Activer un serveur de licences RDS sous Windows Server (GPO, CAL, Microsoft Entra Domain Services / Azure AD DS)

Activez un serveur de licences RDS correctement (y compris en environnement Microsoft Entra Domain Services ex‑Azure AD DS), installez vos CAL et verrouillez la configuration des hôtes de session via GPO, PowerShell et contrôles de santé.

Vue d’ensemble

Ce guide pas‑à‑pas explique comment activer un serveur de licences des Services Bureau à distance (RDS), publier les informations nécessaires dans l’annuaire, installer les CAL (Client Access Licenses) et finaliser la configuration des hôtes de session afin qu’ils obtiennent des licences. Il couvre aussi le cas particulier Microsoft Entra Domain Services (ex‑Azure AD DS), où l’enregistrement automatique du point de connexion de service (SCP) peut échouer et où l’on bascule alors vers une découverte manuelle du serveur de licences via GPO/PowerShell.

Prérequis & bonnes pratiques

• Un serveur Windows Server avec les rôles Services Bureau à distance > Service de licences et ses outils d’administration installés.
• Un compte disposant des droits nécessaires pour activer le serveur et, si applicable, l’ajouter au groupe AD Terminal Server License Servers (Serveurs de licences RDS).
• Accès sortant TCP 443 depuis le serveur de licences vers les services d’activation Microsoft, ou bien un poste tiers avec navigateur pour l’activation via client Web, ou la procédure par téléphone.
• Sur les RDSH, possibilité d’appliquer une GPO (ou d’exécuter PowerShell) afin de définir le mode de licences et le(s) serveur(s) de licences.
• Documentez le mode choisi (Par utilisateur ou Par appareil) et stockez‑le dans une GPO dédiée.

Procédure détaillée

Ouvrir le Gestionnaire de licences RDS

1. Depuis le Gestionnaire de serveur, lancez Gestionnaire de licences des services Bureau à distance (ou exécutez licmgr.exe).

Activer le serveur de licences

1. Sélectionnez votre serveur dans l’arborescence → Action → Activer le serveur.
2. Suivez l’assistant : informations d’entreprise, pays/région, moyen d’activation (Automatique via Internet, Client Web, Téléphone).
3. À la dernière étape, décochez « Démarrer maintenant l’Assistant d’installation des licences » puis cliquez sur Terminer. Nous installerons les CAL au point suivant.

Enregistrer et déléguer les droits dans l’annuaire

1. Dans le Gestionnaire de licences, cliquez sur Action → Vérifier la configuration.
2. Utilisez le bouton Ajouter au groupe pour ajouter le serveur au groupe de sécurité Terminal Server License Servers (Serveurs de licences RDS) du domaine.
3. Si vous êtes dans Microsoft Entra Domain Services, utilisez des identifiants appartenant au groupe AAD DC Administrators.
4. Tentez l’enregistrement du SCP (point de connexion de service). Si l’enregistrement échoue dans Entra DS, c’est attendu : passez en configuration manuelle de la découverte du serveur de licences sur les RDSH (voir plus bas).

Installer les CAL RDS

1. De retour dans le Gestionnaire de licences, lancez Installer des licences.
2. Choisissez le programme de licences (Open, EA, CSP, etc.) et saisissez les numéros d’autorisation/contrat selon le canal.
3. Si le flux Internet est restreint, utilisez Client Web (copier/coller l’ID d’installation) ou Téléphone.

Configurer les hôtes de session (RDSH)

Appliquer une GPO est la méthode la plus robuste : elle survit aux redémarrages, s’applique de façon homogène et permet de documenter la conformité.

Paramètres GPO recommandés

Console GPO : Configuration ordinateur → Modèles d’administration → Composants Windows → Services Bureau à distance → Hôte de session Bureau à distance → Licences.

Paramètre	Valeur	Détails
Définir le mode de licences des Services Bureau à distance	Par utilisateur ou Par appareil	Veillez à aligner le mode avec le type de CAL effectivement acheté et installé.
Utiliser les serveurs de licences des Services Bureau à distance spécifiés	FQDN (un par ligne)	Ex. rds-lic1.contoso.local et rds-lic2.contoso.local pour la haute dispo.

