Firewall-Protokollierungsdatei (Entry CE Client)
-------------------------------------------------------------------------------

Die Pfadangabe fr die Firewall-Protokollierungsdatei wird ignoriert. Der PDA 
schreibt die Log-Daten immer in das Root-Verzeichnis. Die Pfadangabe fr die 
Firewall-Protokollierungsdatei wird normalerweise eingegeben im Configurator-
Men der PC-Komponente unter "Konfiguration / Firewall-Einstellungen / 
Protokollierung / Ausgabeverzeichnis fr Log-Dateien".

2.16 Betriebssysteme am PC (Entry CE Client)
-------------------------------------------------------------------------------

Die aktuelle Version und knftige Versionen der PC-Komponente des Secure CE 
Clients werden von der Qualittssicherung nur noch fr die Windows-
Betriebssysteme Windows 2000, Windows XP und Windows Vista getestet. 

Um die PC-Komponente (Configurator) unter diesen Betriebssystemen nutzen zu
knnen sind Administratorrechte ntig.

Fr Windows NT sowie Windows 98 oder lter kann keine Gewhr mehr fr die 
Funktionsfhigkeit bernommen werden.

2.17 Probleme mit ActiveSync
-------------------------------------------------------------------------------
Secure CE Client

Umgebungsbeschreibung: Der Benutzer mchte fr ein 
Konfigurations-Download eine ActivSync-Verbindung ber Bluetooth zum PC 
aufbauen. Auf diesem PC ist neben dem Configurator des CE Clients ein 
weiterer NCP Client installiert, der UDP-Prefiltering aus den Optionen 
der aktivierten Firewall nutzt.

Problem: Ist der MDA nun gleichzeitig mit einem WLAN verbunden, kann die 
ActiveSync-Verbindung ber Bluetooth mglicherweise nicht zustande kommen.

Abhilfe: Entweder WLAN-Verbindung beenden oder UDP Prefiltering am PC 
beenden.

2.18 Adresse des Tunnel-Endpunkts (Enterprise Client Symbian)
-------------------------------------------------------------------------------

Der Tunnel-Endpunkt darf im Telefonbuch des Configuration Managers nur als 
IP-Adresse angegeben werden, nicht als DNS-Name!

2.19 Name des Zielsystems (Enterprise Client Symbian)
-------------------------------------------------------------------------------

Im Namen des Zielsystems darf das Zeichen "+" nicht verwendet werden!


2.20 Keine Update-Mglichkeit zwischen Symbian Entry- und Enterprise Client
-------------------------------------------------------------------------------

Um einen Wechsel von einer auf die andere Symbian-Version durchzufhren, muss 
die installierte Software zuerst entfernt werden. Danach kann die andere Version
installiert werden.
Ansonsten erscheint eine Meldung mit "Update Error"!

2.21 Neu-Installation nach Upgrade der Firmware
-------------------------------------------------------------------------------

Nach einem Upgrade der Nokia Firmware kann der Fall eintreten, dass eine Ver-
bindung ins Internet nicht mehr mglich ist (Meldung: "unavailable connection").
Ist dies der Fall, muss die NCP Symbian Software neu installiert werden!


-------------------------------------------------------------------------------
3.   NCP Secure Linux Client
-------------------------------------------------------------------------------

Bitte beachten Sie, dass folgende Linux-Programme immer im System installiert
sein mssen:

- dhcpcd    (DHCP Client-Dmon)
- ifconfig  (Netzkonfigurations-Tool)


3.1  Kobil Kaan Reader
-------------------------------------------------------------------------------
Secure Linux Client

Die Chipkartenleser Kobil B0/B1 knnen fr den Einsatz konfiguriert werden, 
wurden jedoch nicht getestet.


3.2  Die Oberflche des Secure Linux Clients
-------------------------------------------------------------------------------
Secure Linux Client

- Der Client Monitor wird ohne Sicherheitsabfrage geschlossen, wenn er ber die
Konsole geffnet wurde und diese geschlossen wurde.
- Eine Online-Hilfe ist noch nicht implementiert.


