Vous voulez autoriser trois sessions RDP simultanées sur un Windows Server 2019 Standard non joint à AD ? Voici une méthode conforme et complète : licences RDS nécessaires, installation minimale (RD Session Host + RD Licensing), tests en période de grâce et bonnes pratiques de sécurité.
Vue d’ensemble de la question
Contexte typique : un serveur Windows Server 2019 Standard (édition OEM/ROK), en workgroup (pas d’Active Directory). Deux administrateurs peuvent déjà se connecter en même temps via le Bureau à distance, mais le troisième est invité à expulser quelqu’un : c’est le comportement normal. Par défaut, Windows Server limite à deux connexions simultanées d’administration. Pour dépasser cette limite avec des sessions « utilisateur », vous devez activer le rôle Hôte de session RDS et délivrer des RDS CAL adaptées (par utilisateur ou appareil).
Bonne nouvelle : Active Directory n’est pas requis pour un petit déploiement « tout‑en‑un ». Sur un serveur unique, installez simplement RD Session Host et RD Licensing, configurez le mode de licences et testez (période de grâce intégrée) avant l’achat des CAL.
Réponse & solution
Ce que couvrent (et ne couvrent pas) vos CAL
Le pack « 5 CAL » livré avec beaucoup d’éditions OEM/ROK concerne les CAL Windows Server. Elles autorisent l’accès aux services réseau (partages de fichiers, impression, etc.). Ces CAL ne couvrent pas les sessions RDP « utilisateur » du rôle RDS. Pour autoriser plus de deux connexions interactives simultanées, vous devez acheter des RDS CAL en plus :
- RDS CAL Par appareil : une licence est affectée à chaque machine (client léger, PC, tablette) qui se connecte au RD Session Host.
- RDS CAL Par utilisateur : une licence est affectée à chaque personne qui se connecte depuis un ou plusieurs appareils.
Important : les RDS CAL sont versionnées. Une CAL de version égale ou supérieure à celle du serveur peut l’utiliser (ex. CAL 2022 → Server 2019 : OK). L’inverse n’est pas autorisé (ex. CAL 2016 → Server 2019 : non).
AD non requis ; rôles à installer
Sur un serveur unique, non joint à un domaine, le déploiement minimum est :
- RD Session Host (Hôte de session Bureau à distance) : fournit les sessions utilisateurs.
- RD Licensing (Gestion des licences RDS) : émet et gère les RDS CAL.
Le RD Connection Broker n’est pas nécessaire pour un seul serveur. En workgroup, privilégiez le mode licences « Par appareil » (le suivi « Par utilisateur » n’est pas pris en charge côté serveur de licences sans AD).
Tableau récapitulatif des licences
| Type | Ce que cela couvre | Quand c’est requis | Suivi en workgroup | Remarques clés |
|---|---|---|---|---|
| CAL Windows Server | Accès aux services de base (SMB, impression, etc.) | Toujours, pour chaque utilisateur/appareil qui accède au serveur | Sans objet | Ne permet pas d’ouvrir des sessions RDS supplémentaires |
| RDS CAL Par appareil | Sessions RDS pour un appareil identifié | Dès que l’on dépasse les 2 sessions admin | Oui | Recommandé en workgroup; affectation automatique par appareil |
| RDS CAL Par utilisateur | Sessions RDS pour un utilisateur nommé | Souvent en environnement AD | Non | Suivi honorifique sans AD ; évitez en workgroup |
Procédure pas à pas pour trois utilisateurs
- Installer les rôles
Ouvrez Gestionnaire de serveur → Ajouter des rôles et fonctionnalités → Installation basée sur un rôle ou une fonctionnalité (ne pas choisir le scénario « Services Bureau à distance », qui exige AD) → cochez Hôte de session Bureau à distance et Gestion des licences RDS. Redémarrez si demandé. - Activer le serveur de licences
Lancez Gestionnaire de licences des Services Bureau à distance (rdlicmgr.msc) → clic droit sur le nom du serveur → Activer le serveur → suivez l’assistant (activation automatique, web ou téléphone). - Installer les RDS CAL
Toujours dansrdlicmgr.msc→ Installer des licences → choisissez votre programme d’achat et entrez la quantité. Pour votre cas : 3 RDS CAL (Par appareil recommandé en workgroup). - Configurer l’Hôte de session pour utiliser le serveur de licences
Ouvrezgpedit.msc→ Configuration ordinateur → Modèles d’administration → Composants Windows → Services Bureau à distance → Hôte de session Bureau à distance → Gestion des licences. Activez :- Utiliser les serveurs de licences Bureau à distance spécifiés → entrez le nom du serveur.
