richidd 10 Geschrieben 1. September 2009 Melden Teilen Geschrieben 1. September 2009 Hi, wie definieren sich denn die Zugriffe der Nutzer, für die eine User-CAL benötigt werden? Gilt dies schon bei jedem Netzwerkverkehr mit dem Server oder nur wenn entsprechende MS Dienste genutzt werden bzw. eine Nutzer-Authentifizierung notwendig ist? Folgender Anwendungsfall dazu: wir möchten uns einen Windows Server 2008 Standard zulegen. Unser Windows Server 2008 soll zunächst ausschließlich für Serveranwendungen Dritter verwendet werden, welche den Serverdienst teils per eigenen Webserver(Apache) zugänglich machen sowie als Host-System für virtuelle Maschinen per Hyper-V. Die Clients müssen sich also nicht am BS authentifizieren und nutzen auch nicht den IIS7. Benötige ich trotzdem für jeden Zugriff eine Device bzw. User CAL ? Zusätzlich besteht die Option einen WSUS und dem dazu benötigten IIS7 zu verwenden. Eine Authentifizierung der Clients am BS ist für diesen Dienst ebenso nicht notwendig. Werden dafür trotzdem CALs benötigt, obwohl der WSUS Freeware und für Webdienste keine CALs benötigt werden? Zudem wüsste ich gern, ob ich CALs für den Windows Server 2008 als Host-System benötige, wenn Clients ausschließlich auf die gehosteten virtuellen Maschinen zugreifen. Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 1. September 2009 Melden Teilen Geschrieben 1. September 2009 Die Grundfrage die sich immer wieder stellt: greifen die User / Devices auf den Server zu um den Dienst nutzen zu können, egal ob sie sich authentifizieren oder nicht? Wenn sie auf den Server zugreifen, egal ob authentifiziert oder nicht, brauchen sie nach meinem Verständnis eine CAL. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 1. September 2009 Melden Teilen Geschrieben 1. September 2009 wir möchten uns einen Windows Server 2008 Standard zulegen. Unser Windows Server 2008 soll zunächst ausschließlich für Serveranwendungen Dritter verwendet werden, welche den Serverdienst teils per eigenen Webserver(Apache) zugänglich machen sowie als Host-System für virtuelle Maschinen per Hyper-V. Die Clients müssen sich also nicht am BS authentifizieren und nutzen auch nicht den IIS7. Benötige ich trotzdem für jeden Zugriff eine Device bzw. User CAL ? Ja es werden für JEDEN Zugriff, direkt oder indirekt, CALs benötigt! Viel interessanter ist die Frage was ihr da genau vor habt und wer oder was diese mysteriösen "dritten" sind. Bitte erläutere uns das doch. Zudem wüsste ich gern, ob ich CALs für den Windows Server 2008 als Host-System benötige, wenn Clients ausschließlich auf die gehosteten virtuellen Maschinen zugreifen. Gegenfrage: Können die Clients auf die virtuellen Maschinen zugreifen ohen auf den Windows Server zuzugreifen? ALst Test steck doch einfach mal das Netzwerkkabel von dem Windows Server ab. Wenn die clients dann noch auf die Virtuellen Maschienn zugreifen können benötigen sie den Zugriff auf den Windows Server nicht und damit auch keien CALs. Wenn das nicht dre Fall ist müssen sie irgendwie auf den Server zugreifen und Zugriffe erfordern CALs... Ist eigentlich ganz einfach.... Zitieren Link zu diesem Kommentar
richidd 10 Geschrieben 1. September 2009 Autor Melden Teilen Geschrieben 1. September 2009 Die ominösen Dritten wären in dem Fall SQL-Express, Versionskontrolle mit SVN, Asset Management, TTS und eine Antiviren-Lösung inkl. NAC Wobei diese Dritte jeweils nur über einen zugewiesenen Port kommunizieren, im Falle von SVN, Asset Management und TTS mit Hilfe eines Apache. Bezüglich der virtuellen Maschinen, kommt es darauf an, wie der Netzwerkzugriff gestaltet wird. Soll heissen, ob es mit Hyper-V gelingt den virtuellen Maschinen dediziert eine NIC zuzuweisen oder ob diese nur per Virtuel NIC im Bridged Modus über die Host-NIC kommunizieren müssen. Es wird fürs erste also keine ADS/Exchange, integrierte SQL-DB, Shares oder sonstiges benötigt. Ich sage mit Absicht fürs erste, da später für eine kleine