Linux-VMs auf Hyper-V: Die versteckten CAL-Kosten

Virtualisierungsrechte auf Windows Server

In der Standard Edition ist pro lizenzierter Instanz der Betrieb von zwei Windows-VMs zulässig, zusätzlich können beliebig viele Linux-VMs laufen. Das gilt auch für Windows Server 2025 Standard, sofern alle physischen Kerne des Hosts lizenziert sind. Für weitere Windows-Gäste ist eine zusätzliche Standard-Lizenz notwendig. Die Datacenter Edition hebt diese Begrenzung auf und erlaubt unbeschränkt viele virtuelle Instanzen, unabhängig vom Betriebssystem.

Hyper-V-Server als separate kostenlose Variante wurde nach Version 2019 eingestellt, die Virtualisierung erfolgt heute über reguläre Windows-Server-Editionen. Linux-Distributionen wie Ubuntu, Debian, RHEL oder SUSE werden offiziell unterstützt, einschließlich der Integration von Hyper-V-Treibern und des Managements über PowerShell, Windows Admin Center oder SCVMM.

Linux-VMs und Lizenzfreiheit

Microsoft betrachtet Linux-Instanzen auf Hyper-V als lizenzfreie Gäste. Sie fallen nicht unter die 2-VM-Regel der Standard Edition. Jede Linux-VM nutzt die vorhandenen Host-Ressourcen, ist aber lizenzrechtlich neutral. Lediglich das Linux-Betriebssystem selbst kann lizenzpflichtige Komponenten enthalten, zum Beispiel Support- oder Abonnement-Modelle von Red Hat oder SUSE. Diese betreffen jedoch nicht Microsoft, sondern den jeweiligen Distributor.

Der Host kann also zehn, zwanzig oder hundert Linux-VMs ausführen, ohne dass sich die Lizenzkosten für Microsoft-Software erhöhen. Grenzen setzen nur Hardware, Speicher und Performance. Aus Sicht von Microsoft endet die Lizenzpflicht bei der Host-Lizenzierung.

Client Access Licenses für Serverzugriffe

Anders verhält es sich beim Zugriff auf Windows-Serverdienste. Jede Verbindung zu einem Windows-Server, ob direkt oder indirekt, erfordert eine gültige Client Access License (CAL). Diese Regel gilt unabhängig vom Betriebssystem des Clients. Auch Linux-VMs, die etwa über SMB auf eine Freigabe zugreifen, müssen lizenziert sein. Microsoft unterscheidet zwischen zwei Lizenztypen: Benutzer-CALs und Geräte-CALs. Beide gewähren das Zugriffsrecht, unterscheiden sich jedoch in der Zuordnung. Eine Benutzer-CAL lizenziert einen individuellen Benutzer. Dieser darf mit beliebig vielen Geräten auf den Server zugreifen, egal ob Windows, Linux oder Thin Client. Eine Geräte-CAL ist an ein konkretes Endgerät gebunden und erlaubt allen darauf arbeitenden Personen den Zugriff. Das Verhältnis von Benutzern zu Geräten entscheidet über das wirtschaftlichere Modell. In Umgebungen mit vielen Endgeräten pro Mitarbeiter lohnt sich die Benutzer-CAL, in Schichtbetrieben mit gemeinsam genutzten Terminals eher die Geräte-CAL.

Eine Linux-VM, die als Arbeitsplatzsystem eines Nutzers dient, fällt unter dieselbe Regel. Greift ein Benutzer aus dieser VM auf Serverressourcen zu, etwa über Kerberos, LDAP, DNS oder Druckdienste, muss sein Konto durch eine Benutzer-CAL abgedeckt sein. Wird eine Linux-VM hingegen gemeinsam verwendet, etwa als Terminal oder Applikations-Host, ist eine Geräte-CAL die saubere Lösung.

Zugriffsszenarien in der Praxis

In gemischten Umgebungen entstehen häufig indirekte Serverzugriffe, die trotzdem lizenzrelevant sind. Ein Linux-Host, der Zeitstempel an einen Windows-Dateiserver überträgt, eine Überwachungssoftware, die Berichte in eine SMB-Freigabe schreibt, oder ein Badge-System, das über einen Linux-Zwischenserver mit Active Directory kommuniziert, gilt nach Microsoft-Definition als Zugriff. Damit ist jeweils eine CAL erforderlich.

Auch scheinbar technische Dienste wie DNS, DHCP oder Druckserver lösen eine Lizenzpflicht aus. Sobald ein Linux-Gerät eine IP-Adresse von einem Windows-DHCP-Server erhält oder einen Druckauftrag an einen Windows-Printserver schickt, besteht Zugriffspflicht im Sinne der CAL-Bedingungen. Gleiches gilt für die Nutzung eines Active Directory als Authentifizierungsquelle.

