Velmi rozsáhlé pojednání o licenčních otázkách provozu Windows Serveru 2008 ve fyzickém i virtuálním prostředí srozumitelně popisuje také mnohé pojmy, kolem nichž se serverová licenční politika společnosti Microsoft nezadržitelně točí. Pokud vás po přečtení textu přepadnou závratě, netrapte se více dalšími samostatnými pokusy o proniknutí do problematiky licencí a pořizujte je tam, kde tomu odborníci rozumějí. Licenční specializace společnosti DAQUAS je na takové úrovni, že si vozíme ocenění vyhrazená pro nejlepší partnery Microsoft na světě – a přitom o licencích mluvíme česky!

Darina VodrážkováDarina Vodrážková
LicenceLicence
11.03.2008 10:10:0011.03.2008 10:10:00

Darina Vodrážková

licenční expert a konzultant

ALSO Czech Republic s.r.o.
+420 222 512 201
+420 603 442 434
daquas@daquas.cz
Anny Letenské 7, Praha 2

Licence Windows Server 2008 jako na talíři

Abychom si mohli povědět o tom, jaká pravidla platí pro používání Windows Serveru 2008, musíme si nejprve vysvětlit několik pojmů, které se v popisu licenčních podmínek vyskytují. Mnohé jsou známé a mají už dlouhá léta stejný význam, ale některé se objevily až s druhým vydáním (R2) Windows Serveru 2003, kdy se v licencích začal odrážet i rozvoj virtualizačních technologií.

Zavedení nových pojmů

OSE (Operating System Environment, prostředí operačního systému)

Klíčový je pojem OSE. Zjednodušeně a stručně můžeme říci, že OSE je operační systém (nebo i jeho samostatně spustitelná část) plus aplikace, které se na něm eventuálně spouštějí – a to bez ohledu na to, zda OSE běží ve fyzickém či virtuálním prostředí. V materiálech společnosti Microsoft se můžete setkat s označením POSE (physical OSE) a VOSE (virtual OSE).

Instance

Dalším pojmem je instance. Smlouvy nyní říkají, že každá pořízená licence dává právo vytvořit neomezený počet instancí softwaru (a popisují, jak taková instance vznikne – instalací, klonem jiné instance atd.) s tím, že před prvním spuštěním dané instance musí být příslušná licence přiřazena serveru, na kterém poběží.

Server

Server je podle licenčních ujednání fyzické zařízení, na kterém se bude serverový produkt spouštět, přičemž hardwarová partition nebo blade jsou považovány za samostatné servery.

Přiřazení licence

Přiřazení licence před prvním spuštěním instance je v podstatě mentální úkon (který doporučujeme pro lepší přehled a potřeby „důkazního řízení“ o tom, že software provozujete legálně, zachytit i v nějakém dokumentu, tabulce či softwaru pro správu). Důležité je vnímat ustanovení, které říká, že přiřazení je chápáno jako trvalé a je možné je změnit nejdříve po 90 dnech. V kratší době pouze v případě, že provoz serveru ukončíte z důvodu trvalé hardwarové chyby. Proto je tedy zřejmé, že z hlediska počtu potřebných licencí bude střídavé spouštění virtuálních OSE na různých strojích stejně náročné, jako střídavé spouštění OSE na různých fyzických strojích, kdyby virtualizace nebylo. Technický rozdíl a efekt dosažený využitím virtualizace je však jistě každému zřejmý.
V licenčních podmínkách se lze ovšem také pro každý produkt dočíst, na kolik běžících instancí máte právo s jednou licencí produktu. Obvykle platí: jedna licence = jedna běžící instance. Pojem běžící instance je opět ve smlouvě vysvětlen: Instance je „spuštěna“ načtením do paměti a spuštěním jedné nebo více jejích instrukcí. Jakmile je instance spuštěna, považuje se za spuštěnou (bez ohledu na to, zda je její kód  dále prováděn či nikoliv) až do okamžiku jejího úplného odstranění z paměti.