Anzahl von Clients der Windows-Server als Terminal-Server agieren soll. Allerdings wäre dafür eine 5er CAL aussreichend. Für die Dritten Anwendungen würden wir uns da beim 10fachen bewegen. In anbetracht dessen lob ich mir doch das Lizenzmodell von Apple für den Mac OS X Server. Wenn also trotz dessen CALs benötigt werden, wäre eine Prozessor CAL sicherlich am sinnvollsten je nach dem was die dann kosten würde. Verweis: Grundlagen-der-Lizenzierung-von-Microsoft-Produkten Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 1. September 2009 Melden Teilen Geschrieben 1. September 2009 Ich sehe dass wird anstrengend mit dir... Die ominösen Dritten wären in dem Fall SQL-Express, Versionskontrolle mit SVN, Asset Management, TTS und eine Antiviren-Lösung inkl. NAC Warum greifen die denn zu? Aus Selbstzweck oder gibt es einen Plan dahinter? Bezüglich der virtuellen Maschinen, kommt es darauf an, wie der Netzwerkzugriff gestaltet wird. Soll heissen, ob es mit Hyper-V gelingt den virtuellen Maschinen dediziert eine NIC zuzuweisen oder ob diese nur per Virtuel NIC im Bridged Modus über die Host-NIC kommunizieren müssen. Falsch, es kommt einzig und allein darauf an ob ein Gerät auf den WIndows Server zugreift, Alles andere mal durchaus technisch von interesse sein ist aber aus Lizenzsich vollkommen irrelevant. Deshalb meine Frage: Funktioniert dein System noch wenn du das Netzwerkkabel von dem Windows Server abziehst (denn dann erfolgft tatsächlich kein Zugriff mehr) oder nicht? Es wird fürs erste also keine ADS/Exchange, integrierte SQL-DB, Shares oder sonstiges benötigt. Ich sage mit Absicht fürs erste, da später für eine kleine Anzahl von Clients der Windows-Server als Terminal-Server agieren soll. Allerdings wäre dafür eine 5er CAL aussreichend. Für die Dritten Anwendungen würden wir uns da beim 10fachen bewegen. In anbetracht dessen lob ich mir doch das Lizenzmodell von Apple für den Mac OS X Server. Wenn also trotz dessen CALs benötigt werden, wäre eine Prozessor CAL sicherlich am sinnvollsten je nach dem was die dann kosten würde. Verweis: Grundlagen-der-Lizenzierung-von-Microsoft-Produkten Was für euch günstiger ist musst du selbst ausrechen, nur hast du uns immer noch nicht den großen Plan dahinter erzählt und ohne den zu kennen können wir dir leider nicht helfen... Zitieren Link zu diesem Kommentar
richidd 10 Geschrieben 1. September 2009 Autor Melden Teilen Geschrieben 1. September 2009 Ich sehe gerade, dass ich mich wahrscheinlich leicht missverständlich ausgedrückt habe. Die Serveranwendungen Dritter greifen nicht auf das System zu, sondern werden auf dem System gehostet. Der große Plan ist, einen Windows-Server für Dienste zu benutzen, welche keinen bzw. keinen hohen Sicherheitsaspekt beinhalten mit Ausnahme der Antiviren/NAC Lösung. Wobei die Antiviren/NAC-Lösung nur einen kleinen Teilaspekt des Sicherheitskonzeptes übernimmt und dementsprechend bei Ausfall bzw. Infiltration das Netzwerk und die Clients/Server nicht ungeschützt bleiben. Hardware-seitig muss der Server sehr Potent sein um mit Hilfe von Virtualisierung viele Aufgaben zu übernehmen. Der Hintergedanke dabei ist das Einsparen/Minimieren von Stromkosten/Platz und Wärmeentwicklung. Zudem darf der Server in virtuellen Maschinen komplexere Testumgebungen abbilden. Allerdings nur, wenn sich eine "virtuelle" Netzwerkinfrastruktur mit dedizierten NICs mit Hilfe des Hyper-V abbilden lässt. Denn dies geht ansonsten, soweit mit bekannt, nur mit der teuren VmWare ESX bzw. ggf. Citrix Xen Server Lösung. Davon hängt auch ab, wieviel Dienste auf virtuelle Maschinen ausgelagert werden um dem Host-System nicht all zu viele Angriffspunkte zu verpassen. Wenn er mir gut gesonnen ist, darf der Server auch ein virtuellen Honey-Pot hosten, wobei das Honey-Pot mehr zur Analyse und Überwachung denn zum Schutz gedacht ist. Gleichzeitig ist mir auch die Gefahr bewusst, dass auch Virtualisierungssoftware Schwachstellen bzw. Sicherheitslücken