Nach den Lizenzregeln ist nicht die gleichzeitige Nutzung maßgeblich, sondern die prinzipielle Zugriffsmöglichkeit. Es genügt, wenn ein Gerät den Server berührt. Eine CAL darf nicht zeitlich rotiert werden. Ein Benutzer, der sich nur gelegentlich ins Netzwerk einloggt, benötigt eine gültige Lizenz, solange sein Konto existiert und auf Ressourcen zugreifen kann.

Remote-Desktop-Zugriffe über Linux-Clients

Verbindet sich ein Linux-Client über RDP mit einem Windows-Server, kommen weitere Lizenzebenen hinzu. Neben der normalen Windows-Server-CAL ist eine Remote Desktop Services CAL erforderlich. Diese zusätzliche Lizenz gilt pro Benutzer oder Gerät, analog zu den Standard-CALs. RDS-CALs decken den rechtlichen Zugriff auf den Terminalserver ab. Ohne sie darf RDP nur für administrative Sitzungen genutzt werden, also für die zwei standardmäßig zulässigen Admin-Verbindungen. Jeder produktive Zugriff, sei es von Windows oder Linux, muss durch RDS-CALs lizenziert sein.

Die Kombination aus Windows-CAL und RDS-CAL ist zwingend. Eine Linux-VM, die als Remote-Arbeitsplatz dient und auf einen Windows-Terminalserver zugreift, benötigt also zwei Lizenzen pro Benutzer oder Gerät. Die Zuweisung der RDS-CALs erfolgt über den Lizenzserver, der die Verbindungen verwaltet. Ein Zugriff ohne gültige Lizenz verletzt die Nutzungsbedingungen auch dann, wenn der Server technisch keine Sperre vornimmt. Neuere RDS-CALs sind abwärtskompatibel, decken aber keine zukünftigen Serverversionen ab.

Besonderheiten und Compliance-Fragen

In der Praxis zeigt sich, dass viele Unternehmen DNS und DHCP auf Windows-Servern betreiben, ohne alle CALs zu besitzen. Lizenzrechtlich ist das nicht korrekt, wird aber nur bei Audits problematisch. Microsoft überprüft im Audit-Fall, ob jeder Benutzer oder jedes Gerät, das jemals Zugriff hatte oder haben könnte, lizenziert ist.

Eine häufige Fehlannahme ist, dass man CALs nach gleichzeitiger Nutzung bemessen kann. Das ist falsch. Microsoft verlangt Lizenzen für alle Nutzer oder Geräte, die Zugriff haben, nicht nur für die parallel verbundenen. Die Regel lautet: Jeder PC oder jede VM, die den Server berührt, benötigt eine CAL. Gehört das Gerät nicht dem Unternehmen, etwa bei externen Partnern, kann alternativ eine External Connector License genutzt werden.

Für hybride Umgebungen mit Microsoft Entra ID (ehemals Azure AD) gilt ebenfalls: Wenn ein synchronisiertes Konto in der lokalen Domäne existiert, entsteht eine Lizenzpflicht, auch wenn der Zugriff nur indirekt erfolgt. Linux-VMs sind hiervon nicht ausgenommen. Sobald sie über AD authentifizieren, Gruppenrichtlinien abrufen oder über SMB mit Windows-Servern kommunizieren, fallen sie unter die gleichen Bedingungen. Selbst ein automatisierter Prozess, der über einen Linux-Host Daten an einen Windows-Server übergibt, gilt als lizenzrelevant.

Fazit

Die Lizenzierung von Linux-VMs auf Hyper-V ist formal einfach, in der Praxis jedoch durch Zugriffsregeln komplex. Der Betrieb beliebig vieler Linux-Gäste ist auf Windows Server Standard und Datacenter ohne zusätzliche Kosten möglich. Die eigentliche Herausforderung liegt in den Zugriffslizenzen. Jede Interaktion mit einem Windows-Server erfordert eine Benutzer- oder Geräte-CAL, unabhängig vom Betriebssystem des Clients. Hinzu kommen RDS-CALs bei Remote-Desktop-Nutzung. Eine Linux-VM ist aus Sicht der Lizenzierung ein vollwertiges Endgerät.

Die Wahl zwischen Benutzer- und Geräte-CALs hängt von der Nutzung ab. In Unternehmen mit festen Arbeitsplätzen überwiegt meist das Geräte-Modell, in mobilen oder hybriden Szenarien ist die Benutzerlizenz sinnvoller. Unternehmen sollten jede Verbindungskette dokumentieren und die Lizenzierung nicht nur technisch, sondern organisatorisch prüfen. Selbst indirekte Zugriffe über Dienste oder Middleware fallen unter die Microsoft-Definition von Serverberührung. Nur so bleibt der Betrieb rechtssicher, auch in Umgebungen, in denen Linux und Windows eng verzahnt sind.