K čemu je a není dobrá virtualizace

Spouštět softwarové produkty na jednom fyzickém stroji v oddělených virtuálních prostředích se hodí pro nejrůznější účely. Typické použití umožňuje například snížit náklady konsolidací serverů, ať už pro úsporu energie, nebo pro maximální využití kapacit hardwaru pro běh aplikací, které třeba vyžadují rozdílné verze operačních systémů nebo je není vhodné provozovat v rámci jednoho OS. Užitečným efektem virtualizace je i izolované spouštění nedůvěryhodných (například teprve testovaných) aplikací, které tak neohrozí fungování jiných životně důležitých programů. Velmi praktická je též možnost dynamicky rozkládat zátěž na několika různých serverech a bleskově rozchodit další instanci produktu spuštěním připraveného image virtuálního stroje.

Smyslem virtualizace ale není snížit počet licencí potřebných pro provozování určité softwarové konfigurace. Licenční podmínky totiž v podstatě požadují stejný počet licencí bez ohledu na to, zda se software provozuje na fyzickém nebo na virtuálním hardwaru. Toto pravidlo je jen občas „zmírněno“ výjimkami.

Dobrá zpráva je například, že Windows Server 2008 v mnoha edicích doprovázejí rozšířená práva, která umožňují jednou licencí pokrýt běžících instancí více. Tato práva platí, i když není virtualizace provozována s nasazením produktů Microsoft (např. Virtual Server nebo Hyper-V). Takže i když použijete například VMWare ESX, prostě jen neuplatníte žádnou instanci ve fyzickém prostředí, ale počet instancí pro virtuální prostředí, která se provozují na stroji s přidělenou licencí Windows Serveru 2008, zůstává nezměněn. Tedy 1, 4 nebo ?, jak si podrobně probereme dále.

Licence pro server I.
Windows Server edice Standard a Enterprise

Pro tyto varianty Windows Serveru platí, že potřebujete vždy licenci pro server a k tomu také klientskou přístupovou licenci (CAL) pro každého uživatele nebo zařízení, které přistoupí k serveru nebo nějak využije jeho služeb. Tyto edice mohou být provozovány volitelně v režimu Per Server a Per Device/Per User.

Per Server

znázornění režimu Per ServerRežim Per Server říká, že každému serveru musí být přiděleno tolik CAL, kolik k němu bude maximálně přístupů v jednom okamžiku. Tento režim nerozlišuje, zda jde o přístup uživatele nebo zařízení, počítá uskutečněná spojení a ve chvíli, kdy počet relací překročí zadaný počet přidělených licencí CAL, nemohou se připojit žádní další uživatelé s výjimkou administrátora, který může na síti „udělat pořádek“ – zrušit nadbytečná spojení, zapomenutá přihlášení atd. Pokud bude v síti více serverů v režimu Per Server, je potřeba přiřadit každému patřičný počet licencí CAL. To v určitém okamžiku pravděpodobně přestane být výhodné (čím více jsou uživatelé závislí na serverových službách, tím častěji jsou připojeni všichni najednou). V tu chvíli bude lépe změnit režim na Per Device/Per User. (Tato změna je licenčně korektní a technicky proveditelná jedním přenastavením přepínače v License Manageru. Obráceně – z Per Device/Per User na Per Server – legálně přejít nelze.)

POZOR: Režim Per Server nelze použít u jiných edic Windows Serveru 2008 (například Datacenter nebo For Itanium Based Systems). Také nelze ani Standard a Enterprise server v tomto režimu provozovat, pokud má poskytovat terminálové služby! K serveru v režimu Per Server nelze přiřadit licence Core CAL nebo Enterprise CAL Suite.1

