Desktop Virtualisierung

Lizenz-Falle: Desktop Virtualisierung Teil1

Immer wieder treffe ich auf Unternehmen, die mit der Desktop-Virtualisierung begonnen haben und dabei völlig übersehen, dass Server-Virtualisierung und Desktop-Virtualisierung leider nach völlig verschiedenen Vorschriften lizenziert werden müssen.

Als Beispiel nehme ich ein Unternehmen, welches gerade 180 PCs auf Windows 10 Pro (OEM-Version ohne Software-Assurance) sowie Office 2016 Standard (Volumen-Lizenz) migriert hat. Außerdem sind noch drei ältere Windows XP Pro sowie zwei Windows 7 Pro PCs vorhanden. Auf diesen ist neben Office 2010 Standard jeweils eine immer noch benötigte Alt-Anwendung installiert ist, die jeweils nur unter Windows XP bzw. Windows 7 funktioniert. Diese Anwendungen werden immer noch sporadisch von vielen Mitarbeitern benutzt.

Da für diese älteren PCs schon lange keine Garantie mehr existiert und auch keine Ersatzteile verfügbar sind, wurden diese virtualisiert. Danach wurden sie auf den beiden vorhandenen VMware ESX Servern installiert und ausgeführt, auf denen noch ausreichend Ressourcen verfügbar waren.

Da ja sowohl Windows als auch Office auf diesen Rechnern ursprünglich korrekt lizenziert war, wird dabei übersehen, dass diese Konfiguration eine klassische Lizenz-Falle beinhaltet, welche erst durch die Virtualisierung entstanden ist:

  • Für die fünf VMs mit OEM Windows XP und Windows 7 werden nun keine Windows Desktop Lizenzen mehr benötigt.
  • Die Microsoft-Lizenzbedingungen fordern jedoch, dass für alle Endgeräte, von denen aus ein Zugriff auf einen virtualisiertes Desktop-Betriebssystem oder eine Virtuelle Desktop Infrastruktur (VDI) möglich ist, eine Virtual Desktop Access (VDA) Lizenz vorhanden sein muss. In unserem Beispiel ergibt dies also 180 VDA-Lizenzen.
  • Microsoft Office und andere Desktop-Applikationen innerhalb der VMs werden nicht pro VM (oder den Host) lizenziert, sondern für das Endgerät, an dem die Anwendung angezeigt wird. Für diese Windows 10 PCs ist ja bereits eine (neuere) Office-Lizenz vorhanden.
  • Dabei spielt es entscheidende Rolle, ob die virtualiserten Desktops auf einem Server (z.B. VMware) oder auf einem Desktop-Rechner (Windows 10 Hyper-V) ausgeführt werden: Die Lizenzbedingungen untersagen explizit, "...die Software auf einem Server ... oder ... zur ausschließlichen Verwendung durch Remotenutzer zu installieren...".
  • Im Lizenzmanagement Tool muss sichergestellt sein, dass diese Desktop-VMs weder beim Windows-Betriebssystem noch bei den Desktop-Anwendungen (Microsoft Office) mitgezählt werden, da diese stets am Endgerät (also: Desktop oder Thin-Client) lizenziert werden.
  • VDA-Lizenzen gibt es nur im Abo-Modell:
    • als Bestandteil der Windows Enterprise Software Assurance Volumen-Lizenz;
    • separat als Jahres-Subskription und kosten pro Endgerät ca. 11 Euro pro Monat; das ergibt hier jedes Jahr ca. 23.700 Euro.

Lösungsansätze

Die einfachste Lösung wäre hier natürlich der Weiterbetrieb der alten Hardware gewesen, da dafür keinerlei zusätzliche Lizenzen benötigt würden. Wenn dies technisch nicht mehr vertretbar ist, dann kann man sich leicht ausrechnen, dass ein Hardware-Neukauf hier wahrscheinlich die preiswertere Lösung darstellt - selbst wenn man berücksichtigt, dass diese PCs kompatibel zu Windows XP und Windows 7 sein müssen.

Ein weitere Möglichkeit wäre auch, den Zugriff auf diese fünf virtualisierten Desktops nur für eine kleinere Anzahl Client-Rechner zu ermöglichen - z.B. über entsprechend konfigurierte VLANs -  was die notwendige Anzahl VDA-Lizenzen gleichartig verringern würde.

