Übersicht Microsoft-CALs: Wann braucht man Client Access Licenses?


    Tags: , ,

    Lizenz-ManagementEs ist hin­läng­lich bekannt, dass es meist nicht reicht, bloß Server-Lizenzen von Microsoft zu erwerben. Viel­mehr benötigt man in der Regel zusätz­liche Client Access Licenses (CALs), die pro User oder pro Gerät gekauft werden. Aller­dings sind auch bei den CALs die Bestimmungen nicht ganz einfach, so dass häufig unklar ist, ob und wie sie zu erwerben sind.

    Vor dem Kauf von CALs wird man immer klären wollen, ob eine Lizenzierung pro User wirtschaftlicher ist als pro Gerät, oder ob man günstiger mit CALs für einzelne Produkte wegkommt als mit CAL Suites. Aber eine Frage steht an vorderster Stelle, nämlich wann man überhaupt eine CAL benötigt. Diese möchte eine FAQ auf Microsofts VL-Blog klären.

    Version der CAL muss jener des Servers entsprechen

    Grundsätzlich gilt die Regel, dass für jeden Benutzer oder jedes Gerät eine CAL zu erwerben ist, wenn er bzw. es direkt oder indirekt auf eine Server-Software zugreift. Dabei ist zu berücksichtigen, dass die CAL in einer gemischten Umgebung für die neueste verwendete Version der Server-Komponente gültig sein muss. In manchen Fällen, wie etwa bei Windows Server 2012 R2 kann dies auch eine CAL sein, die für die Vorgängerversion erworben wurde.

    Zusätzlich kompliziert wird die Lizenzierung dadurch, dass einzelne Features von Windows Server eigene CALs erfordern, etwa die Remote Desktop Services oder die Rights Management Services, während andere wie die Authentifizierung über das AD mit einer CAL für das Betriebssystem abgedeckt sind.

    Die RDS verlangen nicht nur eigene CALs, sondern auch einen eigenen Lizenz-Server zu ihrer Verwaltung.

    Geräte-CAL für Netzwerkdrucker

    Aber damit nicht genug: Bestimmte Konstellationen erfordern keine CAL, wogegen man in anderen Situationen wider jede Erwartung eine solche benötigt. Ein solches Beispiel ist der in der FAQ erwähnte Multi­funktions­drucker, wenn er nicht als Peripheriegerät betrieben wird, sondern über das Netzwerk irgendwelche Dienste eines Windows-Servers in Anspruch nimmt. Eine Ausnahme gilt nur, wenn für alle Benutzer, die auf einen solchen Drucker oder Scanner zugreifen, eine User-CAL erworben wurde.

    Ebenfalls nicht immer offensichtlich ist die Notwendigkeit für CALs bei einem indirekten Zugriff auf Server-Dienste. So benötigen Server selbst zwar keine CALs, etwa ein Applikations-Server, der mit einer Datenbank kommuniziert. Aber dafür muss jeder Benutzer oder jedes Gerät, das beispielsweise über Sharepoint einen SQL Server in Anspruch nimmt, eine Client-Lizenz für die Datenbank besitzen. Ähnliches gilt auch für die Terminaldienste, wenn sie etwa über Citrix XenApp angesprochen werden.

    Keine CALs für Web-Server

    Dagegen gibt es mehrere Szenarien, die keine CALs erfordern. Das trifft zum Beispiel auf Windows Server zu, wenn er ausschließlich als öffentlich zugänglicher Web-Server im Internet verwendet wird. Sobald sich die Benutzer in irgendeiner Form gegenüber der Web-Anwendung identifizieren müssen, dann brauchen sie eine CAL oder einen externen Connector.

    Eine Mischform stellen Sharepoint, Exchange und Lync dar, wenn externe Benutzer auf sie zugreifen. Die Applikationen erfordern in diesem Fall keine CALs und keinen externen Connector, aber dafür müssen diese für Windows Server angeschafft werden, auf denen die Software läuft.