Per Device/Per User

Režim Per Device/Per User  znamená, že licenci CAL přidělíme konkrétnímu zařízení či uživateli. Typ Device CAL tam, kde se jedná o stroj sdílený více lidmi – například ve směnovém provozu. Typ User CAL těm uživatelům, kteří mají i několik různých zařízení, třeba stolní počítače, notebooky a PDA, případně přistupují někdy úplně odjinud – z domácích či hotelových počítačů. Má to tu výhodu, že tento „přidělenec“ má pak právo přistoupit najednou ke všem daným serverům v organizaci. Jakmile je tedy v síti třeba pět Windows Serverů verze 2008, mohou uživatelé či zařízení s CAL Windows Server 2008 přistupovat kdykoli (i souběžně) ke všem z nich. Dokonce mohou s Windows CAL 2008 přistupovat i ke starším verzím Windows Server (třeba 2003, 2000 i NT), pokud na nich stále něco potřebného běží. (Obráceně to nejde, CAL vždy musí být stejné nebo vyšší verze jako provozovaný Server.) Aby náhodou nedošlo k mýlce, CAL opravňuje k přístupu vždy právě jen k tomu serverovému produktu, k němuž náleží. Jinými slovy, Exchange CAL umožní přístup jen ke všem Exchange Serverům (stejné nebo nižší verze). Abyste ale mohli vůbec použít ty Windows Servery, na kterých zmíněné Exchange běží (a jakékoli další WS stejné nebo nižší verze), je zase potřeba přidělit Windows CAL.

znázornění přístupů Per Device/User

Kolik instancí mohu spustit současně? (1 + 1 a 1 + 4)

U edice Standard je to jedna instance ve fyzickém a jedna ve virtuálním prostředí. U edice Enterprise dává licence právo současně spouštět jednu instanci ve fyzickém a až čtyři ve virtuálním prostředí.
Pokud ovšem využijete práva na provoz ve virtuálním OSE (VOSE) na povolené maximum, smí být instance ve fyzickém OSE (POSE) použita již jen pro provoz virtuální instance případně pro správu daného serveru (například zde můžete spustit agenta System Center Operations Manager nebo podobného produktu), ale nemohou na ní běžet žádné jiné aplikace nebo služby.

Všude tam, kde Microsoft dává rozšířená práva k dalším instancím ve virtuálním prostředí, můžete do daného počtu instalovat i starší verze (WS 2003, 2000, NT), i „nižší“ edice. V tomto pořadí: nejvyšší je Datacenter, a ta umožní ve VOSE mít i Enterprise, Standard či Web, licence Enterprise oprávní i k Standard a Web Serveru, Standard nabízí do VOSE nejen Standard, ale i Web Server.

Virtualizace – aplikace v POSE a VOSE

Licence pro server II.
Windows Server edice Datacenter a For Itanium Based Systems

Tyto edice mají zvláštnost v licenčním pokrytí serverů. Je potřeba pro ně koupit tolik licencí, na kolika fyzických procesorech poběží (jádra se nezohledňují). Obě dávají možnost nelimitovaného počtu běžících instancí ve VOSE toho stroje, jemuž jsou přiděleny serverové licence pro všechny fyzické procesory. Ať už využijete instancí ve VOSE, kolik se vám jen zachce, u těchto edic může ve stejném okamžiku i v POSE běžet jakákoli aplikace či služba, která se vám zrovna bude hodit.

Edici Datacenter ovšem smíme spouštět pouze na strojích, které mají min. dva procesory.2

Dále je potřeba obstarat patřičné množství klientských přístupových licencí CAL. Edice Datacenter a For Itanium lze provozovat pouze v režimu Per Device / Per User.

Licence pro server III.
Windows Web Server 2008

Hned na začátku říkám, ano, nespletli jsme se! Už to není Web Edition jako u verze 2003, ale rovnou Windows Web Server. V licenčních podmínkách se toho ovšem změnilo ještě více. Padlo omezení, které nedovolovalo na Web Edition spouštět podnikové databázové prostředky (jako například SQL Server Standard) a dovolovalo jen „menší verze“ – třeba SQL Server Express. Teď už můžete na Web Server směle posadit jakoukoli edici SQL Serveru, ovšem v procesorové licenci, abyste si zajistili přístup pro všechny potenciální čtenáře webových stránek. Web edition nepotřebuje žádné Windows CAL (protože patří licenčně do skupiny tzv. Specialty Servers), ani pro přístup ověřovaných uživatelů. (Pokud však tito uživatelé „projdou“ přes Web Server k dalšímu serveru, bude se pro ně pokrytí muset řešit tam.)

