Vous avez installé un serveur de licences Remote Desktop Services (RDS) sous Windows Server 2022, importé un pack de licences d’accès client (CAL)… mais impossible de remettre la main sur la clé d’activation ? Pas de panique : cette clé n’est jamais conservée en clair sur la machine, mais il existe plusieurs moyens sûrs – et conformes aux règles de Microsoft – pour la retrouver ou, à défaut, obtenir un nouveau pack.
Vue d’ensemble : pourquoi la clé reste invisible
À partir de Windows Server 2012, Microsoft a revu l’architecture du rôle Remote Desktop Licensing :
- La clé d’activation est chiffrée et fusionnée au moment de l’import du pack ;
- L’identifiant de pack (License Pack ID), la quantité de CAL, la date d’expiration et le modèle (Utilisateur ou Périphérique) sont, eux, enregistrés en base LServer et affichés par le Gestionnaire de licences (licmgr.exe) ;
- La suppression de la clé en clair limite la fraude et simplifie la conformité lors des audits.
En clair : aucune commande PowerShell, aucun dump mémoire et aucun outil tiers ne peut extraire la clé d’origine. Toute démarche doit donc passer par vos canaux d’achat ou par le service d’activation Microsoft.
Où sont stockées les données de licence sur le serveur ?
Les éléments critiques résident dans %SystemRoot%\System32\LServer. Les principaux fichiers :
tlsbln.txt: journal sommaire des opérations de licence ;tlslic.edb: ESE Database chiffrée contenant la table des packs ;tlsrpc.dll: composant RPC utilisé par le service.
Manipuler ces fichiers hors processus peut rendre le rôle inutilisable. Utilisez toujours les outils natifs pour les sauvegardes et restaurations.
Ce que montre – et ne montre pas – le Gestionnaire de licences RDS
| Zone de la console | Détails visibles | Informations non affichées |
|---|---|---|
| Noeud Serveur | État d’activation, OS, version RDS | Clé |
| Sous-noeud Licenses | Type de CAL, quantité totale, quantité disponible | Clé, contrat d’achat complet |
| Propriétés du pack | ID de pack, date, autorité d’émission | Clé, numéro de contrat complet |
Peut‑on interroger WMI ou PowerShell ?
Oui, mais les classes Win32_TSLicenseKeyPack et Win32_TSLicenseServer renvoient les mêmes métadonnées que la console MMC :
Get-WmiObject -Class Win32_TSLicenseKeyPack |
Select-Object KeyPackId, ProductVersion, TotalLicenses, ExpirationDateLa propriété RegistrationKey a été dépréciée : son contenu est nul dès Server 2012.
Procédure pas à pas pour identifier le pack installé
- Ouvrez licmgr.exe (ou Launch → Remote Desktop Licensing Manager).
- Dans l’arborescence, sélectionnez votre serveur puis le nœud All License Packs.
- Dans le volet droit, notez l’ID de pack, la quantité et le type.
- Cliquez droit sur le pack → Propriétés pour relever le numéro partiel de contrat.
- Munissez‑vous de ces deux éléments (+ raison sociale + date d’achat) pour contacter Microsoft ou votre revendeur.
Comment récupérer la clé auprès des canaux officiels
| Canal | Conditions | Délais moyens | Avantages |
|---|---|---|---|
| Portail VLSC | Licence en volume (Open, Select, MPSA, EA) | Immédiat‑24 h | Historique complet, PDF des clés |
| Contrat CSP | Abonnement via partenaire | < 4 h | Support partenaire inclus |
| OEM / Revendeur | Achat boîte ou e‑commerce | Quelques heures (facture) | Souvent accessible dans l’espace client |
| Microsoft Activation Center | Tout type de contrat | 15 min à 24 h | Réémission ou nouveau pack |
Sauvegarder la base de licences : la démarche incontournable
Un export hebdomadaire réduit drastiquement le risque de perte :
- Dans licmgr.exe → YourServer → Sauvegarder.
- Choisissez un dossier réseau protégé ou un share administrateur.
- Conservez la clé de cryptage générée (fichier .lic).
- Automatisez l’opération via
lsbackup.exeet le Planificateur de tâches.
Pensez à chiffrer le répertoire de sauvegarde ou à le placer dans un coffre-fort numérique.
Restauration après sinistre ou migration
Scénario : le serveur de licences est perdu, mais vous disposez de la sauvegarde .lic.
- Installez le rôle Remote Desktop Licensing sur la nouvelle machine.
- Restaurez via licmgr.exe → Restaurer et sélectionnez le .lic.
- Le service redémarre ; les packs réapparaissent instantanément, sans repasser par l’activation téléphonique.
- Si la sauvegarde est manquante, réactivez le rôle puis réinstallez les packs à l’aide des clés d’origine ou grâce au centre d’activation.
Bon à savoir : un même pack ne peut être installé que sur un serveur de licences actif à la fois. Lors d’une migration, désactivez l’ancien serveur pour éviter les conflits.
Plan B – quand la clé reste introuvable
Le temps passé à chercher une clé perdue coûte souvent plus cher qu’un nouveau pack. Microsoft autorise l’achat et l’activation d’un second pack ; rien n’empêche de continuer à utiliser les CAL précédentes si vous restez dans la limite du nombre total acquis.
