Dans un environnement Windows Server 2019 en workgroup (hôte Hyper‑V + 4 VM), quatre utilisateurs doivent ouvrir des sessions RDP simultanées sur les quatre VM. Voici comment dimensionner précisément les CAL RDS, choisir Device vs User et placer le serveur de licences.
Contexte et objectifs
Scénario : un serveur physique Windows Server 2019 Datacenter héberge quatre VM Hyper‑V, elles‑mêmes sous Windows Server 2019. Aucun domaine Active Directory : l’hôte et les VM sont en workgroup. Quatre personnes, chacune avec un compte local sur chaque VM, doivent pouvoir se connecter en RDP, en même temps, à l’ensemble des quatre VM (jusqu’à 4 sessions par personne, soit 16 sessions au total). Les questions clés : combien de licences RDS CAL acheter, quel type (User ou Device), et où installer le rôle Services de licences Bureau à distance.
Réponse courte et directement actionnable
| Décision | Détail | Pourquoi |
|---|---|---|
| Acheter 4 CAL RDS de type Device | Une CAL Device autorise n’importe quel utilisateur à se connecter depuis l’appareil licencié vers tous les hôtes RDS. | Les 4 postes clients sont fixes : c’est le modèle le plus économique et le plus simple à gérer. Une seule CAL Device couvre plusieurs sessions simultanées ouvertes depuis le même poste vers différentes VM. |
| Serveur de licences RDS | Installer le rôle Services de licences Bureau à distance sur l’hôte Hyper‑V ou sur l’une des 4 VM. | Un seul serveur de licences suffit pour tout l’environnement. Il peut rester en workgroup. L’activation s’effectue par Internet ou par téléphone. |
| Hôtes RDSH | Ajouter le rôle Hôte de session Bureau à distance sur chacune des 4 VM. | Chaque VM accepte de multiples sessions RDP et interroge automatiquement le serveur de licences pour émettre/valider les CAL. |
| Configuration | Dans chaque VM RDSH : déclarer le serveur de licences (par nom ou IP) et définir le mode « Par périphérique ». | Garantit la remise correcte des licences et la conformité. |
Pourquoi 4 CAL Device suffisent ici
Les CAL RDS ne comptent ni le nombre de serveurs ni le nombre de sessions ouvertes depuis un même poste, mais le nombre d’appareils ou d’utilisateurs autorisés à se connecter. Dans ce cas :
- 4 postes clients sont utilisés (un par personne) ;
- chacun de ces 4 postes peut ouvrir simultanément 4 sessions RDP (une vers chaque VM) ;
- une seule CAL Device est consommée par poste, même s’il ouvre plusieurs sessions en parallèle vers des serveurs différents.
Conclusion : 4 CAL Device couvrent 4 postes, quels que soient le nombre de VM cibles et le nombre de sessions ouvertes depuis ces postes.
Device CAL ou User CAL : comment choisir vraiment
| Critère | Device CAL | User CAL |
|---|---|---|
| Modèle de comptage | Par appareil physique ou client léger. | Par utilisateur nominatif. |
| Cas gagnant | Postes fixes, partagés, ou un poste unique par personne. | Utilisateurs mobiles multi‑équipements (PC + portable + tablette, télétravail). |
| Sessions simultanées depuis la même entité | Oui, illimitées depuis le même appareil. | Oui, illimitées pour le même utilisateur depuis plusieurs appareils. |
| Gestion | Automatique : la licence s’attache à l’appareil lors de la première connexion. | Contractuelle/organisationnelle : un utilisateur licencié peut utiliser autant d’appareils qu’il veut. |
| Flexibilité en cas de rotation | Moyenne : il faut parfois révoquer des CAL Device si un poste est renouvelé. | Élevée : l’utilisateur garde ses droits quel que soit l’appareil. |
À savoir : le prix catalogue d’une CAL User vs Device est généralement similaire. Le bon choix vient de votre pattern d’usage. Dans votre cas (4 postes fixes), la Device CAL est optimale.
Où placer le serveur de licences RDS
Le serveur de licences peut se trouver sur :
| Emplacement | Avantages | Points d’attention |
|---|---|---|
| Hôte Hyper‑V | Indépendant des VM ; reste disponible si une VM est éteinte ; peu de ressources nécessaires. | Ne pas ouvrir des sessions utilisateur sur l’hôte ; l’hôte demeure réservé à l’administration. |
| Une VM dédiée (ou existante) | Isolation logique, facilité de sauvegarde/restauration, snapshots planifiés. | Assurer son démarrage automatique et sa haute disponibilité logique (surveillance, sauvegardes). |
Dans un petit environnement, un seul serveur de licences suffit largement. Si ce serveur est indisponible, vos RDSH continuent de fonctionner temporairement grâce à la période de grâce, mais il doit redevenir joignable pour l’émission/renouvellement des CAL.