3.3  Verbindungsaufbau (wechselnd)
-------------------------------------------------------------------------------
Secure Linux Client

Wird beim Konfigurieren des Verbindungsaufbaus (siehe -> Telefonbuch, Verbin-
dungssteuerung) der Modus von "automatisch" auf "wechselnd" gestellt und
die IP-Adressen werden nicht aus einem Adress-Pool zugewiesen, so kann zwar eine
Verbindung aufgebaut werden, es kommt jedoch keine Kommunikation zustande.

Ursache:
Das virtuelle VPN-Interface tap0 ist nicht aktiv.

Abhilfe:
Die Umkonfiguration von Verbindungsaufbau "automatisch" auf "wechselnd" muss
ber den Zwischenschritt Verbindungsgaufbau "manuell" erfolgen.

Es besteht auch die Mglichkeit mit dem Befehl "ifconfig tap0 up" das Device
manuell zu aktivieren.


3.4  Autostart-Ordner unter RedHat
-------------------------------------------------------------------------------
Secure Linux Client

Der Autostart-Ordner wird unter RedHat 8.0 / 9.0 mit Gnome nicht gefunden.
D.h. bei einem Neustart mssen Popup und Monitor von Hand gestartet werden.


3.5  Konfigurations-Update unter RedHat
-------------------------------------------------------------------------------
Secure Linux Client

Unter RedHat ist derzeit kein automatisches Konfigurations-Update des Clients
mglich.


3.6 Update von 1.0 auf 2.0
-------------------------------------------------------------------------------
Secure Linux Client

Vor einem Update des Clients von Version 1.0 auf 2.0 muss der Client vorher
deinstalliert und der PC gebooted werden. (Bei der Deinstallation bleiben 
unter SuSe 8.2 die Datei etc/rc.config.ncp und etc/rc.config, unter RedHat die
Datei etc/modules.conf.ncp stehen).




-------------------------------------------------------------------------------
4.   NCP Secure Client Manager
-------------------------------------------------------------------------------


4.1  Nutzung des NCP Secure Client Managers
-------------------------------------------------------------------------------
Secure Client Manager

Das Installationsprogramm des NCP Secure Client Managers ist bislang nur auf 
englisch!


4.2  Log-Datei
-------------------------------------------------------------------------------
Remote Monitor

Der Menpunkt "Remote-LOG"  im Remote-Monitor kann erst geffnet werden, wenn 
ber den Remote-Monitor am Client das Logbuch mindestens einmal geffnet wurde 
um die Daten einzulesen. Sonst ist er leer.


4.3  Remote-Zugriff
-------------------------------------------------------------------------------
Remote Monitor

Beim Remote-Zugriff auf den Client Version 7.20 kann die Statistik-Leiste nicht 
mit angezeigt werden (in dieser Version werden die Daten nicht komplett 
bertragen). Wenn im RAS Dialer eine nderung vorgenommen wird, erscheint nur 
die Information "Daten konnten nicht gendert werden!".


4.4  Ansicht der Netzwerkeinstellungen ber Remote Monitor
-------------------------------------------------------------------------------
Remote Monitor

Die Eigenschaften des TCP/IP-Protokolls (z.B. IP-Adresse) in den Windows 
Netzwerk-Einstellungen knnen bei einem Remote-Zugriff auf den Client-PC des 
Benutzers nicht geffnet werden, wenn der Client auf dem Betriebssystem Windows
2000 oder Windows NT installiert ist.



-------------------------------------------------------------------------------
5.   NCP Secure Server / Secure Server Manager
-------------------------------------------------------------------------------


5.1  Deinstallation des NCP Secure Servers
-------------------------------------------------------------------------------
Secure Server

Wird der NCP Secure Server deinstalliert, so erscheint ein SNMP-Fehler. Dieser 
Fehler hat keine Auswirkung auf das System.