hat/haben kann. Nun stellt sich die Frage, warum ein Windows-Server? Das ist für mich schnell beantwortet. Der administrative Aufwand ist geringer als bei einem Linux-System und viele der auf diesem System eingesetzten Server-Anwedungen unterstützen nur Windows als Server. Kurz um, es wird ein Multitalent, wobei dennoch die Anschaffungskosten so gering als Möglich ausfallen sollen. Noch ein kurzes Wort zu der Thematik Virtualisierung und CAL. Wenn wir annehmen, dass die NICs der virtuellen Maschinen im Bridged Mode fungieren und daher über die Host-NIC kommunizieren, kann ich nicht auf die virtuellen Maschinen zugreifen, wenn ich das Netzwerkkabel vom Windows-Server Host-System ziehe. Ist das Netzwerkkabel dran, kommunizieren allerdings die Clients max. auf ISO/OSI Layer2 mit dem Windows und nicht auf Layer3. Trotz aller Virtualisierung müssen gewisse Dienste auf dem Windows-Host-System laufen, kommunizieren allerdings mit Ausnahme des NAC ausschließlich über den Apache/IIS. Und soweit mir bekannt, benötigt man für den Web-Zugriff keine CALs. Zudem kommt, dass das NAC meist pusht und nur relativ selten Clients den Zugriff initiieren, wobei diese dann unter Garantie nicht alle gleichzeitig zugreifen. Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 1. September 2009 Melden Teilen Geschrieben 1. September 2009 Einfach mal kurz meinen Senf zum Thema Hyper-V: Ab WS08R2 ist sind für Windows Server welche _AUSSCHLIESSLICH_ Hyper-V ausführen keine CALs mehr nötig: http://www.microsoft.com/Windowsserver2008/en/us/licensing-r2.aspx When Windows Server 2008 is only running the Hyper-V role, the requirement to upgrade to WS 2008 CALs is not initiated. The CAL upgrade requirement will be initiated if any additional server roles are running on the server. Zitieren Link zu diesem Kommentar
goscho 11 Geschrieben 1. September 2009 Melden Teilen Geschrieben 1. September 2009 Trotz aller Virtualisierung müssen gewisse Dienste auf dem Windows-Host-System laufen, kommunizieren allerdings mit Ausnahme des NAC ausschließlich über den Apache/IIS. Und soweit mir bekannt, benötigt man für den Web-Zugriff keine CALs. Zudem kommt, dass das NAC meist pusht und nur relativ selten Clients den Zugriff initiieren, wobei diese dann unter Garantie nicht alle gleichzeitig zugreifen. Hallo richidd, offensichtlich wird der entsprechende Server zum Verwalten und Verteilen der NAC-Software genutzt. Demzufolge gehe ich stark davon aus, dass du einen Dienst bereits stellst (NAC), welcher einen Windows-Server als Basis benötigt oder nutzen soll. Wenn deine Clients jetzt auf diesen zugreifen - ob gleichzeitig oder nicht, spielt dabei keine Rolle - so müssen diese auch eine CAL für den Windows Server besitzen. Zitieren Link zu diesem Kommentar
richidd 10 Geschrieben 1. September 2009 Autor Melden Teilen Geschrieben 1. September 2009 Hi goscho...gott ne oder? da bräucht ich ja round about 40 lizenzen..... Ja Momentan ist auf dem Server ein NAC als Testinstallation und der Windows-Server läuft lizenztechnisch auch als Testversion. Mein Chef wird sich freuen, wenn ich dem eine 10.000€ Kalkulation auf den Tisch knalle. Hardware, BS, CALs und Anwendungen... Zitieren Link zu diesem Kommentar
goscho 11 Geschrieben 1. September 2009 Melden Teilen Geschrieben 1. September 2009 Hi goscho...gott ne oder? da bräucht ich ja round about 40 lizenzen..... Ja Momentan ist auf dem Server ein NAC als Testinstallation und der Windows-Server läuft lizenztechnisch auch als Testversion. Mein Chef wird sich freuen, wenn ich dem eine 10.000€ Kalkulation auf den Tisch knalle. Hardware, BS, CALs und Anwendungen... Das kann ich gut verstehen. Aber sag deinen Chef mal, was er bei einer eventuellen Lizenzprüfung zu erwarten hätte. Das würde nicht bei der Nachzahlung der Lizenzkosten bleiben... Wenn ihr die MS Lizenzen umgehen wollt, so setzt keinen Windows-Server ein. Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 1. September 2009 Melden Teilen Geschrieben 1. September 2009 Mein Chef wird sich freuen, wenn ich dem eine 10.000€ Kalkulation auf den Tisch knalle. Hardware, BS, CALs und Anwendungen... Das ist im Normalfall weniger als Cheffe pro Jahr im Unterhalt für seinen Fuhrpark zahlt ;) Zitieren Link zu diesem Kommentar
