14
RDS User CALs
Hallo zusammen,
ich habe eine Windows Server 2019 Umgebung und bin gerade dabei RDS zu installieren.
Alle Server sind virtualisiert (Hyper V) und laufen unter Windows Server 2019.
Es gibt also
- einen Server auf dem die RDS Lizenzserver Rolle läuft
- einen zweiten Server mit de Rollen WebAccess, Verrbindungsbroker und Session Host
Auf dem Session Host gibt es eine Sammlung mit einem Sessionbasierten Desktop.
Noch befinde ich mich in der Installationsphase und habe noch keine User CALs auf dem Lizenzserver installiert.
Was mich nun wundert:
Wenn ich mich mit einem "echten" RDS User mit dem RDS SH verbinde, wird eine Aktive Sitzung angezeigt und eine Lizenz ausgefasst --> das passt ja
Wenn ich mich über den Remote Desktop Connection Manager (V2.7) mit einem Admin Account und dem gesetzten Haken "Connect to console" unter "Connectin Settings" administrativ verbinde taucht diese Session dennoch auf.
Also diese Verbindung wird auch als "Aktiv" und auch als Verbindung mit der Collection angezeigt.
Warum ?
Ich verbinde mich doch gar nicht mit der Collection sondern mit der Konsole.
Was auch noch passiert ist, ist dass eine Lizenz dafür ausgefasst wird....
Ich dachte administrative Zugänge brauchen keine Lizenz.
Wo ist mein Fehler/Denkfehler?
Wäre für jeden Tipp dankbar.
S.
ich habe eine Windows Server 2019 Umgebung und bin gerade dabei RDS zu installieren.
Alle Server sind virtualisiert (Hyper V) und laufen unter Windows Server 2019.
Es gibt also
- einen Server auf dem die RDS Lizenzserver Rolle läuft
- einen zweiten Server mit de Rollen WebAccess, Verrbindungsbroker und Session Host
Auf dem Session Host gibt es eine Sammlung mit einem Sessionbasierten Desktop.
Noch befinde ich mich in der Installationsphase und habe noch keine User CALs auf dem Lizenzserver installiert.
Was mich nun wundert:
Wenn ich mich mit einem "echten" RDS User mit dem RDS SH verbinde, wird eine Aktive Sitzung angezeigt und eine Lizenz ausgefasst --> das passt ja
Wenn ich mich über den Remote Desktop Connection Manager (V2.7) mit einem Admin Account und dem gesetzten Haken "Connect to console" unter "Connectin Settings" administrativ verbinde taucht diese Session dennoch auf.
Also diese Verbindung wird auch als "Aktiv" und auch als Verbindung mit der Collection angezeigt.
Warum ?
Ich verbinde mich doch gar nicht mit der Collection sondern mit der Konsole.
Was auch noch passiert ist, ist dass eine Lizenz dafür ausgefasst wird....
Ich dachte administrative Zugänge brauchen keine Lizenz.
Wo ist mein Fehler/Denkfehler?
Wäre für jeden Tipp dankbar.
S.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6808180921
Url: https://administrator.de/contentid/6808180921
Ausgedruckt am: 23.11.2024 um 10:11 Uhr
14 Kommentare
Neuester Kommentar
Korrigiert mich (jemand) wenn ich falsch liege aber im Normalfall kann man zwei parallele RDP-Sessions zu einem Windows Server herstellen. Ob das ein User oder ein Admin ist, ist unerheblich. Entsprechende Dienste/Rollen und RDS-Lizenzen ermöglichen weiteren Zugriff. Dabei spielt es keine Rolle, ob das ein User oder Admin ist.
Jeder Zugriff auf einen Server muss lizenziert werden mit Server CAL und beim Einsatz von RDS auch mit einer RDS CAL. Stell dir vor du hast 10 User mit 10x User CAL aber auch 10 Admins. Auch diese benötigen eine CAL fpr die Verbindung.
Jeder Zugriff auf einen Server muss lizenziert werden mit Server CAL und beim Einsatz von RDS auch mit einer RDS CAL. Stell dir vor du hast 10 User mit 10x User CAL aber auch 10 Admins. Auch diese benötigen eine CAL fpr die Verbindung.
Hi Maddin,
Also rein lizenzrechtlich ist es doch so definiert, dass die 2 "integrierten" Lizenzen ausschließlich für administrative Zwecke verwendet werden.
