s.k.

Hallo Nils,

Hallo Jan,

 

besten Dank für Eure schnellen und kompetenten Antworten!

Das hat mir sehr geholfen, einen schnellen EInstieg zu finden. Seit ca. 2006 bin ich eigentlich nur noch in der Netzwerkschiene unterwegs gewesen und hatte seither kaum noch Updates in Sachen MS - weder technisch noch lizenzrechtlich. Bei beidem hat sich die Welt aber offenkundig erheblich weitergedreht. EIn guter Anlass, mich mal wieder auch in diesem Bereich etwas näher an den aktuellen Stand zu bringen.

Habe zwischenzeitlich auch Zugriff auf unser VLSC und werde unsere Vorhaben und Anforderungen mit dem zuständigen LAR/LSP besprechen. Da wird dann alles ordnungsgemäß lizensiert.

Nach heutiger Abstimmung mit zwei Carriern sieht es übrigens ohnehin so aus, als ob wir auf den TS verzichten und Fatclients einsetzen könnten, weil wir voraussichtlich für vergleichsweise schmales Geld (sogar wegeredundante) Dark-Fiber bekommen können. Das löst dann auch ein paar andere Probleme gleich mit. :-D

 

Danke und Gruß

Steffen

Hallo allerseits,

 

 

[Vorwort/Einleitung]

im Moment rollt bei uns ein Projekt, in welches ich (Mitarbeiter der internen IT-Abteilung einer Kommunalverwaltung) erst seit kurzem involviert bin (wie so oft, sind wir erst nachträglich/zu spät einbezogen worden). Das Vorgehen im Rahmen dieses Projektes muss ich einerseits inhaltlich und finanziell bewerten und kann ich andererseits in gewissen Grenzen noch in die eine oder andere Richtung steuern. Die Schwierigkeit besteht darin, (sehr) kurzfristige Funktionsanforderungen im Wege einer noch auszugestaltenden Interimslösung mit einer Migrationsplanung für das Jahr 2019 in Einklang bringen zu müssen. Inhaltlich und organisatorisch gibt es je nach gewählter Interimslösung halt Vor- und Nachteile - das ist aber nicht Teil dieses Threads. Mir geht es hier darum, eventuelle Fallstericke des Lizenzrechts zu erkennen und diese in die Entscheidungsfindung einfließen lassen zu können. Oder mit anderen Worten: Ich möchte einerseits sicherstellen, dass es zu keiner Unter- oder Fehllizensierung kommt und andererseits natürlich auch Doppel- oder Überlizensierung vermeiden.

Da ich mich mit dem Lizenzrecht nicht in der Tiefe auskenne, bitte ich Euch um entsprechende Hilfestellung.

 

 

[Fallgestaltung/Sachverhalt]

Es gib einen separaten Betriebsteil der Behörde, der aufgrund seiner Anforderungen hinsichtlich der zeitlichen Verfügbarkeit des IT-Personals nicht von der internen IT-Abteilung, sondern von einem externen Dienstleister betreut wird.

Hier läuft derzeit ein einzelner physischer Host mit VmWare ESXi und darauf mehrere virtuelle Windows-Server - unter anderem ein Fileserver und ein DB-Server (derzeit noch Oracle).

Diese virtuellen Windows-Server sind derzeit per Einzellizenz über den Select-Vertrag der Behörde lizensiert.

 

In 2019 wird dieser physische Host ersetzt. Dann wird eine HA-Lösung mit 2 physischen Nodes und VwWare ESX mit Virtual Center implementiert. Als DB soll dann wohl auch auf MS-SQL umgestellt werden, da Oracle in diesem Umfeld sonst wohl lizenztechnisch zu teuer würde.