    Eine Ausnahme vom CAL-Zwang gibt es auch für Administratoren. Jede Server-Software erlaubt den Zugriff von bis zu 2 Geräten oder Benutzern für rein administrative Aufgaben. Erledigt der Systemverwalter nebenbei auch andere Tätigkeiten, wie etwa das Abrufen von Mails, dann sind auch für ihn Client-Lizenzen zu kaufen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links

    19 Kommentare

    Wenn ich einen Server 2012 R2 als 1. DC installiere und die entsprechenden User CALS dazu erwerbe und später aus Sicherheitsgründen einen 2. DC installiere, um die Betriebsmasterrollen aufzuteilen - brauche ich dann für diesen zweiten DC (gleiche lokale Domäne) dann nochmal die USER CALS oder gilt die USER CAL für den Domain-user ?

    um meine Frage nochmal klarer auszudrücken.
    Wenn ich 3 Server habe 2. DC's und 1 Fileserver.
    Die beiden DC's sind sagen wir mal server 2012 R2
    Der Fileserver Server 2016 Standard

    Ich habe 100 user.
    brauche ich dann 100 user cals für server 2012 und 100 für 2016?
    Oder brauche ich dann 200 user cals für server 2012 und 100 für 2016?

    Bild von Wolfgang Sommergut

    Eine CAL berechtigt zum Zugriff auf beliebig viele Server. Und die CAL für Server 2016 deckt auch 2012 (R2) ab. Umgekehrt reicht aber schon ein Server 2016, um ein Update aller 2012er-CALs auf die neueste Version zu erzwingen. In Ihrem Beispiel müssten Sie mithin 100 CALs für Server 2016 erwerben.

    vielen Dank für Ihre Antwort!

    Wie verhält sich das mit SQL CAL's
    wenn ich zum Beispiel auf dem Webserver eine Application habe
    die auf einen SQL Server durch greift brauche ich dann für alle User
    die auf den Web Server zugreifen auch eine SQL Cal oder nur für den WEB Server eine Lizenz?

    Wo stecken die CALS in meinem Server 2016, unter meinem Bettkissen?
    Ich finde dazu keine Erläuterung und schon gar nicht, wo man sie einspielen muss!? Eine RDP CAL wird im Lizenzierungserver eingelesen und aktiviert, aber wo werden die normalen User und Device Cals eingelesen? Ich finde dazu keine Information, bei SQL Server ist das genauso. Wo stecken die cals wo kann ich sie sehen und administrieren?

    Das ist eine sehr gute Frage die mich auch interessiert! Ich habe häufiger mit Server Betriebssystemen von Windows zu tun aber kann auch überhaupt nicht einschätzen wo diese CAL eingesetzt bzw registriert oder verwendet werden.

    Wie in ITIL beschrieben gehören die Lizenzen in den Lizenzschrank. Sie werden nicht eingetragen und sind als "Du kommst aus dem Gefängnis frei" Karten zu betrachten im Falle eines Lizenzaudits.

    Wie verhält es sich, wenn ein User mehrere Accounts im AD besitzt und sich mit diesen gleichzeitig auf verschiedenen Geräten anmeldet?

    Und die gleiche Frage bei RDS: Ein Benutzer loggt sich mit mehreren Accounts gleichzeitig mit verschiedenen Geräten auf einem Terminalserver ein.

    Anfragen bei mehreren Microsoft Partnern ergaben unterschiedliche Aussagen. Eine Aussage war, man benötigt für jeden Account eine User CAL, eine andere, man sei auf der sicheren Seite, wenn man für jeden physischen Benutzer eine CAL besitzt.

    Bei rds cals liegt es an der Art der Lizenzierung die du eingestellt hast, ob nach usern oder Geräten. Wenn du nach usern wählst kann der User sich von unterschiedlichen Geräten mit einer Lizenz zu dem ts connecten. Nach Maschinen zu lizensieren lohnt sich ggf. Schichtbetrieb wo mehrere Leute am Tag den gleichen Client nutzen. Normale Windows server Client Lizenz muss man besitzen, um bei einer Prüfung diese vorweisen zu können. Man spielt diese nirgendwo ein.

    Benötige ich für einen Windows 7 / Windows 10-Rechner, der als Server fungiert, für den Zugriff per RDP eine RDP-CAL? Gleiche Frage auch für Windows Server Essentials - bzw. sind hier wie bei den vollwertigen Serverlizenzen 2 RDP-CALs enthalten? Und als zweite Frage: Dürfen auf diesem Rechner mit Win7 / Win10 in seiner Funktion als Server auch Web-Services genutzt werden? Falls ja, muss ich diese über einen External Connector abdecken? Danke für die Hilfe.