Und bisher war ich der Meinung, dass der gesetzte Haken "connect to console" (entspricht der Kommandozeilenoption /admin) eine adminitrative Verbindung aufmacht und dafür eben keine Lizenz aus dem Lizenzpool belegt wird.
Mich wundert eben, dass der administrative Zugang zum einen angeblich auf die Collection geht und zum anderen eben eine Lizenz aus dem Pool nimmt.
Würde ja bedeuten, dass ich auch für die Admins RDS User CALs brauche, und das kommt mir eben komisch vor.
Es geht nur um die administrativen Zugriffe. Wenn ich als "normaler User" draufgehe, brauch ich ne CAL, logisch.
S.
Also rein lizenzrechtlich ist es doch so definiert, dass die 2 "integrierten" Lizenzen ausschließlich für administrative Zwecke verwendet werden.
Und bisher war ich der Meinung, dass der gesetzte Haken "connect to console" (entspricht der Kommandozeilenoption /admin) eine adminitrative Verbindung aufmacht und dafür eben keine Lizenz aus dem Lizenzpool belegt wird.
Mich wundert eben, dass der administrative Zugang zum einen angeblich auf die Collection geht und zum anderen eben eine Lizenz aus dem Pool nimmt.
Würde ja bedeuten, dass ich auch für die Admins RDS User CALs brauche, und das kommt mir eben komisch vor.
Es geht nur um die administrativen Zugriffe. Wenn ich als "normaler User" draufgehe, brauch ich ne CAL, logisch.
S.
Würde ja bedeuten, dass ich auch für die Admins RDS User CALs brauche, und das kommt mir eben komisch vor. Es geht nur um die administrativen Zugriffe. Wenn ich als "normaler User" draufgehe, brauch ich ne CAL, logisch.
Darüber habe ich mich auch schon mal aufgeregt ...
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
Warum die das nicht an die Domänen-Admin Gruppe geknüpft haben, ist mir bis heute ein Rätsel. Ist ja nicht so als könnte man mal im Stress den Parameter /admin vergessen und zack wird erstmal eine Lizenz belegt ... 🙄🧐
@anteNope
Gruß,
Dani
Warum die das nicht an die Domänen-Admin Gruppe geknüpft haben, ist mir bis heute ein Rätsel. Ist ja nicht so als könnte man mal im Stress den Parameter /admin vergessen und zack wird erstmal eine Lizenz belegt ..
Aus Security Sicht wäre das sehr sehr fragwürdig und würde die komplette Best Practice Security Architecture von Microsoft untergraben.Also rein lizenzrechtlich ist es doch so definiert, dass die 2 "integrierten" Lizenzen ausschließlich für administrative Zwecke verwendet werden.
So ist es nach wie vor. Man muss nicht immer alles technisch kontrollieren.Und bisher war ich der Meinung, dass der gesetzte Haken "connect to console" (entspricht der Kommandozeilenoption /admin) eine adminitrative Verbindung aufmacht und dafür eben keine Lizenz aus dem Lizenzpool belegt wird.
Dürfte nicht der Fall sein, wenn du dich direkt mit dem RDS Host verbindest, richtig?Gruß,
Dani
Zitat von @Dani:
Dürfte nicht der Fall sein, wenn du dich direkt mit dem RDS Host verbindest, richtig?
Leider ist es aber so.
Ich kann es auch nicht nachvollziehen, warum da eine Lizenz für meinen Admin ausgegeben wurde.
Wie gesagt verbinde ich mich ausschließlich über den Remote Desktop Connection Manager (Version 2.7)
Könnte es ggf. damit zusammenhängen, dass es eine alte Version ist?
Ich muss es mal mit einer Session über eine RDP Datei versuchen in der ich /admin konkret angebe.
Was macht eigentlich der Connection Manager, wenn ich hinter dem Host das /admin angebe....hmm. muss ich mal testen.
Die Spannende Frage ist ja nun:
Wenn ich X Lizenzen habe, und der Admin sich davon eine krallt, kann ich dann wirklich nur noch X-1 Clients anbinden?
Was passiert denn, wenn der "zu viel" Client versucht eine Session aufzubauen?
Wird die dann wirklich verweigert oder wird die dann nur mitgezählt?