Web Server je určen výhradně k použití na Internetu – a tady bude nejlepší víceméně rovnou ocitovat ustanovení Product Use Rights:

Software lze užívat výhradně jako klientský webový server pro vývoj a nasazení následujících položek:

  • webové stránky přístupné z Internetu,
  • webové aplikace,
  • webové služby,
  • obsluha e-mailu POP3

Přístup k obsahu, informacím a aplikacím obsluhovaným softwarem nelze omezit na vaše zaměstnance. Software databázového stroje smíte spouštět v instanci softwaru výhradně pro podporu aplikací spuštěných ve stejné instanci softwaru. Software webového serveru (například Internetovou informační službu společnosti Microsoft) a agenty správy či zabezpečení (například agent MOM) smíte spouštět v instanci softwaru. Žádné jiné použití softwaru není povoleno.

Takže pokud uvažujete o podnikovém intranetu, vězte, že Web Server do takovéto struktury nepatří. Tady použijete spíše Windows Server v edici Standard nebo Enterprise. (Z licenčního pohledu vás to nemusí nijak bolet, protože licence CAL už všichni vaši uživatelé či zařízení pravděpodobně budou mít, protože používají nějaké jiné služby Windows Serverů…) S jednou licencí smíte provozovat jedinou instanci Windows Web Serveru – a to buď ve fyzickém (POSE), nebo ve virtuálním (VOSE) prostředí (práva nejsou nijak rozšířena).

Licence pro klienty

Na začátek si musíme objasnit důležité ustanovení, které je uvedeno hned mezi prvními licenčními podmínkami pro všechen software společnosti Microsoft. Je to ustanovení o multiplexingu a říká, že pokud uživatel či zařízení přistoupí k nějakému softwaru prostřednictvím jiného zařízení či softwaru, který sdružuje počet připojení, nesníží to nijak potřebu klientských licencí. Čili že CAL či jiné oprávnění potřebujete bez ohledu na to, zda přistupujete přímo nebo nepřímo (prostřednictvím tzv. multiplexoru). Snad nám to srozumitelněji poví obrázek.

Multiplexing a CAL licence

Pro Windows Server (netýká se Web Serveru a HPC Serveru3) dále platí, že CAL je potřeba vždy, s těmito třemi výjimkami:

  • pokud k serveru přistupují max. dva uživatelé či zařízení za účelem administrace a správy serveru
  • pokud k němu přistupují externí uživatelé a server má přidělenu i licenci External Connector
  • pokud k němu přistupují anonymní uživatelé po Internetu

Nejzásadnější je ta poslední podmínka. Je potřeba si uvědomit, že anonymním je uživatel pouze do okamžiku, než dojde k výměně jakýchkoli elektronických identifikátorů identity (credentials). Nemusí přitom jít vůbec jen o uživatele ověřeného přímo daným Windows Serverem, může být „odanonymněn“ jakoukoli jinou aplikací či službou. V reálu tedy skutečně příliš mnoho scénářů s anonymním uživatelem není. (Příkladem ovšem může být třeba pasivní čtení webových stránek.)

Je-li uživatel jakkoli identifikován, nebo pokud nepřistupuje zvenčí – „po Internetu“, potřebuje CAL.

Device nebo User?

