Vous avez activé Windows Server 2022, mais l’installation de vos RDS CAL achetées il y a deux ans échoue ? Voici la procédure complète, des prérequis à l’escalade, avec pas‑à‑pas, commandes PowerShell, GPO et check‑list de dépannage.
Problème d’activation et d’installation des licences Remote Desktop (RDS CAL) sur Windows Server 2022 — vue d’ensemble
Scénario typique : le serveur de licences RDS est bien activé, mais l’assistant d’installation refuse le pack de CAL, ou bien les hôtes RD Session Host n’arrivent pas à consommer les licences. Le fournisseur d’origine n’étant plus joignable, vous cherchez la procédure correcte et les pistes de dépannage pour faire reconnaître vos CAL, y compris si elles datent de deux ans.
Ce qu’il faut absolument comprendre sur les CAL RDS et la compatibilité
- Compatibilité de version : des RDS CAL de version égale ou supérieure à la version du serveur d’hébergement RDS (RD Session Host) sont requises. Ainsi, des CAL 2022 (ou 2025) fonctionnent pour Windows Server 2022, mais pas des CAL 2019.
- Droit de rétrogradation : des CAL plus récentes (ex. 2022) peuvent autoriser des connexions vers des hôtes plus anciens (2019/2016), mais l’inverse n’est pas vrai.
- Modes de licence : Par Utilisateur (User) vs Par Appareil (Device). Le choix doit être cohérent avec votre politique de conformité et reflété sur chaque hôte RD Session Host (via GPO ou propriétés de déploiement).
- 120 jours de grâce : un hôte RD Session Host fraîchement installé accepte des connexions pendant ~120 jours même sans serveur de licences fonctionnel ; passé ce délai, de nouvelles connexions échouent si aucune licence valide n’est délivrée.
Prérequis côté serveur
- Installer le rôle Remote Desktop Licensing (
RDS-Licensing) sur le serveur de licences (qui peut être distinct des hôtes Session Host). - Vérifier que vos CAL sont de version 2022 ou 2025 pour des hôtes Windows Server 2022.
- Veiller à la date/heure/fuseau corrects (TLS, validation d’activation) et au nom de l’ordinateur définitif (éviter de renommer le serveur après activation).
- Accès réseau : sortie HTTPS (443) vers les services d’activation Microsoft et RPC EPM (135) + ports RPC dynamiques (49152‑65535) depuis les hôtes RD vers le serveur de licences.
# Installation du rôle (à exécuter en PowerShell en tant qu’administrateur)
Install-WindowsFeature RDS-Licensing -IncludeManagementTools
# Vérifier et démarrer le service
Get-WindowsFeature RDS-Licensing
Get-Service TermServLicensing | Set-Service -StartupType Automatic
Restart-Service TermServLicensing
Activer le serveur de licences RDS (opération unique)
- Ouvrir Gestionnaire de licences RD (exécuter
licmgr.exeou via Gestionnaire de serveur ▸ Outils ▸ Services Bureau à distance). - Clic droit sur le nom du serveur ▸ Activer le serveur.
- Choisir le mode d’activation :
- Connexion automatique (Internet) — le plus simple si l’accès sortant HTTPS est possible.
- Navigateur Web — saisie des infos d’activation depuis un autre poste connecté.
- Téléphone — appeler le centre Clearing House pour obtenir le code de confirmation.
- Une fois activé, laisser cochée l’option Démarrer l’Assistant d’installation des licences.
Installer les RDS CAL
- Dans l’assistant, sélectionner le type de programme (Open/Volume, Retail, SPLA, etc.).
- Renseigner le numéro d’autorisation et l’ID du pack (Volume) ou la clé produit (Retail), selon le canal d’achat.
- Choisir le mode de licence : Par Utilisateur ou Par Appareil.
- Valider : les CAL apparaissent dans la console avec leur version, nombre et statut.
Associer le serveur de licences aux hôtes RD Session Host
Deux approches possibles : via le déploiement RDS (collections) ou via stratégie de groupe (recommandé, car central et explicite).
Méthode GUI (déploiement RDS)
- Ouvrir Gestionnaire de serveur ▸ Services Bureau à distance ▸ Collections.