 

Bereits in 2018 soll jedoch einer anderen Behörde Zugriff auf das eingesetzte Fachverfahren und die Datenbank gegeben werden. Hierzu wird ein Site-to-Site-VPN aufgebaut und ein MS-Terminalserver bereitgestellt werden, welcher von der anderen Behörde quasi als abgesetzter Client ferngesteuert wird. Der Terminalserver soll (nach jetziger Planung) nicht Teil der internen Domäne des Standortes sein, sondern in einer DMZ (VLAN) isoliert bzw. reglementiert als Einzelserver betrieben werden. Es handelt sich vorerst um bis zu 3 parallele TS-Sessions/Nutzerzugriffe.

 

Der externe Dienstleister hat hierfür folgendes angeboten/vorgeschlagen:

- Aufrüstung des vorhandenen Hosts mit Arbeitsspeicher

- Erweb einer OEM-Lizenz für MS Terminalserver mit 5 Usern

- Installation des TS als VM auf dem vorhandenen ESXi (mit derzeit einem Node)

 

Die Kosten für die Aufrüstung des vorhandenen Hardwareservers sind nicht ganz unerheblich und es wiederstrebt mir, diese für ein System zu investieren, welches nur noch ca. 12 Monaten in Betrieb sein wird. Auch würden wir gerne unnötige Downtime vermeiden.

Deshalb ist die Überlegung, den Terminalserver übergangsweise auf dem VM-Ware-Cluster der Kommune zu hosten, bis dieser 2019 auf das neue System des betreffenden Betriebsteiles umziehen kann. Technisch wäre dies problemlos machbar.

Der VmWare-Cluster der Kommune besteht aus 8 Hardwarenodes und ist hinsichtlich der MS-Server per Selectvertrag über entsprechende Datacenter-Lizenzen ablizensiert.

 

 

[Zusammenfassung der Handlungsalternativen]

Variante 1)

- Aufrüstung des Speichers des 1-Node-ESXi in 2018

- hierauf Installation eines MS-TS; lizensiert als OEM-Version für 5 User

- 2019 Umzug der TS-VM auf ein neuen 2-Node-ESX

 

Variante 2)

- Installation des MS-TS auf dem vorhandenen 8-Node-ESX der Kommune

- Lizensierung des TS entsprechend den Erfordernissen

- 2019 Umzug der TS-VM auf ein neuen 2-Node-ESX

 

 

[Fragen]

Für mich ergeben sich folgende lizenzrechtliche Fragen, deren Beantwortung ich mir hier erhoffe...

 

1) Beeinhaltet die OEM-Lizenz des TS auch den "Basis-Server" oder muss der zusätzlich lizensiert sein/werden? Gleiches gilt für die Cals.

2) Ist die OEM-Lizenz des TS ausreichend in der 1-Node-Umgebung?

3) Ist die OEM-Lizenz des TS ausreichend in einer Mehrfach-Node-Umgebung? Stichwort: Lizenzmobilität zwischen den Nodes?

4) Ergibt sich beim Umzug der vorhandenen virtuellen Windows-Server von der jetzigen Single-Host-Plattform hin zur 2-Node-HA-Plattform im Jahr 2019 in dieser Hinsicht ein veränderten Lizenzbedarf?

5) Wie ist 2019 der MS-SQL-Server zu lizensieren?

 

Dann doch noch zwei technische Fragen:

6) Ist es möglich, den TS als Einzelserver (ohne Domäne) zu betreiben?

7) Kann der Lizenzserver in diesem Fall direkt auf TS direkt sein? Wenn nein:  könnte er auf einem anderen Server sein, der Mitglied einer Domäne ist, die der TS selbst nicht angehört?

 

Sollte ich weitere sich daraus ergebende Fragestellungen bisher nicht identifiziert haben, bitte ich ebenfalls um entsprechenden Hinweis.

 

 

Danke und Gruß

sk

http://www.administrator.de/frage/vlan-konfiguration-netgear-switch-153673.html#comment-607552

Hallo,

 

ja der Switch hat offenkundig einen Speicherfehler und sollte daher produktiv nicht mehr eingesetzt werden, da zumindest mit Instabilitäten zu rechnen ist.

Dass Deine VLANs nicht funktionieren dürfte aber eher daran liegen, dass Du das Funktions- und Konfigurationsprizip dieses Switches noch nicht durchschaut hast.

