RDS CAL Windows Server : corriger une erreur Retail vs Open License sans interrompre les sessions

Vous avez installé par erreur des RDS CAL achetées en Open License comme si c’étaient des licences Retail ? Pas de panique : vous pouvez corriger proprement le canal, rétablir la conformité et faire en sorte que les CAL soient correctement attribuées — sans interrompre les sessions en cours.

Vue d’ensemble du problème

Une entreprise a acquis un lot de 500 licences d’accès client Remote Desktop (RDS CAL) via le programme Open License (canal volume basé sur un Numéro d’autorisation et un Numéro de contrat). Par erreur, l’administrateur a saisi ces licences dans le Gestionnaire de licences RDS comme s’il s’agissait d’une licence Retail (clé produit 25 caractères). Résultat : les licences paraissent “installées”/“activées”, mais aucune n’est effectivement attribuée aux utilisateurs ou aux périphériques, soulevant des craintes de non‑conformité. Que se passe‑t‑il si l’on corrige maintenant avec le bon type de licence ?

Ce qui se passe techniquement

• Le Gestionnaire de licences RDS permet d’installer un pack si la clé fournie est formellement valide. Il ne détecte pas toujours que le canal d’achat ne correspond pas au programme réel (Retail vs Open).
• En mode “Par Utilisateur”, Windows Server ne délivre pas de jetons individuels : l’allocation est déclarative. Il est donc courant de voir “0 consommé” malgré des connexions réussies.
• En mode “Par Périphérique”, un jeton temporaire est délivré au premier contact, puis un jeton permanent lorsque le serveur de licences est joint et que des CAL sont disponibles.
• Corriger le canal réinitialise essentiellement le suivi de conformité local (base de données de licences) mais n’interrompt pas les sessions RDP en cours.

Réponse & solutions proposées

Objectif	Action recommandée	Détails utiles
Vérifier l’état actuel	Ouvrir Gestionnaire de licences Bureau à distance (licmgr.exe) ► vérifier : – État du serveur (doit être “Activé”) – Nombre de CAL installées et consommées – Mode de licence configuré sur le/les serveur(s) RDSH (“Par Utilisateur” ou “Par Périphérique”)	Si aucune CAL n’est consommée, il est possible que le RDSH n’ait pas découvert le serveur de licences, ou que le mode “Par Utilisateur” soit choisi (ce mode ne consomme pas immédiatement les CAL).
Corriger le canal d’achat (Retail → Open)	1) Sauvegarder la base de licences (console ► Action ► Sauvegarder) et/ou le dossier C:\Windows\System32\lserver. 2) Supprimer/réinitialiser le pack erroné :   • Option la plus sûre : Action ► Gérer les CAL RDS ► Reconstruire la base de données.   • Ou, si l’option est disponible : clic droit sur le pack ► Supprimer/Révoquer. 3) Réinstaller via Action ► Installer des licences ► choisir Open License et saisir le Numéro d’autorisation + Numéro de contrat. 4) Valider par Internet ou téléphone (Clearinghouse).	Cette opération n’interrompt pas les sessions RDP en cours ; seul le suivi de conformité local est remis à plat.
Régulariser si la clé utilisée est invalide	Si la clé initiale n’appartient à aucun canal valide, contacter votre revendeur ou le centre de volume pour qu’un nouveau pack soit émis au bon canal (Open).	Un pack de remplacement peut être réémis quand le canal d’achat a été mal sélectionné.
S’assurer de la conformité continue	Contrôler régulièrement : – Que le/les RDSH pointent bien vers le serveur de licences (GPO ou propriétés RDSH). – Que le mode de licences du RDSH correspond au type de CAL (Par Utilisateur / Par Périphérique). – Que les preuves d’achat (accord Open) sont centralisées et archivées.	Un audit peut exiger les preuves d’achat et les rapports d’attribution. Conservez également les exports mensuels de la console.

Pourquoi aucune CAL n’est “occupée”

• En mode Par Utilisateur, le serveur n’émet pas de jetons individuels ; il se contente d’un comptage informatif. Il est donc normal de ne pas voir de consommation “dure”.
• Si vous attendez une consommation par périphérique, vérifiez que le RDSH est bien en mode “Per Device” et qu’il trouve le serveur de licences.

Plan de correction sans interruption

1. Geler les changements fonctionnels (pas de maintenance lourde pendant la fenêtre).
2. Sauvegarder la base :
   • Depuis la console : Action ► Sauvegarder.
   • Et/ou copie du dossier : C:\Windows\System32\lserver (incluant la base TLSLic.edb).
3. Rebâtir la base (recommandé) : Action ► Gérer les CAL RDS ► Reconstruire la base de données. Le serveur revient “vierge” de packs.
4. Réinstaller le bon pack : Installer des licences ► Programme : Open License ► saisir Numéro d’autorisation + Numéro de contrat.
5. Valider la connectivité du RDSH au serveur de licences (cf. section GPO/PowerShell ci‑dessous).
6. Contrôler après coup : Diagnostiqueur de licences, journaux d’événements, et tests de connexion depuis un poste témoin.