- Dans Propriétés du déploiement, définir le mode de licence et ajouter le nom du serveur de licences.
- Redémarrer le service Remote Desktop Services sur chaque hôte ou redémarrer les serveurs.
Méthode GPO (conseillée)
- Éditer une GPO appliquée aux hôtes RD Session Host :
Configuration ordinateur ▸ Modèles d’administration ▸ Composants Windows ▸ Services Bureau à distance ▸ Hôte de session Bureau à distance ▸ Licences
- Utiliser les serveurs de licences Bureau à distance spécifiés → Activé → ajouter le(s) FQDN du serveur de licences.
- Définir le mode de licences des Services Bureau à distance → Activé → Par utilisateur ou Par appareil.
# Équivalent par Registre/PowerShell (sur un hôte RD Session Host)
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" -Force | Out-Null
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\LicenseServers" -Force | Out-Null
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\LicenseServers" `
-Name "rdls01.contoso.local" -Force | Out-Null
# 2 = Par appareil, 4 = Par utilisateur
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" `
-Name "LicensingMode" -Type DWord -Value 4
# Redémarrer l’hôte ou le service RDS
Restart-Service TermService -Force
Vérifications rapides après installation
- Dans RD Licensing Manager, les packs de CAL affichent un Statut : Installé et un nombre suffisant.
- Sur un hôte RD Session Host, l’outil RD Licensing Diagnoser ne signale aucune erreur et liste le serveur de licences.
- Une session de test n’affiche pas d’avertissement de licence et les périphériques obtiennent des CAL (mode par appareil).
Dépannage courant en cas d’échec
| Symptôme | Cause probable | Correctif rapide |
|---|---|---|
| Erreur « Serveur non activé » | Rôle RD Licensing installé mais non activé auprès de Microsoft | Relancer l’assistant Activer le serveur dans RD Licensing Manager. |
| CAL invisibles après import | Mauvais type de programme ou informations de licence erronées | Réinstaller les CAL avec le bon programme (Open/Volume vs Retail), vérifier Autorisation/ID de pack. |
| Sessions expirent au bout de 120 jours | Les hôtes RD ne trouvent pas le serveur de licences | Déclarer explicitement le serveur via GPO ou propriétés de déploiement, puis redémarrer TermService. |
| Message d’incompatibilité de version | CAL antérieures à la version de l’OS | Obtenir des CAL 2022 ou plus récentes (upgrade). |
Erreurs d’activation du serveur de licences
- 0x80072F8F / 0x80072EE7 : problème TLS/DNS. Vérifier l’heure, le proxy, le DNS, puis autoriser la sortie HTTPS (443). En proxy authentifiant, utiliser le mode Navigateur Web ou Téléphone.
- Le serveur a été renommé après activation : la base d’activation ne correspond plus. Déactiver puis réactiver le serveur dans RD Licensing Manager.
- Service inactif : s’assurer que
TermServLicensingest en Automatique et démarré.
Erreurs d’installation des CAL
- Type de Programme incorrect : si vos licences proviennent d’un contrat Open/Volume, sélectionnez Open/Volume et pas Retail. L’inverse est vrai pour les boîtes.
- CAL trop anciennes : une CAL 2019 ne s’installe pas pour un usage avec Windows Server 2022. Demander un upgrade ou racheter des CAL 2022/2025.
- Activation hors ligne : en mode Navigateur Web / Téléphone, préparer Nom de la société, Pays, Numéro d’autorisation, ID de pack, Nom du serveur.
Les hôtes RD Session Host ne trouvent pas le serveur de licences
- GPO appliquée : vérifier Resultant Set of Policy (
rsop.msc) ougpresult /hpour voir les paramètres LicensingMode et LicenseServers. - Firewall : autoriser RPC (135) et ports dynamiques Windows entre hôtes RD et serveur de licences.
- DNS : résolution du FQDN du serveur de licences depuis chaque hôte RD.
- Redémarrer le service Remote Desktop Services sur l’hôte :
Restart-Service TermService -Force.
Problèmes côté clients RDP
- Stockage client des licences (mode par appareil) corrompu : sur le poste client, relancer mstsc en administrateur ou, en dernier recours, réinitialiser la clé
HKLM\Software\Microsoft\MSLicensing(puis se reconnecter pour la recréer). - Avis « no license server available » : vérifier que la première connexion ne se fait pas depuis un compte sans droits (UAC) empêchant l’écriture de la licence locale.
