Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?

Mitglied: anteNope

anteNope (Level 2) - Jetzt verbinden

21.04.2021, aktualisiert 23:26 Uhr, 1217 Aufrufe, 7 Kommentare

Nabend zusammen,

ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles.
Nur ist mir gerade aufgefallen, dass meinen Domänen-Admin eine User-CAL zugewiesen wurde.
Wenn ich mich recht entsinne, haben doch die Server 2 RDS-CALs für Administrative Zwecke. Warum frisst mein Domänen-Admin eine User-RDS-Lizenz???

Wäre ja prinzipiell kein Problem, würde KleinWeich die Lease-Zeit für diese pseudo concurrent-Lizenzen nicht mit einer absurden Lease Zeit von 60 TAGEN versehen!

Habe ich irgendwo etwas übersehen, vergessen oder "MUSS" das so sein?
Vielen Dank vorab für den Wink mit dem Zaunpfahl.

rds - Klicke auf das Bild, um es zu vergrößern
Mitglied: mxrecord
LÖSUNG 21.04.2021 um 23:30 Uhr
Hi anteNope,

das beschriebene Verhalten habe ich ebenfalls schon beobachtet.
Soweit ich weiß, musst du dich explizit mit einer Konsolenverbindung / Admin-RDP-Verbindung connecten, um die Lizenzvergabe zu umgehen.
In RDS-Umgebungen mit mehreren Servern ist das ohnehin nötig, um den RDS-Broker zu umgehen, sonst landet man auf irgendeinem der RDS-Server.

In den meisten RDP-Verbindungsmanagern gibt es in den Settings irgendwo einen Haken ("Verbindung zur Konsole", o.ä.), den du dafür setzen kannst.
Ansonsten einfach "mstsc.exe /admin" aufrufen bzw. "/admin" im Verbindungsfeld anfügen, dann sollte das auch gehen.

Viele Grüße
Bitte warten ..
Mitglied: Th0mKa
LÖSUNG 22.04.2021 um 05:39 Uhr
Moin,

Woher soll Microsoft denn wissen das du jetzt administrative Tätigkeiten ausführst und nicht normal arbeitest wenn du es bei der Verbindung nicht angibst? Wie schon gesagt ist hier die administrative Verbindung „mstsc /admin“ dein Freund. Die 60 Tage sind keine Leasetime, sondern der ganz normale Zeitraum bevor du eine vergebene Lizenz neu zuweisen darfst.

/Thomas
Bitte warten ..
Mitglied: anteNope
22.04.2021, aktualisiert um 08:25 Uhr
Zitat von @Th0mKa:
Die 60 Tage sind keine Leasetime, sondern der ganz normale Zeitraum bevor du eine vergebene Lizenz neu zuweisen darfst.

Jep, und das nennt man üblicher Weise bei concurrent oder floating Lizenzen Lease-Time 😏 60 Tage sind hierbei schon eine außerordentliche Frechheit auf die nicht mal offiziell hingewiesen wird ...

Zitat von @Th0mKa:
Woher soll Microsoft denn wissen das du jetzt administrative Tätigkeiten ausführst und nicht normal arbeitest wenn du es bei der Verbindung nicht angibst?

Stimmt wohl. Ist ja nicht so als gäbe es eine total praktische Sicherheitsgruppe für Administratoren die domänenweit gilt, an welcher man dies automatisch identifizieren könnte ... 🙄

Vielen Dank, ich nun weiß wo der Hund begraben liegt 😂.
Bitte warten ..
Mitglied: ukulele-7
22.04.2021 um 08:59 Uhr
Zitat von @anteNope:

Zitat von @Th0mKa:
Die 60 Tage sind keine Leasetime, sondern der ganz normale Zeitraum bevor du eine vergebene Lizenz neu zuweisen darfst.

Jep, und das nennt man üblicher Weise bei concurrent oder floating Lizenzen Lease-Time 😏 60 Tage sind hierbei schon eine außerordentliche Frechheit auf die nicht mal offiziell hingewiesen wird ...
Seit wann sind RDS-User CALs concurrent use und nicht named user? Müsste zumindest eine Neuerung sein, Server 2008 bis 2012 hatten named user.
Bitte warten ..
Mitglied: anteNope
22.04.2021, aktualisiert um 10:11 Uhr
Zitat von @ukulele-7:
Seit wann sind RDS-User CALs concurrent use und nicht named user? Müsste zumindest eine Neuerung sein, Server 2008 bis 2012 hatten named user.

Du hast tatsächlich Recht. Die Lizenz-Art wird tatsächlich nicht spezifiziert! https://docs.microsoft.com/de-de/windows-server/remote/remote-desktop-se ...

