Jump to content

Device-CAL für DHCP-Relay? Device-CAL für MAC-Auth?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

 

vorweg: Wir haben bei uns nach Device lizenziert.

 

Ich habe festgestellt, dass man uns scheinbar falsch beraten hat. Es hieß: Es reicht aus unsere PC zu lizenzieren.

Ich habe mich gestern den ganzen Tag mit Lizenzierung beschäftigt und bemerkt, dass das nicht reicht:

- Jeder Drucker der seine Druckaufträge von einem Windows-Server bekommt ist ein Device und benötigt eine Device-CAL

- Jedes Gerät, dass seine IP-Adresse per DHCP von einem Windows-Server bekommt ist ein Device und benötigt eine Device-CAL

- Jedes Gerät, dass einen Namen über DNS mit Hilfe eines Windows-Servers auflöst ist ein Device und benötigt eine Device-CAL

 

Habe ich soweit verstanden.

 

Mich irritiert jetzt aber die Aussage in einem anderen Topic hier. Aus diesem Post: http://www.mcseboard.de/topic/199316-welche-geräte-brauchen-eine-device-oder-user-cal/page-2

 

Gefragt wurde:

Wie sieht es eigentlich mit WLAN AP aus. Benötigen die auch eine Device CAL? Eigentlich leiten die den Netzverkehr ja nur zu Server weiter wie auch ein Switch.

 

Antwort:

Das kommt darauf an. Stell Dir vor, Du schaltest alle Windows-Server aus. Funktionieren dann die WLAN APs so, wie sie sollen, weiter? Wenn Du sie unabhängig vom Server konfiguriert hast, brauchst Du wahrscheinlich keine Device CALs für diese Geräte. Wenn dagegen die WLAN APs z.B. als DHCP-Relay-Agenten für den Windows DHCP-Dienst arbeiten oder den Windows DNS-Dienst nutzen oder die RADIUS-Implementierung von Windows zwecks Authentifizierung (z.B. Keyaustausch per EAP-TLS), dann brauchen sie Device CALs, solange nicht alle Benutzuer mit User CALs lizenziert sind.

 

 

Es wurde nicht konkret auf die AP eingegangen, daher beschreibe ich mal unsere Umgebung:

Die AP bei uns sind quasi "dumm". Ein Client der sich verbindet tut das zwar über den AP, aber der AP gibt die Anfrage an den sog. WLAN-Controller weiter. Dieser kontaktiert einen Radius-Server zur Authentifizierung des Clients. Der Client hat dafür Benutzername und Kennwort übermittelt. DHCP-Anfragen gibt der WLAN-Controller an unseren zentralen Core-Switch weiter und dieser übernimmt das DHCP-Relaying.

 

Auf die Frage die Daniel gestellt hatte: Ja die APs und der WLAN-Controller würden ohne Windows-Server funktionieren. Nur die Clients könnten sich nicht mehr einwählen.

 

Wenn jetzt für DHCP-Relaying schon eine CAL erforderlich ist, wäre das eine CAL für den Core-Switch. Richtig?

Wenn der Client jetzt eine Device-CAL hat, benötigen der AP oder der WLAN-Controller trotzdem noch eine CAL? Der WLAN-Controller evtl. weil er den Radius kontaktiert? Auch wenn er die Authentifizierung eigentlich nur vom Client weitergibt?
Was wenn der Client keine Device-CAL hat, weil er z.B. kein DHCP macht und keine Verbindung mit Windows-Servern aufnimmt? Oder braucht er eine, eben weil er sich authentifizieren will?
 
Wenn die AP jetzt ihre IP-Adresse per DHCP beziehen würden, bräuchten auch sie wieder eine Device-CAL.
 
 
 
Dann noch ein ähnliches Thema:
Wir nutzen an unseren Switchen MAC-Authentisierung. Die Prüfung findet über das AD statt. Die Prüfung, ob die MAC-Adresse im AD angelegt ist übernimmt der Core-Switch. Der Client muss sich nicht authentifizieren. Der Switch macht das automatisch über die ihm übermittelte MAC-Adresse.
Sofern der Client nicht aus anderen Gründen, z.B. DHCP, bereits eine Device-CAL hat, bräuchte er hierfür eine oder benötigt der Core-Switch die Device-CAL?
Für meinen Begriff nur der Core-Switch, da zwischen Client und Core keine Windows-Authentifizierung stattfindet.
 
 
Ist jetzt doch ziemlich viel Text geworden. Danke schon mal für die Geduld und die evtl. Antworten.
bearbeitet von ottersberg
Link zu diesem Kommentar

Bzgl. der Drucker ergibt sich auch gerade noch eine Frage:

Wenn der Drucker nicht DHCP macht und nicht auf einem Server eingerichtet ist, sondern auf einem Client-Betriebssystem, benötigt er dann eine Device-CAL?

Der Drucker ist nicht freigegeben, sondern wird nur von dem Client benutzt.

 

Was wäre, wenn der Drucker freigegeben wäre?

bearbeitet von ottersberg
Link zu diesem Kommentar

Die Regel ist einfach. Jedes gerät welches irgendwie auf einen Server (auch indirekt über ein anderes Gerät) zugreift benötigt eine Server CAL.

 

Greift der Drucker in deinem Beispiel auf einen Server zu?

 

IP Adressen per DHCP abholen ist ein Zugriff, Scandaten auf einem Server ablegen ist ein Zugriff, Daten zur Benutzerauthentifizierung abfragen ist ein zugriff.

Link zu diesem Kommentar

Moin,

 

 

Die Regel ist einfach. Jedes gerät welches irgendwie auf einen Server (auch indirekt über ein anderes Gerät) zugreift benötigt eine Server CAL.

 

Bzgl. der WLAN-Thematik:

 
Die Frage wäre: Braucht aber auch jedes Gerät, das die Anfrage nur weitergibt, eine CAL?
  • Der Client will ins WLAN und muss sich dazu authentifizieren. Er greift indirekt auf den Server zu. Er braucht also eine CAL. Das ist verständlich.
  • Der Controller macht die eigentliche Authentifizierung. Er greift direkt auf den Server zu. Er braucht auch eine CAL.
  • Der AP gibt die Daten vom Client nur an den Controller weiter. Der AP ist nur eine Zwischenstation. Ist das trotzdem ein Zugriff durch den AP?

 

Bzgl. der LAN-Thematik:

Zwischen Client und Switch findet keine Windows-Authentifizierung statt. Der Switch benutzt aber die MAC-Adresse des Clients, die er aus dem IP-Paket nimmt, und nutzt die MAC-Adresse dann zur Authentifizierung. Der Switch braucht eine CAL. Der Client auch? Er hat die Authentifizierung ja nicht initiiert. Er will gar nicht auf einen Server zugreifen. Er will nur seine LAN-Verbindung aufbauen. Nicht wie beim WLAN-Client.

Vorausgesetzt natürlich der Client braucht nicht aus anderen Gründen eine CAL. Bei einer Maschinensteuerung könnte das aber ja durchaus der Fall sein.

 

 

Greift der Drucker in deinem Beispiel auf einen Server zu?

 

Der Drucker greift nicht auf einen Server zu. Er hat eine statische IP, also kein DHCP. Er ist kein Multifunktionsgerät. Er kann nur drucken. Der Treiber ist auf einem Client-Betriebssystem installiert. Die Druckdaten kommen auch von dem Client-Betriebssystem. Quasi wie USB, nur über LAN.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...