Wenn ich Deine Ausführungen richtig verstanden habe, möchtest Du mehrere Securityzonen ("DMZten") auf dem selben Switch abbilden - den großen Switch also virtuell in mehrere kleinere Switche teilen. In den DMZten stehen jeweils einzelne oder mehrere Server, die sich innerhalb der gleichen Sicherheitszone/DMZ durchaus untereinander erreichen können sollen. Zonenübergreifend erfolgt die Kommunikation jedoch über eine Firewall und wird dort entsprechend beregelt. Offenkundig hat diese Firewall auch genügend physische Interfaces, um jeder Sicherheitszone ein dediziertes Interface zuweisen zu können. Soweit richtig?

Dann hier ein Beispiel:

Angenommen Du hast die Sicherheitszonen DMZ10 und DMZ20, welche Du auf die VLANs 10 und 20 abbilden möchtest. VLAN10 umfasst die Switchports 10-19 und VLAN20 die Switchports 20-29. An dem ersten Port hängt jeweils die Firewall mit einem dedizierten Interface und an den restlichen Ports jeweils bis zu 9 Server.

In diesem Szenario sind alle Ports untagged im jeweiligen VLAN. Auch die Firewallports. Tagging findet ausschließlich switchintern - nicht jedoch zu den angeschlossenen Devices hin statt.

Dies konfiguriert man folgendermaßen:

Unter "VLAN" > "IEEE 802.1Q VLAN" werden die jeweiligen VLANs angelegt sowie die Portmitgliedschaft und das Taggingverhalten für den _ausgehenden_ Traffic festgelegt.

Hier konkret:

VAN 10 = Port 10-19 untagged, alle anderen Ports "not Member"

VAN 20 = Port 20-29 untagged, alle anderen Ports "not Member"

Bis hierhin hast Du dies vermutlich auch korrekt eingerichtet gehabt. Wahrscheinlich war Dir aber nicht bewusst, dass dies nur die "halbe Miete" ist, denn neben der Zuordnung der VLANs zu den Ports hast Du dem Switch hiermit lediglich mitgeteilt, dass er die Frames auf diesen Ports ohne VLAN-Tag ausgeben soll. Was Du ihm an dieser Stelle noch nicht gesagt hast ist, in welches VLAN der Switch solchen Traffic stecken soll, der auf diesen Ports ohne explizite Kennzeichnung (also ohne VLAN-Tag / "untagged") _eingeht_!

Dieser Konfigurationsschritt erfolgt unter dem Punkt "Port Configuration" in der Spalte PVID.

Hier konkret:

Port 10-19 = PVID 10

Port 20-29 = PVID 20

Standardmäßig steht hier jeweils das Default-VLAN 1 drin. Weshalb der Switch _eingehenden_ Traffic ohne explizites Tag auch dann noch in das VLAN1 schiebt, wenn die Ports _egress_ in einem anderen VLAN auf untagged gesetzt sind!

 

Anders als bei einigen anderen Herstellern, die dem Admin das Denken abnehmen, lässt es Zyxel (und auch viele andere Hersteller) durchaus zu, dass ein Port _ausgehend_ in mehreren VLAN untagged Member sein kann. Nur _eingehend_ ist es der Natur der Sache nach eine 1-zu-1-Beziehung. Dieses Verhalten entspricht durchaus dem normierten Standard und erlaubt es unter anderem, sog. "asymmetrische VLANs" zu konfigurieren.

 

Dann noch ein Wort zu Deinem Autonegotiation-Problem: Dass der Switch auf 100MBit/s runterschaltet, wenn Du nur die andere Seite fest einstellst, ist kein Fehlverhalten des Switches sondern standardkonform. Ein Gerät, welches auf Autonegotiation eingestellt ist und bei der Aushandlung auf eine Gegenstelle trifft, die nicht verhandelt, schaltet dem Standard entsprechend auf 100 MBit/s Halfduplex herunter. Nicht standardkonform verhält sich bestenfalls die NIC des Servers, denn bei Gigabit Ethernet ist das Anbieten von Autonegotiation eigentlich Pflicht. Selbst wenn man im Treiber fest Gigabit einstellen kann, sollte dies eigentlich so implementiert sein, dass die Karte dennoch Autonegotiation macht, sich aber nur auf Gigabit einigt. Leider hält sich da aber nicht jeder Hersteller dran. 