5.2  Grenbeschrnkung des IP-Headers auf 120 Bytes
-------------------------------------------------------------------------------
Secure Server

Im Zusammenhang mit dem Kommando "ping -r" kommt es bei einer Gre des
IP-Headers ber 120 Bytes zu einem Absturz des zustndigen Dienstes
(NCPWSUP.EXE Version 5.21 NCP Secure Server, NCPRWSNT.EXE Version 7.21 NCP 
Secure Client).
Bei frheren Versionen kommt es bereits bei einer Gre des IP-Headers ber
20 Bytes zur Beendigung des zustndigen Dienstes (Server Version kleiner 5.21, 
Client Version kleiner 7.21). Versionen 5.01 und darunter (Server) sowie 7.01
und vorhergehende (Client) verursachen in diesem Fall einen Systemabsturz.


5.3  Zuweisung von IP Pool-Adressen
-------------------------------------------------------------------------------
Secure Server

Wenn vom NCP Secure Server keine freien Pool-Adressen mehr vergeben werden 
knnen, kann auch kein Verbindungsaufbau durch einen weiteren Client mehr 
erfolgen. Aus Sicherheitsgrnden wurde darauf verzichtet, eine entsprechende 
Meldung an den Client zu schicken, dessen Verbindungswunsch deswegen abgewiesen 
wird. Der NCP Secure Client zeigt aus diesem Grund keine Meldung zum 
Verbindungsaufbau im grafischen Statusfeld.


5.4  Konfigurieren der IPSec-Kompression
-------------------------------------------------------------------------------
Secure Server Manager

Die in der IPSec-Policy konfigurierten Verschlsselungsarten knnen nur einzeln 
komprimiert werden. Dazu muss unter die zu komprimierende Verschlsselungsart 
eine Dummy-Zeile eingefgt werden. Fr diese Zeile wird anschlieend das 
Protokoll auf "Comp" gesetzt. Die dann in dieser Zeile angezeigte IPSec-
Kompression gilt dann nur fr die Verschlsselung der darberliegenden Zeile.


5.5  Log-Anzeige des NCP Secure Server Managers
-------------------------------------------------------------------------------
Secure Server Manager

Die Anzeige der Fehler im Error-Log des NCP Server-Managers erfolgt erst nach 
einem wiederholten ffnen des Error-Logs.


5.6  Aktivieren des Load Balance-Modus
-------------------------------------------------------------------------------
Secure Server

Nach Aktivieren des Modus fr Load Balancing muss das Gateway zwei Mal gebootet
werden, damit dieser Modus aktiv wird!


5.7  Pool-Verwaltung
-------------------------------------------------------------------------------
Secure Server

Wenn alle Adressen eines IP-Pools fr Verbindungen bereits vergeben sind, drfte 
es fr einen Client, dessen Link-Profil auf denselben IP-Pool verweist, nicht 
mglich sein, eine Verbindung zum Secure Server aufzubauen. Dies ist jedoch 
nicht der Fall. Fr die berzhlige Verbindung erhlt der Client statt dessen 
eine Adresse, die nicht im Bereich des konfigurierten Pools liegt, sodass eine 
"fehlerhafte" Verbindung zustande kommt, ber die kein Datenaustausch mglich 
ist.


5.8  Deinstallation eines Secure Servers unter Windows NT
-------------------------------------------------------------------------------
Secure Server

Vor der Deinstallation muss der Dienst snmp.exe gestoppt werden, da ansonsten 
die Fehlermeldung erscheint: "SNMP.exe hat Fehler verursacht und wird 
geschlossen. Starten Sie das Programm neu".


5.9  Installation unter dem Betriebssystem Windows 2003
-------------------------------------------------------------------------------

Soll der Secure Server unter dem Betriebssystem Windows 2003 installiert werden, 
so deaktivieren Sie bitte vorher den Dienst "IPSec Driver" manuell, da dieser 
Dienst ansonsten nach einem Booten eine Fehlermeldung am Bildschirm erzeugt, die 
manuell beendet werden muss. 