Dachte mal sowas gelesen zu haben (weiß aber nimmer wo), dass der Lizenzmanager dann eben angibt "überbelegt" aber darüber hinaus eben nichts passiert.....
S.
Moin,
Gruß,
Dani
Wenn ich X Lizenzen habe, und der Admin sich davon eine krallt, kann ich dann wirklich nur noch X-1 Clients anbinden?
So ist. Mathe Leistungskurs hat sich ausgezahlt. Was passiert denn, wenn der "zu viel" Client versucht eine Session aufzubauen?
Keine freie bzw. zugewiesene Lizenz = kein Zugriff.Leider ist es aber so.
Ich kann den Problem nicht nachstellen. Ich habe einen RDS aufgesetzt und getestet. Sobald ich mit /admin zugreife, wird keine CAL gezogen. Ich habe natürlich nach jedem Versuch die RD Lizenzmanager zurückgesetzt.Gruß,
Dani
Eieieiei...immer dieser Sarkasmus.....
Mich wundert eben folgendes:
Momentan habe ich noch keine installierten Lizenzen.
Die Lizenzen die da gezählt werden auf dem LIzenzserver in der Zeile "Integriert" gezählt.
Ist da eventuell mein Denkfehler?
Wie gesagt: keine gekauften Lizenzen installiert.
Und momentan bekommt eben jeder Client mir dem ich es teste eine Lizenz...aber eben aus der "integriert" Lizenz.
Was meinst Du mit "nach jedem Versuch den RD Lizenzmanager zurückgesetzt" ?
Und hast Du es über eine rdp mit /admin getestet oder auch mit dem Connection Manager.
Wie gesagt, nutze ich die V2.7 und die ist ja nun schon etwas älter....
S.
Mich wundert eben folgendes:
Momentan habe ich noch keine installierten Lizenzen.
Die Lizenzen die da gezählt werden auf dem LIzenzserver in der Zeile "Integriert" gezählt.
Ist da eventuell mein Denkfehler?
Wie gesagt: keine gekauften Lizenzen installiert.
Und momentan bekommt eben jeder Client mir dem ich es teste eine Lizenz...aber eben aus der "integriert" Lizenz.
Was meinst Du mit "nach jedem Versuch den RD Lizenzmanager zurückgesetzt" ?
Und hast Du es über eine rdp mit /admin getestet oder auch mit dem Connection Manager.
Wie gesagt, nutze ich die V2.7 und die ist ja nun schon etwas älter....
S.
Zitat von @SvenTej:
Und hast Du es über eine rdp mit /admin getestet oder auch mit dem Connection Manager.
Wie gesagt, nutze ich die V2.7 und die ist ja nun schon etwas älter....
S.
Und hast Du es über eine rdp mit /admin getestet oder auch mit dem Connection Manager.
Wie gesagt, nutze ich die V2.7 und die ist ja nun schon etwas älter....
S.
Moin,
Ich bin ziemlich sicher, dass ich auf spiceworks o.ä. einen Beitrag gefunden habe, dass der Haken bei "console" beim RDCM nicht (mehr) funktioniert und man stattdessen eben /admin nutzen soll. Ich kann mich jedenfalls an ein Problem diesbezüglich erinnern. Genrell funktioniert ja der /console switch nicht mehr, gut möglich also, dass deswegen auch der RDCM daher nicht funktioniert.
Versuche doch einfach mal dich mit dem normalen Remotedesktop-Client zu verbinden mit gesetzten /admin Schalter (bei der Serveradresse hinten dran hängen) oder konfiguriere im RDCM den /admin Switch statt den Haken bei console.
Ansonsten wie wäre es mit einem Test-Update auf die RDCM v2.92? Vielleicht geht der Haken damit (wieder)?
https://learn.microsoft.com/en-us/sysinternals/downloads/rdcman
MfG
Danke Dir für den Hinweis
Kann ich im RCDM einfach ^hinter den Rechnernamen ein /admin setzen?
S.
Kann ich im RCDM einfach ^hinter den Rechnernamen ein /admin setzen?
S.
Zitat von @SvenTej:
Danke Dir für den Hinweis
Kann ich im RCDM einfach ^hinter den Rechnernamen ein /admin setzen?
S.
