Vous migrez d’un Terminal Server 2008 vers Windows Server 2022 RDS et disposez déjà de 20 CAL. Faut‑il saisir immédiatement les clés ? Non : profitez de la période de grâce de 120 jours pour déployer, tester et valider, puis activez le serveur de licences et installez les CAL.
Contexte et problématique
Dans un scénario de remplacement d’un ancien serveur Terminal Server 2008 par un nouveau Windows Server 2022 avec le rôle Services Bureau à distance (RDS), la question revient souvent : doit‑on entrer les clés RDS CAL avant de configurer l’infrastructure et d’autoriser les connexions utilisateurs ? La réponse courte est : non. Microsoft accorde une période de grâce de 120 jours dès que le rôle Hôte de session RDS est installé. Pendant cette fenêtre, les utilisateurs peuvent se connecter sans qu’aucune CAL ne soit encore installée sur un serveur de licences. Cette période a justement pour but de vous laisser le temps de terminer l’architecture, sécuriser les accès, faire vos tests et valider le dimensionnement.
Réponse courte
Il n’est pas nécessaire de saisir les clés RDS CAL avant la configuration. Déployez l’environnement RDS, exploitez la période de grâce de 120 jours pour valider, puis activez le serveur de licences et installez les CAL achetées (Utilisateur ou Appareil) avant l’expiration de la grâce. Au‑delà, de nouvelles connexions seront refusées.
Procédure recommandée pas à pas
| Étape | Action | Détails |
|---|---|---|
| 1 | Activer Windows Server 2022 | Activez d’abord la licence du système d’exploitation (clé produit du serveur). Cette activation est indépendante des licences RDS. |
| 2 | Installer le rôle RDS | Dans Gestionnaire de serveur → Ajouter des rôles et fonctionnalités. À minima : Hôte de session, Gestionnaire de connexions (Broker) et Serveur de licences. Ajoutez Passerelle RDS et Accès Web RDS si un accès externe ou via navigateur est prévu. |
| 3 | Configurer l’infrastructure | Terminez l’assistant : affectation des certificats, création d’une ou plusieurs collections, groupes d’utilisateurs autorisés, apps publiées, profils itinérants/FSLogix, impression Easy Print, etc. À ce stade, aucune clé RDS CAL n’est requise. |
| 4 | Période de grâce de 120 jours | La grâce démarre à l’installation de l’Hôte de session. Les connexions fonctionnent, mais des avertissements sont consignés dans l’Observateur d’événements et le Diagnostiqueur de licences. Cette fenêtre permet de tester sans bloquer les utilisateurs. |
| 5 | Activer le serveur de licences RDS | Dans Gestionnaire de licences Bureau à distance, activez le serveur (par Internet, par téléphone ou via un fichier). Le serveur peut être le Broker, un Hôte de session ou un serveur dédié membre du domaine. |
| 6 | Installer les CAL RDS | Après activation, installez les 20 CAL achetées. Choisissez le type (Utilisateur ou Appareil) correspondant à votre modèle de consommation. Vérifiez ensuite la présence et le total disponible dans la console. |
| 7 | Vérifier la conformité | Exécutez le Diagnostiqueur de licences depuis un Hôte de session et simulez des connexions. Confirmez que les sessions consomment bien une CAL et que le mode de licences est correctement déclaré (Utilisateur ou Appareil). Retirez ou mettez hors ligne l’ancien serveur 2008 quand tout est validé. |
Mise en place rapide via l’interface
- Ouvrez Gestionnaire de serveur sur le serveur 2022.
- Ajoutez les rôles RDS (déploiement standard ou démarrage rapide selon votre topologie).
- Créez une collection de sessions (ou des RemoteApps) et ajoutez les utilisateurs/groupes AD.
- Attribuez les certificats à Broker, Gateway et Accès Web (idéalement un certificat public, CN = nom d’accès).
- Testez des connexions internes, puis externes via la Gateway si nécessaire.
Automatisation en PowerShell (exemple)
# Installer les rôles minimum (exécuté en élévation)
Install-WindowsFeature RDS-Connection-Broker,RDS-RD-Server,RDS-Licensing -IncludeManagementTools
# Déployer un environnement (Broker, Web Access, Hôte de session)
# Remplacez les FQDN selon votre contexte
New-RDSessionDeployment -ConnectionBroker "rdcb.contoso.local" ` -WebAccessServer "rdwa.contoso.local"`
-SessionHost "rdsh01.contoso.local"
# Déclarer le serveur de licences et le mode
Set-RDLicenseConfiguration -LicenseServer @("rdlic01.contoso.local") -Mode PerUser
# Vérifier la configuration
Get-RDLicenseConfiguration Astuce : vous pouvez héberger le Serveur de licences RDS sur un serveur membre dédié pour simplifier la sauvegarde et isoler le rôle.