Configuration correcte du mode et de la découverte du serveur

Via stratégie de groupe (recommandé)

Chemin GPO : Configuration ordinateur → Stratégies → Modèles d’administration → Composants Windows → Services Bureau à distance → Hôte de session Bureau à distance → Licences

• Définir le mode de licences des Services Bureau à distance : Par utilisateur ou Par périphérique.
• Utiliser les serveurs de licences Bureau à distance spécifiés : ajouter le ou les noms DNS du serveur RD Licensing.

Après application de la GPO, forcez la mise à jour : gpupdate /force, puis redémarrez le service concerné si nécessaire.

Vérifications côté RDSH

• Dans Gestionnaire de serveur → Services Bureau à distance, ouvrez le Diagnostiqueur de licences. Vous devez voir un serveur de licences découvert et un mode cohérent.
• Vérifiez le registre (lecture seule, préférez la GPO pour modifier) :
  • HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\LicenseServers : clés enfants avec vos serveurs.
  • HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM\Licensing Core\LicensingMode : 2 = Per Device, 4 = Per User.

Dépannage ciblé

Symptôme	Cause probable	Action	Impact sur la prod
“Aucun serveur de licences RD n’a été découvert”	Pas de GPO/paramètre de découverte, DNS incorrect	Configurer la GPO Utiliser les serveurs de licences… et vérifier la résolution DNS	Nul si appliqué en heures ouvrées (pas de redémarrage requis)
CAL non consommées en Per‑Device	Base corrompue, pack au mauvais canal, service arrêté	Rebâtir la base, réinstaller le pack Open, redémarrer le service RD Licensing	Faible : les sessions existantes continuent
Erreurs à l’activation	Proxy/pare‑feu, infos d’accord incorrectes	Ouvrir la sortie Internet de la console (443), contrôler n° d’autorisation/contrat	Nul sur les connexions RDP
Jetons temporaires expirent	Serveur de licences inaccessible	Corriger la découverte, ouvrir les ports RPC (135, plage dynamique), valider la connectivité réseau	Élevé si non résolu (refus de nouvelles connexions après expiration)

Réseau & ports à connaître

• Activation/licensing vers Microsoft : 443 (HTTPS) sortant.
• Communication RDSH ↔ RD Licensing : RPC 135 + ports dynamiques RPC (généralement 49152–65535 TCP).
• Connexion utilisateur RDP : 3389/TCP (indépendant du service de licences).

Services et journaux

• Service Services des licences Bureau à distance sur le serveur de licences : doit être Démarré.
• Observateur d’événements : Journaux des applications et des services → Microsoft → Windows → TerminalServices‑Licensing (serveur de licences) et TerminalServices‑RDPClient/RemoteConnectionManager (RDSH) pour les alertes de découverte/d’attribution.

Scripts & commandes utiles (PowerShell/WMIC)

Configurer la liste de serveurs de licences sur un RDSH :

$srv = "RDLIC01.contoso.local"
$ts = Get-WmiObject -Namespace "root\cimv2\terminalservices" -Class "Win32_TerminalServiceSetting"
$null = $ts.SetSpecifiedLicenseServerList($srv)
Write-Host "Serveur de licences défini sur $srv"

Définir le mode de licences :

$ts = Get-WmiObject -Namespace "root\cimv2\terminalservices" -Class "Win32_TerminalServiceSetting"
# 2 = Per Device, 4 = Per User
$null = $ts.SetLicensingType(4)
Write-Host "Mode de licences configuré sur Par Utilisateur"

Forcer la prise en compte d’une GPO :

gpupdate /force
# puis vérifier
gpresult /h C:\Temp\rsop.html

Redémarrer proprement le service RD Licensing (sur le serveur de licences) :

Restart-Service TermServLicensing

Informations complémentaires utiles

Activation du “mauvais” type de licence

• Le Gestionnaire de licences n’empêche pas l’installation d’un pack incorrect si la clé est formellement valide. L’erreur est le plus souvent détectée lors d’un audit ou d’une analyse de conformité.
• Aucune mesure technique punitive n’est déclenchée (pas de coupure de sessions), mais l’entreprise risque des pénalités financières en cas de non‑conformité.

Bonnes pratiques de conformité

1. Centraliser les preuves d’achat : accord Open (contrat), reçus, bons de commande.
2. Documenter la configuration RDS : nom et version du serveur de licences, mode, packs installés (canal, quantité, version).
3. GPO de découverte du serveur de licences sur tous les RDSH, y compris de secours.
4. Export mensuel des rapports de CAL (depuis la console) pour archivage.
5. Surveiller les journaux d’événements liés à TerminalServices‑Licensing.
6. Tester régulièrement avec un poste vierge (sans jeton) pour valider l’émission des CAL en mode Per‑Device.

