Jump to content

Lizenzfragen bei WSUS-Zugriffen von extern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Im Prinzip richtet sich die Frage an Dr.Melzer, ich möchte sie jedoch öffentlich stellen, damit die Antwort den Board-Mitgliedern zugänglich ist.

 

Wenn ich in einem Perimeter-Netzwerk einen alleinstehenden Windows Server 2003 einrichte, der ausschliesslich für externe Zugriffe auf WSUS dient (Aktualisierung von Zweigstellen):

- Welche Lizenzen sind nötig?

- Gibt es lizenzrechtlich Unterschiede, wenn ich anstelle einer Standard- die Web-Version einsetze?

- Wie ändert sich die Lizenzierung, wenn die Zugriffe über VPN und mit Authentifizierung erfolgen?

- Und wie, wenn der WSUS-Server in der Standard-Edition gleichzeitig DC seiner eigenen Domäne wird, um die Authentifizierung über AD/Zertifikate abzuwickeln?

 

Danke vielmals.

Link zu diesem Kommentar

Erst mal brauchst du eine Windows Server 2003 Lizenz für den Server auf dem der WSUS Server laufen soll.

 

Jeder Rechner der auf ihn zugreift benötigt eine Windows CAL. da jedoch davon auszugehen ist dass die Rechner eh in Windowsdomänen stehen und somit schon Windows CALs besitzen.

 

Der WSUS Server selbst ist lizenzfrei.

 

Wie die Clients auf ihn zugreifen (VPN, direkt Authentifiziert oder nicht, ...) ist egal.

Link zu diesem Kommentar

Danke, Dr.Melzer.

 

Noch ein kurzes Nachhaken:

- Darf die Domäne, in der zugreifende Windows-Rechner stehen, eine beliebige sein, also auch eine firmenfremde? Szenario: In der Fima X steht ein WSUS-Server, der die Aktualisierungen von einem WSUS-Server der Firma Y (externer Dienstleister) bezieht.

- Was ist mit einzelnen Windows-XP-Stationen, die nicht in einer Domäne sind (Heimbüro), aber ebenfalls über den WSUS-Server des Dienstleisters Y mit Aktualisierungen versorgt werden? Muss in diesem Fall auf dem dezidierten WSUS-Server eine CAL für diesen Zugriff bereitgestellt werden?

Link zu diesem Kommentar

- Darf die Domäne, in der zugreifende Windows-Rechner stehen, eine beliebige sein, also auch eine firmenfremde?

 

Nein das darf sie nicht, denn die Lizenzen (in dem Fall die WQindows CALs) gelten nur für die Domäne, welche dem inhaber des Lizenzvertrages gehört. Er darf sie nur für sich selbst nutzen.

Du musst als für jede Domäne oder jeden Kunden einen eigenen WSUS Sewrver aufsetzen.

 

- Was ist mit einzelnen Windows-XP-Stationen, die nicht in einer Domäne sind (Heimbüro), aber ebenfalls über den WSUS-Server des Dienstleisters Y mit Aktualisierungen versorgt werden? Muss in diesem Fall auf dem dezidierten WSUS-Server eine CAL für diesen Zugriff bereitgestellt werden?

 

Ja klar und zwar von demjenigen der Die Lizenzen für die Domäne hat und für den diese rechner arbeiten.

Link zu diesem Kommentar

Danke vielmals. Jetzt ist alles klar. Für meinen Fall brauche ich also CALs, denn es geht um Zugriffe aus fremden Domänen. Dort steht jeweils ein Server mit WSUS, der Aktualisierungen von meinem dezidierten externen WSUS-Server holt, wo sie geprüft und anschliessend freigegeben werden. Die Server in den fremden Domänen übernehmen automatisch die Freigaben und die lokale Verteilung. Das bedeutet: 1 CAL pro fremde Domäne, da jeweils nur je ein Server aus diesen fremden Domänen auf meinen WSUS zugreift.

Link zu diesem Kommentar
  • 2 Monate später...
Das bedeutet: 1 CAL pro fremde Domäne, da jeweils nur je ein Server aus diesen fremden Domänen auf meinen WSUS zugreift.

