Windows CALS

[Alaric]

Hallo,

ich habe mal eine Frage bezüglich der CAL für einen Windows Server.

Szenario: Auf einem Windows Server liegt eine Webanwendung welche mittels (IIS). Die Webanwendung ist nicht von Microsoft und bringt ihre eigene Datenbank mit. Die Anwender authentifizieren sich über die Anwendung, nicht über das AD.

Bräuchte ich jetzt für jeden Anwender, welcher die Webanwendung nutzt, eine eigene CAL?

Das würde ja bedeuten, wenn eine große Website (z.B. Facebook) auf einem Windows Server hosten würden, müsste diese Seite dann für jeden neu Registrierten Benutzer ein eigenen CAL kaufen ?

 

Ich hoffe, ich verstehe hier was grundlegend falsch

 

Vielen Dank

[Maniska]

Ich sehe lizenzrechtlich keinen Unterschied zwischen den beiden Schaubildern, ob ich via IP oder FQDN zugreife.. egal. Es geht um direkten oder indirekten Userzugriff über egal wie viele Ecken. Auch bei Bild 1 ist doch irgendwo ein User (Person) involviert der sich gegen die AD authentifiziert, oder verstehe ich hier was falsch?

Und ja, solange die DB auf einem Windowsserver liegt ist für jeden User eine CAL fällig + je nachdem wie der SQL lizenziert ist

vor 6 Minuten schrieb Alaric:

Bedeutet, dass hier JEDER Anwender, also jede natürliche Person einen CAL bräuchte??

Jup, die benötigst du aber schon wenn du den ersten Windowsserver in Betrieb nimmst, sollte daher also kaum überraschen.

vor 6 Minuten schrieb Alaric:

Also nicht nur jeder registrierte Person sondern theoretisch jeder, der in der lage ist, die Website aufzurufen? Das ist doch Wahnsinn....

Windows Server im Internet zu hosten auch, trotzdem spielen wir hier gerade dieses Gedankenspiel. Niemand der noch eine Nadel an der Tanne hat wird eine Webanwendung im Internet freiwillig auf einem Windowsserver hosten.

vor 6 Minuten schrieb Alaric:

Brauchen Windows Server, welche auf Windows Server zugreifen dann auch Device CALS?

Nein, da sie das im Regelfall nicht aus Spaß an der Freude machen sondern Aufgrund von Userinteraktion. Oder es machen Service Accounts, die brauchen auch nix. Aber wie gesagt, sobald ein Windowsserver als DC, Print- oder Fileserver eingesetzt wird sollte eh jeder MA eine CAL haben. Und im Internet spielt man nicht mit Fenstern.

vor 6 Minuten schrieb Alaric:

Das grenzt ja an wegelagerei 

Habe ich jemals was anderes behauptet?

 

 

 

 

[Maniska]

vor 10 Minuten schrieb Alaric:

Ich hoffe, ich verstehe hier was grundlegend falsch

Ja und nein

vor 10 Minuten schrieb Alaric:

Das würde ja bedeuten, wenn eine große Website (z.B. Facebook) auf einem Windows Server hosten würden, müsste diese Seite dann für jeden neu Registrierten Benutzer ein eigenen CAL kaufen

Deswegen hosten die auch nicht auf Windows. Gut, und weil Linux dafür deutlich besser geeignet ist.

vor 10 Minuten schrieb Alaric:

Szenario: Auf einem Windows Server liegt eine Webanwendung welche mittels (IIS). Die Webanwendung ist nicht von Microsoft und bringt ihre eigene Datenbank mit. Die Anwender authentifizieren sich über die Anwendung, nicht über das AD.

Bräuchte ich jetzt für jeden Anwender, welcher die Webanwendung nutzt, eine eigene CAL?

Du kannst(konntest?) auch Geräte lizenzieren, kommt aber wahrscheinlich aus das selbe raus oder wird sogar noch teurer.

So, genug verarscht:

Wenn es ein AD gibt, dann hat der User doch sowieso schon eine Server CAL, zumindest sollte er die haben, das AD läuft ja auf einem Server, und der User greift drauf zu.

Jeder User der direkt, oder indirekt(!!!) mit einem Gerät auf einen Windowsserver zugreift, benötigt eine CAL. Dabei ist es egal ob das eine UserCAL ist, sprich der User ist berechtigt (unabhängig vom Endgerät) oder eine Geräte CAL sprich das Gerät ist berechtigt (unabhängig vom User).

• User CAL -> User kann darf von jedem Gerät aus auf Windowsserver (Mehrzahl!!!) zugreifen.
• Geräte CAL -> Gerät darf von jedem User verwendet werden um auf Ressourcen zuzugreifen.
• Mischbetrieb beider CALs -> grauen Haare und Schreikrampf da nicht wirklich verwaltbar und absolut undurchsichtig

Ich als User benötige um Arbeiten zu könne im Regelfall:

• Ein Endgerät mit einer Windowslizenz
• Eine Lizenz (User CAL) Office
• Eine User CAL Windows Server $höchstesOSimEinsatz sobald ich etwas nutze das eine Windowsserver nutzt (AD, DNS, DHCP) also ja, du benötigst für JEDEN User eine User CAL
• Eine User CAL MS Exchange (wenn ich Mail nutze)
• Eine User CAL MS SQL (wenn ich etwas nutze was den SQL nutzt)
• ...

Ich brauche aber nur EINE EINZIGE User CAL für eine unbegrenzte Anzahl an Servern.