Volbu typu klientské licence – tj. pro uživatele nebo pro zařízení – musíte provést ještě předtím, než si je pořídíte. Sice se nijak neliší v ceně, ale jsou popsány typem (Device/User) a nelze je změnit. Pouze u licencí, které máte koupené včetně Software Assurance, můžete přejít z jednoho typu na druhý v okamžiku, kdy provádíte obnovu SA. Pokud jste do té chvíle měli například Windows Device CAL L/SA, můžete prodloužit položkou Windows User CAL SA. Jinak to udělat nejde. CAL, které jsou součástí serverové licence (když se kupuje Windows Server v krabici nebo OEM), toto určení typu nenesou a můžete se rozhodnout, za jaké je budete považovat, až budete počítat, kolik licencí potřebujete pro svou síťovou konfiguraci.
Při tomto počítání je dobré se nechat vést následujícími kritérii: co je pro vás výhodnější (tj. čeho máte méně) a co můžete lépe spravovat. Tam, kde je více lidí (uživatelů) než počítačů, berte Device CAL. Tam kde mají uživatelé více různých zařízení, berte User CAL, protože jim umožní tato zařízení střídat nebo dokonce přistupovat ze všech naráz. Microsoft doporučuje vybrat si jen jeden model a toho se držet (v zájmu snadné správy a kontroly, zda dokážete dostát požadavkům legality), ale nezakazuje ani kombinovaný režim, kde třeba některá oddělení budou spíše Per User (třeba manageři s množstvím zařízení) a některá Per Device (třeba call centra, v nichž se střídají různí pracovníci za jedním strojem). Volte tak, abyste kdykoli byli schopni korektně objasnit, jak jsou licenčně pokryta všechna využití a všechny přístupy k vašim serverům.

Na tomto místě je dobré si připomenout i výhodné balíčky licencí, které obsahují Windows CAL.

Core CAL a Enterprise CAL Suite

Core CAL je sada klientských licencí, která se nabízí již od roku 2001. Obsahuje přístupové licence pro Windows Server, Exchange Server, Office SharePoint Server a navrch System Center Configurations Manager Client Management License (SCCM je nástupcem produktu SMS).

Enterprise CAL Suite je nová a ještě bohatší sada dostupná pouze uživatelům některých typů multilicenčních smluv. Kromě celé Core CAL obsahuje ještě

  • Exchange a Sharepoint Enterprise CAL,
  • Rights Management CAL,
  • Office Communications Server Standard i Enterprise CAL,
  • System Center Operations Manager Client OML a
  • Forefront Security Suite.

Balíčky nelze použít pro zajištění přístupu k serverům v režimu Per Server, ale jinak samozřejmě mohou být použity k různým edicím bez rozdílu (tedy i Standard a Enterprise). Oba se dodávají v obou typech, tedy Per Device a Per User. 4

External Connector (EC)

je „maxilicence“, která umožní přístup k Windows Serveru neomezenému počtu uživatelů. Je ovšem určena výhradně pro externí uživatele, tj. nemohou to být zaměstnanci, brigádníci či najatí živnostníci pracující pro firmu. Je to licence, která najde uplatnění především pro přístup obchodních partnerů.

Je také dalším příkladem zvýhodněné virtualizace. Licence typu External Connector poslouží všem fyzickým i virtuálním OSE s příslušným produktem na jednom fyzickém serveru. Pokud tedy na stroji poběží čtyři serverová OSE, stačí jediná licence EC. Kdyby to byly čtyři fyzické stroje (nebo „blades“), musela by se EC přikoupit ke každému z nich. Přístupy interních zaměstnanců je potřeba řešit odděleně, ty EC nepokrývá. Ovšem oni také již mají pravděpodobně dávno vybrané to správné licenční pokrytí pro servery, na které v domácí síti narazí (viz Device CAL a User CAL).

Licenční třešničky na talíři (aneb co se jinam nevešlo)

Další služby Windows Serveru

Některé služby, které poskytuje Windows Server v různých edicích, bývají vnímány (a z technologického hlediska se tomu ani nelze divit) jako relativně samostatné součásti. Příkladem jsou Windows SharePoint Services, IIS, terminálové služby a služby Rights Management Serveru.
K využití prvních dvou nepotřebujete žádné speciální licenční pokrytí, jsou zcela zahrnuty jak v serverové tak v klientské licenci Windows CAL. Terminálové a RMS služby jsou sice poskytovány přímo Windows Serverem (takže serverovou licenci netřeba nijak rozšiřovat), ale jejich použití je zpoplatněno ještě další licencí, kterou potřebujete pro každého uživatele či zařízení, vedle základní Windows CAL. Na scénu (a do ceníků či faktur) tak přichází TS CAL a RMS CAL. Tyto licence jsou opět ve dvou typech, User a Device.
TS CAL ovšem není potřeba pro „terminálový přístup“ administrátorů. Administrační mód pro vzdálenou správu serverů má k dispozici „built-in“ licence pro přístup max. dvou zařízení nebo uživatelů, administrátorů. Terminálové CAL využijete až pro provoz terminálových služeb v aplikačním módu – tedy reálných aplikací. 5