- Définir le mode de licences Bureau à distance → choisissez Par appareil (idéal en workgroup).
- Vérifier le diagnostic
Ouvrez le Diagnostiqueur des licences RDS (depuis Gestionnaire de serveur → Outils → Services Bureau à distance) : corrigez les avertissements éventuels (mode non défini, serveur introuvable, etc.).
Test sans achat grâce à la période de grâce
Dès que le rôle RD Session Host est installé, une période de grâce de 120 jours démarre automatiquement. Pendant ce délai, l’hôte accepte des sessions RDS même si aucun serveur de licences n’est encore configuré ; c’est idéal pour valider le scénario « 3 utilisateurs ». À l’issue, de nouvelles connexions seront refusées tant que des RDS CAL valides ne seront pas délivrées. Ne cherchez pas à « réinitialiser » la grâce dans le registre : c’est non conforme et risqué.
Points d’attention et erreurs fréquentes
Sessions d’administration vs sessions utilisateur
- Les 2 connexions « administration » n’exigent pas de RDS CAL et restent disponibles même après déploiement de RDS.
- Les sessions « utilisateur » (via RD Session Host) nécessitent des RDS CAL dès que la grâce est écoulée.
- Augmenter la stratégie « Limiter le nombre de connexions » ne supprime pas la limite d’administration à 2 si RDS n’est pas installé.
Mode licences non défini
Message courant : Remote Desktop Licensing mode is not configured. Résolution : configurer le mode et le serveur explicitement via GPO locale (voir plus haut) ou via PowerShell (ci‑dessous).
Workgroup et choix du mode
Sans AD, utilisez Par appareil. Le mode Par utilisateur n’est pas comptabilisé par le serveur de licences en workgroup ; sa gestion repose alors sur la conformité déclarative de votre organisation.
Compatibilité des versions
- RDS CAL d’une version égale ou supérieure au serveur : OK (ex. CAL 2022 sur Server 2019).
- RDS CAL plus anciennes que le serveur : non (ex. CAL 2016 sur Server 2019).
Configuration par PowerShell
Sur Windows Server 2019, vous pouvez définir le serveur de licences et le mode en WMI/CIM :
$ns = "root\CIMV2\TerminalServices"
