pschwarz 10 Geschrieben 13. Dezember 2012 Melden Teilen Geschrieben 13. Dezember 2012 Zur Situation: Wir haben zur Zeit zwei Citrix Farmen aktiv, die zweite eben auf neuer Hardware und innerhalb einer Virtualisierung. Auf den TS Servern der ersten Farm ist noch das gute alte Office 2003 installiert, die neue Farm ist für Office 2013 vorgesehen. Durch diese besondere Situation, kann ich aber absolut beeinflussen welche Geräte überhaupt auf die neue Farm zugreifen dürfen und somit auch welchen Thinclients Office 2013 überhaupt zur Verfügung steht. Geplante Umstellung zu Office 2013: Geplant ist die Umstellung auf Office 2013 über einen längerne Zeitraum zu gestalten und die Lizensierung so über diesen Zeitraum Schrittweise umzusetzen. Hierzu werden über OL entsprechnde Volumenlizenzen erworben. Aktuell: Zur Zeit haben wir erst einmal 5 OL KMS/MAK Lizenzen erworben. 5 Geräte arbeiten entsprechend auch in der neuen Farm. Und nun beginnt das Dilemma der Aktivierung und eben auch meiner Fragen, wo ich hoffe das mir hier geholfen werden kann. Mir liegt ein KMS oder ein MAK Schlüssel vor. Ich gehe einmal davon aus, das die KMS Host Installation die richtige Wahl wäre... diesen wollte ich auf dem DC dann installieren. Wie läuft aber dann die Aktivierung ab? Wird wenn ein User Office 2013 startet im Hintergrund dann eine Aktivierung durchgeführt? Oder wie kann ich mir das da dann vorstellen? Vielleicht das dort jemand von Euch mir kurz etwas Licht ins Dunkel bringen kann? Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 13. Dezember 2012 Melden Teilen Geschrieben 13. Dezember 2012 Durch diese besondere Situation, kann ich aber absolut beeinflussen welche Geräte überhaupt auf die neue Farm zugreifen dürfen und somit auch welchen Thinclients Office 2013 überhaupt zur Verfügung steht. Darf ich fragen woran du das einzelne Gerät dabei identifizierst? Zitieren Link zu diesem Kommentar
pschwarz 10 Geschrieben 13. Dezember 2012 Autor Melden Teilen Geschrieben 13. Dezember 2012 Natürlich darfst Du... Bei den ThinClients handelt es sich um "Igel" Geräte, bzw. Geräte die durch ein speziell durch Igel angepasstes Linuxdeviat auf den Stand eines "Thin Clients" gebracht wurden. Die Verwaltung der UMS (Verwaltungstool zur Verwaltung und Einrichtung der IGEL TS) lässt mehrere Profile zu, über welche ich definiere welche ICA Verbindungen zum Beispiel von dem Gerät möglich sind. Somit kann ich auch beeinflussen ob das Gerät sich an der alten oder aber auch an der neuen Citrix Farm anmelden darf und kann... eben durch entsprechende Zuweisung der Profile. Dabei sind sämtliche Geräte eindeutig auch via IP, Name und MAC Adressierung defineirt. Ein WEB-Zugriff der neuen Citrix Variante ist deaktiviert und somit auch nicht als Schlupfloch möglich. Eine eigenmächtige Einrichtung des Users am Gerät ist nicht möglich, das Sicherheitskonzept verhindert dies. Somit kann explizit niemand sich ohne entsprechende Profilzuweisung in der IGEL UMS an der Farm anmelden die via TS auch Office 2013 zur Verfügung stellt und dafür lege ich auch gerne Hände und Füße ins Feuer. Ich hoffe einmal das dies klar aufzeigt wie die Struktur hier vorhanden, und damit deine Frage beantwortet ist. Zitieren Link zu diesem Kommentar
