Vous déployez des images via PXE/MDT sur un serveur Windows Server 2022 ? Voici comment dimensionner la licence « par cœur » et compter les CAL afin d’être conforme tout en évitant les surcoûts.
Vue d’ensemble : ce que Microsoft facture vraiment
Windows Server 2022 se licence en deux couches distinctes :
- Licence « par cœur » du serveur : elle vous autorise à exécuter Windows Server sur un hôte physique (ou à en exécuter des instances virtuelles selon l’édition).
- CAL (Client Access Licenses) : elles autorisent les utilisateurs ou les appareils qui accèdent aux services Windows Server (SMB, HTTP/S servis par IIS, WDS, AD DS, etc.).
La licence « par cœur » seule ne couvre pas les accès réseau. Dès qu’un poste client interagit avec des services Windows Server, une CAL est requise pour ce poste (ou pour l’utilisateur). Dans un labo d’imagerie, c’est typiquement le cas : les machines bootent en PXE, chargent WinPE, puis se connectent au partage MDT/WDS pour tirer le contenu d’installation.
Réponse courte pour le cas décrit (50 appareils en PXE/MDT)
- Licence par cœur pour l’hôte Windows Server (voir le dimensionnement plus bas).
- 50 CAL Appareil (une par machine qui accède au partage MDT/WDS).
- Pas de CAL RDS tant que vous n’utilisez pas le rôle Remote Desktop Services (les deux sessions d’admin à distance intégrées restent couvertes).
Pourquoi un serveur PXE/MDT nécessite des CAL
Un déploiement MDT/WDS typique suit cette séquence :
- Le client effectue un boot PXE (DHCP + TFTP) et récupère boot.sdi / boot.wim depuis WDS.
- WinPE démarre et monte le partage MDT (SMB) ou récupère les packages via HTTP/HTTPS pour exécuter la Task Sequence.
- Le poste lit/écrit des fichiers sur des partages Windows (logs, drivers, images, scripts).
Même si l’étape PXE pure TFTP est minimale, l’étape critique est l’accès aux services Windows (SMB/HTTP/IIS/DFS, etc.). À partir du moment où le poste tire du contenu depuis votre Windows Server, une CAL est requise. Les CAL ne sont pas liées à l’authentification interactive : un accès « anonyme » ou via un compte de service ne dispense pas de CAL s’il s’agit d’un usage interne. En pratique, compter sur “pas de CAL” pour un serveur d’imagerie est risqué d’un point de vue conformité.
CAL Appareil ou CAL Utilisateur : choisir la bonne métrique
Le bon choix réduit la facture sans perdre en conformité.
| Type de CAL | Quand c’est pertinent | Avantages | Inconvénients / Risques |
|---|---|---|---|
| CAL Appareil | Beaucoup d’équipements accèdent au serveur, mais peu d’opérateurs. Cas typique : banc de 50 PC en imagerie, 2‑3 techniciens. | Économique quand les machines sont partagées entre plusieurs personnes. | Si un utilisateur unique utilise plusieurs appareils, le total peut grimper. |
| CAL Utilisateur | Utilisateurs nominatifs utilisant plusieurs appareils (PC fixe + portable + tablette + VM). | Simple à gérer côté RH ; couvre tous les appareils d’un utilisateur. | Plus coûteux si le ratio utilisateurs/appareils est défavorable. |
Important : les CAL ne sont pas “concurrentes”. Elles sont assignées à un utilisateur ou un appareil de façon persistante ; on ne les “recycle” pas au fil de la journée. Les réaffectations fréquentes sont proscrites ; on les limite aux changements durables (remplacement d’un PC, départ d’un collaborateur), en respectant les règles de réassignation.
Dimensionner la licence « par cœur »
La couche « OS » se compte sur les cœurs physiques de l’hôte :
- Minimum de 16 cœurs par serveur (licenciés), minimum de 8 cœurs par processeur.
