-= Brummbär =-

Ich habe in meinem Beitrag den Satz aus der PUR zitiert: Meine Frage war, ob ein Windows 2003 Server auf einen Windows 2008 Server (z.B. den DC) ohne eine zusätzliche Device Cal zugreifen darf. Wenn "derselben" bedeutet, dass W2K8 auf andere W2K8 zugreifen dürfen, dann wäre W2K3 auf W2K8 CAL pflichtig. Der Linux SERVER kam erst ins Spiel, als die Begründung von Franz kam, dass es sich ja um CLIENT Access License handeln würde.

Moin Franz, Naja. Das gilt aber nicht für Linux Server. Also gilt der Satz in der PUR Versionsübergreifend für alle Windows Server?

Hallo, Braucht ein W2K3 Server eine W2K8 Cal, wenn ich einen W2K8 DC einführe (Zugriff wäre somit gegeben)? In den PURs auf S. 38 steht: Bedeutet "derselben" ich muss auf die Version achten, oder brauchen Windows Server untereinander generell nie eine CAL?

Wenn du für jeden User (Person <> Account) eine User Lizenz hast, dann brauchst du dir eigentlich keine Gedanken mehr um die Geräte machen (http://www.mcseboard.de/microsoft-lizenzen-50/user-device-cal-175620.html). Letztlich wird der Linux-Server ja wiederum von Nutzern mit CALs benutzt und ist nicht zum reinen Selbstzweck da.

Guten Morgen, Ich habe es jetzt wie folgt gelöst. Die 5. Zone ist in den HKLM Zweig gewandert. Da es nur zwei Server sind, habe ich dort eine .reg importiert. Dann konnte ich in der GPO auf Zone 5 verweisen. Was ein Umstand...

Hallo, Ein Softwareanbieter ergänzt für die Nutzung seines Onlineportals die Zonen des IEs um eine 5. und weist seine URLs dieser Zone zu. Soweit so gut. Da ich aber in meinen GPOs die Liste der Zonenzuweisung nutze, blockiert dies scheinbar die Einstellungen des Registryzweig des Users. Dort sehe ich noch die Zone und auch die Zuweisungen under ZoneMap, aber es funktioniert nicht mehr. Gibt es eine brauchbare Möglichkeit die Zone auch per GPO zu verteilen oder macht es mehr Sinn die Einstellungen "abzuschreiben" und für die vertrauenswürdigen Sites zu nutzen? Die Anwendung hat mich jetzt schon einige Nerven gekostet und der Anbieter scheint nicht verstehen zu wollen, dass die GPOs Einfluss auf sein Konfigurationstool haben :-(

Ich muss also in meinem Lizenzmanagement nur festlegen wer die Geräte nutzt. Sind es Benutzer mit eigenen CALs ist alles gut, sind auch andere (ohne eigene CAL) darunter (Schulungsnutzer, Schichtarbeiter), dann muss eine Geräte-Cal her. Das geht aus der viel zitierten Stelle der PUR hervor ("any device or user"), oder ist das Auslegungspraxis bei Prüfungen? Um es mal von den Drucker weg zu bekommen. Wenn ich Geräte mit Authentifizierung / Wartungsmail etc. habe (Switch, USV), dann nutzt diese Funktion (und somit der eigentliche Zugriff) ja nur ein ITler. Somit reicht seine User Lizenz aus und das Gerät kann sonst munter seinen Dienst tun.

Hallo Franz, Deine Erklärung deckt sich mit den bunten Bildern auf den MS Seiten (die bei Windows Cals zwar Handys, aber keinen Drucker zeigen :-)) sie passt aber leider nicht zur Aussage von Dr. Melzer. Wenn er Recht hat, bräuchten wir für jedes Gerät eine Device-Cal, weil es auch ohne einen User mit dem Server interagiert (DHCP, DNS, SMB, LDAP, irgendwas findet sich ja immer). Dazu wär noch mal eine Antwort nett. Ich glaub ich muss ansonsten hier den Unterschied zwischen Theorie und Praxis akzeptieren :-)

Wenn man so ein Rechenbeispiel bei MS mal verifiziert finden würde, dann wär das super. Scheinbar ist jedes Gerät CAL würdig. Die Frage ist nur, ob es alleine seinen Dienst verrichten darf, wenn ansonsten per User lizenziert ist. Letztlich interagiert ja bereits ein Rechner mit dem Server auch wenn noch gar keine Benutzer davor sitzt.