pschwarz 10 Geschrieben 13. Dezember 2012 Autor Melden Teilen Geschrieben 13. Dezember 2012 IgelThin Clients via IP/Name/MAC über die IGEL Verwaltung einem fixen Profil zugewiesen. Das Profil steuert auf welche Farm zugegriffen werden kann. Die eine und die andere Farm sind vom Lizensierungsserver und den TS Hardwaremäßig komplett voneinander unabhängig nur der DC ist der selbe. Die eine Farm ermöglicht NUR den Zugriff auf die ältere Office 2003 Lösung. Die andere Farm den Zugriff auf 2013. Somit habe ich eine eindeutige und nicht umgehbare Zuordung erreicht, User können dies nicht umgehen, ein Zugriff per WEB ist nicht eingerichtet und somit auch darüber keine Anmeldung an der anderen Farm möglich. Somit kann ich Hände und Füße ins Feuer legen das nur eine entsprechende Anzahl von Endgeräten auf Office 2013 zugreifen können und ohne mein administratives zutun auch nicht mehr Geräte Zugriff erhalten. Zitieren Link zu diesem Kommentar
Gulp 254 Geschrieben 13. Dezember 2012 Melden Teilen Geschrieben 13. Dezember 2012 Will heissen, selbst wenn sich zwei verschiedene Benutzer an einem Thinclient anmelden, kommt der Thinclient ausschliesslich entweder nur auf Farm1 oder Farm2 eben je nach Thinclient? Grüsse Gulp Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 13. Dezember 2012 Melden Teilen Geschrieben 13. Dezember 2012 IgelThin Clients via IP/Name/MAC über die IGEL Verwaltung einem fixen Profil zugewiesen. Und woran erkennt die Software den einzelnen ThinClient? Die eine und die andere Farm sind vom Lizensierungsserver und den TS Hardwaremäßig komplett voneinander unabhängig nur der DC ist der selbe. Somit kann ich Hände und Füße ins Feuer legen das nur eine entsprechende Anzahl von Endgeräten auf Office 2013 zugreifen können und ohne mein administratives zutun auch nicht mehr Geräte Zugriff erhalten. Bei der Office Lizenzierung geht es nicht um die ANzahl sondern um eindeutig identifizierbare Geräte. Bitet beantworte die Frage woran das einzelne Gerät eindeutig identifiziert wird. Zitieren Link zu diesem Kommentar
pschwarz 10 Geschrieben 13. Dezember 2012 Autor Melden Teilen Geschrieben 13. Dezember 2012 Das wiederum übernimmt die Steuerung von Citrix... Citrix übernimmt die Kontrolle, welcher User sich auf der neuen Farm anmelden kann, Die Igel UMS steuert dagegen welche ThinClients sich mit welchem Profil laden und damit dann ob Farm 1 oder 2 angesprochen werden kann. Heisst: Der Thin Client wird eingeschaltet... zieht das zugewiesene Profil. Damit ist im Anschluß entweder eine Anmeldung auf der alten Farm oder der neuen möglich. Ist eine Anmeldung auf der neuen Farm über das Gerät möglich, prüft Citrix anhand der Anmeldeinformation des Users, ob dieser berechtigt ist, sich an der Farm anzumelden, bzw. geschieht dies über die definierte Anwendungen wo explizit die berechtigten Anmeldungen definiert werden können. Hier greift Citrix auf die Einrichtung der Domäne und den im AD hinterlegten MA zurück. Also dies sollte schon sehr Wasserdicht sein, das niemand an den Karren "pinkeln" kann. Zitieren Link zu diesem Kommentar
pschwarz 10 Geschrieben 13. Dezember 2012 Autor Melden Teilen Geschrieben 13. Dezember 2012 Und woran erkennt die Software den einzelnen ThinClient? Bei der Office Lizenzierung geht es nicht um die ANzahl sondern um eindeutig identifizierbare Geräte. Bitet beantworte die Frage woran das einzelne Gerät eindeutig identifiziert wird. via der MAC Adresse dessen Netzwerkports.... dachte das wäre aus meinen Ausführungen hervor gegangen. Zitieren Link zu diesem Kommentar
Gulp 254 Geschrieben 13. Dezember 2012 Melden Teilen Geschrieben 13. Dezember 2012 Das Problem bei solchen Konstrukten ist immer gleich, Office wird immer per Gerät lizenziert. Das bedeutet, dass das Gerät welches keine zugewiesene Office Lizenz hat, nicht imstande sein darf auf Terminalserver (oder die Farm) mit installiertem Office zuzugreifen. Wird dazu erst eine Software oder ein Profil notwendig muss man sich die Frage stellen, was passiert wenn die Software oder das Profil mal gerade nicht verfügbar ist oder der Thinclient woanders angestöpselt wird. Rein