 

Gruß

sk

Hi,

wie es zu konfigurieren ist, hängt von den eingesetzten Routern ab und nicht selten gibt es auch verschiedene Wege mit unterschiedlichen Vor- und Nachteilen. Hier ein Konfigurationsbeispiel für eine ZyWALL USG: http://www.studerus.ch/de/support/knowledgebase/detail/3168

Auf jeden Fall empfiehlt es sich, auf beiden Seiten die Systeme des selben Herstellers einzusetzen.

 

Gruß

sk

Mach Dir da nicht so viele Gedanken drum. Sofern nicht bereits auf Layer2 Mechanismen zur Flusskontrolle greifen, sorgt spätestens TCP dafür, dass keine Pakete verloren gehen und der Sender nicht schneller sendet, als der Empfänger es verarbeiten kann.

 

Gruß

sk

Noch eine Rückmeldung von mir:

Der aufgezeigte Weg funktioniert leider NICHT. Auch ein Austausch des Schlüssels mit slmgr.vbs geht nicht.

Möglich ist ein Upgrade durch Drüberinstallieren. Dabei wird ein neues Windows-Verzeichnis erstellt und das alte umbenannt. Die Treiber werden dabei übernommen. Das alte Verzeichnis lässt sich leider nicht komplett löschen - belegt also weiterhin reichlich Platz. Das ganze System lief danach auch deutlich weniger performant.

Der Einsatz der Enterprise-Version scheint also mehr oder minder zwingend eine komplette Neuinstallation vorauszusetzen.

 

Gruß

sk

http://de.wikipedia.org/wiki/Provider_Independent_Address_Space

Es geht um Applocker.  -> Enterprise

In der Systemsteuerung -> Features zu Windows 8 hinzufügen. Dort den Key eingeben.

 

Super. Vielen Dank!

 

Gruß

sk

Hallo,

 

wir haben für eine Schule einen Infocus Bigtouch 55 Zoll mit vorinstalliertem Win8 pro erworben. Das System soll in die Domäne aufgenommen werden und es soll u.a. Applocker genutzt werden. Für letzteres benötigen wir nach meinem Kenntnisstand Windows 8 Enterprise. Der Lizenzerwerb ist kein Problem - wir haben eine Software Assurance nachgekauft.

 

Ich würde jedoch gern auf eine Neuinstallation des Systems verzichten - zum einen der Arbeit wegen und zum anderen, weil weder Installationsmedien/Treiber-CDs mitgeliefert wurden, noch diese auf der Homepage heruntergeladen werden können.

Deshalb die Frage: Kann man die bereits aktivierte Win8pro-Installation durch einfaches Neueingeben des Enterprise-MAK-Schlüssels ohne Neuinstallation auf die Enterprise-Version anheben?

 

Falls relevant: Der Win8pro-Key scheint nicht ins BIOS des Bigtouch integriert zu sein. Er befindet sich auf einem klassischen COA-Aufkleber auf der Rückseite des Gerätes und musste vor Aktivierung von Hand eingegeben werden.

 

Danke und Gruß

sk

Die neueren SFPs die ich so kennen hatten bisher alle LC. ST gibt es noch vereinzelt, ist aber relativ selten.