Danke Dir für den Hinweis
Kann ich im RCDM einfach ^hinter den Rechnernamen ein /admin setzen?
S.
Hi,
habe es eben getestet und kann deine Frage leider nur verneinen und habe es auf die schnelle auch nicht hinbekommen. Auch nicht mit der aktuellen v2.92 und manuellem Editieren der .rdg-Datei. Kannst du denn mal bitte prüfen, ob dein beschriebenes Verhalten auch auftritt, wenn du eine normale RDP mit dem /admin Schalter nutzt?
MfG
Hi,
ich habe nun einen zweiten Lizenzserver unter 2022 aufgesetzt und dort die CALs installiert (2022 er CALs).
Der Effekt, dass jede Clientverbindung auf dem RDSH als aktive Verbindung mit der Collection angegeben wird - auch wenn man mstsc mit /admin startet - ist immer noch da.
Ich werte das mal als "soll so".
Komischerweise konnte ich den Effekt aus dem ersten Post nicht mehr nachvollziehen, dass auch eine Lizenz dafür verteilt wird.
Da hier ein 2019er RDSH sich die Lizenz von einem 2022-er Lizenzserver holt habe ich mich mal naiv an die MS Lizenzierungshotline gewandt.
Ich hab also folgenden Sachverhalt geschildert:
- Lizenzierungsserver läuft unter 2022 und hat 10 installierte 2022er RDS User CALs
- der Session Host läuft unter 2019
Folgende Fragen habe ich gestellt:
a) Im Remotedesktoplizenzierungs.Manager wird einem User keine 2022er CAL ausgestellt, sondern einen 2019er aus dem "integrierten" Pool.
Ist das ein Fehler bzw. muss ich was tun?
Antwort:
Nein, das ist das erwartete Verhalten. Ist quasi das "downgrade" der Lizenz.
Ich muss nur aufpassen, dass die mehr als die gekauften Lizenzen von 2022 und 2019 zusammen ausgestellt sind.
b) Ich hatte den Effekt, dass einem Admin ein eLIzenz ausgestellt wurde. Ich habe aber doch 2 Lizenzen für Konsolesitzungen, mache ich was falsch?
Antwort:
Nein, denn in der Liste der ausgestellten Lizenzen ist ja ersichtlich, welchem Benutzer Lizenzen ausgestellt wurden.
Falls es zu einer Lizenzprüfung kommen sollte, lässt sich ja einfach nachweisen, dass es ein Admin ist, und das ist dann kein Problem.
c) Wenn sich derselbe Benutzer in verschiedenen Schreibarten anmeldet, werden mehrere Lizenzen ausgestellt.
Antwort:
Das ist ein Problem, denn bei UserCALs lässt sich das in der LIste der ausgestellten Lizenzen nachvollziehen.
Außerdem wird auch der Zugriff nicht verweigert, wenn dadurch mehr als die gekauften Lizenzen ausgestellt werden.
Auf die abschließende Frage, was passiert, wenn sich zuviele Benutzer anmelden kam die Aussage:
Das bekommen wir nur bei einer Lizenzprüfung mit.
Okay, klingt also so, als ob ich erstmal kein Problem habe, und es sich eher um Anzeigeprobleme handelt.
Gruß
S.
1111
ich habe nun einen zweiten Lizenzserver unter 2022 aufgesetzt und dort die CALs installiert (2022 er CALs).
Der Effekt, dass jede Clientverbindung auf dem RDSH als aktive Verbindung mit der Collection angegeben wird - auch wenn man mstsc mit /admin startet - ist immer noch da.
Ich werte das mal als "soll so".
Komischerweise konnte ich den Effekt aus dem ersten Post nicht mehr nachvollziehen, dass auch eine Lizenz dafür verteilt wird.
Da hier ein 2019er RDSH sich die Lizenz von einem 2022-er Lizenzserver holt habe ich mich mal naiv an die MS Lizenzierungshotline gewandt.
Ich hab also folgenden Sachverhalt geschildert:
- Lizenzierungsserver läuft unter 2022 und hat 10 installierte 2022er RDS User CALs
- der Session Host läuft unter 2019
Folgende Fragen habe ich gestellt:
a) Im Remotedesktoplizenzierungs.Manager wird einem User keine 2022er CAL ausgestellt, sondern einen 2019er aus dem "integrierten" Pool.