Die Funktion "System / System booten" im Men des Server Managers kann unter 
Windows 2003 nicht genutzt werden.


-------------------------------------------------------------------------------
6.   NCP Secure HA Server
-------------------------------------------------------------------------------


6.1  Zur Funktion des NCP Secure High Availability Servers
-------------------------------------------------------------------------------
Secure HA Server

Wird der NCP HA Server im Failsafe-Modus betrieben und fllt das erste Gateway 
aus, so werden alle Verbindungen auf das zweite Ersatz-Gateway umgeleitet. Wird 
nun das erste Gateway wieder in Betrieb genommen, so werden automatisch vom HA 
Server alle Verbindungen zum zweiten Ersatz-Gateway wieder abgebaut, um sie bei 
einer erneuten Einwahl wieder auf das erste Standard-Gateway leiten zu knnen. 
Dies bedeutet fr einen Client, der eine Verbindung zum zweiten Ersatz-Gateway 
unterhlt, dass bei einer erneuten Inbetriebnahme des ersten Gateways diese 
Verbindung zum Ersatz-Gateway ohne ersichtlichen Grund getrennt wird, und dass 
sich der Client anschlieend erneut anwhlen muss.


6.2  Deinstallation des HA Servers
-------------------------------------------------------------------------------
Secure HA Server

Nach der Deinstallation des HA Servers erfolgt eine Abfrage, ob gemeinsam 
benutzte Dateien gelscht werden sollen (Remove Shared File). Diese Dateien 
sollen nicht gelscht werden, wenn noch ein anderes NCP-Produkt auf dem Computer 
installiert ist.

6.3  Update (HA Server Linux)
-------------------------------------------------------------------------
HA Server Linux

Ein Update einer Version < 1.07 auf die Version 1.07 ist derzeit nur nach
Anfrage mglich.


-------------------------------------------------------------------------------
7.   NCP Secure Linux Server
-------------------------------------------------------------------------------

7.1  Zur Neuinstallation
-------------------------------------------------------------------------------
Secure Linux Server

Nach Neuinstallation und erstmaligem Start des Servers wird bei Verbindungs-
aufbau die konfigurierte Pool-Adresse nicht an den Client bermittelt. Nach
einem Neustart der Server-Dienste (rcncpsvr) ist dieser Fehler behoben.

7.2  Automatischer Start unter RedHat
-------------------------------------------------------------------------------
Secure Linux Server

Automatischer Start unter Red Hat 7.3 schlgt fehl. Auch bei positiv 
beantworteter Frage nach dem automatischen Start des NCP Secure Servers nach dem 
Booten, muss der Dmon "ncpsnmpd" nach jedem Neustart von Hand gestartet werden.


7.3  Secure Server und HA-Server auf einem System mit Fedora Core 3
-------------------------------------------------------------------------------
Secure Linux Server

Wird der Secure Server gleichzeitig mit einem HA-Server auf einem Fedora-System 
eingesetzt, so sollte der Dienst srvrsud (zustndig fr Updates) im Start-Script 
auskommentiert werden. Dadurch wird verhindert, dass nach einem Boot-Vorgang bei 
einem unsauberen Start des srvrsud-Dienstes der ncpdved-Dienst (zustndig fr 
den HA-Server) nicht gestartet wird.


7.4  Windows-Konfigurationsdateien unter Linux
-------------------------------------------------------------------------------
Secure Linux Server

Die Konfigurationsdateien eines Secure Servers unter Windows knnen auch unter 
Linux verwendet werden. Dazu werden die Konfigurationsdateien von vpnpki.cfg, 
vpngw.cfg, vpnlink.cfg, ipsec.cfg auf dem Linux Server unter etc/ncp/vpn/cfg als 
vpnpkix.cfg, vpngwx.cfg, vpnlinkx.cfg, ipsecx.cfg eingespielt.

