Un singolo server Windows Server 2022 che avvia 50 PC via PXE/WinPE con MDT può essere licenziato in modo semplice se conosci le regole: licenza per‑core obbligatoria sempre; CAL necessarie solo quando i dispositivi accedono ai servizi del server in modo autenticato. Di seguito la guida completa.

Scenario di partenza

Un laboratorio usa un unico server on‑premise per avviare 50 dispositivi tramite PXE (DHCP/TFTP → WinPE) e distribuire immagini con MDT/WDS. La domanda è: oltre alle licenze per‑core di Windows Server 2022, servono anche le Client Access Licenses (CAL) per i 50 dispositivi?

Risposta breve

• Licenza del sistema operativo (per‑core): sempre necessaria, indipendentemente dall’uso.
• CAL: necessarie se i dispositivi o gli utenti si autenticano ai servizi del server (es. share SMB di MDT/WDS, dominio AD). Se il flusso è pienamente anonimo/guest e senza dominio, in alcune configurazioni le CAL potrebbero non servire; va verificato con il rivenditore.
• Per il tuo laboratorio: se durante l’imaging avviene autenticazione (tipico), prevedi 50 Device CAL (oppure 50 User CAL se preferisci licenziare gli operatori invece dei PC).

Come funziona la licenza di Windows Server 2022 (per‑core)

Windows Server 2022 si licenzia per core fisici dell’host. Le regole base sono:

• Minimi: 16 core per server e 8 core per CPU, anche se l’hardware ha meno core.
• Pacchetti: le licenze si acquistano in pack da 2 core e si sommano fino a coprire tutti i core fisici dell’host.
• Edizioni: Standard quando non esegui (quasi) virtualizzazione o poche VM; Datacenter conviene solo con molte VM e funzionalità avanzate (Storage Replica illimitato, Shielded VM, ecc.).

Esempi pratici di conteggio core

Hardware	Core fisici	Minimi applicati	Pack 2‑core necessari	Note
1 CPU × 8 core	8	16 (minimo per server)	8 pack	Minimo di 16 anche se la CPU ha 8 core
1 CPU × 16 core	16	16	8 pack	Copri esattamente 16 core
2 CPU × 10 core	20	20	10 pack	Il minimo 8/core‑CPU è superato; copri tutti i core
2 CPU × 6 core	12	16 (minimo per server)	8 pack	Vale il minimo complessivo 16

Nota: se non esegui VM addizionali, l’edizione Standard è in genere sufficiente. Se in futuro prevedi molte VM o funzionalità Datacenter‑only, rivaluta l’edizione.

CAL di Windows Server: cosa sono e quando servono

Le CAL sono diritti d’accesso. Ogni utente o dispositivo che accede ai servizi del server necessita, in via generale, di una CAL. Alcuni punti chiave:

• Non sono legate a un singolo server: una CAL copre l’accesso a tutti i server Windows nella stessa organizzazione/licenza.
• Tipi: Device CAL (per dispositivo) e User CAL (per utente). Scegli in base all’uso reale.
• Versione: la CAL deve essere della stessa versione del server o più recente (es. CAL 2022 per Windows Server 2022). Le CAL più vecchie non coprono server più nuovi, salvo diritti di aggiornamento tramite Software Assurance.
• Ambito: l’accesso può essere diretto o indiretto (es. tramite un middleware); ciò che conta è l’utilizzo dei servizi del sistema operativo server.

Quali servizi attivano la necessità di una CAL

• File & SMB (condivisioni, DFS): tipicamente richiede autenticazione → CAL.
• Active Directory Domain Services (autenticazione/autorità di dominio): se un utente o dispositivo si autentica al dominio → CAL.
• Print Services, Web/Applicativi hostati su Windows Server con accesso autenticato → CAL.

Eccezioni e casi particolari

• PXE “puro” (DHCP + TFTP): il boot PXE è anonimo e, di per sé, non richiede CAL.
• Accesso amministrativo: fino a due connessioni RDP per solo amministrazione del server non richiedono RDS CAL; resta fermo il tema delle CAL di Windows Server per i servizi usati dagli utenti/dispositivi finali.
• RDS CAL: necessarie solo se eroghi desktop/sessioni/app Remote Desktop Services agli utenti. Per MDT/WDS non servono.
• External Connector: utile quando utenti esterni (non dipendenti/contractor coperti da CAL) accedono ai servizi; non è il caso tipico dei laboratori interni.