Bonnes pratiques de gouvernance des licences RDS
- Archiver chaque facture et e‑mail d’activation dans un référentiel documentaire.
- Inscrire l’ID de pack et l’autorisation dans votre CMDB ou outil ITSM.
- Mettre en place une procédure d’onboarding pour que toute nouvelle acquisition de CAL passe par un référent licences.
- Planifier un audit interne annuel (scripts PowerShell + rapprochement factures).
- Surveiller le compteur de licences disponibles ; configurez une alerte lorsqu’il reste moins de 10 %.
- Former l’équipe help‑desk à reconnaître les messages d’erreur « Licensing Mode for the Remote Desktop Session Host is not configured » ou « The remote session was disconnected because there are no Remote Desktop License Servers available » afin de réagir avant blocage total.
Foire aux questions (FAQ)
La clé figure‑t‑elle dans le registre ?
Non. Les versions antérieures à Windows Server 2008 enregistraient des fragments de clé dans HKLM\Software\Microsoft\MSLicensing, mais ce n’est plus le cas depuis 2012.
Existe‑t‑il des outils tiers capables de la récupérer ?
Cependant nombre d’utilitaires prétendent extraire les clés Windows, ils ne visent que les clés produit du système (Product Key), pas les licences RDS. Aucune solution légitime n’extrait les CAL.
Je vois un ID de pack « RDS‑Per User 2022 270 » : est‑ce ma clé ?
Non. Il s’agit du libellé interne des CAL utilisateur version 2022, 270 = nombre de licences. Utilisez cet ID comme référence lors de la demande de réémission.
Puis‑je transférer les CAL vers un serveur 2025 ?
Oui, à condition que le nouveau rôle de licence accepte les CAL serveur 2022 (rétro‑compatibles). Vous devrez simplement réimporter le pack.
Conclusion
Perdre la clé d’activation des CAL n’est pas dramatique : tout est prévu pour la régénérer sans interrompre la production. L’essentiel est de maîtriser votre inventaire licences, d’effectuer des sauvegardes régulières et de centraliser vos preuves d’achat. En appliquant ces conseils, vous sécurisez aussi bien votre conformité que la disponibilité de vos postes RDS.
Annexe A : comparaison CAL Utilisateur vs CAL Périphérique
| Critère | Utilisateur | Périphérique |
|---|---|---|
| Scénario idéal | Collaborateurs nomades, BYOD, télétravail | Machines partagées (salles, ateliers) |
| Suivi des consommations | Basé sur le SID utilisateur AD | Basé sur l’adresse MAC/ID matériel |
| Expiration automatique | Oui, après 60 jours sans connexion | Oui, après 52 à 89 jours (algo aléatoire) |
| Droits de montée de version | Accès aux versions antérieures du serveur | Idem |
| Surcoût d’administration | Nécessite des revues périodiques | Inventaire plus simple |
Annexe B : script PowerShell pour exporter l’inventaire
# Sauvegarde de la liste des packs CAL installés
$dt = Get-Date -Format "yyyyMMdd_HHmm"
$path = "C:\Admin\CAL_Inventory_$dt.csv"
Get-WmiObject -Class Win32_TSLicenseKeyPack |
Select-Object @{n="Server";e={$_.PSComputerName}},
KeyPackId, ProductVersion, TypeAndModel,
TotalLicenses, AvailableLicenses, ExpirationDate |
Export-Csv -NoTypeInformation -Path $path
Write-Host "Inventaire sauvegardé dans $path"Annexe C : messages d’erreur courants et remèdes
- Event ID 1011 – « There are no Terminal Server license servers available »
Cause : le serveur RDSH ne trouve aucune licence valide.
Solution : vérifier le mode de licence (GPO ou registre) et la découverte automatique (LSDiscoveryMode). - Event ID 22 – « The Terminal Services Licensing grace period has expired »
Cause : dépassement des 120 jours de grâce.
Solution : installer un serveur de licences et importer les CAL. - Activation Code Mismatch
Cause : import d’un pack destiné à une version de serveur différente.
Solution : demander au Clearinghouse le bon niveau ou installer un serveur de licences à la version correspondante.
Bonnes pratiques supplémentaires de sécurité
Les serveurs RDS sont souvent exposés aux attaques par force brute. À côté de la gestion des licences, pensez à :
- Activer le Network Level Authentication sur les hôtes RDSH.
- Bloquer l’accès RDP direct depuis Internet ; préférez un portail RD Gateway ou un VPN.
- Appliquer des stratégies de verrouillage de compte et MFA pour le personnel administrateur.
- Mettre à jour fréquemment le rôle RDS pour corriger les CVE (ex. CVE‑2024‑34764 sur le protocole RDP‑DR).
Récapitulatif des actions à réaliser
- Sauvegarder immédiatement la base de licences.
- Documenter ID de pack + preuves d’achat.
- Si la clé d’activation est manquante : contacter VLSC, revendeur ou Activation Center avec l’ID de pack.
- Planifier des sauvegardes automatisées et des audits réguliers.
- Mettre en place une culture de gouvernance de licences au sein de l’équipe IT.
En suivant ces étapes, la gestion des CAL RDS devient un processus fiable et transparent, évitant toute interruption de service ou pénalité financière.