Ausgenommen ist die Konfigurationsdatei vpnadmins.cfg! Wird diese Datei unter 
Linux verwendet, so ist eine Anmeldung am Server ber den Server Manager nicht 
mehr mglich!

Wird der Secure Server unter Linux ohne vpnadmins-Datei gestartet, so wird diese 
Datei neu gebildet. Die Administrator-Verwaltung fr den Server unter Linux muss 
dann neu konfiguriert werden.


7.5  Einfrieren von Linux-Systemen
-------------------------------------------------------------------------------
Secure Linux Server

Linux-Systeme mit Kernelversion 2.6.11-4-smp (SuSE 9.3 basiert unter anderem 
darauf) knnen unter bestimmten Umstnden vollkommen einfrieren.

Dieser Zustand tritt unter Last auf, nachdem ein Datenpaket aus dem User-Space 
an das Kernelmodul netfilter ber das Interface ipqueue bergeben wird.
Das o.g. Problem wurde mit Kernel 2.6.11-4-smp festgestellt, es ist durchaus 
mglich, dass auch weitere Kernel dieses Verhalten zeigen.

Lsung:
Es muss eine andere Kernelversion verwendet werden. Mit Version 2.6.13-4-smp 
konnte das oben beschriebene Verhalten nicht mehr nachvollzogen werden.


-------------------------------------------------------------------------------
8.   NCP Secure Update Server
-------------------------------------------------------------------------------

8.1 Zusammenspiel der Versionen des Update Servers und des Secure Clients

Der Secure Client der Version 8.10 kann in einem beliebigen 
Installationsverzeichnis installiert werden (instdir). ltere Versionen wurden 
immer im Windows-Verzeichnis ncple installiert, und entsprechend waren auch die 
Komponenten des Update Servers < 2.05 und des rwsrsu-Dienstes ausgelegt.

Wird nun die aktuelle Client Software der Version 8.10 mit einer lteren Version 
des Update Servers als 2.05 verwendet, und wurde die Client Software in einem 
beliebigen instdir installiert, so kann die Update-Funktionalitt nicht mehr 
genutzt werden. 


-------------------------------------------------------------------------------
9.   Firewall-Einstellungen
-------------------------------------------------------------------------------

9.1  Filterregel, die keinen automatischen Verbindungsaufbau zulsst 

Wird in der Firewall eine Regel generiert, die einen automatischen 
Verbindungsaufbau ausschliet, dann knnen ber eine Verbindung vom Client zur 
Gegenstelle keine Daten flieen, wenn im Telefonbuch (Profil-Einstellungen) des 
Clients unter der Rubrik "Verbindungssteuerung" die Art des Verbindungsaufbaus 
auf "automatisch" oder "wechselnd" gesetzt wurde.

Abhilfe: Entweder Firewall-Regel dahingehend ndern, dass der automatische 
Verbindungsaufbau nicht ausgeschlossen wird, oder in der Client-Konfiguration 
"manuellen" Verbindungsaufbau einstellen.

9.2  Firewall und automatischer Verbindungsaufbau in der Client-Konfiguration

Wird in der Firewall eine Regel generiert, die nur Datenverkehr ber "bekannte" 
Netze und/oder VPN-Netze zulsst, so kann kein automatischer Verbindungsaufbau 
erfolgen, auch wenn dies in der Konfiguration des Clients (Telefonbuch, Profil-
Einstellungen) unter der Rubrik "Verbindungssteuerung" so eingestellt wurde.

Abhilfe: Entweder in der Firewall-Regel auch den Datenverkehr ber "unbekannte 
Netze" zulassen, oder in der Client-Konfiguration den Verbindungsaufbau auf 
"manuell" setzen.


