Hai un host Hyper‑V con Windows Server 2019 e quattro VM in workgroup, senza Active Directory, e vuoi permettere a quattro persone di collegarsi in Desktop Remoto in contemporanea? In questa guida calcoliamo le CAL RDS necessarie e spieghiamo dove e come installare il ruolo di licensing.
Scenario di riferimento e obiettivo
Ambiente: un host Windows Server 2019 Datacenter con quattro VM (sempre Windows Server 2019), nessun dominio AD, solo workgroup. Quattro persone devono aprire sessioni RDP sulle quattro VM contemporaneamente usando account locali.
Domande chiave:
- Che tipo e quante CAL RDS servono?
- Dove conviene installare il ruolo Remote Desktop Licensing?
- Come si configura correttamente ogni VM come Remote Desktop Session Host (RDSH) in un ambiente senza dominio?
Principi di licensing RDS da tenere a mente
- Per abilitare sessioni multiutente (più di due amministrative) su un server Windows, è necessario installare il ruolo RDSH e disporre di RDS CAL (oltre alle normali Windows Server CAL per l’accesso ai servizi di dominio, se presenti).
- Le RDS CAL autorizzano chi (utente) o cosa (dispositivo) ad aprire sessioni RDP verso uno o più RDSH.
- Le CAL sono associate a utenti o dispositivi, non alle VM: collegarsi a più server/VM non aumenta il numero di CAL se l’utente/dispositivo è già licenziato.
- Le RDS CAL sono version‑locked: una CAL per Windows Server 2022 può coprire Server 2019, ma non viceversa. In questo scenario puntiamo a CAL 2019 (o 2022 se preferisci “future‑proof”).
- In modalità Per User il tracciamento nel workgroup è manuale; in Per Device l’assegnazione è automatica anche fuori da AD.
Device CAL vs User CAL: quale scegliere in workgroup
| Caratteristica | Device CAL (Per dispositivo) | User CAL (Per utente) |
|---|---|---|
| Modello di conteggio | Una CAL per ogni PC / thin client / tablet che si collega ai RDSH. | Una CAL per ogni persona che accede, da dispositivi illimitati. |
| Gestione in workgroup | Automatica: il server licenze emette e traccia le CAL ai dispositivi. | Manuale: in assenza di AD non c’è assegnazione automatica; spetta all’amministratore garantire la conformità. |
| Convenienza tipica | Team piccolo con postazioni fisse (un PC per persona). | Utenti che usano molti device (PC ufficio + laptop + home + tablet). |
| Impatto su troubleshooting | Semplice: il Diagnoser mostra le licenze emesse ai dispositivi. | Più amministrativo: serve un registro interno degli utenti autorizzati. |
Calcolo delle CAL nello scenario
Hai 4 persone che usano ciascuna il proprio PC per accedere alle VM. Il conteggio è sul lato “chi/che cosa si collega” e non sul numero di VM. Dunque:
- Se ogni persona usa un solo PC: 4 CAL Device sono sufficienti e consigliate in workgroup.
- Se alcune persone usano più dispositivi (es. desktop + laptop): considera User CAL per quei profili o per tutti, in base al TCO.
Nota: Collegarsi contemporaneamente a più VM non aumenta le CAL necessarie, purché i client che originano le connessioni siano gli stessi quattro dispositivi (o gli stessi quattro utenti se scegli User CAL).
Dove installare il ruolo “Remote Desktop Licensing”
Il server licenze può essere:
| Opzione | Pro | Contro | Quando sceglierla |
|---|---|---|---|
| Host Hyper‑V (fisico) | Stabile, sempre acceso; nessuna dipendenza da VM; semplice da gestire. | Carico (minimo) aggiuntivo sull’host; tieni presente il patching coordinato. | Piccoli ambienti senza un “utility server” dedicato. |
| VM dedicata (utility server) | Isolamento del ruolo; facile migrazione/backup; niente impatto sull’host. | Richiede una VM in più e relativa manutenzione. | Quando esiste già una VM “core services” o desideri separazione rigorosa. |
| Una delle RDSH (una VM tra le quattro) | Nessun server extra; semplice da avviare. | Se quella VM è spenta o in manutenzione, il rilascio di nuove licenze può fallire. | Ok in ambienti piccoli, consapevoli di questa dipendenza. |
Raccomandazione pragmatica: in un workgroup con poche VM, installa il ruolo Remote Desktop Licensing sull’host Hyper‑V o su una VM dedicata. Poi configura tutte le VM RDSH per puntare a quel server licenze.
Prerequisiti tecnici e buone pratiche
- IP e DNS stabili: assegna IP statici a server licenze e a tutte le RDSH.