$ts = Get-CimInstance -Namespace $ns -ClassName Win32_TerminalServiceSetting
# Déclare le (ou les) serveurs de licences. Séparez par un espace si plusieurs.
Invoke-CimMethod -InputObject \$ts -MethodName SetSpecifiedLicenseServerList -Arguments @{ LicenseServerList = "MON-SERVEUR" } | Out-Null
# Définit le mode de licences : 2 = Par appareil ; 4 = Par utilisateur
Invoke-CimMethod -InputObject \$ts -MethodName SetLicensingType -Arguments @{ LicensingType = 2 } | Out-Null
Write-Host "Serveur de licences et mode configurés." Redémarrez le service TermService ou le serveur pour garantir la prise en compte :
Restart-Service TermService -Force
Paramétrages utiles côté stratégie de groupe
| Chemin | Paramètre | Valeur conseillée | Effet |
|---|---|---|---|
| Configuration ordinateur → Modèles d’administration → Composants Windows → Services Bureau à distance → Hôte de session Bureau à distance → Gestion des licences | Utiliser les serveurs de licences spécifiés | Activé ; nom du serveur | Découverte explicite du serveur de licences |
| Idem | Définir le mode de licences | Par appareil en workgroup | Évite l’avertissement « mode non configuré » |
| Configuration ordinateur → Modèles d’administration → Composants Windows → Services Bureau à distance → Hôte de session → Connexions | Restreindre les utilisateurs RDS à une seule session | Activé | Empêche un même utilisateur d’ouvrir plusieurs sessions |
| Idem | Définir les limites de temps des sessions (inactive/déconnectée) | Adapté à votre usage (ex. 1 h / 15 min) | Libère les ressources en cas d’inactivité |
Dimensionnement et compréhension des CAL
Les RDS CAL ne sont pas « concurrentes ». Elles s’assignent de façon durable à un utilisateur ou appareil dès le premier accès. Pour votre scénario :
- Si 3 utilisateurs nommés se connectent depuis plusieurs postes : 3 CAL Par utilisateur (idéalement en domaine), ou basculez en Par appareil si vous restez en workgroup.
- Si 2 postes partagés et 1 portable se connectent, et que plusieurs personnes utilisent les mêmes postes : 3 CAL Par appareil sont souvent plus optimisées.
Astuce : pour un très petit site sans AD, Par appareil évite les ambiguïtés de conformité, car l’attribution est suivie automatiquement par le serveur de licences.
Checklist sécurité pour l’accès externe
- Ne publiez pas directement le port 3389 sur Internet.
- Privilégiez RD Gateway (HTTPS/TLS) ou un VPN pour le tunneling.
- Activez NLA (authentification au niveau du réseau) ; limitez les groupes autorisés (ex. « Utilisateurs du Bureau à distance »).
- Activez l’MFA si possible via la passerelle ou le VPN.
- Mettez en place une stratégie de mot de passe robuste et l’Audit des connexions.
- Désactivez la redirection des périphériques non nécessaires (presse‑papiers, lecteurs locaux, etc.) et autorisez uniquement ce qui est utile.
Surveillance et diagnostic
En cas de souci de licence, vérifiez :
- RD Licensing Manager : serveur activé, CAL installées, version et volume disponibles.
- Diagnostiqueur des licences : mode, portée, serveur atteint.
- Observateur d’événements :
- Applications and Services Logs → Microsoft → Windows → TerminalServices-RemoteConnectionManager
- Applications and Services Logs → Microsoft → Windows → TerminalServices-RemoteDesktopServices
- System : erreurs de service
TermService
Messages typiques et résolution
| Symptôme | Cause probable | Action corrective |
|---|---|---|
| « La session Bureau à distance n’a pas pu trouver un serveur de licences » | Serveur de licences non activé / non découvert | Activer le serveur, définir le mode et le serveur via GPO ou PowerShell |
| « Le mode de licences n’est pas configuré » | Stratégie par défaut non définie | Configurer Par appareil en workgroup ; redémarrer TermService |
| Le 3e utilisateur doit expulser un autre | Uniquement 2 sessions d’administration actives | Installer RD Session Host + RD Licensing et déployer des RDS CAL |
| Arrêt des connexions après quelques semaines | Fin de la période de grâce RDS | Installer/attribuer des RDS CAL et vérifier la configuration |
Performances et expérience utilisateur
- Profil : pour quelques utilisateurs, le profil local peut suffire. Au‑delà, envisagez des profils itinérants ou des conteneurs (ex. solution de type profil en conteneur) pour réduire la latence de connexion.
- Impression : évitez la redirection d’imprimantes si non requise. Privilégiez des pilotes universels.
- GPU/codec : si vous affichez du multimédia, activez les optimisations RDP et, si présent, la prise en charge GPU.