richidd 10 Geschrieben 1. September 2009 Autor Melden Teilen Geschrieben 1. September 2009 OK, ich versuch also mal zusammenzufassen: Man benötigt eine Lizenz für die Serverinstallation Zusätzlich werden Device/User-CALs für den Zugriff auf den Server benötigt. Client-Zugriffe sind im Sinne der CAL fast ausschließlich logisch und nicht technisch zu definieren. (Source-NAT wäre also keine Abhilfe :-( ) Die CALs müssen erworben werden wenn: 1. Ein Client regelmäßig bzw. absichtlich auf den Server zugreift 2. Der Zugriff auf den Server durch ISO/OSI Layer3 oder höher erfolgt (Switche und ARP müssen also nicht lizenziert werden) Die CALs müssen erworben werden, unabhängig davon ob: 1. eine Authentifizierung benötigt wird oder nicht (Ausnahme IIS) 2. Windows-Dienste oder (ausschließlich)Dienste von Drittherstellern angesprochen werden 3. Der Client eine Verbindung initiiert oder der Server-Dienst eine Verbindung initiiert 4. Ausschließlich der Server-Dienst Daten pusht ohne Rückmeldung des Clients (Streng gesehen wäre das nur mit verbindungslosen Protokollen möglich) 5. Client-Zugriffe gleichzeitig erfolgen oder nicht (es wird also nicht nach dem tatsächlichen Zugriff lizenziert) Die CALs müssen nicht erworben werden wenn: 1. Der Server ausschließlich als Host-System für virtuelle Maschinen fungiert und keine weiteren Dienste durch Clients in Anspruch genommen werden 2. Zugriffe auf Web-Dienste, durch den IIS bereitgestellt, erfolgen solang dabei keine Authentifizierung notwendig ist Dürfte soweit korrekt und vollständig sein. Andernfalls bitte bitte korrigieren Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 2. September 2009 Melden Teilen Geschrieben 2. September 2009 Man benötigt eine Lizenz für die Serverinstallation Richtig, aber auhc nicht wirklich weltbewegend überraschend... Zusätzlich werden Device/User-CALs für den Zugriff auf den Server benötigt. auch richtig. Client-Zugriffe sind im Sinne der CAL fast ausschließlich logisch und nicht technisch zu definieren. (Source-NAT wäre also keine Abhilfe :-( ) Puuuuhhhh..... Du hättest Politiker werden sollen.... Und was genau willst du damit sagen? Die CALs müssen erworben werden wenn: 1. Ein Client regelmäßig bzw. absichtlich auf den Server zugreift FALSCH! Es ist vollkommen egal ob regelmässig, unregelmässig, absichtlich oder aus versehen zugegriffen wird. JEDER Zugriff erfordert eine CAL! 2. Der Zugriff auf den Server durch ISO/OSI Layer3 oder höher erfolgt (Switche und ARP müssen also nicht lizenziert werden) Ach FALSCH! Wenn ein Switsch auf den Server zugreift braucht er eine CAL! Nochmal: JEDER Zugriff erfordert eine CAL! Die CALs müssen erworben werden, unabhängig davon ob: 1. eine Authentifizierung benötigt wird oder nicht (Ausnahme IIS) Richtig, nicht die Authentifizierung erfordert die CAL sondern der Zugriff. 2. Windows-Dienste oder (ausschließlich)Dienste von Drittherstellern angesprochen werden Richtig. Nicht die Nutzung irgendwelcher Dienste erfordert die CAL (das war mal beim Server 200 so) sondern der Zugriff. 3. Der Client eine Verbindung initiiert oder der Server-Dienst eine Verbindung initiiert Egal wer was initiiert, der Zugriff eines Gerätes auf den Server erfordert eine CAL. 4. Ausschließlich der Server-Dienst Daten pusht ohne Rückmeldung des Clients (Streng gesehen wäre das nur mit verbindungslosen Protokollen möglich) In dem Moment in dem ein Gerät auf den Server zugreift benötigt es eine CAL! Das ist unabhängig davon wer was initiert. 5. Client-Zugriffe gleichzeitig erfolgen oder nicht (es wird also nicht nach dem tatsächlichen Zugriff lizenziert) Richtig. JEDER Zugriff erfordert eine CAL egal ob er zeitgleich mit anderen Zugriffen erfolgt oder alleine. