[SBS2003] Maximaal aantal users in AD - Serversoftware en clouddiensten

donderdag 22 juni 2006 13:52

Acties:

Topicstarter

Op de zaak hebben we te maken met een SBS2003 omgeving en een Exact pakket.
Dit exact pakket wordt langzaam uitgerold, en we zijn nu op een punt aangekomen waarbij klanten en resellers ook toegang krijgen tot dit pakket.

Nu is alleen bij ons bekend dat SBS2003 maximaal 75 CAL's aankan.
De resellers en klanten die access krijgen tot Exact, worden door het pakket vanzelf toegevoegd aan de AD.
Tijdens het inloggen wordt echter geen domein logon gebruikt, maar kijkt het exactpakket alleen in de AD ter verificatie of de user bestaat en zijn wachtwoord klopt.

Nu is de vraag, (op de Microsoft site kan ik hier geen duidelijk antwoord over vinden omdat zij uitgaan van pure CAL's i.c.m. domein logons) of SBS begrenst is tot het gebruik van 75CAL's of dat er ook een begrenzing is aan het aantal users dat ingegeven kan worden in de AD.

Dus voorbeeld:

Is het mogelijk om 100 klanten toegang te geven tot ons systeem, terwijl er maar 20 CAL's (eigen personeel) in gebruik zijn.
Nogmaals uitdrukkelijk: exact gebruikt alleen de AD voor verificatie login/paswoord, en geen domein logon. (Dus het lijkt mij dat er ook geen CAL's benodigd zijn voor deze users.

Heeft iemand hier ervaring mee?

edit:

Het exact pakket geeft klanten en resellers via IIS toegang tot de gegevens, voor IIS zijn geen CAL's benodigd, maar de vraag blijft dus omdat Exact toch in de AD user/pass check doet, of hiervoor dan wel CAL's nodig zijn.

[ Voor 11% gewijzigd door rdfeij op 22-06-2006 14:21 . Reden: toevoeging na vraag ]

donderdag 22 juni 2006 14:05

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Volgens mij heb je per connectie heb je een CAL nodig, of je nu aanlogt of niet...

Regardless of how you connect to the Windows Small Business Server 2003-based server, you need either device CALs or user CALs. If you have chosen device CALs, then your use of Outlook Web Access or Remote Web Workplace will consume a CAL.

Windows Small Business Server 2003: Licensing

Voor IIS schijnt het niet uit te maken. Wil je het zeker weten, neem dan even contact op met MS.

[ Voor 31% gewijzigd door Question Mark op 22-06-2006 14:11 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 22 juni 2006 14:57

Acties:

mutsje

Certified Prutser

Voor IIS heb je geen calls nodig inderdaad.

donderdag 22 juni 2006 15:25

Acties:

rdfeij

Topicstarter

mutsje schreef op donderdag 22 juni 2006 @ 14:57:
Voor IIS heb je geen calls nodig inderdaad.

Dat is bekend, maar de vraag is dan ook:

Exact pakket gebruikt IIS maar verifieerd username / pass (ingevoerd in een webpagina van IIS) bij de AD... Zijn er dan toch CAL's benodigd?

[ Voor 7% gewijzigd door rdfeij op 22-06-2006 15:26 ]

donderdag 22 juni 2006 17:17

Acties:

Verwijderd

waarom zou je in vredesnaam die vraag stellen als een een webserver editie is van win2k3?

Tijdens het inloggen wordt echter geen domein logon gebruikt, maar kijkt het exactpakket alleen in de AD ter verificatie of de user bestaat en zijn wachtwoord klopt.

hoe denk je dat dit heet? juist ja, aanloggen...

[ Voor 58% gewijzigd door Verwijderd op 22-06-2006 17:18 ]

donderdag 22 juni 2006 18:48

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op donderdag 22 juni 2006 @ 17:17:
hoe denk je dat dit heet? juist ja, aanloggen...