[allesweg]

Moment, wenn ich eine Anwendung übers Internet verfügbar mache, brauche ich dann für jeden (gleichzeitigen) Nutzer meiner WebAnwendung eine UserCAL? Oder brauche ich für den technischen User meiner Anwendung eine UserCAL für ISS, MSSQL, ...?

[Maniska]

vor 11 Minuten schrieb allesweg:

Moment, wenn ich eine Anwendung übers Internet verfügbar mache, brauche ich dann für jeden (gleichzeitigen) Nutzer meiner WebAnwendung eine UserCAL? Oder brauche ich für den technischen User meiner Anwendung eine UserCAL für ISS, MSSQL, ...?

Soweit ich das verstanden habe:

Serviceaccounts benötige keine CAL. Also der Account der auf dem Filesystem berechtigt ist, die Scan2Folder Dokumente abzulegen benötigt keine. Der User, der den Scanner füttert aber schon.

Wer hostet schon ((öffentlich zugängliche) Web-) Anwendungen unter Windows???

[Alaric]

Ich finde das ist irgendwie komisch definiert.
 

Fall 1:

In diesem Beispiel bräuchte der Linux Server nur eine Device CAL für AD sowie SQL - Server richtig?

 

Fall 2:

 

Bedeutet, dass hier JEDER Anwender, also jede natürliche Person einen CAL bräuchte??

Also nicht nur jeder registrierte Person sondern theoretisch jeder, der in der lage ist, die Website aufzurufen? Das ist doch Wahnsinn....

Brauchen Windows Server, welche auf Windows Server zugreifen dann auch Device CALS?

 

Das grenzt ja an wegelagerei 

 

 

[Bitschnipser]

vor 2 Minuten schrieb Alaric:

Das grenzt ja an wegelagerei

Bei uns brauchen die Leute in der Produktion die die Bildschirme mit den Fertigungsaufträgen angucken eine CAL...

[Funfare1337]

vor 36 Minuten schrieb Alaric:

Bedeutet, dass hier JEDER Anwender, also jede natürliche Person einen CAL bräuchte??

Ja und Nein. Dies gilt jetzt erstmal nur für das Netzwerk in einem Unternehmen: Für alle Mitarbeiter / Beschäftigten wird eine UserCAL benötigt, alternativ für jedes Gerät welches auf einen Windows Server zugreift. Dabei ist auch dein Fall 1 und Fall 2 identisch, denn alle greifen direkt oder indirekt auf einen MS-Server zu (MS SQL, AD). Dabei ist es einfach egal ob das über einen Apache geht oder nicht, weil auch die indirekten Zugriffe zählen.

Für öffentliche Websites sieht das allerdings etwas anders aus, für dieses Szenario gibt es die Excternal Connector License. Die ist dafür da, Zugriffe zu Lizensieren die nicht von Mitarbeitern des Unternehmens stammen. Damit sind dann alle Zugriffe von Extern auf einen Server abgedeckt.

 

Edit: Windows Server brauchen für den Zugriff untereinander übrigens keine CAL, die dürfen fröhlich miteinander Kommunizieren, bei MS geht es expliziert nur um Divices (Alles außer Windows Server) und/oder User (=Mensch, dabei ist es egal ob 5 Personen einen AD-Account haben oder 5 Personen 30 Accounts fröhlich wechseln, oder gar kein AD besteht)

 

 

Bearbeitet 27. Oktober 2021 von Funfare1337

[Gast Interrupt]

Moin,

erstmals vorab: ich bin kein Windows Lizenz Experte. Aber ich meine speziell für Webserver bietet Microsoft eine Lizenz an und zwar die External Connector Lizenz. Dort sind alle externen Zugriffe enthalten. Entsprechend ist die Lizenz aber auch sehr teuer.

Edit: @Funfare1337 war schneller. 😛

MfG

Bearbeitet 27. Oktober 2021 von Interrupt

[Alaric]

Ich bedanke mich bei euch allen

Dann werde ich mal langsam zusehen, dass neue Anwendungen dringendst auf Linux Kisten laufen... der IIS kram bringt mich noch um den Schlaf.

[Maniska]

vor 3 Minuten schrieb Alaric:

der IIS kram bringt mich noch um den Schlaf.

Aber sicher nicht nur wegen den CALs

[Funfare1337]

Wenn das nur Intern ist, müssen ja eh schon CALs vorhanden sein. Eine CAL berechtigt einen User/Device Zugriff auf alle Windows Server des Unternehmens, also habt ihr dafür entweder schon entsprechend alle Lizenzen oder begeht jetzt schon Lizenzverstöße.

Greifen auch nur Mitarbeiter auf die Website zu, sind die Zugriffe mit den CALs auch abgedeckt. Wichtig ist auch der indirekte Zugriff, es ist egal ob IIS oder Apache wenn im Hintergrund auf MSSQL und AD zugegriffen wird.

Ähnlich bei jetzt schon vorhandenem Zugriff von Extern, wenn ihr von Extern schon zugriffe auf MSSQL habt müssen die jetzt schon Lizenziert werden. Und zwar alle Server auf die von Extern zugegriffen wird.

 

MS Lizenzen sind ein kompliziertes Thema, da kommt man schnell in die Schiene Lizenzverstoß wenn man da nicht aufpasst.

[tkreutz2]

Tante Google findet dazu folgenden Snippet:

Eine User Client Access License (CAL) wird für jeden Benutzer benötigt, der auf Windows Server für Datei-, Druck-, Fernzugriffs- oder Terminaldienste zugreift. Sie wird auch für alle authentifizierten Benutzer benötigt, die auf Windows Server als Web- oder Anwendungsserver zugreifen.