Mein Missverständnis liegt vermutlich darin begründet, dass man named-Lizenzen für üblich Benutzern fix zuordnet und diese nicht einfach selbstständig bei Nutzung vergeben werden. Office 365 wäre ein passendes Beispiel hierfür.
Wobei dort steht "RDS-CALs werden einem Benutzer in Active Directory zugewiesen.", aber das wäre mir neu ... zugegeben, ich arbeite wahrlich selten mir RDS

Bei Windows 10 ist es ja auch so, dass sich 1 Benutzer gleichzeitig am System via RDP/Console anmelden kann. Hier ist es aber egal welcher der Benutzer und eine Lease-Zeit gibt es auch nicht.
Bitte warten ..
Mitglied: Th0mKa
22.04.2021 um 12:24 Uhr
Zitat von @anteNope:
Jep, und das nennt man üblicher Weise bei concurrent oder floating Lizenzen Lease-Time 😏 60 Tage sind hierbei schon eine außerordentliche Frechheit auf die nicht mal offiziell hingewiesen wird ...
Es gibt keine floating license bei RDS CALs, Microsoft hat so etwas generell nicht im Angebot.
Es gibt User und Device Lizenzen, beide sind fest zugeordnet.

Stimmt wohl. Ist ja nicht so als gäbe es eine total praktische Sicherheitsgruppe für Administratoren die domänenweit gilt, an welcher man dies automatisch identifizieren könnte ... 🙄
Du kannst automatisch entscheiden ob jemand normal arbeiten oder administrativ tätig werden will, nur weil er sich an einem RDS Host anmeldet? Deine Glaskugel möchte ich haben...


Vielen Dank, ich nun weiß wo der Hund begraben liegt 😂.
Bitte, gerne.
Bitte warten ..
Mitglied: anteNope
22.04.2021, aktualisiert um 13:06 Uhr
Du kannst automatisch entscheiden ob jemand normal arbeiten oder administrativ tätig werden will, nur weil er sich an einem RDS Host anmeldet? Deine Glaskugel möchte ich haben...

Also ich gehe schon davon aus, dass der Server mitbekommt, dass sich ein Domänen-Administrator am Server anmeldet. Wäre ja kein Hexenwerk dies an diese Gruppe zu knüpfen. Witziger Weise funktioniert das GENAU so, bis du die Kiste zum RDS machst. Ich meine ja nur, sonst könnte sich ja jeder Domänen-Benutzer an beliebigen Server via RDP anmelden.

Üblicher Weise werden (oder sollten) Domänen-Admin-Konten ja nicht für die alltägliche Arbeit verwendet werden 😜
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Aqui - Wir möchten den Hasen zurück
NixVerstehenVor 22 StundenAllgemeinOff Topic35 Kommentare

Lieber aqui, ich finde es sehr sehr schade, das du dich hier so überraschend abgemeldet hast. Ich habe auch von dir sehr viel gelernt ...

Netzwerke
Erfahrungen mit HPE Aruba Switches (Aruba OS)
sixofeightVor 1 TagAllgemeinNetzwerke13 Kommentare

Holla zusammen, Wer von euch setzt Aruba Switches (Aruba OS, ehemals HP ProCurve) ein und wie sind eure Erfahrungen bzw. wie zufrieden seid ihr ...

Webentwicklung
Webdesigner ist verschwunden
Janno100Vor 1 TagFrageWebentwicklung4 Kommentare

Hallo zusammen Kunde hat einen Webdesigner der die Domain des Kunden vor einigen Jahren einfach unter seinen eigenen Name weiter geführt hat. Diese haben ...

Exchange Server
Exchange weist Mails ohne Log Eintrag ab
Mr.RobotVor 13 StundenFrageExchange Server16 Kommentare

Guten Morgen, wir haben seit letzter Woche ein ganz spannendes "Problem" oder sollte ich eher Phänomen sagen? Wir haben eine Tochtergesellschaft die allerdings IT-Technisch ...

Windows 10
Was ist zu wenig
ukulele-7Vor 8 StundenFrageWindows 1013 Kommentare

Hallo, ich suche nach einer Quelle um Windows 10 Pro OEM Lizenzen zu beziehen, gerne auch erstmal ein paar als Testkauf. Nun ist das ...

Windows Server
Server clonen
oGutITVor 1 TagFrageWindows Server5 Kommentare

Hallo ich habe einen alten HP Server Gen8 und möchte diese auf einen HP Microserver Gen8 klonen. Auf dem HP Server ist 2W12KR2 am ...

Netzwerke
2 fritzen mit unterschiedlichen subnetzen einrichten
gelöst alpi972Vor 1 TagFrageNetzwerke7 Kommentare

Hallo, hoffe ich habs unters richtige thema gesetzt, ich habe 2 fritzboxen (eine 7490 als DSL Modem und eine 7430 als Brige), und will ...

Router & Routing
Windows Netzwerklaufwerke durch kaskadiertes Netzwerk nicht ansprechbar
TomAustriaVor 1 TagFrageRouter & Routing5 Kommentare

Hallo, wir hatten bisher nur ein "einfaches" Netzwerk und möchten dieses nun in getrennte Netzwerksegmente aufteilen: Das Netz 192.168.2.x haben wir beim AX1500 an ...