Ongeacht of je nu aanlogt of niet, de quote van de MS licensing site die ik eerder aanhaalde maakt duidelijk melding van "Regardless how you connect..." Met mijn boerenverstand kom ik niet verder dan dat voor elke connectie een client- danwel usercal nodig is. Maar goed, MS even bellen en de TS weet het zeker

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 23 juni 2006 00:43

Acties:

Verwijderd

Waarom bel je niet even met Exact?

Ik neem aan dat zij het antwoord wel weten gezien ze deze opzet vaker neerzetten.

vrijdag 23 juni 2006 12:19

Acties:

Verwijderd

Ik had bij m'n vorige werkgever 75 CALs voor SBS2003 en ik had 189 userobjecten in de AD.
Dat lijkt me antwoord op je oorspronkelijke vraag.

Verder zou je volgens mij gewoon legaal bezig zijn, want je draait Exact op je server maar de gebruikers die er op inloggen zijn geen WINDOWS gebruikers maar EXACT gebruikers. Ik had ook geen CALs voor de gebruikers op de website, dat zou onzin zijn (en 1400 CALs vereisen).

Dat Exact de AD gebruikt om userobjecten in te plempen wil nog niet zeggen dat je voor die users CALs nodig hebt natuurlijk. Ik kan ook m'n hele adresboek in de AD mikken als users, de mailadressen eraan koppelen en dan vanuit Exchange naar die gasten gaan zitten mailen alsof het interne users waren zonder dat daar één CAL meer voor nodig zou zijn.

Dus je kan het navragen enzo maar volgens mij kan en mag wat jij wil zonder enige problemen.

[ Voor 28% gewijzigd door Verwijderd op 23-06-2006 12:22 . Reden: isse fan tiepvaud + toevoeging ]

vrijdag 23 juni 2006 12:54

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op vrijdag 23 juni 2006 @ 12:19:
Verder zou je volgens mij gewoon legaal bezig zijn, want je draait Exact op je server maar de gebruikers die er op inloggen zijn geen WINDOWS gebruikers maar EXACT gebruikers. Ik had ook geen CALs voor de gebruikers op de website, dat zou onzin zijn (en 1400 CALs vereisen).

De licentielimiet is 75 connecties, uitgezonderd connecties voor IIS. Wat TS wil, mag dus niet. Dat er meer objecten aangemaakt kunnen worden is misschien wel waar, maar niet toegestaan.

[ Voor 9% gewijzigd door Question Mark op 23-06-2006 12:54 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 23 juni 2006 13:34

Acties:

elevator

Officieel moto fan :)

Dat ligt er denk ik helemaal aan hoe je je licenties inzet - als je per user licentieert dan kan je nog wel eens gelijk hebben, maar als je met device CALs werkt dan is het volgens mij een ander verhaal.

Ik denk dat jouw vraag eigenlijk benatwoord wordt in de SBS2003 Licensing FAQ onder het kopje "multiplexing", echter - als je vervolgens die FAQ leest zie je dat er voor SQLServer en voor IIS ook weer uitzonderngen zijn gemaakt. De vraag is dus maar helemaal of je echt wel die licenties nodig hebt

Overigens vind ik het sowieso een slechte oplossing om te vereisen dat je je Windows authenticatie systeem vervuilt met Exact objecten

zaterdag 24 juni 2006 21:47

Acties:

rdfeij

Topicstarter

elevator schreef op vrijdag 23 juni 2006 @ 13:34:
Overigens vind ik het sowieso een slechte oplossing om te vereisen dat je je Windows authenticatie systeem vervuilt met Exact objecten

Sja, ik heb het ook niet verzonnen, Exact kan ook locale users maken, in de eigen database.
Ik zal de volgende keer dat Exact langskomt deze vraag eens in de groep gooien, waarom ze dit eigenlijk zo doen. Moet alleen wel snel zijn want die mannen kosten een paar eurootjes per uur.....

Exact pakket verifieert nu ook alle medewerkers in de AD, dit is natuurlijk mooi omdat exchange, en de exact homepage vanzelf inloggen, alleen zie ik inderdaad deze manier (ook resellers en klanten toegang geven) de AD zwaar vervuilen.