Wenn dem so ist, dann muss ich ja zwangsweise für jeden PC eine Device-CAL vorhalten, da er ja vor einer Benutzeranmeldung schon die Gruppenrichtlinien vom DC zieht bzw. sich eine IP vom DHCP holt oder etwas per DNS auflöst. Wo ist dann ein sauberes Beispiel für eine User-CAL?

Das klingt ja schon mal nach einem Ansatz. Aber ich hab ja hier gelernt, dass nur die PUR zählt. Wo finde ich die Aussage dort wieder?

Benutzer sind zählbar. Devices durch Remotzugriff eher nicht. Sonst wär es ja einfach. Es geht mir nicht ums Zählen es geht mir darum, ob ich zusätzlich Device CALs brauche.

Hallo, Ich habe mal eine grundlegende Frage zu CALs. Die Beispiele für User und Device Cals beziehen sich ja immer darauf, ob einem Benutzer an mehreren Geräten (PC, Laptop, Handy) oder ein Gerät für mehrere Benutzer (Schichtdienst) genutzt wird. Hier im Forum klingt des Öfteren durch, dass ein Mischen von User und Device Cals nicht unbedingt sinnvoll ist, da die Verwaltung noch aufwändiger wird. Dazu kommt aber auch die Auffassung, dass ein Gerät, welches per DHCP eine IP Adresse bekommt, oder auf andere Weise mit einem Server kommuniziert, eine CAL benötigt. Wie bekomme ich das denn nun sauber lizenziert? Brauch ich, wenn ich für jeden Benutzer (Mensch) mit einem persönlichen oder generischen Konto im AD eine Lizenz habe, überhaupt noch eine Lizenz für ein Device (Drucker, Scanner, Netzwerkgeräte mit AD Authentifizierung)? Oder mach ich es mir hier schwerer als es muss. Mich motiviert bei dem ganzen Thema nur noch das Zitat von der MS Webseite: In dem Sinne hoffe ich auf spannende Tipps.

@Wordo: Danke für die Geduld. Mit der angepassten Nat-Regel läuft's natürlich. Ich hab einfach zum Schluss nichts mehr gesehen und verstanden. @Otaku19: Kannst die Nägel runterklappen. Es war einfach nur spät :-)

Es klappt leider immer noch nicht :-( Wenn ich von außen zugreife und mit sh access-lists mir die Listen anzeigen lasse, dann erhöht sich in der AusDemInternet und 23 jeweils der entsprechende Eintrag bei permit. Damit müsste doch alles richtig sein, oder? Wenn ich von intern per SSH auf den Router komme, müsste doch auch das Zertifikat in Ordnung sein. Per Ping erreiche ich das Gerät. Hat noch jemand eine Idee was ich machen kann, damit auf dem Outside endlich SSH erlaubt ist. ip access-list extended AusDemInternet permit tcp any any eq 22 permit tcp any any established deny ip 10.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip host 255.255.255.255 any deny ip host 0.0.0.0 any permit esp any any permit udp any any eq isakmp permit udp any any eq non500-isakmp permit gre any any permit udp any eq domain any permit tcp any eq domain any permit icmp any any echo-reply permit icmp any any time-exceeded permit icmp any any unreachable permit udp host 192.53.103.103 eq ntp any permit udp host 192.53.103.104 eq ntp any permit udp host 192.53.103.108 eq ntp any permit icmp any any deny ip any any log ! ip access-list extended NatInside deny ip any 10.0.0.0 0.255.255.255 deny ip any 172.16.0.0 0.0.15.255 deny ip any 192.168.0.0 0.0.255.255 permit ip any any ! access-list 23 permit 1.2.3.4 access-list 23 permit 192.168.16.0 0.0.0.255 ! line vty 0 4 access-class 23 in privilege level 15 transport input ssh

Ich würd es jetzt gerne direkt testen, aber ich komm ja von außen nicht dran ;-) Sobald ich heute abend das Gerät über das Inside erreiche, werd ich das dann testen. Erstmal wieder was dazu gelernt. Auch wenn's Nerven gekostet hat.