Il caso PXE/WDS‑MDT: dove “nasce” la CAL

Il processo classico è in tre fasi:

1. PXE Boot: firmware UEFI/BIOS → DHCP → TFTP → scarica boot.wim/LiteTouch.wim (fase anonima).
2. WinPE/MDT: l’ambiente WinPE avvia lo script di MDT e si connette alla Deployment Share (tipicamente \\server\DeploymentShare$) via SMB per scaricare task sequence, driver, pacchetti, immagini.
3. Post‑install: join al dominio, applicazione policy, eventuale copia file e registrazioni su server interni.

Il punto dirimente è la fase 2/3: se la Deployment Share o altri servizi vengono usati in modo autenticato (account di servizio MDT, operatori che inseriscono credenziali, dispositivi che si uniscono al dominio), allora ogni dispositivo/utente che accede richiede una CAL.

Tabella riassuntiva (PXE/MDT ↔ CAL)

Passo	Spiegazione sintetica	Impatto CAL
Licenza del sistema operativo (per‑core)	Windows Server 2022 è licenziato per core fisici; min. 16 core/host, 8/core per CPU.	Sempre necessaria (per‑core), indipendente dal PXE.
CAL (quando servono)	Una CAL per ogni utente/dispositivo che accede ai servizi del server.	Necessarie in caso di accesso autenticato.
PXE/WDS‑MDT	PXE (DHCP/TFTP) è anonimo; MDT usa condivisioni SMB o servizi che in genere richiedono credenziali.	PXE: no CAL. MDT: CAL se autenticato. Guest/anonimo: valutazione caso per caso.
Quante CAL in pratica	Se 50 device si autenticano per imaging o join al dominio, la scelta naturale è 50 Device CAL.	50 Device CAL (o 50 User CAL se licenzi gli operatori).
Raccomandazione	Acquista per‑core; verifica se MDT/SMB usa credenziali; in dubbio, chiedi al Licensing Desk.	Applica la configurazione più conservativa per restare compliant.

Tre configurazioni tipo e la loro licenza

1. Ambiente standard (consigliato): autentico
   Flusso: WinPE → MDT con UserID/Password (Bootstrap.ini) → share SMB protetta → join al dominio.
   Licenze: per‑core + Device CAL per ogni PC (50) oppure User CAL per ogni operatore/utente che accede.
   Perché: uso di SMB autenticato e AD DS → CAL obbligatorie.
2. Ambiente “tecnico‑centrico”: pochi operatori, molte postazioni
   Flusso: come sopra, ma l’accesso ai servizi avviene sempre con le credenziali degli stessi 5‑10 tecnici.
   Licenze: valuta User CAL (es. 10) se i dispositivi non accedono autonomamente e tutta l’attività è attribuibile a quegli utenti. Se le macchine si uniscono al dominio o accedono come device, torna la logica delle Device CAL.
3. Ambiente “guest/isolato”: senza dominio e share anonime
   Flusso: PXE → WinPE → lettura contenuti MDT da share SMB guest (senza credenziali), server fuori dal dominio, nessun join.
   Licenze: per‑core sicuramente; CAL potenzialmente non necessarie. Tuttavia è una configurazione non consigliata (impatti di sicurezza e compatibilità) e l’interpretazione va confermata con il rivenditore/licensing desk.

Attenzione su MDT e “guest access”: per impostazione corrente, la Deployment Share di MDT è progettata per l’uso autenticato. Abilitare accessi guest/anonimi a SMB può richiedere policy specifiche, riduce la sicurezza ed è spesso scoraggiato. Se per evitare le CAL devi introdurre insicurezze, è preferibile acquistare le CAL e restare allineati alle buone pratiche.

Device CAL o User CAL? Come scegliere davvero

Criterio	Device CAL	User CAL
Modello d’uso	Molti utenti che condividono pochi PC (es. laboratorio a rotazione).	Un utente che usa più dispositivi (desktop + laptop + tablet).
Imaging automatizzato	Ogni device si autentica/si unisce al dominio: coerente.	Accesso mediato da pochi operatori: valutabile.
Gestione amministrativa	Nessuna differenza: l’amministrazione non sostituisce le CAL utente/device necessarie.	—
Scalabilità	Lineare con i PC.	Lineare con gli utenti che accedono.

Stima licenze per il laboratorio di 50 PC

Ipotesi

• 1 server fisico, nessuna VM addizionale, edizione Standard.
• MDT/WDS con share SMB autenticata e join al dominio.
• 50 PC che ricevono l’immagine.