PowerShell (avec ou sans Broker RD)

Dans un déploiement avec Broker RD :

# Exécuter sur le Broker RD (ou depuis une machine outillée)
Set-RDLicenseConfiguration -ConnectionBroker rdbroker.contoso.local `
  -Mode PerUser `
  -LicenseServers "rds-lic1.contoso.local","rds-lic2.contoso.local"

Sur un RDSH autonome (sans Broker) :

# Forcer la découverte vers un serveur précis
$servers = @("rds-lic1.contoso.local","rds-lic2.contoso.local")
$regPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\LicenseServers"
New-Item -Path $regPath -Force | Out-Null
$servers | ForEach-Object { New-Item -Path (Join-Path $regPath $_) -Force | Out-Null }

# Mode de licences : 2 = PerDevice, 4 = PerUser

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" -Name "LicensingMode" -PropertyType DWord -Value 4 -Force | Out-Null
gpupdate /force 

Valider avec le Diagnostiqueur

1. Sur un RDSH, ouvrez Diagnostiqueur des licences des services Bureau à distance (ou lsdiag.msc).
2. Contrôlez :
   • Aucune erreur de découverte du serveur de licences.
   • Le mode de licences configuré correspond aux CAL installées.
   • Le stock de CAL est suffisant.

Sauvegarder la base de licences

Programmez une sauvegarde régulière de la base de licences (%SystemRoot%\System32\LServer) et utilisez l’option du Gestionnaire de licences pour Sauvegarder/Restaurer le serveur. Cela accélère les reprises après sinistre.

Cas Microsoft Entra Domain Services (ex‑Azure AD DS)

Dans un domaine géré Entra DS, certaines opérations AD classiques sont limitées :

• L’enregistrement SCP par le serveur de licences peut échouer. C’est un comportement attendu et non bloquant pour délivrer des licences.
• Ajoutez le serveur au groupe Terminal Server License Servers en utilisant un compte membre de AAD DC Administrators.
• Configurez explicitement la découverte du serveur de licences sur les RDSH via GPO (ou via les commandes PowerShell/registre ci‑dessus). C’est la méthode recommandée dans ce contexte.

En mode Par utilisateur, le suivi des attributions n’est pas écrit dans l’annuaire ; la conformité se pilote procéduralement (inventaires, CI/CD d’infra, approvisionnement de comptes, etc.).

Pare‑feu & réseau

Assurez‑vous que ces flux sont autorisés :

Direction	Source → Destination	Protocole / Port	Usage	Remarques
Sortant (licensing)	Serveur de licences → Internet	TCP 443	Activation du serveur et installation/validation des CAL	Alternatives : Client Web ou Téléphone si 443 est bloqué.
Interne	RDSH → Serveur(s) de licences	RPC : TCP 135 + ports dynamiques	Demande/émission de licences	Ouvrir la plage RPC dynamiques (par défaut 49152‑65535) ou restreindre via une plage contrôlée.
Interne	RDSH ↔ Broker RD	TCP 3389, 135, RPC dynamiques	Optionnel si déploiement complet avec Broker	Vérifiez les règles « Remote Desktop Licensing » du pare‑feu Windows.

Modes de licences & conformité

Mode	Scénarios typiques	Suivi technique	Points d’attention
Par appareil (Per Device)	Postes partagés, kiosques, VDI persistants	Le serveur délivre et suit des jetons par machine	Possibilité de révoquer des jetons (taux limité) pour réattribution.
Par utilisateur (Per User)	Utilisateurs nominatifs, BYOD, multi‑appareils	Suivi peu ou pas technique ; conformité procédurale	Veillez à l’inventaire/RH et au provisioning pour rester conformes.

Dépannage (erreurs fréquentes et résolutions)

Le RDSH ne trouve pas de serveur de licences

• Appliquez la GPO Utiliser les serveurs de licences… avec le(s) FQDN correct(s).
• Exécutez gpupdate /force et redémarrez le service TermService (ou le serveur hors production).
• Vérifiez la résolution DNS et la connectivité RPC (TCP 135 + plage dynamique).

Message : « Le mode de licences n’est pas configuré »

• Assurez‑vous que la GPO Définir le mode de licences… est activée (valeur 2 = Par appareil, 4 = Par utilisateur).
• Contrôlez la clé : HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\LicensingMode.

Activation impossible depuis le serveur

• Si 443 sortant est bloqué, utilisez Client Web (depuis un poste avec Internet) ou Téléphone.
• Confirmez l’heure/NTP et les restrictions proxy si l’activation via Internet est nécessaire.

Entra DS : échec d’enregistrement AD/SCP

• Considérez l’échec comme normal et non bloquant.
• Verrouillez la configuration via GPO ou via PowerShell/Registre sur les RDSH.

Période de grâce dépassée

• Passé environ 120 jours après l’installation du rôle Hôte de session, les connexions refusent sans serveur de licences opérationnel.
• Vérifiez le Diagnostiqueur et la présence d’un serveur avec CAL valides.