- Ora sincronizzata: NTP coerente tra host e VM (evita errori di autenticazione RDP).
- Firewall:
- RDP: TCP 3389 verso ciascun RDSH.
- Licensing: RPC/Endpoint Mapper TCP 135 e porte RPC dinamiche (intervallo predefinito dei server moderni). Separa i profili di rete e consenti il traffico tra RDSH e server licenze.
- Attivazione licenze: accesso HTTP/HTTPS verso i servizi Microsoft (oppure usa l’attivazione telefonica).
- Account locali: crea (o standardizza) gli utenti locali sulle VM e inseriscili nel gruppo Remote Desktop Users.
- Versione CAL: allinea la versione (2019 o superiore).
- Backup: includi nel backup la cartella del database licenze del server (cartella LServer del sistema) e la chiave prodotto delle CAL.
Procedura passo‑passo
Installare e attivare il server licenze RDS
- Apri Server Manager sul server scelto per il licensing (host o VM).
- Vai su Manage > Add Roles and Features → tipo di installazione Role‑based or feature‑based.
- Nella sezione Server Roles seleziona Remote Desktop Services → Remote Desktop Licensing.
- Completa il wizard e riavvia se richiesto.
- Apri Remote Desktop Licensing Manager (licmgr.exe dal menu Strumenti).
- Attiva il server: tasto destro sul nome → Activate Server, scegli l’attivazione automatica (o Web/telefono) e compila i dati richiesti.
- Installa le CAL: tasto destro → Install Licenses. Seleziona il tipo (Per Device o Per User) e la versione (es. 2019), quindi inserisci il codice del pacchetto acquistato.
Al termine, nel pannello del Licensing Manager vedrai il totale e l’eventuale conteggio delle licenze emesse (per Device). In modalità Per User, in workgroup, il server non fa enforcement: la conformità resta amministrativa.
Convertire ciascuna VM in Remote Desktop Session Host (RDSH)
- Accedi alla VM, apri Server Manager → Manage > Add Roles and Features.
- Seleziona Remote Desktop Services → Remote Desktop Session Host. Completa il wizard (verrà installato il ruolo RDSH).
- Abilita RDP: System > Remote Desktop → consenti connessioni remote con NLA (Network Level Authentication).
- Aggiungi gli utenti locali al gruppo Remote Desktop Users (
lusrmgr.mscoComputer Management > Local Users and Groups).
Impostare il server licenze e la modalità (workgroup)
Senza AD il discovery automatico non funziona: specifica esplicitamente il server licenze e il metodo di licenza su ogni RDSH.
- Apri gpedit.msc (Criteri di sicurezza locali) sulla VM RDSH.
- Vai in
Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Licensing. - Configura:
- Use the specified Remote Desktop license servers: Enabled → inserisci il nome NetBIOS o FQDN del server licenze (es.
RDS-LICo192.168.10.10). - Set the Remote Desktop licensing mode: Enabled → Per Device (o Per User se hai scelto User CAL).
- Use the specified Remote Desktop license servers: Enabled → inserisci il nome NetBIOS o FQDN del server licenze (es.
- Esegui
gpupdate /forcee riavvia la VM RDSH (consigliato).
Alternativa via PowerShell (impostazioni equivalenti ai criteri)
Da eseguire in una sessione PowerShell elevata su ciascuna VM RDSH; sostituisci RDS-LIC con il nome del tuo server licenze.
$tsPolicy = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services'
New-Item -Path $tsPolicy -Force | Out-Null
2 = Per Device, 4 = Per User
New-ItemProperty -Path $tsPolicy -Name 'LicensingMode' -Value 2 -PropertyType DWord -Force | Out-Null
New-Item -Path "$tsPolicy\LicenseServers" -Force | Out-Null
New-Item -Path "$tsPolicy\LicenseServers\RDS-LIC" -Force | Out-Null
gpupdate /force Questa procedura imposta gli stessi parametri dei criteri locali, senza dipendere da AD.
Verifica del corretto licensing
- Dal server licenze apri Remote Desktop Licensing Manager e controlla che lo stato del server sia Activated e che il pacchetto di CAL sia Installed.
- Da una VM RDSH apri lo strumento di diagnostica licenze RD (Ricerca: “licenze” o “Remote Desktop Licensing Diagnoser”) per verificare che:
- la modalità impostata sia corretta,
- il server licenze sia raggiungibile e riconosciuto,
- non compaiano errori bloccanti.
- Effettua 4 connessioni RDP, una per ciascun PC degli utenti previsti. In caso di Device CAL, il server licenze emetterà licenze ai dispositivi. In User CAL verifica la conformità rispetto al tuo registro interno.