Keine Alternative ist die seit 2016 verfügbare „Windows 10 Enterprise E3“ pro Nutzer Subskription, welches für bis zu fünf Geräte eines Benutzers gilt und als Voraussetzung lediglich eine gültige Windows 10 Pro Lizenz benötigt. Der Preis sieht mit ca. 6 Euro pro User und Monat zwar auf den ersten Blick gut aus, aber VDA ist hier nicht enthalten und die Jahres-Kosten würden trotzdem ca. 13.000 Euro betragen.

Im 2. Teil folgen dann die Zitate aus den entsprechenden Microsoft Lizenzbedingungen.

Markiert in:                

8 thoughts on “Lizenz-Falle: Desktop Virtualisierung Teil 1

  • 29. Oktober 2017 um 22:15
    Permanentlink

    Ich muß widersprechen, gleich zum ersten Punkt: Warum sollten die virtualisierten PCs keine Lizenz mehr benötigen? Nur dann, wenn man tatsächlich VDA für die Clients in Anspruch nähme. Das muß man aber nicht, wenn man die virtuellen OS-Instanzen mit eigenständiger Lizenz austattet und aktiviert. Dann nämlich braucht der Client kein VDA, denn berechtigt für einen Remotezugriff ist bereits jedes Gerät, welches selbst auch eine eigene Windows-Lizenz hat. Die einzige Einschränkung ist hier, daß die VM nicht zwischen VM-Hosts wechseln darf, da die Lizenzbedingungen für eigenständig lizenzierte Windows-Instanzen eine Bindung an das physikalische Gerät (hier den VM-Host) fordern.
    Das VDA-Szenario hingegen ist dann sinnvoll, wenn jeder Client eine eigene VM bekommen soll, was bei non-VDA bedeuten würde, daß man die doppelt so viel Windows-Lizenzen bräuchte wie es Clients gibt.

    • 30. Oktober 2017 um 9:37
      Permanentlink

      Vielen Dank für den Beitrag. Er enthält leider gleich mehrere weit verbreitete Irrtümer:

      1. „…wenn man die virtuellen OS-Instanzen mit eigener Lizenz ausstattet…“
      Microsoft erlaubt es NICHT virtuelle OS-Instanzen mit einer eigenen Lizenz auszustatten; OS-Lizenzen können ausschließlich einer Hardware zugewiesen werden. Das haben Sie kurz danach richtig erkannt: „…da die Lizenzbedingungen für eigenständig lizenzierte Windows-Instanzen eine Bindung an das physikalische Gerät (hier den VM-Host) fordern.“

      2. „…mit eigener Lizenz ausstattet und aktiviert“
      Irrtum: Ein Lizenzschlüssel ist KEINE Lizenz! Das ist so etwas wie eine Originalverpackung (OVP) ohne Inhalt – auch darauf sind schon diverse Käufer hereingefallen. Natürlich muss ein virtuelles Windows 10 Pro ebenfalls aktiviert werden – aber dies bedeutet eben NICHT die gleichzeitige Zuweisung einer Lizenz…

      3. „daß die VM nicht zwischen VM-Hosts wechseln darf“
      Auch das ist ein Trugschluss. Solange auf dem Ziel-Host genügend Lizenzen vorhanden sind, können VMs jederzeit verschoben werden. Eine Retail- oder Volumen-Lizenz darf im Betrieb alle 90 Tage verschoben werden; mit Software-Assurance jederzeit. Lediglich OEM-Lizenz sind mit der Hardware verheiratet.

