antenope
Goto Top

Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?

Nabend zusammen,

ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles.
Nur ist mir gerade aufgefallen, dass meinen Domänen-Admin eine User-CAL zugewiesen wurde.
Wenn ich mich recht entsinne, haben doch die Server 2 RDS-CALs für Administrative Zwecke. Warum frisst mein Domänen-Admin eine User-RDS-Lizenz???

Wäre ja prinzipiell kein Problem, würde KleinWeich die Lease-Zeit für diese pseudo concurrent-Lizenzen nicht mit einer absurden Lease Zeit von 60 TAGEN versehen!

Habe ich irgendwo etwas übersehen, vergessen oder "MUSS" das so sein?
Vielen Dank vorab für den Wink mit dem Zaunpfahl.

rds

Content-Key: 665995

Url: https://administrator.de/contentid/665995

Printed on: April 22, 2024 at 13:04 o'clock

Member: mxrecord
Solution mxrecord Apr 21, 2021 at 21:30:57 (UTC)
Goto Top
Hi anteNope,

das beschriebene Verhalten habe ich ebenfalls schon beobachtet.
Soweit ich weiß, musst du dich explizit mit einer Konsolenverbindung / Admin-RDP-Verbindung connecten, um die Lizenzvergabe zu umgehen.
In RDS-Umgebungen mit mehreren Servern ist das ohnehin nötig, um den RDS-Broker zu umgehen, sonst landet man auf irgendeinem der RDS-Server.

In den meisten RDP-Verbindungsmanagern gibt es in den Settings irgendwo einen Haken ("Verbindung zur Konsole", o.ä.), den du dafür setzen kannst.
Ansonsten einfach "mstsc.exe /admin" aufrufen bzw. "/admin" im Verbindungsfeld anfügen, dann sollte das auch gehen.

Viele Grüße
Member: Th0mKa
Solution Th0mKa Apr 22, 2021 at 03:39:32 (UTC)
Goto Top
Moin,

Woher soll Microsoft denn wissen das du jetzt administrative Tätigkeiten ausführst und nicht normal arbeitest wenn du es bei der Verbindung nicht angibst? Wie schon gesagt ist hier die administrative Verbindung „mstsc /admin“ dein Freund. Die 60 Tage sind keine Leasetime, sondern der ganz normale Zeitraum bevor du eine vergebene Lizenz neu zuweisen darfst.

/Thomas
Member: anteNope
anteNope Apr 22, 2021 updated at 06:25:09 (UTC)
Goto Top
Zitat von @Th0mKa:
Die 60 Tage sind keine Leasetime, sondern der ganz normale Zeitraum bevor du eine vergebene Lizenz neu zuweisen darfst.

Jep, und das nennt man üblicher Weise bei concurrent oder floating Lizenzen Lease-Time 😏 60 Tage sind hierbei schon eine außerordentliche Frechheit auf die nicht mal offiziell hingewiesen wird ...

Zitat von @Th0mKa:
Woher soll Microsoft denn wissen das du jetzt administrative Tätigkeiten ausführst und nicht normal arbeitest wenn du es bei der Verbindung nicht angibst?

Stimmt wohl. Ist ja nicht so als gäbe es eine total praktische Sicherheitsgruppe für Administratoren die domänenweit gilt, an welcher man dies automatisch identifizieren könnte ... 🙄

Vielen Dank, ich nun weiß wo der Hund begraben liegt 😂.
Member: ukulele-7
ukulele-7 Apr 22, 2021 at 06:59:53 (UTC)
Goto Top
Zitat von @anteNope:

Zitat von @Th0mKa:
Die 60 Tage sind keine Leasetime, sondern der ganz normale Zeitraum bevor du eine vergebene Lizenz neu zuweisen darfst.

Jep, und das nennt man üblicher Weise bei concurrent oder floating Lizenzen Lease-Time 😏 60 Tage sind hierbei schon eine außerordentliche Frechheit auf die nicht mal offiziell hingewiesen wird ...
Seit wann sind RDS-User CALs concurrent use und nicht named user? Müsste zumindest eine Neuerung sein, Server 2008 bis 2012 hatten named user.
Member: anteNope
anteNope Apr 22, 2021 updated at 08:11:08 (UTC)
Goto Top
Zitat von @ukulele-7:
Seit wann sind RDS-User CALs concurrent use und nicht named user? Müsste zumindest eine Neuerung sein, Server 2008 bis 2012 hatten named user.

Du hast tatsächlich Recht. Die Lizenz-Art wird tatsächlich nicht spezifiziert! https://docs.microsoft.com/de-de/windows-server/remote/remote-desktop-se ...

Mein Missverständnis liegt vermutlich darin begründet, dass man named-Lizenzen für üblich Benutzern fix zuordnet und diese nicht einfach selbstständig bei Nutzung vergeben werden. Office 365 wäre ein passendes Beispiel hierfür.
Wobei dort steht "RDS-CALs werden einem Benutzer in Active Directory zugewiesen.", aber das wäre mir neu ... zugegeben, ich arbeite wahrlich selten mir RDS

Bei Windows 10 ist es ja auch so, dass sich 1 Benutzer gleichzeitig am System via RDP/Console anmelden kann. Hier ist es aber egal welcher der Benutzer und eine Lease-Zeit gibt es auch nicht.
Member: Th0mKa
Th0mKa Apr 22, 2021 at 10:24:57 (UTC)
Goto Top
Zitat von @anteNope:
Jep, und das nennt man üblicher Weise bei concurrent oder floating Lizenzen Lease-Time 😏 60 Tage sind hierbei schon eine außerordentliche Frechheit auf die nicht mal offiziell hingewiesen wird ...
Es gibt keine floating license bei RDS CALs, Microsoft hat so etwas generell nicht im Angebot.
Es gibt User und Device Lizenzen, beide sind fest zugeordnet.

Stimmt wohl. Ist ja nicht so als gäbe es eine total praktische Sicherheitsgruppe für Administratoren die domänenweit gilt, an welcher man dies automatisch identifizieren könnte ... 🙄
Du kannst automatisch entscheiden ob jemand normal arbeiten oder administrativ tätig werden will, nur weil er sich an einem RDS Host anmeldet? Deine Glaskugel möchte ich haben...


Vielen Dank, ich nun weiß wo der Hund begraben liegt 😂.
Bitte, gerne.
Member: anteNope
anteNope Apr 22, 2021 updated at 11:06:57 (UTC)
Goto Top
Du kannst automatisch entscheiden ob jemand normal arbeiten oder administrativ tätig werden will, nur weil er sich an einem RDS Host anmeldet? Deine Glaskugel möchte ich haben...

Also ich gehe schon davon aus, dass der Server mitbekommt, dass sich ein Domänen-Administrator am Server anmeldet. Wäre ja kein Hexenwerk dies an diese Gruppe zu knüpfen. Witziger Weise funktioniert das GENAU so, bis du die Kiste zum RDS machst. Ich meine ja nur, sonst könnte sich ja jeder Domänen-Benutzer an beliebigen Server via RDP anmelden.

Üblicher Weise werden (oder sollten) Domänen-Admin-Konten ja nicht für die alltägliche Arbeit verwendet werden 😜