 

Es gibt keine SFPs mit ST-Anschluß. Das ist rein von den physischen Abmessungen her nicht möglich. Es gibt natürlich (ältere) Modultypen, die größer sind (Z.B. X2 oder GBIC) und damit genügend Raum für ST bieten würden. Die haben aber in der Regel SC. ST habe ich da noch nie gesehen. Wäre aufgrund des Bajonettverschlusses auch sehr unpraktisch. Möglicherweise gab es mal Switche mit fest verbauten ST-Anschlüssen - das will ich nicht ausschließen, aber auch das wäre für die Steckerart bzw. den Buchsentyp am Patchfeld letztlich völlig unrelevant, denn man kann sich Patchkabel mit allen erhältlichen Steckerkombinationen anfertigen lassen. Relevant wäre der Anschlußtyp am Modul/Switch nur dann, wenn man direkt mit dem Stecker der LWL-Strecke auf das Modul/den Switch konnektieren würde, statt die passive Strecke zunächst auf einem Patchfeld mit Durchführungskupplungen abzuschließen. Aber das machen nur Amateure.

 

Gruß

sk

Jetzt meine Frage, ich werde moderen Switche installieren müssen, welche wir mit anderen LWL Kabel anschliessen müssen.

Wird die Hausverkabelung dennoch nur 100 Mbits hergeben, oder liegt die Begrenzung nur an den Switches / LWL-Stecker.

 

Das hängt von der Länge des Kabels, der Faserqualität, dem Zustand der Fasern und der Steckeroberflächen sowie von den verwendeten Transceivern ab.

Mit 10GBASE-LRM-Modulen kannst Du da sogar 10 Gigabit/s über Entfernungen bis zu 220m fahren!

 

Wenn keine Dokumentation mehr vorhanden ist, lässt sich die Kabellänge anhand der lfd.Meter-Aufdrucke auf dem Kabelmantel ermitteln. Am besten wäre es, die Kabel neu durchmessen zu lassen.

 

Können die ST-Stecker noch weiterhin benutzt werden oder müssen die Anschlüsse in den Racks auch modernisiert werden?

 

Die können wahrscheinlich bleiben - zumindest wenn Dir 1GB/s pro Link genügt. Genaueres weiss man, wenn die Steckeroberflächen per Videomikroskop inspiziert und eine Messung durchgeführt wurde. Auf jeden Fall sollten die Steckeneroberflächen gereinigt werden. Außerdem solltest Du darauf achten, 62,5µm-Patchkabel und geeignete Transceiver zu verwenden.

Wenn Du allerdings auf 10GBit/s gehen möchtest, solltest Du neue Pigtails mit HRL-Steckern anspleissen lassen.

 

Gruß

sk

Hallo,

 

 

Ich würde gerne auch aufgrund unseres Umbau´s mehrere WLAN Access Point´s dran hängen. Im Moment habe ich eine Fritzbox als Router mit WLAN laufen... Also nix besonderes.

 

Über wieviele Accesspoints sprechen wir? Welche Fläche bzw. örtliche Gegebenheit soll abgedeckt werden? Wieviele Clients sind parallel eingeloggt? Sind das "managed Clients" oder BYOD?

 

 

Wichtig wäre mir ein Kennwort für alles.

 

Was ist damit gemeint? Einfach der selbe PSK auf allen Accesspoints oder geht es um Single SingOn (Anmeldung am WLAN mit den Anmeldeinformationen der Domäne?

 

 

Kann man da mit Free Radius oder den Boardmitteln von Windows was anfangen?

 

Du benötigst (falls überhaupt) keinen Radius-Server eines Drittanbieters. Beim Server 2008 ist der sog. NPS-Dienst dabei.

 

 

Gruß

Steffen

Nein, nicht ohne Routing.

 

falsch

Mikrotik!

http://wiki.mikrotik.com/wiki/Port_Knocking

http://mum.mikrotik.com/presentations/US10/discher.pdf

 

Gruß

sk

Was soll dadurch eigentlich erreicht werden? sind VLANs eventuell eine Möglichkeit?

 

Es geht hier nur um Zahlenspielerei im Rahmen einer Übungsaufgabe.

 

 

@complexx:  Weitere Möglichkeiten, das /23-Netz "rückstandfrei" in 5 Teilnetze aufzuteilen, wären:

- 3x /25 + 2x /26

- 1x /24 + 1x /25 + 1x /26 + 2x /27

 

Möglicherweise gibt es noch weitere Kombinationsmöglichkeiten - das habe ich mir nicht weiter durchdacht.