-------------------------------------------------------------------------------
10.  NCP Secure Enterprise Management
-------------------------------------------------------------------------------

10.1 Verwenden der gleichen Benutzer-ID fr verschiedene Clients

Soll die Client Software fr verschiedene Betriebssysteme so vorkonfiguriert 
werden, dass sie von einem Benutzer unter verschiedenen Betriebssystemen 
eingesetzt werden kann, so kann fr die betriebssystemspezifischen Varianten
(z.B. Windows, Windows CE und Linux) des Produkts (z.B. Enterprise Client)
die gleiche Benutzer-ID verwendet werden. Bei nachfolgenden Konfigurations-
nderungen oder Updates werden die entsprechenden Client-Konfigurationen 
gleichzeitig vollzogen.

Soll die gleiche Benutzer-ID fr verschiedene Produktversionen (z.B. GovNet 
Client und Enterprise Client) innerhalb eines Betriebssystems verwendet werden,
dann stellen sich Fehler im Managementsystem ein.


10.2 Aussteller-Zertifikat fr die Anmeldung am Management Server

Zur Anmeldung am Management Server ber die Console knnen Zertifikate genutzt 
werden. Die Konfiguration fr das Benutzer-Zertifikat erfolgt ber das Men der 
Console unter "Einstellungen / SSL-Konfiguration". Fr die Authentisierung ist 
auf der Server-Seite das entsprechende Aussteller-Zertifikat erforderlich. Die 
Pfadangabe fr dieses Aussteller-Zertifikat muss in der Datei ncprsu.conf 
korrekt eingetragen sein. Die Datei ncprsu.conf befindet sich am Management 
Server unter Programme\ncp\ncpmgmsrv.


10.3 Gleiche Aussteller-Zertifikate fr verschiedene Benutzergruppen (PKI Plug-
in)

Werden gleiche Aussteller-Zertifikate mehrmals fr verschiedene Gruppen jeweils 
separat importiert, knnen Fehler entstehen. Aussteller-Zertifikate, die fr 
mehrere Benutzergruppen auf der gleichen Ebene der Gruppenhierarchie eingesetzt 
werden sollen, mssen in der nchsthheren Benutzergruppe importiert und an die 
entsprechenden Untergruppen vererbt worden sein. 


10.4 Verzeichnisstruktur nach Update der Management Console

Wurde mit dem PKI Management Plug-in der Console Version 1.04 ein Profil 
angelegt, dessen P12-Zertifikate im Installationspfad der Console Software 
gespeichert werden (z. B. unter C:\Program Files\NCP\Mgm Console\DEMOCA\CERTS), 
so ist darauf zu achten, dass nach einem Update der Management Console auf 
Version 2.00 der Pfad in dem verwendeten Profil entsprechend gendert werden 
muss nach:
C:\Documents and Settings\Admin\Application Data\NCP\Mgm Console\DEMOCA\CERTS
Nur dann kann mittels dieses Profils ein P12-Zertifikat erstellt und gespeichert 
werden.


10.5 Zum Betrieb des Management Servers unter Linux 

Der Secure Enterprise Management Server kann unter Linux nur gestartet werden, 
wenn je nach Linux-Version folgende Software-Pakete installiert wurden:
- unter Red Hat Enterprise Server 5: das Paket compat-libstdc++-296-2.96-138.i386.rpm.
- unter Ubuntu 6.06 - 7.10: das Paket libstdc++2.10-glibc2.2
- unter Ubuntu 8.04: das Paket libstdc++2.10-glibc2.2 aus der Ubuntu Version 7.10.


-------------------------------------------------------------------------------
11.  Web-Interface
-------------------------------------------------------------------------------

11.1 Konfiguration von Link-Profilen mit IPSec over L2TP und L2Sec
-------------------------------------------------------------------------------

Soll ein Link-Profil mit IPSec over L2TP konfiguriert werden, so muss der Secure 
Server Manager oder das Secure Enterprise Management eingesetzt werden. Eine 
Konfiguration ber das Web-Interface ist derzeit noch nicht mglich. Die 
Konfiguration eines L2Sec-Links wird im Web-Interface falsch angezeigt.


===============================================================================
NCP engineering GmbH,
18.12.2008