Guida pratica e approfondita per attivare correttamente un server di licenze Remote Desktop Services (RDS) in Windows Server, evitando errori e avvisi superflui. Include prerequisiti, procedura guidata, registrazione SCP, alternative via web, configurazione GPO e troubleshooting.
Perché attivare il server licenze RDS
Il server di licenze RDS è il componente che rilascia le CAL (Client Access License) ai dispositivi o agli utenti che si connettono ai Remote Desktop Session Host. Senza attivazione, l’infrastruttura funziona in grace period per circa 120 giorni, dopodiché le connessioni vengono rifiutate. Un’abilitazione corretta elimina interruzioni di servizio e garantisce conformità legale e tecnica.
Prerequisiti e contesto
Prima di iniziare, prepara l’ambiente con i seguenti requisiti minimi:
| Tema | Dettagli essenziali |
|---|---|
| Ruoli e funzionalità | Il server che ospita Remote Desktop Licensing deve avere il ruolo installato. Facoltativo, ma consigliato, l’accesso a Server Manager con credenziali elevate. |
| Account e permessi | Account con privilegi amministrativi sul server. Per pubblicare lo Service Connection Point (SCP) in Active Directory è di norma richiesto un account con privilegi di Domain Admin o, in Microsoft Entra Domain Services, un account nel gruppo AAD DC Administrators. |
| Connettività | Accesso in uscita HTTPS (porta 443) verso i servizi di attivazione Microsoft se si usa l’attivazione online. Comunicazione interna tra Session Host e License Server via RPC (porta 135) e porte dinamiche RPC. |
| Versione delle CAL | Le CAL RDS devono avere versione uguale o superiore al sistema operativo dei Session Host. Esempio: CAL RDS per Windows Server 2022 coprono 2022/2019/2016; una CAL 2019 non copre un host 2022. |
| Scelta modalità | Per Dispositivo (tracking server-side) o Per Utente (compliance amministrativa, non rigidamente conteggiata dal server). Decidila prima di installare le licenze. |
| Firewall e proxy | Se usi proxy aziendale, configura WinINET/WinHTTP sul server di licenze. Assicurati che gli appliance di sicurezza non interrompano TLS o l’ispezione HTTPS con i servizi di attivazione. |
Attivazione con RD Licensing Manager
Questa è la procedura consigliata via GUI. È lineare e riduce il rischio di configurazioni mancanti.
- Aprire RD Licensing Manager
- In Server Manager seleziona Remote Desktop Services → Servers.
- Fai clic con il tasto destro sul server che ospita il ruolo Remote Desktop Licensing e scegli RD Licensing Manager (licmgr.exe).
- Avviare la procedura guidata di attivazione
- Nel pannello sinistro seleziona il server.
- Menu Action → Activate Server.
- Segui l’Activate Server Wizard lasciando i valori predefiniti finché non viene richiesta la Company information; compila i campi obbligatori con dati accurati.
- Completare l’attivazione
- Conferma le impostazioni predefinite fino all’ultima schermata.
- Se non devi installare subito le licenze, deseleziona Start Install Licenses Wizard now e fai clic su Finish.
- Registrare il Service Connection Point (SCP)
- In RD Licensing Manager scegli Action → Review Configuration.
- Fai clic su Add to Group → OK e autenticati con un account dotato dei privilegi richiesti (in ambienti Microsoft Entra Domain Services usa un account del gruppo AAD DC Administrators).
- In Microsoft Entra Domain Services possono comparire avvisi relativi allo SCP: se l’attivazione è andata a buon fine e i Session Host riescono a ottenere licenze, tali avvisi sono generalmente non bloccanti.
- Metodo alternativo via web
- Se il server non ha accesso diretto a Internet o preferisci operare via browser, puoi eseguire la stessa procedura tramite il portale Remote Desktop Server Licensing.
- La procedura prevede l’inserimento dei dati del server e la ricezione del codice di attivazione da applicare in RD Licensing Manager.
Installazione delle CAL dopo l’attivazione
Una volta attivato il server licenze, procedi con l’installazione delle CAL:
- In RD Licensing Manager seleziona il server e apri Action → Install Licenses.
- Scegli il Programma di licenza corretto e inserisci i codici delle licenze.
- Specifica la modalità (Per Utente o Per Dispositivo) coerente con il tuo acquisto.
- Conferma e verifica che lo stato delle licenze passi a Available.
Nota operativa: in modalità Per Utente il conteggio non è rigidamente tracciato dal server. La conformità è una responsabilità amministrativa (audit periodici e reportistica interna). In modalità Per Dispositivo, invece, l’emissione delle licenze è gestita e controllata dal License Server.
Configurare i Session Host per usare il License Server
Per evitare avvisi del tipo “Il server RD Session Host non è configurato per l’uso di un’Autorità licenze” e per agganciare correttamente la modalità di licenza, configura i Session Host tramite Criteri di gruppo o, in assenza di dominio, via registro.
Impostazione tramite Criteri di gruppo (consigliata)
- Apri Group Policy Management e modifica un GPO (a livello di dominio o OU dei Session Host).