Configurazioni pratiche per l’uso quotidiano
- Limiti di sessione: usa i criteri RDSH per impostare time‑out di sessione disconnessa e riconnessione, evitando “sessioni orfane”.
- Profili utente: valuta il reindirizzamento cartelle o i profili locali/roaming (in workgroup di solito si resta su profili locali).
- Cifratura e certificato RDP: abilita NLA e imposta un certificato attendibile su ciascun RDSH per evitare avvisi di identità (certificato nel Personal store del computer, corrispondente al nome usato dai client).
- Controllo accessi: mantieni pulito il gruppo Remote Desktop Users e applica la regola “minimo privilegio”.
Domande frequenti (FAQ) e chiarimenti
Se non installo RDSH e non compro CAL, funzionano due connessioni?
Sì, solo per amministrazione remota: ogni server Windows accetta al massimo due sessioni amministrative contemporanee, senza RDS CAL. Non è adatto a utenti finali e non copre l’uso applicativo o più di due sessioni.
Quattro utenti, quattro VM: servono 16 CAL?
No. Le CAL sono per utente o dispositivo, non per server. Se sono sempre gli stessi quattro PC o quattro persone, servono 4 CAL in totale (Device o User), anche se ciascuno apre sessioni su più VM contemporaneamente.
Perché in workgroup si consiglia “Per Device”?
Perché l’assegnazione delle Device CAL è automatizzata dal server licenze anche senza AD. Le User CAL in workgroup non sono tracciate automaticamente: sei tu a dover dimostrare la conformità (registro degli utenti autorizzati, politiche interne di audit).
Posso spostare il server licenze su un altro host?
Sì. Esegui il backup del database licenze, disattiva/riattiva il server e, se necessario, re‑host i pacchetti tramite il canale di attivazione. Dopo lo spostamento aggiorna su ogni RDSH il riferimento al nuovo server licenze (criterio locale o PowerShell come sopra).
E se il server licenze non è disponibile temporaneamente?
- In Per Device, i dispositivi che hanno già ricevuto una licenza possono continuare a collegarsi finché la licenza resta valida; l’emissione di nuove licenze può fallire finché il server non torna operativo.
- In Per User, l’enforcement non blocca le sessioni, ma la conformità rimane responsabilità amministrativa.
Checklist operativa riassuntiva
- Acquista 4 RDS CAL (consigliato Per Device in workgroup); in alternativa 4 Per User se ogni utente usa più dispositivi.
- Installa e attiva Remote Desktop Licensing su host Hyper‑V o su VM dedicata.
- Su ciascuna VM:
- Installa Remote Desktop Session Host.
- Abilita RDP con NLA e aggiungi gli utenti al gruppo Remote Desktop Users.
- Imposta server licenze e modalità (Per Device/Per User) via gpedit o PowerShell.
- Applica
gpupdate /forcee riavvia.
- Verifica con il Licensing Manager/Diagnoser e testa le 4 sessioni simultanee.
Esempi di configurazione: dalla A alla Z
Nomenclatura e indirizzi
| Ruolo | Nome | IP | Note |
|---|---|---|---|
| Server licenze RDS | RDS-LIC | 192.168.10.10 | Host Hyper‑V o VM dedicata |
| RDSH VM 1 | RDSH-01 | 192.168.10.21 | Ruolo Session Host |
| RDSH VM 2 | RDSH-02 | 192.168.10.22 | Ruolo Session Host |
| RDSH VM 3 | RDSH-03 | 192.168.10.23 | Ruolo Session Host |
| RDSH VM 4 | RDSH-04 | 192.168.10.24 | Ruolo Session Host |
Script di impostazione rapida (Per Device)
Esegui questo snippet su ognuna delle quattro VM dopo l’installazione del ruolo RDSH:
# ESEGUI COME AMMINISTRATORE SU OGNI RDSH
$tsPolicy = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services'
New-Item -Path $tsPolicy -Force | Out-Null
New-ItemProperty -Path $tsPolicy -Name 'LicensingMode' -Value 2 -PropertyType DWord -Force | Out-Null # 2 = Per Device
New-Item -Path "$tsPolicy\LicenseServers" -Force | Out-Null
New-Item -Path "$tsPolicy\LicenseServers\RDS-LIC" -Force | Out-Null
Facoltativo: abilita RDP e NLA in modo coerente
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0
Abilita NLA (richiede supporto sui client)
$key = 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp'
Set-ItemProperty -Path $key -Name 'UserAuthentication' -Value 1
gpupdate /force
Restart-Service TermService -Force Controllo veloce lato server licenze
- Apri Remote Desktop Licensing Manager.