 

Normalerweise ist in der Prüfung nur eine bestimmte Kombination gesucht. Daher gibt es in der Aufgabenstellung in der Regel weitere Kriterien wie "alle Netze müssen mind. XXX Hosts fassen können" oder "ein Netz muss mind. XXX Hosts und die restlichen mind. YYY Hosts fassen können". Solche Aufgabenparameter wurden von Dir allerdings nicht wiedergegeben...

 

Gruß

sk

ja also in der aufgabenstellung steht:

Der Netz 10.0.0.0/23 soll in 5 Subnetze aufgeteilt werden, dass keine freien IP Bereiche existieren

ich hab irgendwo auch gelesen, dass "Statt 5 Subnetze muss man 8 nehmen"

 

Um mind. 5 Netze abbilden zu können, benötigt man 3 Bits als Netzmaske, denn 2^2=4 und 2^3=8. Bei 3 Bits hättest Du also 8 gleich große Teilnetze. Laut Aufgabenstellung soll jedoch kein freier IP-Bereich entstehen. Es sollen zwingend 5 Teilnetze werden!

 

Die richtige Lösung wäre daher, das /23-Netz zunächst in 2 Netze zu teilen und eines davon wiederum in 4 gleich große Teilnetze zu zerlegen (oder 8 Teilnetze zu bilden und 4 davon wiederum zu einem Netz zusammenzufügen - je nach persönlicher Denkweise):

1. Netz: /23 + /1 = /24 (weil 2^1=2)

2.-5. Netz: /23 + /1 = /24 (siehe oben) + /2 = /26 (weil 2^2=4)

 

Im Ergebnis:

 

1. Netz: 10.0.0.0/24 

Netzadresse=10.0.0.0 (das weiss man auswendig, weil es die Oktettgrenze zwischen 3. und 4. Oktett ist)

Broadcastadresse=10.0.0.255 (man weiss auswendig, dass ein /24-Netz 256 IP-Adressen fasst)

 

2. Netz: 10.0.1.0/26

Netzadresse=10.0.1.0 (eine IP über der BC-Adresse von Netz 1)

Broadcast-Adresse: 10.0.1.63 (ein /26-Netz enthält 256/4=64 IPs)

 

3. Netz: 10.0.1.64/26

Netzadresse=10.0.1.64 (s.o.)

Broadcast-Adresse: 10.0.1.127 (s.o.)

 

4. Netz: 10.0.1.128/26

Netzadresse=10.0.1.128 (s.o.)

Broadcast-Adresse: 10.0.1.191 (s.o.)

 

5. Netz: 10.0.1.192/26

Netzadresse=10.0.1.192 (s.o.)

Broadcast-Adresse: 10.0.1.255 (s.o.)

 

Die Subnetzmaske der /26-Netze lautet in Dezimalschreibweise 255.255.255.192 (256-64=192).

Die von einem /24-Netz kennt man wiederum auswendig.

 

Gruß

sk

...in jedem Stockwerk existiert nur jeweils eine tae-Dose. Speedport mit Wlan steht im Keller. Wie krieg ich nun einen weiteren Accesspoint oder PC verbunden?

 

Wer zwingt Dich denn, die Fritzbox im Keller zu lassen? Einfach die TAL über die bestehende Telefonverkabelung verlängern und die Fritzbox dahin stellen, wo ihr WLAN von allen genutzt werden kann.

Ansonsten gibt es auch noch eine weitere Alternative zur Übertragung von Ethernet über Telefonleitungen:

http://www.rutenbeck.de/downloads/Printmedien/Datentechnik/DT_line21.pdf

Vorteil dieser Lösung ist, dass man nur die Dosen tauschen muss und keine zusätzlichen Geräte und keine Stromversorgung benötigt.

 

Gruß

Steffen

wenn du HTTPS per NAT weiterleiten willst, solltest du den Port für das Firewall Webinterface vorher auf einen anderen Port (z.b. 444) konfigurieren.