Core Server Installation

Naopak nový Windows Server 2008 dává i možnost instalace jen takového úplně holého jádra oproštěného od všech služeb a rozšiřujících možností. Říká se tomu Server Core Installation a z licenčního pohledu se to chová úplně stejně, jako bychom nainstalovali server v plné kráse. Potřebujeme tedy serverovou licenci i příslušné CAL pro všechny, kdo tento server použijí. Abychom to řekli úplně jednoduše: i ten, kdo „jenom“ čte data z SQL Serveru, který běží na Windows Serveru (třeba i jen Core Server Installation), použil služeb Windows Serveru – jinak by mu ten SQL asi nebyl nic platný – a musí proto mít i příslušné licenční pokrytí pro klientský přístup (podle situace CAL nebo External Connector).

Cold Backup: licenční řešení pro záložní servery

V úvodu jsme si vysvětlili, jak je to s instancemi a jejich spouštěním na různých strojích. Určitě vás napadlo, že v případě výpadku produkčního serveru by bylo výhodné mít připravenu image s instancí serverového produktu, kterou rychle přenesete a spustíte na záložním hardwaru. Instancí můžete přece mít vytvořeno nekonečně mnoho, a snadno si můžete vytvářet další klonováním vymazlených, opečovávaných a opatchovávaných instancí, které používáte na „živých“ serverech. Vytvořit a spustit jinde, to je bezpochyby možné – po havárii samozřejmě můžete přiřazenou licenci převést na jiný stroj. Vy si ovšem jistě přejete takovéto záložní řešení také čas od času vyzkoušet, otestovat, abyste měli jistotu, že v krizi obstojí se ctí. Pokud ale nebudete mít pro záložní servery pořízené licenční pokrytí, vystavíte se „značně dlouhodobému testování“, protože licenci smíte přenést jen jednou za 90 dní!

To je samozřejmě poněkud nepraktické. Na společnosti, které se ale bez záložního řešení neobejdou, Microsoft myslel jednou z výhod, které přináší Software Assurance vedle nových verzí. Pokud budete mít Software Assurance pro daný server a jeho licence CAL, dostanete k nim právo na Cold Backup for Disaster Recovery. I toto licenční právo je podrobně popsáno v dokumentech Product Use Rights nebo Product List. Vymezují, na jakou dobu a s jakými daty můžete studené záložní servery spouštět.

1 Tohle všechno byste se dočetli v dokumentu MSLT – Microsoft Software License Terms, dříve zvaném EULA, End User License Agreement, nebo v dokumentech Product Use Rights a Product List, které jsou nedílnou součástí všech multilicenčních smluv k pořizování produktů Microsoft. Jelikož mají oba dohromady přes dvě stě stran, jistě vás potěší, že je se zaujetím čteme my, abychom byli připraveni zodpovídat vaše otázky.

2 Píše se to v Product Listu, což je stejně nedílná součást licenčních podmínek pro multilicenční smlouvy, jako dokument Product Use Rights (PUR). MSLT pro krabicové a OEM verze nám nebyly v okamžiku tvorby článku dostupné, ale dá se tam předpokládat obdobné ustanovení – minimálně tedy dvouprocesorový stroj.

3 HPC = High Performance Computing Server, nástupce Windows Compute Cluster Serveru, což obojí jsou produkty určené k získání vysokého výpočetního výkonu, například pro rendering videí a podobně náročné úlohy.

4  Management License, které jsou součástí balíčků (pro System Center Operations Manager a System Center Configuration Manager), nepokrývají v tomto případě jen jedno OSE, ale celé zařízení včetně všech POSE/VOSE a v případě modelu Per User dokonce všechna klientská zařízení daného uživatele (ne servery, ke kterým tento uživatel přistupuje).

5 Použití produktů společnosti Citrix nesnižuje počet potřebných TS CAL.