- Au‑delà, on ajoute des packs de 2 cœurs pour couvrir l’ensemble des cœurs physiques.
Choix d’édition :
| Édition | Modèle | Droits de virtualisation | Cas d’usage typique |
|---|---|---|---|
| Standard | Par cœur (minima 8/16) | Jusqu’à 2 OSE (VM) par serveur entièrement licencié, empilables par multiples si besoin. | Un ou quelques rôles/VM, labo MDT unique ou petit cluster. |
| Datacenter | Par cœur (minima 8/16) | Illimité en nombre d’OSE/VM sur l’hôte licencié. | Forte densité de virtualisation, SDN/S2D, automatisation à grande échelle. |
| Essentials | Conditions spécifiques (souvent OEM) | Une instance serveur, sans CAL séparées, mais limité à ~25 utilisateurs / 50 appareils. | TPE stable sous ces seuils, besoins simples. |
Astuce : si votre serveur d’imagerie tourne en VM sur un hyperviseur tiers, vous devez quand même licencier tous les cœurs physiques de l’hôte (et pas seulement les vCPU de la VM). C’est un piège courant en audit.
Cas MDT/WDS : exemples concrets de comptage
Exemple A — un hôte, 16 cœurs physiques, 50 machines en imagerie
- OS : Windows Server 2022 Standard licencé pour 16 cœurs (minima atteints).
- Accès : 50 CAL Appareil (une par machine qui boot et tire l’image).
- RDS CAL : 0 (non utilisées).
Exemple B — deux hôtes (HA), 2×20 cœurs, 80 machines et 10 techniciens
- OS : 2 serveurs × 20 cœurs → licences par cœur correspondantes (Standard si peu de VM, Datacenter si densité élevée).
- Accès : choisir :
- CAL Appareil : 80 CAL si postes partagés dans un labo.
- CAL Utilisateur : 10 CAL si seuls les 10 techniciens accèdent aux services, mais attention : dès que les postes de prod accèdent à des partages/AD, il faut les couvrir. Dans un vrai labo, CAL Appareil demeure souvent plus juste.
Accès « anonyme », multicast et autres idées reçues
- “Pas de login = pas de CAL” ? Faux dans un contexte interne. Les CAL couvrent l’accès aux services, pas l’authentification visible à l’écran.
- Multicast WDS : ce n’est pas un “pool” qui réduit le nombre de CAL. Chaque appareil qui reçoit du contenu nécessite sa propre CAL.
- Compte de service partagé : n’abaisse pas le besoin de CAL. Vous licencez des utilisateurs nominatifs ou des appareils, pas des identifiants techniques.
- Pas d’Active Directory : les CAL restent requises si les postes accèdent aux services Windows (SMB/IIS/WDS).
Quand Essentials peut suffire
Windows Server 2022 Essentials ne demande pas de CAL séparées, mais impose des limites strictes (~25 utilisateurs, 50 appareils) et des modalités d’acquisition spécifiques (souvent OEM). Il est adapté si :
- Votre labo reste durablement sous 50 appareils et 25 utilisateurs y compris les postes qui accéderont demain à d’autres services Windows.
- Vous n’avez pas besoin de fonctionnalités d’édition supérieures (virtualisation à grande échelle, SDN, etc.).
Si vous pensez dépasser ces seuils ou étendre vos rôles (fichiers, impression, AD, etc.), partez directement sur Standard + CAL. Vous éviterez une migration prématurée.
Alternatives pour réduire l’empreinte de licence Windows
- Pile d’imagerie non‑Windows : iPXE/TFTP/HTTP(S) sur Linux, stockage d’images sur NAS. Avantage : pas de CAL Windows pour l’accès aux contenus. Inconvénients : outillage/compétences différentes, scripts MDT à adapter, support et intégration Windows moins “clef en main”.
- Appliance de déploiement : équipements dédiés ou solutions SaaS gérant l’imagerie via agents/USB/HTTP, qui contournent SMB/WDS. Attention à leurs propres modèles de licence.
