Jump to content

Windows Server zur Account Synchronisierung


Go to solution Solved by NilsK,

Recommended Posts

Hallo,

 

ich bin gerade dabei zu prüfen, wie wir unsere Benutzeraccounts (LDAP) mit den Microsoft Online Diensten abgleichen können (Dort haben wit ein Office 365 Abo.). Microsoft hat dafür Microsoft Azure Active Directory Connect welches auf einem Windows Server laufen muss. In den Support Dokumenten habe ich gefunden, dass sie empfehlen AAD Connect und einen generischen LDAP Connector zu benutzen.

Meine Frage ist nun: Wenn ich einen Windows Server aufsetze auf dem der LDAP Connector läuft um die Benutzer aus unserem System zu synchronisieren (ca 1500) und dann mit AAD Connect diese zur Microsoft Cloud lädt, brauche ich dann CAL's? Es nutzt ja weder ein Gerät noch ein Nutzer Dienste des Servers.

 

Vielen Dank schon mal.

Moritz Metelmann

 

Link to post

In einem freien offenen Forum kann keine verbindliche Rechts- oder Lizenzberatung erteilt werden.

 

Aber nach diesem Hinweis: Ich würde jetzt vorsichtig sagen, dass Du keine CALs brauchst, sofern der AADConnect-Server die Kommunikation stets selbst initiiert. Das dürfte bei Dir aber der Fall sein.

Link to post

Moin,

vorweg: Ich bin kein "technisch Begabter" und halt mich deswegen auch immer aus dem Thema raus.
Aber,
wenn dies "Aktivitäten" auf dem Server sind, die ein Program selbständig oder bis zu 2 Admins anstoßen, laienhaft vergleichbar wie mit einem Backup-Doing...
dann sehe ich hier keine Notwendigkeit für irgend welche zusätzlichen WIN-SVR-CALs.
Aber,
auf der anderen Seite müßten ja alle 1.500 User ja sowieso ihre WIN-SVR-CAL lizenziert haben, oder?

VG, Franz

Link to post

Vielen Dank für eure Antworten!

 

Zitat

Aber,
auf der anderen Seite müßten ja alle 1.500 User ja sowieso ihre WIN-SVR-CAL lizenziert haben, oder?

 

Nein, es handelt sich bei dem LDAP um ein Linux System für den Schuleinsatz und der Schulträger hat Office 365 A1 bezahlt. Ich würde gerne doppelte Accountpflege vermeiden. 

Link to post
  • Solution

Moin,

 

vermutlich einer der Fälle, die nirgends ausdrücklich geregelt sind.

 

Technisch dürfte AAD Connect auch in diesem Szenario der günstigste Weg sein, weil es alles, was man braucht, schon enthält. Alternativ könnte man so einen Sync auch mit anderen Tools (ohne Windows) bauen, aber ich bezweifle, dass man da was Fertiges findet, und dann ist es unangemessen viel Arbeit.

 

Lizenzrechtlich wird man wohl über Mutmaßungen nicht hinauskommen - gerade in diesem Fall, wo an den A1-Lizenzen ja auch niemand richtig Geld verdient. Intuitiv würde ich der Vermutung von Franz anhängen: Der Windows-Server ist an den Aktivitäten der Anwender nicht beteiligt, sondern er sorgt nur im Hintergrund für einen eher sporadischen Datenaustausch, den man auch anders bewerkstelligen könnte. Kein User greift direkt oder indirekt auf den Windows-Server zu. Also vermutlich (!) keine CAL-Pflicht.

 

Eine Unklarheit bleibt, und ich fürchte, wie gesagt, die wird man nicht aufgelöst kriegen.

 

Gruß, Nils

 

Link to post
vor 13 Minuten schrieb NilsK:

Moin,

 

vermutlich einer der Fälle, die nirgends ausdrücklich geregelt sind.

 

Technisch dürfte AAD Connect auch in diesem Szenario der günstigste Weg sein, weil es alles, was man braucht, schon enthält. Alternativ könnte man so einen Sync auch mit anderen Tools (ohne Windows) bauen, aber ich bezweifle, dass man da was Fertiges findet, und dann ist es unangemessen viel Arbeit.