Choisir entre CAL Utilisateur et CAL Appareil
Le choix impacte directement le coût et la conformité. Utilisez le tableau ci‑dessous pour décider.
| Modèle | Quand l’utiliser | Avantages | Points d’attention |
|---|---|---|---|
| CAL Utilisateur | Collaborateurs nomades, télétravail, multi‑postes, BYOD. | Flexible : un utilisateur peut se connecter depuis plusieurs appareils. | Suivi basé sur les identités. S’assurer que les comptes désactivés libèrent les CAL. |
| CAL Appareil | Postes partagés (ateliers, kiosques), environnements VDI légers. | Économique si beaucoup d’utilisateurs tournent sur peu d’appareils. | Chaque appareil consomme une CAL, même pour un usage épisodique. |
Rappel compatibilité : une CAL d’une version plus récente peut couvrir l’accès à des hôtes RDS de version identique ou antérieure ; l’inverse n’est pas valable. Adaptez vos achats au niveau le plus élevé de votre ferme.
Période de grâce : fonctionnement et limites
- Déclenchement : elle démarre dès l’installation du rôle Hôte de session.
- Durée : 120 jours calendaires.
- Comportement : les connexions fonctionnent, mais le Diagnostiqueur et l’Observateur d’événements alertent sur l’absence de serveur de licences ou de mode de licences défini.
- Échéance : au terme de la période, les nouvelles connexions sont refusées tant qu’aucun serveur de licences opérationnel n’est configuré avec des CAL disponibles.
- Éthique & conformité : la grâce vise le déploiement et la validation, pas l’usage en production prolongé sans licences.
Important : ne tentez pas de « réinitialiser » la période de grâce via des manipulations de registre non supportées. Outre le risque juridique, cela peut corrompre le rôle RDS et compliquer l’assistance.
Bonnes pratiques de configuration
- Déclarer le mode de licences sur l’Hôte de session via stratégie de groupe : Configuration ordinateur → Modèles d’administration → Composants Windows → Services Bureau à distance → Hôte de session Bureau à distance → Licences → Définir le mode de licences.
- Indiquer le(s) serveur(s) de licences via la GPO : Utiliser les serveurs de licences des Services Bureau à distance spécifiés (FQDN).
- Certificats : utilisez un certificat valide (public ou AC interne) pour Broker, Gateway et Accès Web, avec un nom d’hôte cohérent (DNS) et le SAN approprié.
- Sécurité : activez NLA, limitez les groupes autorisés (Utilisateurs du Bureau à distance), appliquez MFA côté Gateway si possible.
- Profils : privilégiez FSLogix pour des profils légers et rapides, surtout avec Microsoft 365 Apps.
- Office/Microsoft 365 : en environnement RDS, activez Shared Computer Activation pour la conformité des Apps for enterprise.
- Surveillance : planifiez des alertes sur l’expiration de la grâce, le stock de CAL, et les erreurs du rôle de licences.
Checklist de migration depuis 2008
| Élément | Action de migration | Remarques |
|---|---|---|
| Applications | Tester la compatibilité sur 2022, préparer isolation et packages si besoin. | Considérez RemoteApp pour une adoption progressive. |
| Profils & données | Basculer vers FSLogix ou profils itinérants modernisés. | Réduire la latence d’ouverture de session, quotas et nettoyage. |
| Impression | Activer Easy Print, rationaliser les pilotes, utiliser un serveur d’impression centralisé. | Limiter les pilotes OEM non signés. |
| Licences | Activer le serveur de licences 2022 et installer les nouvelles CAL. | Ne pas réutiliser des CAL 2008 pour 2022. |
| Accès externe | Configurer la Passerelle RDS, publier le DNS externe, durcir TLS. | Envisager MFA et filtrage IP. |
| Stratégies de groupe | Réviser et nettoyer les GPO héritées de 2008. | Exploiter des GPO distinctes par collection. |
| Décommissionnement | Désenregistrer l’ancien serveur dans les collections, retirer les enregistrements DNS et GPO associées. | Documenter la date de retrait et l’archivage. |
Procédures d’activation et d’installation des CAL
- Ouvrez Gestionnaire de licences Bureau à distance sur le serveur porteur du rôle.