 

Wäre nur erforderlich, wenn die Weboberfläche per HTTPS vom WAN aus erreichbar sein soll und nur eine öff. IP-Adresse zur Verfügung steht.

 

Gruß

sk

Hi,

 

Kann es sein, wenn ich auf einer ZyWall USG 100 eine Regel definiere, welche  das HTTPS Protokoll aus dem WAN in das LAN1 leiten soll, dass sich die FireWall aufhängt und nicht mehr reagiert?! Ist das Irgendwie bekannt?

 

Nein. Tönt nach Konfigurationsfehler.

 

 

Dann muss ich das ganze Ding nochmals reseten!

 

Das Ding hat übrigens einen Konsolenport. Damit kommt man auch aufs CLI, wenn man sich ansonsten ausgesperrt hat... ;-)

 

Gruß

sk

Hallo Norbert,

 

danke für die Antwort! Das ist genau das, was ich hören wollte. Dann werde ich die MAK-Aktivierung verwenden.

Wenn ich das richtig recherchiert habe, kann man das sogar mit slmgr.vbs und ospp.vbs anskripten. Das lässt sich dann wunderbar über unsere Softwareverteilung regeln.

 

Was sagt eigentlich der Hersteller der Lösung zu solchen Fragen? Ich könnt mir vorstellen, dass sowas nicht ganz billig ist, und dann würde ich eigentlich auch Support erwarten. :)

Den hatte ich heute (ähm - nunmehr gestern) angemailt und auch prompt umfangreiche Antwort erhalten.  Die Antwort bezog sich allerdings nur auf den KMS-Einsatz (vermutlich weil durch den Umfang meiner Fragestellung unterging, dass ich durchaus auch mit MAK arbeiten würde, falls erforderlich/einfacher). Um die Antwort des Supports kurz zusammenzufassen:  Beim KMS-Einsatz ist es wohl in der Tat so, dass man den Wächter-Schutz zu den Reaktivierungszyklen deaktivieren muss. Es folgten 2 Vorgehensweisen zur Automation mittels entsprechender Tools des Herstellers. Beide Optionen erfordern jedoch eine Planung/Koordination des Zeitpunktes der Reaktivierung, was in unserer Umgebung (rund 1000 Rechner an 16 Schulen - größtenteils ohne WOL-Support) nicht sonderlich praktikabel ist

 

Gruß

Steffen

Ich stelle die Frage mal anders:  Erfordert auch die MAK-Aktivierung eine regelmäßige Reaktivierung oder ist dann nach der erstmaligen Aktivierung "Ruhe"?

 

Gruß

s.k.

Hallo,

 

ich hätte eine eher technisch-organisatorische als eine rein lizenzrechtliche Frage. Insofern passt diese vielleicht nicht ganz in dieses Unterforum, aber in die Technik-Kategorien schien es mir auch nirgends eindeutig reinzupassen. Sollte ich eine bessere Kategorie übersehen haben, bitte ich, das Thema dementsprechend zu verschieben. Danke!

 

Nun zu meinem Problem:

 

In einer Schule gibt es momentan eine Windows-Domäne mit 2x Win2003R2-DCs und rund 100 XPpro-Clients. Als Officepaket kommt MS Office 2000 zum Einsatz.

Die Clients sind über das Produkt "Dr. Kaiser PC-Wächter" (Hardwarevariante) oder über die Softwarevariante "DKS-Drive" vor Veränderungen durch Schüler geschützt. Solange der Schutz aktiviert ist, werden Änderungen in einen versteckten Bereich auf der HD umgeleitet und bei einem Neustart verworfen. Ein Neustart setzt das System also jeweils wieder auf einen definierten Anfangszustand zurück (vergleichbar Windows SteadyState).

Die Client-Rechner verfügen über keinen direkten Internetzugang, sondern werden zur Inhaltsfilterung und Berechtigungsvergabe über einen Squid-Proxy gezwungen.