Bill of Materials (BOM) esemplificativo

• Windows Server 2022 Standard per‑core: copri i core fisici dell’host (vedi tabella conteggio core).
• CAL: 50 Device CAL oppure 50 User CAL (scelta economica in base all’uso).
• MDT e ADK: gratuiti (nessuna licenza aggiuntiva).
• RDS CAL: non necessarie se non eroghi sessioni RDS agli utenti.
• ConfigMgr/SCCM (MECM): non obbligatorio per PXE/MDT; se usato, richiede licenze dedicate e CAL/Maintenance specifiche.

Checklist decisionale “CAL sì o no”

1. Il server eroga solo PXE (DHCP/TFTP) e nessun altro servizio? → CAL non dovute per il solo PXE.
2. MDT accede alla Deployment Share via SMB con credenziali (account di servizio o operatori)? → CAL necessarie.
3. I dispositivi si uniscono al dominio o si autenticano ad AD DS? → CAL necessarie.
4. La share è veramente guest/anonima e il server è fuori dal dominio? → potrebbe non servire CAL, ma valuta sicurezza/compliance.
5. Esistono utenti esterni (non dipendenti) che accedono ai servizi? → valuta External Connector o modelli diversi.

Domande frequenti (FAQ)

Le CAL sono per server o per ambiente?

Per ambiente: una CAL copre l’accesso a tutti i server Windows dell’organizzazione. Non compri 50 CAL per ogni server, ma 50 CAL complessive per i 50 device (o utenti) che accedono.

Se eseguo imaging una sola volta all’anno, posso evitare le CAL?

La frequenza non incide. Conta se esiste accesso (autenticato) ai servizi del server. Se l’accesso avviene, la CAL serve, che sia una volta o cento.

Se i PC non hanno utenti “umani” durante l’imaging, serve comunque la CAL?

Sì, perché la CAL può essere per dispositivo. L’accesso ai servizi del server avviene comunque, anche se automatizzato.

Posso mescolare Device CAL e User CAL?

Sì, è comune avere un mix. Esempio: Device CAL per i PC del laboratorio e User CAL per i tecnici che accedono da più postazioni.

Le CAL 2019 valgono su Windows Server 2022?

No, occorrono CAL della stessa versione o successiva rispetto al server. Verifica i tuoi diritti di aggiornamento (Software Assurance).

Serve una RDS CAL per MDT/WDS?

No, a meno che tu non stia offrendo sessioni Remote Desktop agli utenti finali. Due connessioni RDP per sola amministrazione del server sono concesse senza RDS CAL, ma non incidono sulla necessità di Windows Server CAL.

MDT e ADK sono a pagamento?

No, Microsoft Deployment Toolkit e Windows ADK sono gratuiti. ConfigMgr/MECM invece richiede licenze dedicate.

Posso usare l’Evaluation Edition per un laboratorio temporaneo?

Sì, l’edizione di valutazione di Windows Server è valida 180 giorni ed è utile per prove e pilot. Per ambienti produttivi o duraturi, occorrono licenze definitive.

Alternative “senza CAL” e architetture ibride

• Appliance Linux/iPXE + Samba guest: boot PXE e condivisione file in modalità guest possono evitare l’uso di CAL Windows. Valuta pro/contro (sicurezza, auditing, integrazione).
• Contenuti MDT su HTTP: MDT nasce per SMB; scenari via HTTP implicano personalizzazioni non standard e non sempre supportate. Non è la via più lineare per evitare CAL.
• USB/Media offline: creare media di avvio completi (chiavette) riduce la dipendenza dal server durante l’imaging, ma complica aggiornamenti e gestione.

Buone pratiche per restare compliant (e dormire tranquilli)

• Documenta il flusso: diagramma del processo di imaging con i punti in cui avviene autenticazione.
• Raccogli le prove di licenza: contratti, fatture, numeri di licenza per‑core, elenco CAL.
• Allinea sicurezza e licenza: evitare guest access a SMB solo per risparmiare sulle CAL: è un rischio.
• Version matching: controlla che le CAL siano 2022 (o più nuove) se i server sono 2022.
• Rivedi annualmente: numero di PC, modalità di accesso, cambi di architettura (es. introduzione di VM) possono modificare il fabbisogno.
• In caso di dubbio: consulta il tuo rivenditore Microsoft o il Licensing Desk. Solo loro possono fornire interpretazioni vincolanti.