Procédure opérationnelle détaillée
Pré‑requis et bonnes pratiques
- Nommer clairement les machines (ex. :
HYPV‑01,RDS‑APP01…) - Adresses IP statiques pour l’hôte, le serveur de licences et les 4 VM.
- Mises à jour Windows appliquées avant rôle RDS.
- Création des comptes locaux et appartenance au groupe Utilisateurs du Bureau à distance sur chaque VM.
Installation du rôle Serveur de licences
- Sur l’hôte Hyper‑V ou sur une VM choisie, ouvrir Gestionnaire de serveur → Ajouter des rôles et fonctionnalités.
- Sélectionner Services de licences Bureau à distance.
- Redémarrer si demandé.
- Ouvrir le Gestionnaire des licences Bureau à distance (
licmgr.exe) et lancer Activer le serveur (Internet ou téléphone). - Installer ensuite les 4 CAL RDS Device Server 2019.
Installation du rôle Hôte de session (RDSH) sur chaque VM
- Dans chaque VM, via Gestionnaire de serveur, ajouter le rôle Hôte de session Bureau à distance.
- Redémarrer si requis.
Déclaration du serveur de licences et choix du mode
Sur chaque VM RDSH, définir le serveur de licences et le mode « Par périphérique ». Deux méthodes équivalentes :
Par stratégie locale (recommandé hors domaine)
- Ouvrir
gpedit.msc. - Parcourir Configuration ordinateur → Modèles d’administration → Composants Windows → Services Bureau à distance → Hôte de session Bureau à distance → Licences.
- Activer Utiliser les serveurs de licences Bureau à distance spécifiés et indiquer le nom NetBIOS ou l’IP du serveur de licences.
- Activer Définir le mode de licences Bureau à distance et choisir Par périphérique.
- Exécuter
gpupdate /forcepuis redémarrer le service Services Bureau à distance (ou la VM).
Par script PowerShell/WMI
Utile pour automatiser l’ensemble sur les 4 VM :
# À exécuter sur chaque VM RDSH (élevé)
$LicenseServer = "SRV-LIC" # nom NetBIOS ou IP du serveur de licences
# Définir le serveur de licences
$ts = Get-WmiObject -Namespace root\cimv2\TerminalServices -Class Win32_TerminalServiceSetting
$null = $ts.SetSpecifiedLicenseServerList($LicenseServer)
# Mode de licences : 2 = Par périphérique, 4 = Par utilisateur
$lic = Get-WmiObject -Namespace root\cimv2\TerminalServices -Class Win32_TSLicenseSetting
$null = $lic.ChangeMode(2)
# Redémarrer le service RDP
Restart-Service TermService -Force Vérification
- Sur une VM RDSH, ouvrir le Diagnostiqueur de licences (via Outils → Services Bureau à distance) et confirmer :
- serveur de licences détecté,
- mode Par périphérique appliqué,
- pool de CAL suffisant.
- Depuis chaque poste client, établir une première connexion RDP. Les CAL Device seront automatiquement attribuées.
- Dans Gestionnaire des licences, vérifier l’émission des 4 CAL.
Rappels de conformité indispensables
- CAL Windows Server de base : en plus des CAL RDS, l’accès aux serveurs Windows requiert des CAL Windows Server (par utilisateur ou par appareil). Les CAL RDS s’y ajoutent pour l’usage des sessions RDP applicatives.
- Sessions d’administration : les 2 connexions RDP d’administration intégrées n’exigent pas de CAL RDS. Elles sont réservées à la maintenance, pas à l’usage utilisateur.
- Droits de version : des CAL RDS plus récentes peuvent généralement accéder à des serveurs plus anciens (ex. CAL 2022 vers serveur 2019). L’inverse n’est pas valable.
- Réallocation : en cas de remplacement d’un poste, vous pouvez révoquer une CAL Device depuis le Gestionnaire des licences (soumis à un quota périodique), puis reconnecter le nouveau poste pour lui attribuer la CAL.
Réseau, ports et sécurité
| Flux | Protocoles/Ports | Commentaire |
|---|---|---|
| Client → VM RDSH | TCP 3389 | RDP. Activer NLA et TLS. Certificat recommandé. |
| VM RDSH ↔ Serveur de licences | TCP 135 + ports dynamiques RPC (49152‑65535 par défaut) | Requis pour l’émission et la validation des CAL. Adapter le pare‑feu si nécessaire. |
Astuce sécurité : si l’accès RDP est exposé depuis Internet, préférez un RD Gateway (HTTPS) ou un VPN, appliquez un durcissement NLA/MFA, limitez les adresses IP sources et surveillez les journaux de connexion.