- Dans le nœud du serveur, lancez Activer le serveur (Internet, Téléphone ou Fichier).
- Une fois activé, choisissez Installer des licences : saisissez les références/numéros de vos CAL et sélectionnez le type (Utilisateur/Appareil) et la version.
- Validez et vérifiez le stock de licences disponibles/émises.
- Depuis un Hôte de session, exécutez le Diagnostiqueur de licences : aucun avertissement critique ne doit persister.
Sauvegarde et restauration du service de licences
Protégez votre investissement : planifiez une sauvegarde hebdomadaire du répertoire de base de données des licences (par défaut sous %SystemRoot%\System32\lserver) et de la configuration système. Conservez également la preuve d’achat et les informations d’identification de vos CAL (numéros, contrats). En cas de sinistre, une restauration contrôlée ou une réémission par le centre d’activation sera plus rapide.
Résolution des problèmes courants
| Symptôme | Cause probable | Correctif |
|---|---|---|
| Message « aucun serveur de licences disponible » | Serveur non activé, FQDN non déclaré, pare‑feu ou DNS. | Activer le serveur, déclarer le FQDN via GPO/PowerShell, ouvrir les ports (par ex. 135 DCOM, RPC dynamiques), vérifier la résolution DNS. |
| Les CAL ne sont pas consommées | Mode de licences incompatible, suivi Per User non configuré côté Broker. | Harmoniser le mode (Utilisateur ou Appareil) dans GPO et RDS ; vérifier les autorisations et la portée des GPO. |
| Blocage après 120 jours | Période de grâce expirée sans serveur de licences opérationnel. | Activer/installer les CAL immédiatement, redémarrer proprement l’Hôte de session si nécessaire après configuration. |
| Accès externe impossible | Certificat invalide, nom DNS incohérent, Gateway non publiée. | Délivrer un certificat valide, aligner CN/SAN avec l’URL d’accès, publier la Gateway et vérifier le chemin réseau. |
FAQ express
Peut‑on installer les CAL plus tard ? Oui, tant que vous restez dans les 120 jours de grâce. Ne laissez pas la fenêtre expirer en production.
Dois‑je mettre le rôle de licences sur le Broker ? Pas obligatoirement. Il peut résider sur n’importe quel serveur membre du domaine. Évitez de l’installer sur un contrôleur de domaine par souci d’isolation.
Per User vs Per Device : lequel choisir ? Choisissez Utilisateur si vos collaborateurs utilisent plusieurs appareils (télétravail, mobilité). Choisissez Appareil pour des postes partagés.
Que se passe‑t‑il si je garde l’ancien 2008 en parallèle ? Chaque ferme doit être couverte par ses propres CAL compatibles avec la version des hôtes. Planifiez une bascule progressive, puis retirez l’ancien serveur.
Résumé
Vous n’avez pas à saisir les clés RDS CAL pour installer et configurer un environnement RDS sous Windows Server 2022. Déployez les rôles, créez vos collections et testez en vous appuyant sur la période de grâce de 120 jours. Avant son expiration, activez le serveur de licences, installez vos CAL RDS et verrouillez la conformité via GPO/PowerShell. Cette approche réduit le risque, facilite la migration depuis 2008 et assure une mise en service sans interruption pour vos utilisateurs.
Annexe : feuille de route opérationnelle
- J 0–7 : déploiement des rôles RDS, création des collections, tests applicatifs.
- J 7–14 : configuration de la sécurité (NLA, certificats, MFA), tuning des GPO et profils.
- J 14–21 : activation du serveur de licences, installation des CAL, validation de la consommation.
- J 21–30 : pilotes d’impression, supervision, documentation, plan de reprise.
- Avant J 120 : audit final, verrouillage conformité, décommissionnement de 2008.
Conseils rapides « à ne pas oublier »
- Définissez et alignez le mode de licences entre GPO, Broker et Hôtes de session.
- Prévoyez des certificats valides avec des noms DNS simples et cohérents.
- Documentez qui consomme quoi (CAL Utilisateur vs Appareil) dès le départ.
- Mettez en place des alertes sur l’expiration de la grâce et le stock de CAL restantes.
- Sauvegardez régulièrement la base de licences et les preuves d’achat.
En une phrase : configurez d’abord, licenciez ensuite — mais licenciez avant la fin des 120 jours pour éviter toute interruption.