ひよこ IT https://ameblo.jp/halhalhal44/ なにもできない、知らないまま夢だけ背負ってIT企業に入ってしまった新卒2年目学びのメモ ja CALについて CAL の概要

CAL は大きく以下の 2 種類に分類され、

お客様のリモート デスクトップ サービス環境に応じて、使い分けていただく


・デバイス CAL…接続元デバイス (クライアント) 毎に対して発行
・ユーザー CAL…接続ユーザー毎に発行

 

使い分けの例は下記のような感じ。


一つのデバイスを複数人利用するなら、デバイス CAL!
1人のユーザーが複数のデバイスを利用するなら、ユーザー CAL !
とすれば、購入 (インストール) CAL の数量を効率よく管理できる

 

ポイントは、セッション ホスト サーバーが両方の CAL に応じる事はできない。
 

なので、1台のセッション ホスト サーバー (ターミナル サーバー) に対しては、
デバイス CAL を使って接続させるか、ユーザー CAL を使って接続させるかに応じて、
いずれかのライセンス モードを選択する必要がある。

 

なお、一台のライセンス サーバーに、デバイス CAL、ユーザー CAL の両方インストールは可能。

デバイス CAL、ユーザー CAL はそれぞれ発行動作が異なる。

デバイス CAL について

デバイス CALとは
クライアント コンピューター (デバイス) に対してセッション ホスト サーバーへアクセスする権限を与える。

デバイス CAL が一度発行されると、その情報がクライアント コンピューター上に保持される。

デバイス CAL の情報は、クライアントの以下のレジストリに格納される。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing\Store\LICENSE00x

デバイス CAL は、以下の2種類が存在
 

①初回接続時に発行される一時 CAL 
②2回目の接続時に発行される恒久 CAL

 

①一時 CAL
クライアント コンピューターからセッション ホスト サーバーに初めて接続した時に発行されるライセンス

 

ポイント
・有効期限は、一律で 90 日間。恒久 CAL の余剰数がない状態の場合は、2度目以降の接続時も一時 CAL のまま接続する
・一時 CAL の発行数に制限はない

 

②恒久 CAL
一時 CAL を持っているクライアント コンピューターが二回目に接続した時に発行されるライセンス

 

ポイント
・恒久 CAL の有効期限は、52 日間から 89 日間のランダムな期間が設定される
・この有効期限を任意の期間にすることはできない
・ライセンス サーバーにインストールした数量を上限として発行される

 

恒久CALの更新
・有効期限日の 1 週間前から CAL の更新期間となり、更新期間中にセッション ホスト サーバーに接続する事で、
新たに 52 日間から 89 日間のランダムな期間が設定される
・Windows Server 2008 以降の CAL については、ライセンス マネージャー上から、失効処理を行う事が可能

 

ライセンスの失効
接続する事がなくなったクライアントや、誤って接続して発行させてしまったクライアントに対して、
発行された CAL を失効させ、別のクライアントのために発行の余剰を作ることができる

 

失効のポイント
・ Windows Server 2003 以前の CAL については失効処理を行う事ができない
・失効できる数はインストールしている CAL 総数の 20 % まで
・失効された CAL についても、発行先のクライアントが保持する CAL の情報は変わらず、有効期限内は接続する事が可能
・失効処理は、あくまでライセンス サーバー上の管理上の情報となります。

 

極端な例…
100 CAL が存在し、全ての CAL が発行済みであるとき、
その状態で上限となる 20 % の CAL を失効させ、さらに新規で 20 台のクライントが接続し

恒久 CAL が発行された場合、
一時的には 120 台のクライアントが恒久 CAL を持つことになる

ユーザー CAL について

ユーザー CAL には、デバイス CAL と違い、
・一時 CAL や恒久 CAL といった概念はない
・接続元クライアントのレジストリに情報が記録される動作はない

 

CAL の発行情報は、ドメイン コントローラー上の各ユーザー コンテナに情報として格納される。
 

この情報の表示について、
・Windows Server 2012 以降の環境あれば、ライセンス マネージャー上に表示
・Windows Server 2008 R2 以前のバージョンにおいては、ライセンス マネージャー上には

表示されず、レポート機能が必要

 

また、ライセンス サーバーが、ドメイン環境かつ Windows Server 2012 以降の場合は、
ライセンス マネージャー上でユーザー CAL の発行状況を確認する事ができる

 

ユーザー CAL の有効期限:一律で 60 日間


60日間の有効期限は、

あくまでその時点で発行されているユーザー CAL の情報管理のため使われる。

なので、
有効期限を超過した場合も、超過直後の接続時に新たな有効期限が付与される。
長期間アクセスが無い場合においても、接続不可となる事は発生しない

 

ユーザー CAL (ユーザー数ライセンス モード) では、
1 人のユーザーに対して、

無制限の数のクライアントからセッション ホスト サーバーにアクセスする権限が与えられる
ユーザー CAL (ユーザー数ライセンス モード) はライセンスによって強制されることはない
そのため、

ライセンス サーバーにインストールされている CALの数に関係なく、クライアント接続を行うことができる。

 

注意
各ユーザーに有効な CAL を持たせなければならないという

MS のソフトウェア ライセンス条項の要件から管理者が免除されるわけではない。
なので、
接続ユーザー数ライセンス モードを使用している場合に、

各ユーザーに有効な CAL を持たせることができなければ、ライセンス条項違反となる

 