 

Lizenzrechtlich wird man wohl über Mutmaßungen nicht hinauskommen - gerade in diesem Fall, wo an den A1-Lizenzen ja auch niemand richtig Geld verdient. Intuitiv würde ich der Vermutung von Franz anhängen: Der Windows-Server ist an den Aktivitäten der Anwender nicht beteiligt, sondern er sorgt nur im Hintergrund für einen eher sporadischen Datenaustausch, den man auch anders bewerkstelligen könnte. Kein User greift direkt oder indirekt auf den Windows-Server zu. Also vermutlich (!) keine CAL-Pflicht.

 

Eine Unklarheit bleibt, und ich fürchte, wie gesagt, die wird man nicht aufgelöst kriegen.

 

Gruß, Nils

 

Vielen Dank für die Einschätzung. Ich markiere das hiermit als gelöst und werde den Schulträger abwägen lassen. Sollen die nochmal bei ihren Microsoft Partnern nachfragen.

Link to post

Hi,

 

wir haben aus ähnlichen Gründen uns für einen anderen Ansatz entschieden, auch weil wir die Lizenzfrage nicht sauber gelöst bekommen haben. Bei Schulen ist Gott sei Dank es relativ statisch und es kommen nicht jeden Tag neue Kollegen / Schüler.

WIr haben uns entsprechend der Vorarbeit von @FrankCarius SDS (SchoolDataSync) angeschaut und angebunden, siehe zum Beispiel https://www.msxfaq.de/cloud/identity/school_data_sync_details.htm

 

Gruß

J

Link to post

Habe ich mir angesehen, vielen Dank. Leider fehlt da soweit ich das überblicken kann die Synchronisierung der Passwort Hashes. Das ist aber gerade der Punkt, der uns großen Support Aufwand bereitet.

Link to post

Ich zitiere mal die "Note" aus LDAP synchronization with Azure Active Directory | Microsoft Docs:

 

Zitat

Note

LDAP Connectors are an advanced configuration requiring some familiarity with Forefront Identity Manager and/or Microsoft Identity Manager. If used in production, we advise questions about this configuration should go through Premier Support or Microsoft Partner Network.

 

Link to post

Moin,

 

hm, so weit hatte ich mir das auch nicht angesehen. Scheint, als wäre die Anforderung dann in jedem Fall mit großem Aufwand und mit einigen Fachkenntnissen verbunden. Man sieht an der Seite von Frank ja sehr schön, was in so einer Situation alles zu berücksichtigen ist und wie sich sowas zu einem veritablen Projekt ausweitet.

 

Gruß, Nils

 

 

 

Link to post
vor 40 Minuten schrieb testperson:

Das sehe ich vollkommen ein, die Artikel habe ich bereits gelesen und halt auch schon einige Erfahrung unser System per LDAP an andere Systeme anzubinden, so dass ich es durchaus als möglich erachtet habe, dies nur mit den in diesem Artikel verlinkten Anleitungen durchzuführen - zumindest würde ich es gerne probieren 🙂

Link to post

Moin,

 

oberflächlich schon - aber gerade das Kennwort-Thema dürfte da auch eine Herausforderung sein. Es hat ja seinen Grund, dass Frank Carius das in seiner ISDS_Implementierung auch (noch) nicht gelöst hat ...

 

Heißt nicht, dass es nicht geht. Man unterschätze es aber nicht - zumal es hier um eine sehr sensible Sicherheitskomponente geht.

 

Gruß, Nils

Link to post

"wenn dies "Aktivitäten" auf dem Server sind, die ein Program selbständig oder bis zu 2 Admins anstoßen, laienhaft vergleichbar wie mit einem Backup-Doing...
dann sehe ich hier keine Notwendigkeit für irgend welche zusätzlichen WIN-SVR-CALs."

 

Komisch, DHCP ist aber CAL-pflichtig seit Windows 2000, das macht auch "ein Programm selbständig".

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...