In ieder geval is mijn hoofdvraag beantwoord, het aantal userobjecten kan hoger dan 75

Hiermee lopen we natuurlijk wel risico dat iedereen die boven het aantal CAL's wil inloggen een "no go" krijgt. Ik laat binnenkort meer weten over deze kwestie.

[ Voor 15% gewijzigd door rdfeij op 24-06-2006 21:50 . Reden: nog wat toevoegen ]

zondag 25 juni 2006 10:44

Acties:

Brahiewahiewa

boelkloedig

elevator schreef op vrijdag 23 juni 2006 @ 13:34:
...Overigens vind ik het sowieso een slechte oplossing om te vereisen dat je je Windows authenticatie systeem vervuilt met Exact objecten

[MN]'t Zijn geen Exact objecten, maar gewone AD user objecten.
Het feit dat Exact het op deze manier benadert heeft ook voordelen:
je vindt je klanten automatisch terug in de GAL van Outlook[/MN]

rdfeij schreef op zaterdag 24 juni 2006 @ 21:47:
[...]Ik zal de volgende keer dat Exact langskomt deze vraag eens in de groep gooien, waarom ze dit eigenlijk zo doen...

Denk dat je zelf het antwoord al min of meer geeft:

rdfeij schreef op zaterdag 24 juni 2006 @ 21:47:
[...]dit is natuurlijk mooi omdat exchange, en de exact homepage vanzelf inloggen...

Waarschijnlijk kan Exact òf z'n eigen database aanhouden, òf authenticeren tegen AD, maar niet allebei tegelijk.

rdfeij schreef op zaterdag 24 juni 2006 @ 21:47:
[...]alleen zie ik inderdaad deze manier (ook resellers en klanten toegang geven) de AD zwaar vervuilen...

Als je die mannen van Exact toch spreekt, zou'k eens vragen of je Exact z'n users niet in een aparte OU kunt laten aanmaken; dan valt die "vervuiling" reuze mee.

Waar ik me meer zorgen over zou maken is dat je zowel je klanten bestand, als je eigen domain users allemaal op hetzelfde stukje hardware draait. Als dat machientje het begeeft, ligt je hele bedrijf stil. Heb je al eens uitgerekend wat dat kost en dat afgezet tegen de kosten van een investering in redundante hard- en software oplossingen?

QnJhaGlld2FoaWV3YQ==

zondag 25 juni 2006 12:18

Acties:

elevator

Officieel moto fan :)

Brahiewahiewa schreef op zondag 25 juni 2006 @ 10:44:
[MN]'t Zijn geen Exact objecten, maar gewone AD user objecten.
Het feit dat Exact het op deze manier benadert heeft ook voordelen:
je vindt je klanten automatisch terug in de GAL van Outlook[/MN]

Het betekent echter ook dat je Exact users - tenzij specifieker geconfigureerd - automatisch toegang hebben tot andere resources die je bedrijf aanbied en dus het gemakkelijker maakt voor administrators om het fout te configureren.

Nu zijn veel bedrijven die Exact Globe (want ik gok dat je het daarover hebt aangezien je het over klanten en een website e.d. hebt) draaien niet al te groot en hebben soms geen echt dedicated beheer - als die mensen bv. een andere authenticated website opzetten dan kunnen alle Exact klanten daar standaard ook op inloggen, iets wat me toch minder handig is

zondag 25 juni 2006 12:38

Acties:

Brahiewahiewa

boelkloedig

Daarom zou je de Exact user objecten in een aparte OU willen hebben;
dan kun je dat probleem met één policy oplossen

QnJhaGlld2FoaWV3YQ==

zondag 2 juli 2006 23:51

Acties:

rdfeij

Topicstarter

Brahiewahiewa schreef op zondag 25 juni 2006 @ 12:38:
Daarom zou je de Exact user objecten in een aparte OU willen hebben;
dan kun je dat probleem met één policy oplossen

Zij komen ook vanzelf en de groep "klanten" of hier valt natuurlijk een gpo aan tehangen

@elevator
ja combinatie exact globe en synergy
de logins zijn vooral voor synergy, globe is de backoffice (alleen intern gebruik)

[ Voor 22% gewijzigd door rdfeij op 02-07-2006 23:52 . Reden: edit ]