Événements utiles dans l’Observateur

• Applications and Services Logs → Microsoft → Windows → TerminalServices‑Licensing (Operational).
• Applications and Services Logs → Microsoft → Windows → TerminalServices‑RemoteConnectionManager (Operational).
• Exemples fréquents : mode non configuré, impossible de contacter un serveur de licences, écriture AD refusée (4105/4106/4107 selon cas).

Piliers sécurité & disponibilité

• Haute disponibilité : déployez au moins deux serveurs de licences et référencez‑les tous deux dans la GPO.
• Moindre privilège : limitez l’accès au Gestionnaire de licences et au serveur (RDP/WinRM) aux seuls administrateurs concernés.
• Sauvegarde : sauvegardez le dossier LServer et exportez la configuration via l’outil natif.
• Journalisation : surveillez les journaux TerminalServices‑Licensing et mettez en place des alertes (manque de CAL, expirations).

Annexes — commandes utiles

Installation du rôle et des outils

# Sur le futur serveur de licences
Install-WindowsFeature RDS-Licensing -IncludeManagementTools

# Vérifier l’état

Get-WindowsFeature RDS-Licensing, RDS-Licensing-UI 

Forcer un serveur de licences sur un RDSH (registre)

# Ajoute deux serveurs de licences
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\LicenseServers" -Force | Out-Null
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\LicenseServers\rds-lic1.contoso.local" -Force | Out-Null
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\LicenseServers\rds-lic2.contoso.local" -Force | Out-Null

Vérifier la résolution et la connectivité depuis un RDSH

Test-NetConnection rds-lic1.contoso.local -Port 135
# Pour les ports dynamiques RPC, utilisez un outil de supervision ou restreignez la plage RPC côté serveur de licences.

Diagnostique rapide

# Informations courantes sur les services et rôles RDS
Get-Service TermService | Format-Table Name,Status,StartType
Get-WindowsFeature RDS-RD-Server,RDS-Licensing | Format-Table DisplayName,InstallState

# Forcer l’actualisation des stratégies

gpupdate /force 

Check‑list de mise en production

• Le rôle Service de licences RDS est installé et activé.
• Le serveur de licences est membre du groupe Terminal Server License Servers.
• Les CAL ont été installées et apparaissent dans le Gestionnaire de licences.
• Une GPO (ou un script) définit mode et serveurs sur tous les RDSH.
• Le Diagnostiqueur n’affiche aucune erreur.
• Les flux 443 sortant (activation) et RPC (RDSH → licensing) sont ouverts et contrôlés.
• La sauvegarde du dossier LServer est planifiée et testée.

FAQ rapide

Puis‑je installer le serveur de licences sur un contrôleur de domaine ?
Oui, c’est pris en charge. Par souci d’isolement, beaucoup d’organisations préfèrent un serveur membre dédié, surtout si plusieurs rôles RDS cohabitent.

Combien de serveurs de licences recommander ?
Au moins deux, dans des zones de disponibilité/fournisseurs d’alimentation différents si possible. Référencez‑les tous deux dans la GPO des RDSH.

Changer de mode (Utilisateur <> Appareil) après coup ?
Oui, mais alignez‑le avec vos achats de CAL et ajustez la GPO. En Par appareil, révisez éventuellement les jetons existants lors de bascules.

Entra DS : puis‑je ignorer l’erreur d’enregistrement AD ?
Oui : configurez la découverte en statique (GPO/PowerShell). Le serveur délivrera tout de même les licences.

Exemple complet — du zéro au vert

1. Installer le rôle Service de licences RDS et ses outils.
2. Activer le serveur (décochez l’installation immédiate des licences à la fin).
3. Ajouter le serveur au groupe Terminal Server License Servers via Vérifier la configuration.
4. Installer les CAL selon votre programme (Open/EA/CSP).
5. Déployer une GPO qui définit mode et serveurs sur tous les RDSH.
6. Valider avec le Diagnostiqueur : aucune erreur, mode cohérent, stock de CAL suffisant.
7. Protéger : sauvegarde du dossier LServer, supervision des journaux et des stocks de CAL.

Points clés à retenir

• Un serveur de licences activé + des CAL installées + des RDSH configurés = des sessions RDS conformes et stables.
• En Entra DS, l’échec d’enregistrement SCP est normal : la GPO de découverte manuelle est la bonne pratique.
• Surveillez régulièrement le Diagnostiqueur et les journaux pour anticiper la pénurie de CAL.

---

Récapitulatif ultra‑court : Activez le serveur via licmgr.exe, ajoutez‑le au groupe Terminal Server License Servers, installez les CAL, forcez la découverte et le mode via GPO (ou PowerShell), puis validez l’ensemble au Diagnostiqueur. En Entra DS, ignorez l’échec SCP et fiez‑vous à la configuration manuelle.