- Verifica Installed Products e Total/Available.
- In Issued (Per Device) dovresti vedere apparire i nomi dei PC client dopo i primi accessi.
Concorrenza e capacità
Con 4 CAL (Device o User) le quattro persone possono aprire sessioni su tutte e quattro le VM in contemporanea, a patto che le risorse delle VM lo consentano (CPU/RAM/IO). La licenza non limita il numero di RDSH, ma l’hardware può diventare il collo di bottiglia: dimensiona correttamente le VM e imposta limiti di sessione se necessario.
Risoluzione problemi: errori tipici e soluzioni
| Sintomo | Causa probabile | Rimedio |
|---|---|---|
| Messaggio “Il server licenze Remote Desktop non è disponibile” | Firewall o nome server licenze errato; RPC bloccato. | Verifica IP/nome nel criterio, abilita TCP 135 e RPC dinamico tra RDSH e server licenze, controlla DNS. |
| Diagnoser: “Nessun server licenze specificato” | Criteri non applicati o modalità non impostata. | Riconfigura in gpedit (vedi percorso) o usa lo script PowerShell; esegui gpupdate e riavvia il servizio TermService. |
| Utenti rifiutati dopo il periodo iniziale | RDSH installato ma licenze non configurate/attivate per tempo. | Attiva il server licenze e installa le CAL; specifica server e modalità su ogni RDSH. |
| Avvisi di certificato non attendibile all’accesso | RDP usa certificato self‑signed. | Installa un certificato attendibile corrispondente al nome host usato dai client (CA interna o pubblica). |
Considerazioni economiche e di conformità
- Device CAL: minimizza gli oneri di gestione nel workgroup e si adatta perfettamente al caso “un PC per persona”.
- User CAL: scegli se ciascun utente utilizza davvero molti device. In workgroup pianifica un registro di conformità (chi è titolare di una CAL) perché non c’è assegnazione automatica.
- Versioning: se prevedi upgrade futuri a Server 2022, considera direttamente CAL 2022 per evitare riacquisti a breve.
Template di registro di conformità (esempio)
| Tipo CAL | Titolare | Identificativo | Note |
|---|---|---|---|
| Device | PC‑01 | Asset Tag 12345 | Ufficio – Mario Rossi |
| Device | PC‑02 | Asset Tag 12346 | Ufficio – Luca Bianchi |
| Device | PC‑03 | Asset Tag 12347 | Ufficio – Anna Verdi |
| Device | PC‑04 | Asset Tag 12348 | Ufficio – Giulia Neri |
Con le User CAL sostituisci “Titolare” con il nome della persona (es. Mario Rossi) e tieni traccia dei dispositivi usati a fini interni.
Riepilogo decisionale rapido
- Quante CAL: 4 in totale per questo scenario.
- Quale tipo: Device CAL consigliate in workgroup (oppure User CAL se ogni utente usa molti device).
- Dove installare RD Licensing: sull’host Hyper‑V (consigliato) o su una VM dedicata.
- Configurazione VM: ogni VM diventa RDSH e punta al server licenze; imposta la modalità coerente su tutte.
Appendice: impostazioni utili di gruppo su RDSH
Percorso criteri: Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host
- Connections > Limit number of connections: stabilisci il limite massimo di sessioni simultanee per VM.
- Security > Require user authentication for remote connections by using NLA: attivalo.
- Session Time Limits: configura idle/disconnect per liberare risorse.
- Licensing: come descritto, imposta server licenze e modalità.
Perché questa architettura funziona bene in workgroup
L’assenza di Active Directory non impedisce un’implementazione pulita di RDS: centralizzi il licensing su un solo server e fai sì che le VM RDSH lo interroghino puntualmente. Scegliendo Device CAL ti affidi alla gestione automatica delle licenze lato server, eviti oneri di inventario “per utente” e ottieni un sistema semplice da amministrare. La scalabilità rimane: se domani aggiungi una quinta VM RDSH, non servono nuove CAL per gli stessi quattro PC/utenti.
Conclusione: per l’ambiente descritto acquista 4 RDS CAL (preferibilmente Per Device), installa il ruolo Remote Desktop Licensing sull’host Hyper‑V o su una VM dedicata, e configura ciascuna delle quattro VM come RDS Session Host indicando esplicitamente il server licenze e il metodo di licensing. Così ogni utente potrà collegarsi in parallelo a tutte le VM nel pieno rispetto delle regole di licenza.
Nota legale: questa guida ha scopo informativo. Per la conformità formale alle condizioni di licenza, fa fede il contratto Microsoft applicabile e la documentazione di acquisto delle CAL.