    Bild von Wolfgang Sommergut

    Punkt 1: Win 7 und 10 erlauben nur eine RDP-Verbindung, und für die braucht man keine CAL.
    Punkt 2: Server Essentials lässt 2 gleichzeitige RDP-Sessions für administrative Zwecke zu, die ebenfalls keine CAL erfordern. RDS werden von Server Essentials nicht unterstützt (siehe diese Beschreibung).
    Punkt 3: Die Client-Version von Windows ist laut EULA als Web- und File-Server auf die Verbindung mit maximal 20 Geräten limitiert.

    Und wenn man selbst einen Server zuhause zusammenbasteln will?
    bzw. man kauft sich eine Microsoft Windows Server 2019 Standard Edition.
    Installiert sich bsp. einen Multipoint, eine eigene Cloud für das eigene Smartphone & Windows10 Rechner und so weiter...

    benötigt man dann immer noch eine CAL dann auch noch für jedes einzelne Gerät?

    Ich habe auch noch nicht durchgeblickt wenn man sich Microsoft Windows Server 2019 kauft hat man dann nur eine Lizenz oder auch für den server alleine schon eine CAL?

    Da dieser Thread offenbar immer noch am Leben ist, erlaube ich mir eine Frage zur Lizenzierung eines SQL 2014 Servers zu stellen.

    Wird für eine Applilkation, welche auf dem gleichen Server installiert ist und mittels dem Admin-Zugang auf den Server zugreift, eine CAL (User oder Gerät)?

    Und wenn diese Applikation über eine RDP-Sitzung (vom Administrator) bedient wird, benötigt es dann (auch) eine Lizenz?

    Bin eine one-man show und habe meinen Fall nirgends gefunden. Danke für einen kurzen Hinweis.

    @Hans Hasler
    Für eine one Man show macht dieses Szenario keinen Sinn. Ich empfehle dir da eher dich mit Office 365 / Teams zu beschäftigen bevor du Geld und Zeit in einen Server investierst ohne Vorkenntnisse.

    "Grundsätzlich gilt die Regel, dass für jeden Benutzer oder jedes Gerät eine CAL zu erwerben ist, wenn er bzw. es direkt oder indirekt auf eine Server-Software zugreift."

    Und wenn diese Server-Software gar nicht von Microsoft ist, sondern selbst programmiert oder vom Drittanbieter? Kann Microsoft in so einem Fall wirklich nochmal extra Lizenzen verlangen?

    Man unterscheidet erstmal normale ServerXY CALS und spezielle CALS für Server Funktionen.

    1. Will ich nur eine Domain haben mit Fileserver Zugriffen, Drucken etc.
    Dann brauche ich dafür schon mal normale entsprechend der Server Version User CALS.

    2. Will ich etwas wie Exchange, RDP (Terminalserver) etc. machen brauche ich dafür zusätzliche CALS für den Zugriff auf den Dienst. Ob auf User oder Maschinen bezogen ist da erstmal noch egal.

    3. Drittanbieter die auf den Member Server laufen brauchen in der Regel natürlich auch eigene Lizenzen. Das wird meistens sogar über die Software Buden über die Lizenzdatei in der Applikation geregelt.
    Trotzdem nutzt man einen Member Server von Microsoft und benötigt auch in diesem Fall die User CAls der jeweiligen Server Version.

    Zusammengefasst: Nutze ich Microsoft Server brauche ich mindestens die User Cals zu dem höchsten Microsoft Server den ich in der Domain habe. (Schema)

    Nutze ich darüber hinaus noch andere Dienste ob von Microsoft oder Dritten dann müssen diese Sachen separat lizensiert werden.

    genau das wollte ich wissen :) danke

    Frage zu Application server bitte:

    Soweit scheint alles klar zu sein, ich würde gerne genauer klären was den nun "Server" Komponenten sind auf die man direkt und indirekt zugreifen kann.

    Aus dem Artikel
    "So benötigen Server selbst zwar keine CALs, etwa ein Applikations-Server, der mit einer Datenbank kommuniziert."

    Meine Situation:

    Clients (app, desktop, web) greifen alle ausschließlich auf eine von meinem CORE dienst von Krestrel gestellte API zu, sonst nichts. Die User müssen sich über Cloudflare authentifizieren.

    ALS DB läuft Postgres

    Somit sehe ich meine Situation als reinen application server, ohne Server Komponenten und MSSQL.

    In diese Situation würde ich somit keine CAL benötigen.

    ISt dies so korrekt bitte sehr. Wo kann ich von MS eine Bestätigung meines Falls erhalten, ist bei mir die Frage ob wir MS oder Linux als Server weiter in der Entwicklung vorantrieben.

    vielen Dank