Windows Server zur Account Synchronisierung

[Met 0]

Hallo,

 

ich bin gerade dabei zu prüfen, wie wir unsere Benutzeraccounts (LDAP) mit den Microsoft Online Diensten abgleichen können (Dort haben wit ein Office 365 Abo.). Microsoft hat dafür Microsoft Azure Active Directory Connect welches auf einem Windows Server laufen muss. In den Support Dokumenten habe ich gefunden, dass sie empfehlen AAD Connect und einen generischen LDAP Connector zu benutzen.

Meine Frage ist nun: Wenn ich einen Windows Server aufsetze auf dem der LDAP Connector läuft um die Benutzer aus unserem System zu synchronisieren (ca 1500) und dann mit AAD Connect diese zur Microsoft Cloud lädt, brauche ich dann CAL's? Es nutzt ja weder ein Gerät noch ein Nutzer Dienste des Servers.

 

Vielen Dank schon mal.

Moritz Metelmann

 

[cj_berlin 1.315]

In einem freien offenen Forum kann keine verbindliche Rechts- oder Lizenzberatung erteilt werden.

 

Aber nach diesem Hinweis: Ich würde jetzt vorsichtig sagen, dass Du keine CALs brauchst, sofern der AADConnect-Server die Kommunikation stets selbst initiiert. Das dürfte bei Dir aber der Fall sein.

[winmadness 79]

Ich würde mal bei www.software-express.de anfragen. Ich hatte dort auch schon mal bzgl. MS Lizenzen eine Auskunft eingeholt.

[Damian 1.533]

Oder wir fragen mal unseren @lizenzdoc

 

Er weiß zumeist Rat oder hat wenigstens eine Empfehlung.

 

VG

Damian

[lizenzdoc 207]

Moin,

vorweg: Ich bin kein "technisch Begabter" und halt mich deswegen auch immer aus dem Thema raus.
Aber,
wenn dies "Aktivitäten" auf dem Server sind, die ein Program selbständig oder bis zu 2 Admins anstoßen, laienhaft vergleichbar wie mit einem Backup-Doing...
dann sehe ich hier keine Notwendigkeit für irgend welche zusätzlichen WIN-SVR-CALs.
Aber,
auf der anderen Seite müßten ja alle 1.500 User ja sowieso ihre WIN-SVR-CAL lizenziert haben, oder?

VG, Franz

[Met 0]

Vielen Dank für eure Antworten!

 

Zitat

Aber,
auf der anderen Seite müßten ja alle 1.500 User ja sowieso ihre WIN-SVR-CAL lizenziert haben, oder?

 

Nein, es handelt sich bei dem LDAP um ein Linux System für den Schuleinsatz und der Schulträger hat Office 365 A1 bezahlt. Ich würde gerne doppelte Accountpflege vermeiden. 

[NilsK 2.934]

Moin,

 

vermutlich einer der Fälle, die nirgends ausdrücklich geregelt sind.

 

Technisch dürfte AAD Connect auch in diesem Szenario der günstigste Weg sein, weil es alles, was man braucht, schon enthält. Alternativ könnte man so einen Sync auch mit anderen Tools (ohne Windows) bauen, aber ich bezweifle, dass man da was Fertiges findet, und dann ist es unangemessen viel Arbeit.

 

Lizenzrechtlich wird man wohl über Mutmaßungen nicht hinauskommen - gerade in diesem Fall, wo an den A1-Lizenzen ja auch niemand richtig Geld verdient. Intuitiv würde ich der Vermutung von Franz anhängen: Der Windows-Server ist an den Aktivitäten der Anwender nicht beteiligt, sondern er sorgt nur im Hintergrund für einen eher sporadischen Datenaustausch, den man auch anders bewerkstelligen könnte. Kein User greift direkt oder indirekt auf den Windows-Server zu. Also vermutlich (!) keine CAL-Pflicht.

 

Eine Unklarheit bleibt, und ich fürchte, wie gesagt, die wird man nicht aufgelöst kriegen.

 

Gruß, Nils

 

[Met 0]

vor 13 Minuten schrieb NilsK:

Moin,

 

vermutlich einer der Fälle, die nirgends ausdrücklich geregelt sind.