Réseau, proxy et ports à ouvrir
| Flux | Ports | Direction | Commentaires |
|---|---|---|---|
| Activation du serveur de licences | TCP 443 (évent. 80) | Serveur de licences → Internet | Vers les services d’activation. Proxy : préférer le mode Navigateur Web si authentification. |
| Découverte/licensing entre hôte RD et serveur de licences | TCP 135 + RPC dynamiques (49152‑65535) | Hôte RD → Serveur de licences | RPC Endpoint Mapper + ports éphémères. Segmenter et filtrer par ACL. |
| Administration à distance (MMC/WMI) | TCP 135 + RPC dynamiques | Admin → Serveur de licences | Nécessaire pour consulter l’inventaire à distance. |
Inventaire et scripts utiles (PowerShell)
Exemples de commandes pour contrôler l’état du rôle et l’inventaire des CAL :
# Sur le serveur de licences
Get-Service TermServLicensing
Get-WindowsFeature RDS-Licensing
# Lister les packs de CAL installés (WMI)
Get-WmiObject -Namespace root\cimv2 -Class Win32_TSLicenseKeyPack |
Select-Object ProductVersion, Description, TotalLicenses, AvailableLicenses, TypeAndModel |
Format-Table -Auto
# Lister les attributions (utile en "Par appareil")
Get-WmiObject -Namespace root\cimv2 -Class Win32_TSIssuedLicense |
Select-Object MachineName, IssueDate, ExpirationDate, LicenseStatus |
Sort-Object IssueDate -Descending | Format-Table -Auto
# Tester l’ouverture RPC depuis un hôte RD (exécuter sur l’hôte)
Test-NetConnection -ComputerName -Port 135
# Forcer un redémarrage propre du service sur l’hôte RD
Restart-Service TermService -Force Journalisation et diagnostic
- RD Licensing Diagnoser (outil inclus) : indique les erreurs de configuration (mode, découverte, activation, disponibilité des CAL) et propose des correctifs.
- Observateur d’événements :
- Journaux des applications et services ▸ Microsoft ▸ Windows ▸ TerminalServices-Licensing (côté serveur de licences).
- … ▸ TerminalServices-RemoteConnectionManager et … ▸ TerminalServices-LocalSessionManager (côté hôte RD pour la vie des sessions).
- Gestionnaire de licences RD : vérifiez l’état des packs, le nombre Disponible vs Total, et exportez les rapports si nécessaire.
Migrer ou réhéberger des licences sur un nouveau serveur
- Sauvegarder le dossier
%SystemRoot%\System32\lserver\du serveur actuel (base de licences et fichiers de packs). - Installer/activer le rôle RDS-Licensing sur le nouveau serveur.
- Réhéberger les packs : via l’assistant d’installation des licences (mode Téléphone au besoin) en fournissant numéro d’autorisation et ID de pack, ou demander au Clearing House de réémettre les licences sur le nouvel ID de serveur.
- Basculer la GPO pour pointer les hôtes RD vers le nouveau serveur, puis redémarrer TermService.
- En environnement critique, maintenez deux serveurs de licences déclarés en parallèle le temps de la transition.
Que faire si la clé ne peut toujours pas être enregistrée ?
- Contacter le Clearing House Microsoft (téléphone, selon la région) avec : numéro d’autorisation, ID du pack, preuve d’achat, raison de réhébergement (panne, migration, etc.).
- En l’absence de revendeur initial, ouvrir un ticket via un Microsoft Partner ou le support professionnel (Unified/Premier) pour une installation manuelle par un ingénieur.
- Conserver et fournir toutes les preuves d’achat (facture, contrat Volume/Open) pour faciliter la ré‑émission.
Bonnes pratiques & sécurité
- Sauvegarde régulière du dossier
lserveret documentation des ID de pack / numéros d’autorisation. - Séparation des rôles : héberger le serveur de licences sur une VM dédiée et restreindre l’accès administratif.
- Durcissement : limiter les flux RPC aux seuls hôtes RD (pare-feu, ACL), surveiller les journaux, activer TLS 1.2, et interdire l’accès RDP direct au serveur de licences.