Procédure détaillée de correction (pas à pas)

Pré‑requis

• Accès administrateur au serveur RD Licensing et aux RDSH.
• Numéro d’autorisation et numéro de contrat de votre achat Open License.

Étapes

1. Collecte : capturez des écrans de l’état actuel (piles de licences, mode, diagnostiqueur), exportez un rapport de licences pour votre dossier.
2. Sauvegarde :
   • Console : Action ► Sauvegarder.
   • Fichiers : copie du dossier C:\Windows\System32\lserver.
3. Réinitialisation : Gérer les CAL RDS ► Reconstruire la base (ou supprimer le pack erroné si l’option est proposée).
4. Réinstallation au bon canal : Installer des licences ► Open License ► saisir les numéros.
5. Validation : ouvrir le Diagnostiqueur, vérifier la découverte du serveur et le mode. Si Per‑Device, connecter un poste test et vérifier l’émission d’un jeton permanent.
6. Documentation : consigner le changement, joindre les preuves d’achat et l’export post‑correction.

FAQ

Allons‑nous perdre des connexions RDP pendant la correction ?
Non. La reconstruction de la base ou la réinstallation d’un pack ne met pas fin aux sessions en cours. À court terme, vous réinitialisez surtout la comptabilité locale des CAL.

Pourquoi mes 500 CAL “installées” ne bougent pas ?
Souvent parce que le déploiement est en mode Par Utilisateur, qui n’émet pas de jetons. Si vous attendez une consommation “dure”, basculez en Per‑Device (si c’est bien votre modèle d’achat) et vérifiez la découverte du serveur.

J’ai saisi une clé 25 caractères qui passait, mais c’était un achat Open License. Est‑ce illégal ?
Le point critique est la conformité par rapport au contrat d’achat. Corrigez le canal, conservez vos justificatifs et, en cas de doute, demandez la réémission d’un pack via votre revendeur/centre de volume.

Peut‑on mélanger Per‑User et Per‑Device ?
Techniquement, un même déploiement peut contenir des CAL de types différents, mais chaque hôte RDSH doit être configuré dans un mode cohérent. Évitez les mélanges non maîtrisés.

Quelle est la durée des jetons temporaires Per‑Device ?
Un jeton temporaire est délivré à la première connexion d’un périphérique et doit être remplacé par un jeton permanent lorsque le serveur de licences est joignable et qu’il existe des CAL disponibles.

Checklist minute

• Le serveur RD Licensing est activé et joignable.
• Le/les RDSH découvrent le serveur de licences (GPO appliquée).
• Le mode sur chaque RDSH correspond au type de CAL.
• Le pack est installé en Open License avec les bons numéros.
• Un export de rapport et des preuves d’achat sont archivés.

Modèle de journal d’audit (à réutiliser)

Élément	Valeur	Preuve associée
Programme d’achat	Open License	Contrat + n° d’autorisation
Quantité / Version	500 / RDS CAL (User ou Device)	Bon de commande, facture
Serveur de licences	RDLIC01 (Windows Server)	Capture console licmgr.exe
Mode RDSH	Par Utilisateur (ou Per‑Device)	GPO, rsop.html
État post‑correction	Pack Open installé, diagnostique OK	Export rapport licences

Conclusion

Installer un pack de RDS CAL au mauvais canal (Retail vs Open) est une erreur rattrapable : sauvegardez la base, reconstruisez si nécessaire, réinstallez le pack au bon canal et verifiez la découverte et le mode sur vos RDSH. En consolidant vos preuves d’achat et en automatisant la conformité (GPO + exports réguliers), vous restaurez une posture licite — sans interruption de service.

---

Annexes – mémo de commandes

But	Commande	Notes
Forcer la GPO	gpupdate /force	Exécuter sur le/les RDSH
Lister les serveurs de licences (WMI)	Get-WmiObject -Namespace root\cimv2\terminalservices -Class Win32_TerminalServiceSetting \| Select-Object -ExpandProperty SpecifiedLicenseServers	Retourne la liste configurée
Définir le serveur de licences	$ts = Get-WmiObject -Namespace root\cimv2\terminalservices -Class Win32_TerminalServiceSetting; $ts.SetSpecifiedLicenseServerList("RDLIC01")	Utiliser DNS FQDN si possible
Définir mode Per‑User	$ts = Get-WmiObject -Namespace root\cimv2\terminalservices -Class Win32_TerminalServiceSetting; $ts.SetLicensingType(4)	2 = Per‑Device, 4 = Per‑User
Redémarrer le service de licences	Restart-Service TermServLicensing	Sur le serveur RD Licensing

En corrigeant le type de licence via l’outil officiel et en conservant les justificatifs d’achat, l’entreprise redevient conforme sans interruption de service.