ひよこコメント
 

お客様のご質問から、CALについて学ぶこととなりました。
 

管理・運用のベストプラクティスについて相談されましたが、
「ユーザ様にて、ユーザ様の責任で適切に管理いただくしか方法が無い」
「ライセンスも1つの資産と考えていただき、その資産の守り方について

推奨方法の提示は難しい」という結論でした。

 

ただ、お客様への理解や共感を示せるためにも、

このくらいの最低限の知識は必要だと思いました。

 

特に、ユーザーCALの使用に関しては、モラル頼りなところもあり、

紳士協定の上でも、お互いの正しい理解が大事だと感じます。

 

 

 

 

 

]]> https://ameblo.jp/halhalhal44/entry-12679616296.html Wed, 09 Jun 2021 19:04:13 +0900 図でわかるフェデレーション アメンバー限定公開記事です。 https://ameblo.jp/halhalhal44/amemberentry-12679554225.html Wed, 09 Jun 2021 12:34:28 +0900 認証について 後編 ③クラウド時代の認証 

 

フェデレーション
一度認証されれば、その認証情報を使って

許可されているすべてのサービスを使えるようにする仕組み

 

これを利用し、別組織とのSSOを構築。
認証が1度で済むんだから、便利。

特徴
・事前に組織間で信頼関係を結べば、ユーザは1つの資格情報の登録で、

 複数の組織のシステムの利+ 用が可能になる。
・ID/PWなどの資格情報を信頼先の組織に預ける必要がない

 

画像1

 

参考までに、
マイクロソフトが提供しているフェデレーションサービスは2つ。

 

①ADFS
オンプレADDSにフェデレーションの仕組みを加えるためのサーバー
②AzureAD
IDaaSと呼べれるクラウド上に展開される認証基盤サービス

これらの製品の技術を活用すれば、
新しいビジネスのニーズに対応しつつ、セキュリティを担保することが可能となる!

次回以降は、さらに内容を細分化してブレイクダウンしていきます。

 

 

]]> https://ameblo.jp/halhalhal44/entry-12679509795.html Wed, 09 Jun 2021 07:49:43 +0900 認証について 前編 認証の歴史をさかのぼると、下記に分かれる。
 

①システム固有のユーザアカウントとPWでの認証
②ドメイン構成による認証
③クラウド時代の認証

 

①と②を、まずはまとめていく。

 

①システム固有のユーザアカウントと PW での認証
アプリケーションとユーザー間で秘密の文字列を決め、一致したら許可

①の問題点は…
ユーザーはアプリ毎に固有 ID・PW 管理の必要があり面倒

 

②ドメイン構成による認証
ドメインを構成し、ユーザーは所属しているドメイン内のアプリ利用時にはアプリ毎のPWが不必要に。
( 例:Microsoft の Active Directory Domain Service )

☆Kerberos 認証 を利用した 「Kerberos の壁」
ユーザー名( PC 名 )や PW などの資格情報をもとに、本人か検証するプロセス


(ふにゃふにゃな図でごめんね…)

 

※アクセストークン
ユーザのSID、参加しているグループのSID、権限リスト、他のアクセス情報などの認証情報。
※SID
Windowsのユーザーアカウントやユーザーグループに与えられる、固有の識別番号

例えば共有ファイルを読み取るときも、トークンをファイルサーバーに提示し、ファイルサーバーが許可するプロセスが入る。
このとき、ファイルサーバーは、ユーザのトークンと、リソースに設定されているアクセス制御リストを比較して判断する。

 

②の問題点は…
1.クラウドの時代となり、個別のユーザ管理となるシステムが増加
2.イントラネット認証の限界

※イントラネット
TCP/IPなどのインターネット標準の技術を用いて構築された組織内ネットワークのこと。WAN。
※TCP/IP
現在のネットワークやインターネットで使われている最も標準的なプロトコル群を組み合わせた通信手段。普段一般的に使用しているLANやインターネットの多くでは同じ種類のプロトコルが利用されている。

 

以上とします。


ここまでの内容は、自分の言葉でも、なんとなく人に伝えられるようになりました。

 

こめじるし ※ を付ける基準は、私が、あれっと思って調べたかどうかです。


私の基準に従えば、だいたいの初心者に共感をしてもらえるかと思います。
ぎりぎりプロトコルはわかる程度でした。笑

イントラネットは、わかっていたつもりでしたが、うまく日本語で説明できないものですね…。

 

引き続き頑張ります。

 

 

]]> https://ameblo.jp/halhalhal44/entry-12679509418.html Wed, 09 Jun 2021 07:47:17 +0900 ごあいさつ こんにちは。ひよこです。

 

好きな食べ物は、さいきんは、ふかし芋です。

 

なにもできない、知らないまま

夢だけ背負ってIT企業に入ってしまった新卒2年目です。

 

ゼロからという言葉の甘えから脱却するためにはじめます。


わからないことだらけの日々ですが、

どんなに小さな学びも自分のものとなるよう、

願いと思いをこめてここに記していきたいと思います。

 

 

]]> https://ameblo.jp/halhalhal44/entry-12679504406.html Wed, 09 Jun 2021 07:07:30 +0900