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 2. September 2009 Melden Teilen Geschrieben 2. September 2009 Die CALs müssen nicht erworben werden wenn: 1. Der Server ausschließlich als Host-System für virtuelle Maschinen fungiert und keine weiteren Dienste durch Clients in Anspruch genommen werden Das gilt nur für den Server 2008! 2. Zugriffe auf Web-Dienste, durch den IIS bereitgestellt, erfolgen solang dabei keine Authentifizierung notwendig ist Falsch! Zugriffe ohne Authentifizierung AUSSSCHLIESSLICH ÜBER DAS INTERNET. Zugriffe aus dem lokalen Netz auf den IIS erfordern sehr wohl eine CAL! Dürfte soweit korrekt und vollständig sein. Andernfalls bitte bitte korrigieren Ist nicht korrekt und vollständig kann es nicht sein, also habe ich korrigiert.... ;) Im Prinzip ist es ganz einfach und hier schon bis zum Erbrechen beschrieben worden (unsere hervorragende Suche hilft dabei) Es ist alles im den Produktnutzungsrechten in einem Satz zusammengefasst: III) Zusätzliche Lizenzanforderungen und/oder Nutzungsrechte. a) Client-Zugriffslizenzen (CALs). • Sie sind verpflichtet, für jedes Gerät bzw. jeden Nutzer, das bzw. der direkt oder indirekt auf Ihre Instanzen der Serversoftware zugreift, eine CAL zu erwerben und dem entsprechenden Gerät bzw. Nutzer zuzuweisen. Meiner Meinung nach gibt es hier wenig bis keinen Interpretationsspielraum. Hier der Vollständigkeit halber noch die Ausnahmen von der Regel: • Sie benötigen keine CALs für Folgendes: (1) einen Nutzer oder ein Gerät, der bzw. das nur über das Internet auf Ihre Instanzen der Serversoftware zugreift, ohne von der Serversoftware oder durch eine andere Methode authentifiziert oder anderweitig individuell identifiziert zu werden, (2) jeden Ihrer Server, der für das Ausführen von Instanzen der Serversoftware lizenziert ist, und (3) bis zu zwei Geräte oder Nutzer, die nur auf Ihre Instanzen der Serversoftware zugreifen, um die entsprechenden Instanzen zu verwalten. Daher musst du dir genau zwei Fragen stellen um zu wissen ob CALs benötigt werden oder nicht: 1. Grift mein Gerät oder mein Nutzer in irgendeiner Form (egal wie, egal warum, egal wie oft und egal wann) auf den Server zu? 2. Fällt er unter eine der genannten Ausnahmen? Noch Fragen? Zitieren Link zu diesem Kommentar
richidd 10 Geschrieben 2. September 2009 Autor Melden Teilen Geschrieben 2. September 2009 Ok habe verstanden, wobei ich den MS Support noch einmal Fragen werde, was MS unter einer Instanz versteht bezüglich ARP. Die Antwort werde ich posten. Aber eine Frage habe ich noch: Nehmen wir an der Windows Server hostet nur Serveranwendungen für administrative Zwecke. Eine User-CAL berechtigt genau einen User mit jedem Gerät auf Instanzen des Servers zuzugreifen. Der User ist in diesem Fall der Administrator. Auf den Geräten(Clients) sind Programme/Dienste installiert welche als Administrator auf den Server zugreifen um z.b. Logs abzulegen oder sonstiges. Der Benutzer, der vor dem Rechner sitzt, nutzt weder direkte noch indirekt den Zugriff auf Server-Instanzen. Nur das Programm/Dienst auf dem Client hat direkten Zugriff auf eine Instanz des Servers, egal ob ein Nutzer oder welcher Nutzer angemeldet ist und dient allein der Nutzung durch den Administrator. Dann dürfte diese Nutzung ja durch die CAL des Administrators abgedeckt sein. Oder sehe ich das Falsch? Es ist ja nicht so, als dass ich nicht die Lizenzbestimmungen von MS gelesen hätte, aber die sind meiner Meinung nach einfach zu oberflächlich formuliert, wohinter mit Sicherheit eine Absicht steckt. Beispiel: In der Lizenzbestimmung steht zwar, dass man mit einer User-CAL von jedem Gerät auf Instanzen des Servers zugreifen kann, aber es geht nicht daraus hervor ob man mit einer User-CAL von mehreren Geräten gleichzeitig zugreifen darf oder nicht. PS: Hab schon ein schlechtes Gewissen, dass ich so hartnäckig bin ^^ Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.