 

Das ist nicht richtig.

Du brauchst eine CAL je Gerät, denn das Bündeln von Anfragen reduziert nicht die Anzahl der benötigten CALs.

 

Hier der entsprechende Auszug aus den Nutzungsrechten:

 

Multiplexing.

Hardware oder Software, die Sie für Folgendes verwenden:

• Zusammenfassen von Verbindungen

• Umleiten von Informationen

• Verringern der Anzahl der Geräte oder Nutzer, die direkt auf das Produkt zugreifen oder

es verwenden, oder

• Verringern der Anzahl der Geräte oder Nutzer, die das Produkt direkt verwaltet,

(manchmal als „Multiplexing“ oder „Pooling“ bezeichnet), verringert nicht die Anzahl der erforderlichen Lizenzen.

Link zu diesem Kommentar

Ich meinte eine Art Holding-Modell mit einer Dachgesellschaft. Die einzelnen Unternehmen werden von einer Gesellschaft verwaltet. Vielleicht sogar schon ein kleiner Konzern. Alle - ich nenne sie Teilfirmen - treten nach außen hin selbstständig auf. Jetzt erbringen wir natürlich nicht nur für das Mutterunternehmen leistungen, sondern auch für die anderen Teilfirmen. hingegen sind alle in der gleichen Domäne. Aber im Grunde sind es Kunden aus einer anderen Firma.

 

Eine bessere Erklärung fällt mir da zur Zeit leider nicht ein..

Link zu diesem Kommentar

Was den WSUS angeht ist es relativ einfach. Für jeden der Clients muss eine Server 2003 CAL vorhanden sein (was eh nötig ist das der WSUS in der Regel in Windows Netzen eingesetzt wird).

Ansonsten sind für den WSUS keine Lizenzen notwendig, da er Kostenfrei ist.

Bei einem Firmengeflecht wie du es ansprichst ist es aber mit allen anderen Lizenzen sehr tricky. Hier würde ich dir empfehlen einen MS Software Asset Management Partner dazu zu konsultieren.

Link zu diesem Kommentar
Das ist nicht richtig.

Du brauchst eine CAL je Gerät, denn das Bündeln von Anfragen reduziert nicht die Anzahl der benötigten CALs.

Das erinnert mich an die kürzliche Diskussion über CALs für einen 2. DC in SBS-Domänen;-)

 

Heisst also, wenn der WSUS einer ordentlich lizenzierten Firma mit 50 CALs für die eigene Domäne auf den domänenfremden WSUS eines externen Dienstleisters zugreift (der die Aktualisierungen prüft und freigibt), dann muss dieser Dienstleister ebenfalls 50 CALs kaufen und bereitstellen, damit Sicherheitslöcher in der Software des Kunden behoben werden dürfen? Kann es das sein?

Link zu diesem Kommentar
Heisst also, wenn der WSUS einer ordentlich lizenzierten Firma mit 50 CALs für die eigene Domäne auf den domänenfremden WSUS eines externen Dienstleisters zugreift (der die Aktualisierungen prüft und freigibt), dann muss dieser Dienstleister ebenfalls 50 CALs kaufen und bereitstellen, damit Sicherheitslöcher in der Software des Kunden behoben werden dürfen? Kann es das sein?

 

Nein, das hast du falsch verstanden. Wenn die zugreifenden Rechner bereits CALs für den Windowes Server haben, brauchen sie keine weiteren, den mit einer Server 2003 CAL darfst du auf beliebig viele Server zugreifen.

 

Schwierig wird es wenn ein Dienstleister seine Server seinen Kunden zur Verfügung stellt, denn jeder darf mit seinen CALs nur auf seine eigenen Server zugreifen.

 

Hier gibt es für den Server 2003 den sogenannten "external Connector". Damit dürfen beliebig viele externe auf die eigenen Serrver zugreifen. Das gilt allerdings nur dann wenn das Bereitstellen der Server oder deren Dienste nicht mein Geschäftszweck sind (z.B. anbieten von Terminalservices oder ähnlichem).