- Limites de session : définissez des délais d’inactivité/déconnexion pour préserver les ressources.
Scénarios d’évolution
- Quelques utilisateurs : un seul serveur, RD Session Host + RD Licensing, mode Par appareil, RD Gateway optionnelle pour l’accès externe.
- Montée en charge : ajoutez un second hôte, mettez en place un Connection Broker et du load‑balancing (nécessite AD), publiez des RemoteApps.
- Haute sécurité : imposez un RD Gateway derrière un WAF/Reverse‑Proxy, MFA, bastion, durcissement TLS et politiques d’accès conditionnel.
Foire aux questions
Faut‑il absolument Active Directory ?
Non, pas pour un serveur unique. AD devient utile pour le suivi « Par utilisateur », les GPO centralisées, le broker et les déploiements à plusieurs hôtes.
Combien de RDS CAL acheter ?
Autant que d’utilisateurs (mode « Par utilisateur ») ou d’appareils (mode « Par appareil ») susceptibles d’accéder au serveur au fil du temps. Ce n’est pas une licence « concurrente ».
Mes 5 CAL incluses couvrent‑elles RDP ?
Non. Elles couvrent Windows Server, pas les sessions RDS. Il faut des RDS CAL dédiées.
Puis‑je tester avant d’acheter ?
Oui. La période de grâce de 120 jours de l’Hôte de session RDS permet de valider le fonctionnement à 3 sessions. Pensez à installer les CAL avant la fin de la grâce.
Dois‑je acheter « Par utilisateur » ou « Par appareil » ?
En workgroup, « Par appareil » est recommandé (suivi automatique). En domaine, « Par utilisateur » est souvent plus flexible.
Guide pratique de bout en bout
- Vérifiez que les 2 sessions d’administration fonctionnent déjà (c’est le cas par défaut).
- Installez RD Session Host et RD Licensing via l’Assistant rôles et fonctionnalités.
- Activez le serveur de licences avec
rdlicmgr.msc. - Choisissez le mode Par appareil et déclarez le serveur de licences via GPO locale ou PowerShell.
- Testez une 3e session simultanée (grâce à la période de grâce).
- Achetez et installez 3 RDS CAL (version compatible). Contrôlez le Diagnostiqueur.
- Sécurisez l’accès : RD Gateway ou VPN, NLA, MFA, groupes restreints.
- Peaufinez les stratégies (session unique par utilisateur, délais d’inactivité, redirections).
Conclusion opérationnelle
Pour autoriser 3 sessions RDP simultanées sur un Windows Server 2019 non joint à AD, les 5 CAL Windows Server initiales ne suffisent pas : installez RD Session Host et RD Licensing, configurez le serveur de licences en mode Par appareil et déployez 3 RDS CAL. Vous pouvez tester pendant 120 jours grâce à la période de grâce. Pour des besoins futurs (plus d’utilisateurs, haute dispo, RemoteApps, accès Internet sécurisé), envisagez AD, Connection Broker et RD Gateway.
Annexe : commandes rapides
Ajouter rapidement un utilisateur aux connexions RDP
Add-LocalGroupMember -Group "Utilisateurs du Bureau à distance" -Member "MONDOMAINE\jdupont","SERVEUR\userlocal"
Vérifier les rôles installés
Get-WindowsFeature *RDS* | Where-Object {$_.InstallState -eq "Installed"} | Format-Table DisplayName, Name
Lister l’état de licence (résumé) — à corréler avec les consoles MMC
Get-CimInstance -Namespace root\CIMV2\TerminalServices -ClassName Win32_TerminalServiceSetting |
Select-Object LicensingType, LicensingName, LicensingDescription
En appliquant cette démarche, vous obtenez un déploiement minimal, supporté et conforme : juste ce qu’il faut pour dépasser la limite des 2 sessions d’administration et accueillir proprement vos 3 utilisateurs en RDP sur Windows Server 2019.