technisch gesehen: Ein Thinclient zieht sich zB seine IP per DHCP vom Office Terminalserver reicht das völlig aus um aus Sicht von Microsoft eine Lizenz für Office für einen solchen Thinclient zu verlangen, da das Gerät (der Thinclient) auf den Terminalserver zugreifen kann. Ich würde diese Konstruktion auf jeden Fall mit Microsoft besprechen, auch wenn das im schlimmsten Fall bedeuten würde, dass alle Thinclients eine Office Lizenz benötigen würde. Da lässt sich vermutlich mehr absprechen und raushandeln, als beim möglichen Audittermin. Grüsse Gulp Zitieren Link zu diesem Kommentar
pschwarz 10 Geschrieben 13. Dezember 2012 Autor Melden Teilen Geschrieben 13. Dezember 2012 Hallo Gulp, das kann er ja genau gerade nicht. Ich weise dem ThinClient ein Profil zu welches auf diesem die Einstellungen verändert und ich ihm damit die Möglichkeit gebe entweder auf Farm A oder B oder von mir aus auch Beide zugreifen zu können. Wenn dies wieder geändert werden sollte muss ich explizit ein anderes Profil dem Gerät zuweisen, welches sich nicht einfach ändern kann. Der ThinClient00134599 ist auch Morgen der ThinClient00134599 mit der MAC xxx. Einzig nur die IP Nummer kann sich verändern. Zudem wird jedes Igelgerät über ein Zertifikat eindeutig identifiziert. Ohne dieses Zertifikat kann man zwar den Motor anlassen allerdings keinen Gang einlegen. Daher ist es völlig unerheblich ob der Igel sich eine andere IP bezieht oder ob er gar auf dem Mond eingestöpselt wird... wenn unsere AP`s eine entsprechende Reichweite denn hätten ^^ Es wäre ja auch völlig paradox die Geräteerkennung in diesem Falle via IP zu definieren. Wer kommt den auf so eine Schwachsinnige Idee? Wobei... naja... wird schon welche geben^^ Zitieren Link zu diesem Kommentar
Gulp 254 Geschrieben 13. Dezember 2012 Melden Teilen Geschrieben 13. Dezember 2012 Die IP war ein Beispiel .... Das mit dem Profil habe ich ja verstanden, aber was passiert vor der Zuweisung des Profils, das ist eine der Fragen, die man sich stellen muss. Die einzig mir bekannte technische Möglichkeit, die bisher von Microsoft anerkannt wurde, ist ein MAC-basierter Filter auf Seite des Switches. Alle Geräte werden dort per Default aus dem Netz (eigenes VLAN) des Terminalservers ausgesperrt und können nur dorthin, wenn das explizit auf dem Switch freigeschaltet wird. Der Terminalserver kann sonst auch nicht durch umstöpseln oder mit unlizenzierten Geräten jeglicher Art erreicht werden. Das wurde gemeinsam mit Microsoft untersucht und abschliessend von Microsoft in diesem einen speziellen Fall als ausreichend bewertet. Das heisst aber leider nicht pauschal, dass Microsoft das generell zulässt, das bei einem weiteren Fall zulässt oder Deine Landschaft diesem einen Fall entspricht oder das heute noch gültig ist. Das wird letztlich nur Microsoft als Lizenzgeber beurteilen können, wenn die das als nicht ausreichend bewerten und ein Audit ansteht wird es dann jedenfalls meist nicht lustig. Grüsse Gulp Zitieren Link zu diesem Kommentar
pschwarz 10 Geschrieben 13. Dezember 2012 Autor Melden Teilen Geschrieben 13. Dezember 2012 Hier kann ich nur auf die Zusammenarbeit mit einem Certified Microsoft Gold Partner verweisen, der genau mit uns diese Vorgehensweise erarbeitet hat und dort keine Lizenztechnischen Probleme sieht. Heruntergebrochen kann allerdings die Struktur bei uns auch mit zwei eigenständigen Netzen betrachtet werden die halt nur die selben Autobahnen nutzen aber sonst ja auch autonom arbeiten. Sowohl Hardwaretechnisch als auch Softwaretechnisch sind beide Farmen voneinander unabhängig und getrennt, nur die Domänensteuerung ist für die beteiligten Systeme identisch. Die Igeleinrichtung gibt