Ces options ont du sens si l’objectif premier est d’éviter les CAL Windows sur un parc très fluctuant, au prix d’un changement d’outillage.
Tableaux de décision rapides
Type de CAL recommandé selon le contexte
| Contexte | Recommandation | Pourquoi |
|---|---|---|
| Labo d’imagerie, 50 PC, 3 techniciens | CAL Appareil × 50 | Beaucoup d’appareils, peu d’utilisateurs nominatifs. |
| Équipe IT de 12 personnes, multi‑devices par personne | CAL Utilisateur × 12 | Chaque technicien utilise plusieurs machines. |
| Parc mixte : 40 PC partagés, 10 laptops personnels | Mix : 40 CAL Appareil + 10 CAL Utilisateur | Le mix optimise le coût tout en restant conforme. |
Service accédé → CAL requise ?
| Service / Accès | CAL Windows Server requise | Remarques |
|---|---|---|
| Partage MDT (SMB) | Oui | Accès fichiers Windows → CAL. |
| WDS TFTP / PXE uniquement | Cas limite | Restez prudent : en labo, le flux réel implique souvent SMB/HTTP. |
| HTTP/HTTPS depuis IIS (contenu MDT) | Oui | Accès à un service Windows → CAL. |
| Remote Desktop Admin (2 sessions) | Non (RDS CAL) | Les deux sessions d’admin sont incluses. Au‑delà → RDS CAL. |
| Accès public Internet à un site vitrine | Non pour les visiteurs externes | Concerne les usages “public web”. Interne ≠ public. |
Compatibilité de version des CAL
- Des CAL 2022 autorisent l’accès aux serveurs 2022/2019/2016 (rétrocompatibilité).
- Des CAL 2019 ne sont pas valides pour accéder à un serveur 2022.
Si vous normalisez votre infra sur Windows Server 2022, équipez‑vous directement en CAL 2022 pour éviter les zones grises.
Plan d’action recommandé (pas à pas)
- Mesurer les cœurs physiques de l’hôte qui portera Windows Server. Appliquer les minima (8/CPU, 16/serveur) et compléter par packs de 2 cœurs si nécessaire.
- Cartographier les accès : quels appareils et/ou utilisateurs tirent des contenus depuis le serveur ? Inclure les PC “vierges” en WinPE qui montent le partage MDT.
- Choisir le type de CAL : Appareil si vous avez beaucoup de machines partagées ; Utilisateur si vos techniciens multiplient les devices.
- Vérifier les rôles activés (AD, fichiers, impression, WSUS, IIS). Les CAL Windows Server couvrent ces rôles, mais cela peut influencer le mix Appareil/Utilisateur.
- Documenter l’affectation des CAL (nom d’utilisateur ou identifiant d’appareil). Éviter tout “recycling” quotidien.
- Valider les cas limites (accès anonyme, invités, prestataires) avec votre revendeur/licencieur Microsoft.
Bonnes pratiques de conformité
- Tenu d’inventaire : listez les CAL par identifiant (appareil ou utilisateur), date d’affectation, règles de réaffectation.
- Traçabilité : conservez les preuves d’achat, contrats, et captures de configuration (rôles activés, nombre de cœurs).
- Standardisation : alignez les versions (serveurs 2022 + CAL 2022) pour éviter les incompatibilités.
- Anticipation : re‑comptez avant les campagnes d’imagerie massives (pic d’appareils ? machines de prêt ?).
Erreurs fréquentes à éviter
- Licencier uniquement la VM qui héberge MDT/WDS et ignorer l’hôte physique : non conforme.
- Confondre CAL Windows Server et RDS CAL : les deux sont distinctes. Les RDS CAL ne sont nécessaires que si vous utilisez les rôles RDS.
- Penser qu’un boot “sans login” exonère de CAL : l’accès aux services Windows déclenche le besoin de CAL.