 

Technisch dürfte AAD Connect auch in diesem Szenario der günstigste Weg sein, weil es alles, was man braucht, schon enthält. Alternativ könnte man so einen Sync auch mit anderen Tools (ohne Windows) bauen, aber ich bezweifle, dass man da was Fertiges findet, und dann ist es unangemessen viel Arbeit.

 

Lizenzrechtlich wird man wohl über Mutmaßungen nicht hinauskommen - gerade in diesem Fall, wo an den A1-Lizenzen ja auch niemand richtig Geld verdient. Intuitiv würde ich der Vermutung von Franz anhängen: Der Windows-Server ist an den Aktivitäten der Anwender nicht beteiligt, sondern er sorgt nur im Hintergrund für einen eher sporadischen Datenaustausch, den man auch anders bewerkstelligen könnte. Kein User greift direkt oder indirekt auf den Windows-Server zu. Also vermutlich (!) keine CAL-Pflicht.

 

Eine Unklarheit bleibt, und ich fürchte, wie gesagt, die wird man nicht aufgelöst kriegen.

 

Gruß, Nils

 

Vielen Dank für die Einschätzung. Ich markiere das hiermit als gelöst und werde den Schulträger abwägen lassen. Sollen die nochmal bei ihren Microsoft Partnern nachfragen.

[MrCocktail 192]

Hi,

 

wir haben aus ähnlichen Gründen uns für einen anderen Ansatz entschieden, auch weil wir die Lizenzfrage nicht sauber gelöst bekommen haben. Bei Schulen ist Gott sei Dank es relativ statisch und es kommen nicht jeden Tag neue Kollegen / Schüler.

WIr haben uns entsprechend der Vorarbeit von @FrankCarius SDS (SchoolDataSync) angeschaut und angebunden, siehe zum Beispiel https://www.msxfaq.de/cloud/identity/school_data_sync_details.htm

 

Gruß

J

[Met 0]

Habe ich mir angesehen, vielen Dank. Leider fehlt da soweit ich das überblicken kann die Synchronisierung der Passwort Hashes. Das ist aber gerade der Punkt, der uns großen Support Aufwand bereitet.

[testperson 1.677]

Ich zitiere mal die "Note" aus LDAP synchronization with Azure Active Directory | Microsoft Docs:

 

Zitat

Note

LDAP Connectors are an advanced configuration requiring some familiarity with Forefront Identity Manager and/or Microsoft Identity Manager. If used in production, we advise questions about this configuration should go through Premier Support or Microsoft Partner Network.

 

[NilsK 2.934]

Moin,

 

hm, so weit hatte ich mir das auch nicht angesehen. Scheint, als wäre die Anforderung dann in jedem Fall mit großem Aufwand und mit einigen Fachkenntnissen verbunden. Man sieht an der Seite von Frank ja sehr schön, was in so einer Situation alles zu berücksichtigen ist und wie sich sowas zu einem veritablen Projekt ausweitet.

 

Gruß, Nils

 

 

 

[Met 0]

vor 40 Minuten schrieb testperson:

Ich zitiere mal die "Note" aus LDAP synchronization with Azure Active Directory | Microsoft Docs:

 

 

Das sehe ich vollkommen ein, die Artikel habe ich bereits gelesen und halt auch schon einige Erfahrung unser System per LDAP an andere Systeme anzubinden, so dass ich es durchaus als möglich erachtet habe, dies nur mit den in diesem Artikel verlinkten Anleitungen durchzuführen - zumindest würde ich es gerne probieren 🙂

[NilsK 2.934]

Moin,

 

oberflächlich schon - aber gerade das Kennwort-Thema dürfte da auch eine Herausforderung sein. Es hat ja seinen Grund, dass Frank Carius das in seiner ISDS_Implementierung auch (noch) nicht gelöst hat ...

 

Heißt nicht, dass es nicht geht. Man unterschätze es aber nicht - zumal es hier um eine sehr sensible Sicherheitskomponente geht.

 

Gruß, Nils

[gurken-admin 25]

"wenn dies "Aktivitäten" auf dem Server sind, die ein Program selbständig oder bis zu 2 Admins anstoßen, laienhaft vergleichbar wie mit einem Backup-Doing...
dann sehe ich hier keine Notwendigkeit für irgend welche zusätzlichen WIN-SVR-CALs."

 

Komisch, DHCP ist aber CAL-pflichtig seit Windows 2000, das macht auch "ein Programm selbständig".