dabei dann vor in welche Parkhäuser gefahren werden darf, je nach dem Kennzeichen, aber das Parkhaus lässt sich noch einen Ausweis des Fahrers zeigen bevor die Schranke hoch geht. Eine Grenzstaatliche Borderline wie du das da aufzeigst wollte ich eigentlich nicht auch noch aufziehen, insbesondere dieser Zustand nur ein halbes Jahr noch Bestand hat. Was das eigentliche Ansinnen dieses Treads angeht, habe ich aber nun auch genau diesen Goldpartner damit beauftragt die Lizenzeinrichtung für uns vorzunehmen. Die haben auch nunmal entsprechend ausgebildete und dafür microsoftzertifizierte Mitarbeiter zur Umsetzung. Bis dieses Thema aber nun ganz geklärt ist, werde ich einfach die neue Farm solange ganz von der Anmeldung deaktivieren... dann ist es halt so und erst nach ok des Gold Partners betreffend der Lizenzeinrichtung wieder in Betrieb nehmen. Zitieren Link zu diesem Kommentar
Gulp 254 Geschrieben 13. Dezember 2012 Melden Teilen Geschrieben 13. Dezember 2012 Auch ein Gold Partner hilft letztlich nicht weiter (oder kostenlos mit Lizenzen aus), wenn sowas im Audit plötzlich ein Thema wird. Da steht man mit Sätzen wie "Ja aber der XY Partner hat gesagt, ...." schon mal ganz bescheiden da. Ich persönlich würde auch in die Richtung "sieht gut aus" (was letztenendes aber auch nichts heissen muss) tendieren, aber wie gesagt das letzte Wort hat bei sowas immer der Lizenzinhaber. Bei uns wurde beispielsweise Office vom TS verbannt, weil es bei uns nur mit erheblichem Aufwand regelbar ist und nicht für alle PC's passende Lizenzen für einen TS Betrieb vorliegen (was an sich ohne TS kein Problem darstellt). Grüsse Gulp Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 13. Dezember 2012 Melden Teilen Geschrieben 13. Dezember 2012 via der MAC Adresse dessen Netzwerkports.... dachte das wäre aus meinen Ausführungen hervor gegangen. Danke für die Info. Ich hatte das so nicht in deinen Ausführungen gesehen. Die Identifikation per MAC Adresse ist aus MS Sicht in Ordnung, wenn es darum geht Geräten ohne entsprechende Applikationslizenz den Zugriff auf Terminalserver zu verweigern. Ich gratuliere! Du bist einer der ganz wenigen die es richtig machen :) Wichtig ist trotzdem dass du im rahmen des TS Betriebes ausreichend Lizenzen für die zugreifenden geräte hast. Aber da gehe ich mal davon aus dass du die Lizenzregeln dahinter kennst.. Zitieren Link zu diesem Kommentar
pschwarz 10 Geschrieben 13. Dezember 2012 Autor Melden Teilen Geschrieben 13. Dezember 2012 Das soweit war der Plan was die Lizensierung angeht... ja. Was die Anzahl der Lizenzen angeht, werden diese zu Losgrößen zu ca. 10 Stück bezogen um so nach und nach die einzelnen Abteilungen des Unternehmens auf Office 2013 umzustellen. Eben je nachdem wieviele Geräte denn dann Lizenztechnisch zugreifen dürfen. Was TS Server CALs selber angeht, muss ich mir keinen Kopf machen, da habe ich einen Überhang von knapp 20 Stück aktuell. Zu anfänglichen Einrichtungszwecken liegen mir nun die ersten "Lizenzen" vor und eben ein entsprechender KMS Schlüssel... Nun dann zur anfänglichen Frage... Muss ich in der Regel nur den KMS Host auf dem DC einrichten? So wie ich das im Paper gelesen habe, werden entsprechend ja DNS Einträge vorgenommen, so das die Registrierung des Office hierdrüber automatisiert eine Lizensierung oder Registrierung vornimmt. Oder wie kann ich mir den Vorgang vorstellen, bzw. was sollte ich beachten. Bis der Gold Partner aktiv wird, kann es durchaus nämlich schon Mal Ostern 2013 werden... leider. Aber das passiert wenn welche an Arbeit ersticken und sehr agressiv auf Neukundengewinnung hin strukturiert sind. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.