 

Noch etwas komplizierter wirde es wenn dieser Dienst als Dienstleistung angeboten wird, denn dann fällt es unter "Hosting", was grundsätzlich auch nicht zulässig ist und wofüt eigene Verträge (SPLA) abgeschlossen werden müssen.

 

Der genannte Fall, dass ein Supporter seinen WSUS Server für seine Kunden hostet ist zumindest fragwürdig. Ich würde bei jedem Kunden einen eigenen SUS Server aufstellen um auf der sicheren Seite zu sein, zumal ich in dem genannten Beispiel keinen echten Vorteil sehe.

Link zu diesem Kommentar
Der genannte Fall, dass ein Supporter seinen WSUS Server für seine Kunden hostet ist zumindest fragwürdig. Ich würde bei jedem Kunden einen eigenen SUS Server aufstellen um auf der sicheren Seite zu sein, zumal ich in dem genannten Beispiel keinen echten Vorteil sehe.

Im Prinzip geht es darum, dass der Kunde (ein Kleinunternehmen) sich nicht selbst vor den WSUS setzen und neue Updates bewilligen will, diese aber auch nicht unbesehen automatisch in seinem Netzwerk installieren will. Also hat er einen WSUS für die lokale Verteilung. Dieser WSUS beszieht die vom Dienstleister nach der Prüfung freigegebenen Updates von dessen Standalone-WSUS, auf dem sie bereitgestellt werden.

 

Das Ganze soll einer erhöhten Netzwerksicherheit beim Kunden dienen, der sich nicht selbst darum kümmern kann, weil ihm Kompetenz und Personal fehlen. Der Dienstleister will aber auch nicht jedesmal Anfahrtskosten berechnen. Remotedesktopverbindung zum Kunden ist auch nicht angestrebt.

 

Ich werde mich mal wieder beim Schweizer Lizenzmarketing erkundigen, wie sie eine solche Konfiguration lizenzrechtlich beurteilen. Will ja nichts illegales tun.

Link zu diesem Kommentar

Ich habe dann noch die folgende Passage in den Q&A zu den WSUS gefunden:

SUS and WSUS are components of Windows 2000 Server, Windows Server 2003, Small Business Server 2000 and Windows Small Business Server 2003. Consequently, SUS is, and WSUS will be, available at no additional charge to licensees of these products.

 

SUS and WSUS do not have their own client access license (CAL). However, when you are updating your computers that run SUS and WSUS, you will need to access the server on which the SUS or WSUS server component runs, and therefore each computer requires a Windows or Core CAL. Note that this is a licensing requirement for the Windows Server on which the SUS or WSUS server is running, and not a licensing requirement specific to SUS or WSUS.

 

The general exceptions to this CAL licensing requirement for Windows Server are:

 

1.

When the access is through the Internet and unauthenticated.

 

2.

When the service being accessed can be run on Windows Server 2003 Web Edition (that is, the service and the way in which it is used meet the requirements specified in the product use rights for Windows Server 2003 Web Edition).

 

 

Because computers that are updated using SUS or WSUS access the SUS or WSUS server through the organization's internal network, the first exception does not apply to use of SUS or WSUS.

 

The second exception is applicable when SUS is used and the SUS server is running on Windows Server 2003, Web Edition.

 

The second exception is applicable when WSUS is used if the WSUS server is running on Windows Server 2003, Web Edition, and the WSUS database is using the default built-in WSUS database or an MSDE database installed on the same computer. Using a remote database invalidates this exception.

 

To summarize, if you are updating your computers using a SUS or WSUS server running on Windows Server 2003, Web Edition, and you are not using a remote database for the WSUS server, no CALs are required to update these computers. In all other situations, you need a Windows or Core CAL for each computer running WSUS or SUS that you are updating.

 

Hier ist der Link zum Original:

http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/faq.mspx#EDAAA

 

Mit anderen Worten: Dr.Melzer hat grundsätzlich Recht. Ich kläre nun die Frage, ob der Betrieb eines vorgeschalteten, domänenfremden WSUS-Servers auf Windows Server 2003 Web Edition zulässig ist resp. eine SPLA dafür nötig/möglich ist.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...