      VDA ist für Desktop-Virtualisierung die aktuell einzige von Microsoft angebotene Lösung, wie Sie auf dieser Seite erkennen können:
      https://www.microsoft.com/de-de/licensing/produktlizenzierung/virtualisierung.aspx

      • 31. Oktober 2017 um 17:17
        Permanentlink

        Danke für die Antwort, jedoch nochmals Widerspruch:
        Ich belege meine Ausagen mit folgenden Zitaten aus den Microsoft ProductUseTerms (10-2017):

        „[Lizenzmodellbestimmungen Desktopbetriebssysteme:]
        1. Der Kunde ist je erworbener Lizenz berechtigt, eine Kopie der Software auf einem Lizenzierten Gerät ** oder innerhalb eines lokalen virtuellen Hardwaresystems auf einem Lizenzierten Gerät zu installieren**
        […]
        4. Die Remoteverwendung ist für den Hauptnutzer des Lizenzierten Geräts sowie für **jeden anderen Nutzer von einem anderen Lizenzierten Gerät** oder einem Lizenzierten Gerät mit Windows VDA gestattet.“

        (ich habe die entscheidenden Stellen mit ** gesäumt)
        Im beschriebene Beispiel würde also der physische VM-Host durch EIngabe des Lizenzschlüssels in der VM zum lizenzierten Gerät. Im letzten Satz des Zitats wird auch klar, daß VDA nicht die einzige Möglichkeit zur Nutzung virtueller Desktops ist. Obgleich diese Variante in echten VDI-Umgebungen mit hunderten vDesktops und non-WIndows-Endgeräten (Tablets, ThinClients) die richtige Wahl ist.

    • 3. November 2017 um 17:28
      Permanentlink

      Sehr gut, dies steht so in den Lizenzbedingungen.
      Und jetzt nur noch etwas weiter lesen, dann kommt nämlich unter 2. Rechte zur Installation und Nutzung:
      „c.Beschränkungen.
      …Beispielsweise erhalten Sie mit dieser Lizenz keine Rechte für folgende Handlungen und müssen daher Folgendes unterlassen:
      (v) …die Software auf einem Server zu installieren und anderen Nutzern Remotezugriff darauf zu ermöglichen oder die Software auf einem Gerät zur ausschließlichen Verwendung durch Remotenutzer zu installieren…“

      • 4. November 2017 um 21:16
        Permanentlink

        Vielen Dank für den Hinweis! Allerdings zitieren Sie aus den Lizenzbestimmungen für lediglich OEM- und Einzelhandels-Versionen von Windows (den sog. „License Terms“). Die von Ihnen genannte Beschränkung gilt hingegen nicht für Windows-Lizenzen, die per Volumenlizenzvertrag erworben werden, denn in den dort geltenden „Product Use Terms“ ist sie nicht angeführt. Genauswenig ist diese Beschränkung generell nicht Teil der Lizenzbestimmungen von Windows 7. Deswegen ist auch gerade der von Ihnen im Beispiel skizzierte Fall der zu virtualisierenden Alt-PCs mit Windows 7 in jedem Fall lizenzkonform.

        • 6. November 2017 um 13:40
          Permanentlink

          Jetzt haben Sie sich aber ganz schön im Lizenz-Dschungel verlaufen:
          Microsoft hat keine separaten Lizenzbedingungen für Volumen-Lizenzen: „…wenn Sie die Software direkt von Microsoft erworben haben, ist Microsoft der Einzelhändler.“
          Hier finden wir dann folgendes: „These license terms provide use rights to run Windows locally on the licensed device in a virtual operating system environment (OSE). However, they do not provide use rights for accessing Windows running remotely in a virtual OSE from the licensed device and are limited in other ways when compared to virtualization use rights provided with Software Assurance for Windows and Windows VDA subscription licenses acquired through Microsoft Volume Licensing. For example, OEM licenses do not permit remote access to a Windows virtual machine running in a data center.“ Der ganze Artickel ist hier: http://download.microsoft.com/download/9/8/D/98D6A56C-4D79-40F4-8462-DA3ECBA2DC2C/Licensing_Windows_Desktop_OS_for_Virtual_Machines.pdf

          In meinem Artikel geht es übrigens um Windows OEM-Lizenzen!