Topologie en workgroup : limites et conséquences
- Le déploiement RDS « complet » (avec Connection Broker) requiert un domaine AD. En workgroup, vous opérez des RDSH autonomes — ce qui est parfait pour ce scénario.
- L’activation du serveur de licences, l’installation de CAL et la configuration des RDSH fonctionnent sans AD.
- Pour la gestion centralisée, utilisez des scripts (PowerShell) ou des modèles de stratégie locale (LGPO).
Pièges fréquents et comment les éviter
- Compter les sessions au lieu des appareils/utilisateurs : le nombre de sessions n’est pas un indicateur de CAL. Concentrez‑vous sur les entités licenciées (postes ou personnes).
- Oublier le mode de licences : si le mode Par périphérique n’est pas défini, les RDSH restent en période de grâce puis refusent des connexions.
- Mauvais nom de serveur de licences : en workgroup, privilégiez le nom NetBIOS court ou l’IP si la résolution de noms est incertaine.
- Oublier les droits locaux : ajoutez explicitement les utilisateurs au groupe Utilisateurs du Bureau à distance sur chaque VM RDSH.
- Éteindre le serveur de licences : il doit être disponible lorsque de nouveaux appareils se connectent ou lorsqu’une CAL arrive à échéance.
Exemple de dimensionnement technique des VM RDSH
Indication empirique pour des usages bureautiques et applicatifs légers :
| Ressource | Base par VM | Par session supplémentaire | Conseil |
|---|---|---|---|
| CPU | 2 vCPU | ~0,2 à 0,5 vCPU | Mesurer et ajuster : privilégiez la fréquence. |
| Mémoire | 4 Go | 1 à 1,5 Go | Surveillez les pics pour éviter le swap. |
| Stockage | OS sur SSD/NVMe | + IOPS selon l’appli | Activer la déduplication si pertinent. |
Pour 4 utilisateurs sur 4 VM (jusqu’à 16 sessions au total), des VM de 2 vCPU/8‑12 Go peuvent suffire si les applications sont modestes. Testez progressivement et surveillez CPU/RAM/IOPS.
Gestion et maintenance du serveur de licences
- Sauvegarde : conservez une sauvegarde système du serveur de licences (ou exports réguliers). En cas de perte, il est possible de réactiver et de réinstaller les CAL.
- Surveillance : vérifiez périodiquement le stock de CAL, l’émission et les journaux d’événements RDS.
- Évolutivité : pour des postes ou utilisateurs supplémentaires, il suffit d’ajouter des CAL du même type.
Feuille de route express
- Installer le rôle Services de licences Bureau à distance sur l’hôte Hyper‑V ou une VM.
- Activer le serveur de licences (Assistant → automatique ou téléphone).
- Installer les 4 CAL Device Server 2019.
- Sur chaque VM :
- ajouter le rôle Hôte de session Bureau à distance ;
- déclarer le serveur de licences et choisir le mode Par périphérique (GPO locale ou script WMI/PowerShell) ;
- valider avec le Diagnostiqueur de licences.
- Tester avec les 4 postes clients et confirmer l’émission des 4 CAL.
FAQ rapide
Faut‑il des CAL pour l’hôte Hyper‑V ? Non, tant que l’hôte n’est utilisé qu’en administration et qu’aucune session RDS utilisateur n’y est ouverte.
Que se passe‑t‑il si un utilisateur se connecte depuis un 5e poste ? En mode Device, ce 5e appareil consommera une CAL supplémentaire si disponible. Sans CAL libre, l’accès sera refusé à l’expiration de la période de grâce.
Puis‑je mélanger Device et User ? Techniquement, oui (par serveur), mais évitez de mélanger sans nécessité. Uniformisez le mode pour simplifier l’audit.
Peut‑on mettre deux serveurs de licences ? C’est possible. Dans de petits environnements, un seul est suffisant ; documentez la procédure de restauration.
Résumé exécutable
Dans un environnement Windows Server 2019 en workgroup avec 4 VM RDSH et 4 postes clients, le dimensionnement optimal est 4 CAL RDS Device. Installez un serveur de licences RDS sur l’hôte Hyper‑V ou sur une VM, activez‑le, déployez les CAL, puis configurez chaque VM RDSH pour utiliser ce serveur en mode Par périphérique. Ouvrez TCP 3389 côté clients et autorisez RPC (TCP 135 + ports dynamiques) entre RDSH et serveur de licences. Cette configuration garantit que les quatre utilisateurs peuvent lancer simultanément jusqu’à quatre sessions chacun (une par VM), sans jamais dépasser les quatre périphériques autorisés par les CAL Device achetées.