- Suivi des CAL « Par utilisateur » : ces licences ne se révoquent pas automatiquement. Tenez un inventaire manuel, utilisez les rapports du gestionnaire et, en domaine, tirez parti d’Active Directory pour le suivi.
FAQ express
Q : Mes CAL ont été achetées il y a deux ans, sont‑elles encore valides ?
R : Oui si leur version est 2022 (ou supérieure). L’âge de l’achat n’est pas bloquant, c’est la version qui l’est.
Q : Dois‑je activer le serveur de licences à chaque ajout de pack ?
R : Non. L’activation du serveur est unique. Vous pouvez ensuite installer autant de packs que nécessaire.
Q : Les utilisateurs reçoivent un avertissement « la période de grâce va expirer »
R : Le(s) hôte(s) RD ne voient pas le serveur de licences ou le mode est mal configuré. Déclarer le serveur via GPO et fixer le mode (Par utilisateur ou Par appareil), puis redémarrer le service.
Q : Peut‑on « réinitialiser » la période de grâce ?
R : Pour des tests uniquement, il est possible de supprimer la clé Registre ...RCM\GracePeriod après en avoir pris possession, mais cela n’est pas une solution de production ni une pratique de conformité.
Q : Comment vérifier rapidement que mes hôtes consomment des CAL ?
R : Dans RD Licensing Manager, contrôlez l’onglet des CAL attribuées (mode par appareil) et utilisez RD Licensing Diagnoser sur un hôte RD pour voir les messages « OK ».
Checklist de résolution rapide (≈ 15 minutes)
- Sur le serveur de licences :
Install-WindowsFeature RDS-Licensinget serviceTermServLicensingdémarré. - Activer le serveur dans RD Licensing Manager (mode Internet/Web/Téléphone).
- Installer le pack de CAL (vérifier Programme, Autorisation, ID de pack/clé).
- Définir via GPO sur tous les hôtes RD : serveur de licences + mode.
- Ouvrir/autoriser : TCP 443 en sortie depuis le serveur de licences ; RPC 135 + ports dynamiques depuis les hôtes RD vers le serveur de licences.
- Redémarrer
TermServicesur chaque hôte RD. - Vérifier dans RD Licensing Diagnoser qu’aucune erreur n’est présente.
Ressources utiles (documentation officielle)
- Activate the Remote Desktop Services license server — Microsoft Learn.
- Install RDS client access licenses — Microsoft Learn.
- Outil RD Licensing Diagnoser (inclus) pour identifier rapidement les erreurs de configuration.
Annexe : conseils avancés
Quand ajouter le serveur de licences au groupe AD « Terminal Server License Servers » ?
En environnement domaine, ajoutez le compte ordinateur du serveur de licences à ce groupe si vous utilisez des fonctionnalités qui stockent des informations d’attribution dans AD. Cela facilite le suivi et évite certains avertissements de droits.
Haute disponibilité
Le rôle RD Licensing n’est pas « clusterisable ». La stratégie consiste à déployer deux serveurs de licences, installer/activer les mêmes packs (selon contrat), et déclarer les deux serveurs dans la GPO. En cas d’indisponibilité d’un serveur, l’autre répond.
Bonnes pratiques de conformité
- Documenter le mode choisi et le dimensionnement (nombre de CAL) avec un historique des pics d’utilisation.
- Établir un processus d’onboarding/offboarding utilisateur/appareil pour adapter le stock de CAL.
- Programmer des rapports mensuels depuis le gestionnaire de licences pour détecter tôt les écarts.
Conclusion
La majorité des échecs d’installation/consommation de RDS CAL sur Windows Server 2022 relèvent d’un triptyque simple : version de CAL incompatible, serveur de licences non activé ou mal renseigné, flux réseau RPC/HTTPS bloqués. En appliquant la procédure ci‑dessus — installation/activation du rôle, import du bon pack, déclaration via GPO, vérifications dans le Diagnoser — vous rétablissez une délivrance de licences fiable et conforme. Et si l’enregistrement d’un ancien pack reste impossible, le Clearing House peut réémettre ou réinitialiser les licences sur votre nouveau serveur.