 

Nunmehr sollen 34 Clients auf Windows 7 pro und 77 Clients auf Office 2010 umgestellt werden (Office 2013 lässt sich ja leider nicht einsetzen, weil WinXP hiervon nicht mehr unterstützt wird). Die benötigten Lizenzen wurden per OPEN-Vertrag erworben.

Das Rollout von Win7 soll durch Verteilung eines Images erfolgen. MS Office wird per Softwareverteilung nachgeschoben.

Soweit - so unproblematisch (hoffe ich).

 

Nun müssen allerdings Win7 und Office 2010 trotz Volumenlizenz aktiviert werden. Dies soll selbstverständlich soweit wie möglich automatisiert werden. Es geht also um die Frage, welche Aktivierungsmethode/-technik in vorgenannten Umgebung die sinnvollste ist.

Ich habe mir die letzten Tage meines Urlaubs vermiest und mich in diese Thematik eingelesen. KMS, MAK, MAK-Proxy und VAMT sind mir also grundsätzlich bekannt - praktisch ausprobieren konnte ich davon allerdings noch nichts.

 

Mein Favorit wäre KMS. Allerdings ist zu lesen, dass zumindest Win7 bei dieser Aktivierungsart alle 180 Tage (automatisch) eine Reaktivierung vornimmt. Wie verträgt sich dies mit dem Einsatz des PC-Wächters (siehe oben)? Wird die erfolgreiche (Re-)Aktivierung clientseitig vermerkt? Ich kann zwar sicherstellen, dass der Wächter-Schutz bei Erstaktivierung ausgeschaltet ist, aber bei den Reaktivierungen kann ich dies leider nicht gewährleisten. Nach Ablauf der Reaktivierungsperiode würde der Client also nach jedem Neustart wieder auf einen nicht reaktivierten Zustand zurück fallen. Vermutlich würde er dann bei jedem Start eine erneute Reaktivierung vornehmen. Wieviel Traffic entsteht dadurch? Kommt es zu Einschränkungen am Client? Last but not least: Hätte MS damit ein Problem? Würde etwa der Key gesperrt, wenn täglich die selben Clients wiederholt Reaktivierungen vornehmen würden?

Ließe sich die obige Problematik eventuell dadurch umgehen, dass ich statt KMS die MAK-Proxy-Aktivierung einsetze?

 

Es wäre schön, wenn mir jemand auf die Sprünge helfen könnte.

 

Danke und Gruß

Steffen

Ein einfaches Umrouten des SMTP-Ports von Standort A nach B ist da anscheinend nicht ausreichend.

Das dürfte insofern nicht ausreichend sein, als die Antwortpakete des Exchange an die öffentlichen IP-Adressen der Absender gehen und vermutlich deshalb nicht in den Tunnel zum Standort A zurückgeroutet werden, sondern über der Internetzugang des Standortes B ins Internet gehen. Die Antwortpakete des Exchange kommen also mit der derzeitigen öffentlichen IP-Adresse des Standortes B beim Sender an - er erwartet jedoch als Source-IP die des Standortes A. In Folge dessen wird die Verbindung nicht zugelassen.

Man könnte natürlich am VPN-Routing arbeiten und dafür sorgen, dass auch die Antwortpakete zurück zum Standort A und von dort ins Internet gehen. Oder man macht Source-NAT an der Firewall des Standortes A (wenn das möglich ist - das Modell ist ja leider nicht benannt worden).

Da es aber ohnehin nur eine Interimslösung ist, könnte man auch einfach vorübergehend am Standort A ein Relay hinsetzen. Am einfachsten wäre eine Windows-Büchse mit einem Janaserver, der ein passendes "Extragateway" bereitstellt. Du musst allerdings darauf achten, dass die (interne) Source-IP des Janaservers am Standort A auf dem Exchange nicht berechtigt ist zu relayen, sonst baust Du für die Öffentlichkeit ein offenes Relay.

 

Gruß

sk

Ich würde mich diesbezüglich nie auf den Provider verlassen. Zumal technische Infrastruktur und Know-How hier ja offenkundig vorhanden sind.

 

Gruß

Steffen