- Utiliser un compte de service unique pour 50 machines et n’acheter qu’1 CAL Utilisateur : non, la métrique reste le nombre d’appareils ou d’utilisateurs réels qui accèdent.
- Réaffecter des CAL au jour le jour en fonction des chantiers d’imagerie : c’est contraire à l’esprit des CAL (affectation persistante).
FAQ express
Faut‑il des CAL si je n’ai pas Active Directory ?
Oui, si vos postes accèdent à des services Windows (partages, WDS/IIS). AD n’est pas le point déclencheur : c’est l’accès qui compte.
Les machines en WinPE ont‑elles besoin de CAL ?
Oui si elles tirent du contenu depuis Windows Server (SMB/HTTP) pendant le déploiement MDT.
Un accès strictement PXE/TFTP sans SMB/HTTP nécessite‑t‑il des CAL ?
C’est un cas limite. En labo MDT réel, on finit quasi toujours par accéder à un partage Windows ou à IIS. Restez prudent et faites valider par votre revendeur.
Les CAL sont‑elles “prêtées” d’un jour à l’autre ?
Non. Elles s’assignent à un appareil ou à un utilisateur de façon durable, avec réaffectation exceptionnelle (remplacement, départ).
Les CAL 2019 suffisent‑elles pour un serveur 2022 ?
Non. Les CAL doivent correspondre à la version la plus récente du serveur auquel on accède. Des CAL 2022 peuvent couvrir des serveurs antérieurs, pas l’inverse.
Dois‑je acheter des RDS CAL pour administrer mon serveur MDT ?
Non pour l’administration (2 sessions d’admin sont incluses). Oui si vous publiez des sessions/applications RDS pour des utilisateurs.
En bref (récapitulatif actionnable)
- Couche OS : licencez tous les cœurs physiques (minima 8/CPU, 16/serveur). Choisissez Standard ou Datacenter selon la virtualisation.
- Couche accès : comptez une CAL par appareil ou par utilisateur qui accède aux services du serveur. Pour un labo MDT avec 50 postes, CAL Appareil × 50 est le plus naturel.
- RDS CAL : non nécessaires si vous n’utilisez pas RDS.
- Essentials : envisageable si vous restez durablement sous ~25 utilisateurs / 50 appareils, et que le mode OEM vous convient.
- Cas limites : faites valider par un revendeur/licencieur Microsoft. L’accès “anonyme” interne est interprété de manière stricte.
Modèle de calcul rapide
| Entrée | Valeur (exemple) | Résultat licence |
|---|---|---|
| Cœurs physiques par serveur | 16 | Licence Windows Server Standard pour 16 cœurs (minima couverts) |
| Nombre d’appareils en imagerie | 50 | 50 CAL Appareil Windows Server |
| Rôles RDS | Non | 0 RDS CAL |
| Édition alternative | Essentials | OK si ≤25 utilisateurs et ≤50 appareils durablement |
Checklist finale
- ✔️ Cœurs physiques recensés et couverts (minima respectés).
- ✔️ Parc d’appareils et/ou liste des utilisateurs qui accèdent au serveur documentés.
- ✔️ Type de CAL choisi (Appareil/Utilisateur), mix validé si nécessaire.
- ✔️ Affectations des CAL tracées (inventaire tenu à jour).
- ✔️ Rôles RDS non utilisés (sinon, ajouter RDS CAL).
- ✔️ Cas limites revus avec le revendeur/licencieur.
Résumé opérationnel
- Deux couches de licence : par cœur pour l’OS + CAL pour les accès.
- La licence par cœur seule ne suffit pas si des postes tirent des contenus du serveur.
- Pour 50 machines qui se connectent au partage MDT/WDS : 50 CAL Appareil est l’option la plus simple.
- Pas de CAL RDS tant que le rôle RDS n’est pas utilisé.
En appliquant cette méthode, vous restez conforme, vous évitez les mauvaises surprises d’audit, et vous pouvez faire évoluer votre labo sans re‑découvrir la facture au dernier moment.