Oh mist. Danke für den Hinweis. An dem Router hab ich eine echte Montagskonfiguration hinbekommen scheint mir. Ich sollte vielleicht doch besser bei den alten PIXen bleiben :-) Aber zum Verständnis. Ich komme ja von außen und verbinde mich auf die externe IP vom Router. Da spielt doch NAT (auf dem Zielrouter) erstmal überhaupt keine Rolle, oder?

Auf dem Dailer und dem vty hab ich's doch erlaubt. Muss ich es noch separat auf dem atm Interface erlauben?

Der Zugriff erfolgt über einen anderen Zugang. Ich sehe auch mit sh access-lists, dass sich die Zahl der matches erhöht, wenn ich zugreife. Mit debug ip ssh kommt aber gar nichts, wenn ich von außen anfrage. Merkwürdig ist halt, dass von innen her alles geht. Da sehe ich auch im Debug alles. Ich hab auch von anderen externen Zugängen mal versucht eine SSH Verbindung aufzubauen, um auszuschließen, dass es an meinem zweiten Zugang liegt. Es ändert aber nichts am Verhalten.

SSH von außen soll dazu dienen, dass ich den Router halt auch von einem anderen Standort aus erreichen und konfigurieren kann. Der andere Standort hat eine feste IP und darauf wird es letztlich beschränkt sein. Nur im Moment wär ich froh, wenn er überhaupt eine SSH Verbindung annimmt von außen :-( Auf meiner alten PIX 501 war das so herrlich einfach..

interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$ ip address 192.168.16.254 255.255.255.0 ip access-group AusDemHausnetz in no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly zone-member security in-zone ip route-cache flow ip tcp adjust-mss 1412 ! interface Dialer0 description DSL-Einwahl mtu 1492 bandwidth 6144 ip address negotiated ip access-group AusDemInternet in no ip redirects no ip unreachables no ip proxy-arp ip mtu 1452 ip flow ingress ip flow egress ip nat outside ip virtual-reassembly encapsulation ppp ip route-cache flow ip tcp adjust-mss 1300 dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname xxx ppp chap password 7 yyy ppp pap sent-username xxx password 7 yyy crypto map SDM_CMAP_1 ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer0 ! ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip nat inside source list NatInside interface Dialer0 overload ! ip access-list extended AusDemHausnetz permit ip any any permit icmp any any ip access-list extended AusDemInternet permit ip 192.168.17.0 0.0.0.255 192.168.11.0 0.0.0.255 permit tcp any any established deny ip 10.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip host 255.255.255.255 any deny ip host 0.0.0.0 any permit esp any any permit udp any any eq isakmp permit udp any any eq non500-isakmp permit gre any any permit udp any eq domain any permit tcp any eq domain any permit icmp any any echo-reply permit icmp any any time-exceeded permit icmp any any unreachable permit udp host 192.53.103.103 eq ntp any permit udp host 192.53.103.104 eq ntp any permit udp host 192.53.103.108 eq ntp any permit tcp any any eq 22 permit udp any any eq 22 permit icmp any any deny ip any any log ip access-list extended NatInside remark NoNat fuer VPN Tunnel deny ip 192.168.17.0 0.0.0.255 191.99.10.0 0.0.0.255 permit ip any any ip access-list extended SSHAccess permit tcp any any eq 22 log permit tcp any any eq telnet log deny tcp any any log ip access-list extended VPN_Zentrale permit ip 192.168.17.0 0.0.0.255 192.168.10.0 0.0.0.255 ! logging trap debugging access-list 100 remark CCP_ACL Category=128 access-list 100 permit ip host 255.255.255.255 any access-list 100 permit ip 127.0.0.0 0.255.255.255 any dialer-list 1 protocol ip permit no cdp run ! ! ! ! control-plane ! banner login ^CAuthorized access only! Disconnect IMMEDIATELY if you are not an authorized user!^C ! line con 0 no modem enable transport output telnet line aux 0 transport output telnet line vty 0 4 access-class SSHAccess in privilege level 15 transport input telnet ssh ! scheduler max-task-time 5000 scheduler allocate 4000 1000 scheduler interval 500 end