          Auch bei Windows 7 war es schon genau so wie von mir beschrieben: https://blogs.technet.microsoft.com/simonmay/2011/01/13/windows-7-licensing-and-virtual-machines-clarified/

          Auch in der Technet gibt es dazu eine konkrete Aussage:
          https://technet.microsoft.com/en-us/library/dn645517(v=ws.11).aspx
          „Microsoft licenses client access to VDI sessions through Windows Virtual Desktop Access (VDA).
          – Devices covered by Microsoft Software Assurance. Virtual desktop access rights are a benefit of Software Assurance. Devices covered under Software Assurance have access to a VDI desktop at no additional charge.
          – Devices not covered by Software Assurance. These devices … must purchase a Windows VDA license for each device to access a VDI desktop, regardless of the operating system running on the device.“

          • 6. November 2017 um 17:52
            Permanentlink

            Microsoft als Volumenlizenzgeber ist wohlgemerkt nicht dasselbe wie Microsoft als Einzelhändler. Ein VL-lizenziertes Windows sagt bei Klick auf „Lizenzbestimmungen“ lediglich: „Ihre Verwendung dieser Software unterliegt den Bestimmungen des Lizenzvertrages, mit dem Sie diese Software erworben haben. Wenn Sie ein Volumenlizenzkunde sind, unterliegt die Verwendung dieser Software Ihrem Volumenlizenzvertrag.“ Im Volumenlizenzvertrag nun werden, sofern es keine anderen Abreden gibt, alleinig die „Produktbestimmungen“ als Beschreibung der Nutzungsrechte vereinbart. Dort gibt es keinerlei Referenzierung der von Ihnen zitierten „Lizenzbestimmungen“ für OEM/FPP-Versionen, welche mithin also kein Vertragsbestandteil sind. Diesselben Vertragsunterschiede gibt es ja auch für MS-Office.

            Weiterhin genausowenig Vertragsbestandteil ist die nun von Ihnen angeführte „Sekundär-Literatur,“ selbst wenn es Marketing-Dokumente von Microsoft sind.

            Trotzdem zu Ihren Quellen, auch wenn sie lizenzrechtlich ohne Relevanz sind:
            „[the OEM license terms] provide use rights to run Windows LOCALLY on the licensed device in a virtual operating system environment (OSE). However, they do not provide use rights for accessing Windows running REMOTELY in a virtual OSE from the licensed device“ meint in dieser holprig formulierten Gegenüberstellung eben, daß PRO *LIZENZ*IERTES GERÄT nur EIN LOKAL laufendes Windows BETRIEBEN/GENUTZT werden, jedoch keines REMOTE BETRIEBEN werden darf. In Klammer: Ist das REMOTE laufende Windows zusätzlich SEINERSEITS auf dem DORTIGEN Gerät LOKAL LIZENZIERT, darf ich zugreifen (= zwei Lizenzen nötig) Oder, (Marketing:) Meine lokale Lizenz hat SA und ich kann 4 weitere virtuelle Windows OHNE separate Lizenzen betreiben, auch remote und mit Instanzmobilität in einem Multi-Host-DataCenter (vgl. ihre Quelle 3: „at no additional charge“) Klingt vorteilhaft, ist es sicherlich auch, wie Herr May es in Ihrer zweiten Quelle beschreibt.

            Was aber an keiner Stelle heißt, daß SA/VDA zwingend erforderlich ist für Betrieb und Nutzung virtueller Windows-Instanzen. Unter Beachtung Ihres vorletzen Hinweises sind in ihrem Beispiel-Szenario die alternativen Bedingungen hierfür, daß a) die virtuellen Instanzen separat auf ihrem Host lizenziert sind, sowie b) daß Sie entweder per Volumenvertrag erworben wurden oder einer älteren Version als Windows 8 und non-OEM sind.

            So zumindest das bisherige Fazit der vertraglich relevanten Formulierungen.

            Hier übrigens der Link zu den Produktbestimmungen Okt 2017:
            http://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=12794

            Und hier die Lizenzbedingungen für Windows 7:
            http://download.microsoft.com/Documents/UseTerms/Windows%207_Ultimate_German_b11a2f6d-9495-461d-8bc5-e97ca5857bf0.pdf

  • 13. November 2017 um 15:49
    Permanentlink

    Es steht natürlich jedem Anwender frei, seine eigene Interpretation der Lizenzbedingungen vorzunehmen und sich dementsprechend zu verhalten. Allerdings können Sie in diesem Fall davon ausgehen, dass der Text mit den entsprechenden Stellen bei Microsoft eng abgestimmt wurde und genau der aktuellen Auslegung des Herstellers entspricht.
    Wenn Sie das Risiko eingehen wollen, so kann ich Sie nicht daran hindern.

Schreibe einen Kommentar