Ist das ein Fehler bzw. muss ich was tun?
Antwort:
Nein, das ist das erwartete Verhalten. Ist quasi das "downgrade" der Lizenz.
Ich muss nur aufpassen, dass die mehr als die gekauften Lizenzen von 2022 und 2019 zusammen ausgestellt sind.
b) Ich hatte den Effekt, dass einem Admin ein eLIzenz ausgestellt wurde. Ich habe aber doch 2 Lizenzen für Konsolesitzungen, mache ich was falsch?
Antwort:
Nein, denn in der Liste der ausgestellten Lizenzen ist ja ersichtlich, welchem Benutzer Lizenzen ausgestellt wurden.
Falls es zu einer Lizenzprüfung kommen sollte, lässt sich ja einfach nachweisen, dass es ein Admin ist, und das ist dann kein Problem.
c) Wenn sich derselbe Benutzer in verschiedenen Schreibarten anmeldet, werden mehrere Lizenzen ausgestellt.
Antwort:
Das ist ein Problem, denn bei UserCALs lässt sich das in der LIste der ausgestellten Lizenzen nachvollziehen.
Außerdem wird auch der Zugriff nicht verweigert, wenn dadurch mehr als die gekauften Lizenzen ausgestellt werden.
Auf die abschließende Frage, was passiert, wenn sich zuviele Benutzer anmelden kam die Aussage:
Das bekommen wir nur bei einer Lizenzprüfung mit.
Okay, klingt also so, als ob ich erstmal kein Problem habe, und es sich eher um Anzeigeprobleme handelt.
Gruß
S.
1111
1
Moin,
Allerdings habe ich keinen Windows Server 2022 zur Verfügung. Sondern ausschließlich 2019 und 2016. Mir fehlt gerade die Einsicht, weshalb mit der neuen Version das Verhalten geändert worden sein sollte.
Gruß,
Dani
Außerdem wird auch der Zugriff nicht verweigert, wenn dadurch mehr als die gekauften Lizenzen ausgestellt werden.
das kann ich nicht bestätigen. In meiner Testumgebung sind alle Lizenzen aufgestellt und Testuser Test10 kann sich danach als User (ohne Adminrechte auf dem Server) nicht mehr anmelden.Allerdings habe ich keinen Windows Server 2022 zur Verfügung. Sondern ausschließlich 2019 und 2016. Mir fehlt gerade die Einsicht, weshalb mit der neuen Version das Verhalten geändert worden sein sollte.
Gruß,
Dani
Hmm okay.
Also wenn ich in den Artikel hier lese:
https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-s ...
steht da ja was von overallocation.
Auch hier
https://social.technet.microsoft.com/Forums/en-US/1580e623-48ba-4843-81c ...
und hier
https://serverfault.com/questions/854152/rds-user-cal-licences-over-prov ...
wird ähnliches berichtet.
Ich hab auch irgendwo (ich finde leider die Quelle nicht mehr, war aber offiziell von MS), dass der Fall "mehrere physische Personen nutzen denselben Login" über die EULA abgedeckt ist, und war so, dass man eben ausreichend viele gekauft haben muss....
S.
Also wenn ich in den Artikel hier lese:
https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-s ...
steht da ja was von overallocation.
Auch hier
https://social.technet.microsoft.com/Forums/en-US/1580e623-48ba-4843-81c ...
und hier
https://serverfault.com/questions/854152/rds-user-cal-licences-over-prov ...
wird ähnliches berichtet.
Ich hab auch irgendwo (ich finde leider die Quelle nicht mehr, war aber offiziell von MS), dass der Fall "mehrere physische Personen nutzen denselben Login" über die EULA abgedeckt ist, und war so, dass man eben ausreichend viele gekauft haben muss....
S.
Moin,
Gruß,
Dani
Also wenn ich in den Artikel hier lese:
https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-s ...
Tatsächlich. Da verhalten sich RDS Device und User CALs unterschiedlich. https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-s ...
Ich hab auch irgendwo (ich finde leider die Quelle nicht mehr, war aber offiziell von MS), dass der Fall "mehrere physische Personen nutzen denselben Login" über die EULA abgedeckt ist, und war so, dass man eben ausreichend viele gekauft haben muss....
Richtig, das ist zutreffend.Gruß,
Dani