Hallo Otaku19, Ich hatte erst eine einfache access-list 23 mit permit host... Das hatte aber auch nicht geklappt. version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname rtr01 ! boot-start-marker boot-end-marker ! security authentication failure rate 3 log security passwords min-length 6 logging buffered 51200 logging console critical enable secret 5 xxxx ! aaa new-model ! ! aaa authentication login local_authen local aaa authorization exec local_author local ! ! aaa session-id common clock timezone CET 1 clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 clock save interval 8 ! crypto pki trustpoint TP-self-signed-2397648436 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-2397648436 revocation-check none rsakeypair TP-self-signed-2397648436 ! ! dot11 syslog no ip source-route ip cef ! ! ip dhcp excluded-address 192.168.16.1 192.168.16.199 ip dhcp excluded-address 192.168.16.241 192.168.16.254 ! ! no ip bootp server ip domain name domain.loc ip name-server 141.1.1.1 ip name-server 141.1.1.2 ip inspect log drop-pkt ! multilink bundle-name authenticated ! ! ! no spanning-tree vlan 1 username router-admin privilege 15 secret 5 xxxxxx ! ! crypto isakmp policy 1 encr aes 256 authentication pre-share group 2 ! crypto isakmp policy 2 encr 3des hash md5 authentication pre-share group 2 ! crypto isakmp policy 3 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key xxxxxx address 1.2.3.4 ! ! crypto map SDM_CMAP_1 1 ipsec-isakmp set peer 1.2.3.4 match address VPN_Zentrale ! archive log config hidekeys ! ! ip tcp synwait-time 10 ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh version 2 zone security out-zone zone security in-zone zone-pair security ccp-zp-self-out source self destination out-zone zone-pair security ccp-zp-in-out source in-zone destination out-zone zone-pair security ccp-zp-out-self source out-zone destination self ! ! ! interface BRI0 no ip address no ip redirects no ip unreachables no ip proxy-arp encapsulation hdlc ip route-cache flow shutdown ! interface ATM0 no ip address no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow no atm ilmi-keepalive dsl operating-mode auto ! interface ATM0.1 point-to-point description T-DSL Business Einwahl no ip redirects no ip unreachables no ip proxy-arp ip flow ingress pvc 1/32 pppoe-client dial-pool-number 1 ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 !

Kann mir bitte jemand das Brett vom Kopf abschrauben. Ich hab SSH Zugriff von intern auf meinen Router aber über die externe IP ist nichts zu machen. ip access-list extended SSHAccess permit tcp any any eq 22 log deny tcp any any log line vty 0 4 access-class SSHAccess in password 7 xxxxx transport input telnet ssh Auf der Access-List vom Interface ist auch ssh von any zu any erlaubt. Ich bekomm nicht mal die Abfrage vom Benutzernamen. Am Zertifikat kann es eigentlich auch nicht liegen. Sonst würd ich ja nicht vom Hausnetz dran kommen.

Das mit dem DHCP Server hatte ich mir auch überlegt. Hätte denn überhaupt ein anderer Kunde die Chance unbemerkt auf Broadcasts entsprechend zu reagieren? Schlechter gestellt als vorher bin ich ja auf keinen Fall. Eine FritzBox oder ähnliches würde auch jede entgegengeworfene Adresse annehmen. Und wenn sich schon jemand die Mühe macht einen DHCP Server einzuschleusen, dann kann er sicher auch die Absenderadresse entsprechend modifizieren.

Sieht doch alles gleich viel besser aus. Merci für die Denkanstöße und den Aufschnitt ;-)