Errore comuni da evitare

• Confondere attivazione con licenza: KMS/MAK attiva il prodotto, ma non “copre” i diritti d’uso.
• Dimenticare AD DS: anche se la share è aperta, il join al dominio da WinPE richiede autenticazione → CAL.
• Usare account “condivisi” pensando di evitare CAL: non è così. Se i device accedono, servono Device CAL; se gli utenti accedono, servono User CAL.
• CAL per server: non servono CAL per ogni server. Servono CAL per ogni dispositivo/utente che accede ai servizi, a prescindere da quanti server hai.

Esempi numerici: dal conteggio core alle CAL

Esempio A — Host 1×16 core, imaging autenticato

• Per‑core: 16 core → 8 pack 2‑core (Standard).
• CAL: 50 Device CAL (o 50 User CAL).
• Totale logico: 1 licenza OS per‑core + 50 diritti d’accesso.

Esempio B — Host 2×10 core, imaging con 8 tecnici “itineranti”

• Per‑core: 20 core → 10 pack 2‑core (Standard).
• CAL: se l’accesso avviene sempre con identità degli 8 tecnici e i device non si autenticano autonomamente, 8 User CAL potrebbero bastare; se i device fanno join al dominio o accedono come computer, servono 50 Device CAL.

Esempio C — Host 1×8 core, imaging completamente guest

• Per‑core: minimo 16 core → 8 pack 2‑core (Standard).
• CAL: non previste se nessun accesso autenticato (PXE puro + SMB guest e nessun dominio). Da validare formalmente.

Suggerimento operativo: come verificare se l’imaging è “autenticato”

1. Apri il file Bootstrap.ini della Deployment Share: sono presenti chiavi UserID, Password, Domain? → Sì = imaging autenticato.
2. Controlla il CustomSettings.ini: sono previste regole di join al dominio (JoinDomain, DomainAdmin, ecc.)? → Sì = autenticazione AD → CAL.
3. Verifica le ACL della share DeploymentShare$: la voce Everyone è Read senza autenticazione? È abilitato l’accesso guest a SMB (policy di sicurezza)? → Attenzione: scenario non consigliato e da convalidare lato licenza/sicurezza.

Quando scegliere Datacenter invece di Standard

• Molte VM sullo stesso host: Datacenter include diritti di virtualizzazione illimitati (a differenza di Standard, che si “accumula” per coppie di VM). Per un puro server PXE/MDT fisico, Standard è di norma adeguato.
• Funzionalità avanzate: Storage Replica illimitato, Shielded VM, Software‑defined Networking, ecc. Se non usi queste feature, non pagare Datacenter.

Alternative pratiche per ridurre o semplificare le licenze

• Appliance PXE Linux + repository HTTP/SMB guest: mantiene PXE e contenuti fuori da Windows. Utile per laboratori temporanei o a basso rischio.
• Imaging “media‑based”: chiavette create con MDT riducono l’accesso al server durante il deployment (ma attenzione alla manutenzione dei media).
• Evaluation Edition per POC: per progetti di breve durata e non in produzione, l’edizione di valutazione (180 giorni) è una soluzione legittima.

Conclusioni operative

Per un server PXE/MDT con Windows Server 2022 la licenza per‑core è sempre obbligatoria. Le CAL diventano necessarie quando i dispositivi/utenti si autenticano ai servizi del server: condivisioni SMB di MDT o join al dominio sono gli esempi più comuni. Nel tuo laboratorio con 50 dispositivi, se l’imaging è autenticato (scenario tipico), pianifica 50 Device CAL (o, in alternativa, 50 User CAL). Se invece operi in modalità completamente guest e senza dominio, le CAL potrebbero non servire, ma la configurazione è rara e va confermata con il rivenditore o il Licensing Desk di Microsoft.

Disclaimer: questo contenuto è informativo e non sostituisce un parere ufficiale di licensing. Le condizioni di licenza possono variare per programma (OEM, VL, CSP, Education) e paese. Per decisioni vincolanti, rivolgersi al proprio partner/rivenditore Microsoft.

---

In breve (recap finale):

• Per‑core: minimo 16 core/host (8/core per CPU). Sempre necessario.
• CAL: necessarie se l’accesso ai servizi del server è autenticato (SMB/MDT, AD DS). PXE puro non richiede CAL.
• 50 device: se autenticati → 50 Device CAL (oppure 50 User CAL).
• Edizione: Standard salvo esigenze di virtualizzazione/feature Datacenter.
• MDT/ADK gratuiti; MECM licenza a parte.
• In caso di dubbio: conferma col tuo rivenditore o Licensing Desk.