- Vai a Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → RD Session Host → Licensing.
- Abilita Use the specified Remote Desktop license servers e inserisci i FQDN dei server licenze, separati da punto e virgola.
- Abilita Set the Remote Desktop licensing mode e seleziona Per Device o Per User.
- Forza l’aggiornamento con gpupdate /force sui Session Host e verifica l’applicazione con rsop.msc o gpresult /r.
Impostazione con PowerShell
In ambienti con Remote Desktop Connection Broker puoi usare i cmdlet del modulo RemoteDesktop:
# Esempio con Connection Broker
Set-RDLicenseConfiguration -LicenseServer @("rdslic1.contoso.local","rdslic2.contoso.local") -Mode PerUser
Get-RDLicenseConfiguration
Impostazione via Registro in ambienti senza Broker
Quando gestisci Session Host isolati o senza Broker, puoi intervenire direttamente sul registro:
# Imposta modalità: 2 = Per Device, 4 = Per User
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM\Licensing Core' -Name 'LicensingMode' -Value 4
Elenco dei License Server autorizzati (crea chiave per ogni server)
New-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM\LicenseServers' -Force | Out-Null
New-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM\LicenseServers\rdslic1.contoso.local' -Force | Out-Null
New-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM\LicenseServers\rdslic2.contoso.local' -Force | Out-Null
Riavviare il servizio RDS per applicare
Restart-Service -Name TermService -Force Registrazione SCP e scenari con Microsoft Entra Domain Services
Lo SCP è un oggetto pubblicato nella partizione di configurazione di Active Directory e serve ai Session Host per scoprire automaticamente le Autorità licenze presenti nel sito o nell’intera foresta, in base al livello di pubblicazione. In domini classici AD DS, l’azione Add to Group di RD Licensing Manager aggiunge il computer del License Server al gruppo Terminal Server License Servers e ne abilita la pubblicazione.
In ambienti Microsoft Entra Domain Services (ex Azure AD DS), tale pubblicazione può generare avvisi a causa delle peculiarità del dominio gestito. Se l’attivazione è completata e i Session Host sono configurati tramite GPO con l’elenco esplicito dei License Server, gli avvisi relativi allo SCP possono essere ignorati in sicurezza, poiché non compromettono l’operatività.
Nota: la nuova appartenenza ai gruppi diventa effettiva dopo la replica AD e il rinnovo del token Kerberos; in caso di dubbi, riavvia il servizio Remote Desktop Licensing o il server.
Metodo alternativo via web, proxy o ambienti isolati
Se il server licenze non può uscire su Internet o se preferisci operare da una postazione amministrativa, l’attivazione può essere eseguita dall’interfaccia web del servizio di attivazione. In alternativa, la procedura guidata di RD Licensing Manager consente anche l’attivazione per telefono. Entrambe le modalità rilasciano un codice da applicare localmente al server di licenze. In presenza di proxy, assicurati che le impostazioni siano coerenti (WinINET/WinHTTP) e che non vi siano blocchi sull’ispezione TLS.
Connettività e firewall
Di seguito una sintesi delle porte tipiche da considerare:
| Direzione | Protocolli/porte | Descrizione |
|---|---|---|
| Session Host → License Server | TCP 135 + porte RPC dinamiche | Comunicazione RPC per richiesta e rilascio delle CAL. |
| License Server → Internet (opz.) | TCP 443 | Attivazione online e convalida licenze verso i servizi Microsoft. |
| Amministratori → License Server | TCP 3389 (RDP) | Accesso amministrativo remoto facoltativo. |
Se l’ambiente impone un range ristretto per le porte RPC, valuta l’assegnazione di un intervallo statico sugli host e l’adeguamento delle regole del firewall perimetrale.
Verifiche post-attivazione
Al termine, effettua alcune verifiche per assicurarti che tutto sia in ordine:
- RD Licensing Manager: stato del server Activated e licenze in stato Available.
- RD Licensing Diagnoser: assenza di errori critici e avvisi irrilevanti al contesto. Se compaiono avvisi sullo SCP ma i Session Host ottengono le CAL, puoi considerarli non bloccanti.
- Event Viewer: controlla i log in Applications and Services Logs → Microsoft → Windows → TerminalServices-Licensing e TerminalServices-RemoteConnectionManager per eventuali errori RPC o di licenza.
- Session Host: esegui un accesso di prova da un client; verifica il rilascio della CAL e l’assenza di messaggi di fine periodo di grazia.
Risoluzione dei problemi più comuni
- Il server non è membro di “Terminal Server License Servers”
Apri Active Directory Users and Computers e aggiungi il computer del License Server al gruppo. Attendi la replica, poi riavvia il servizio di licenze. - Avvisi SCP in Microsoft Entra Domain Services
Se l’attivazione è riuscita e la configurazione GPO indica esplicitamente i License Server, gli avvisi possono essere ignorati. In alternativa, configura i Session Host via registro o GPO senza affidarti all’auto-discovery. - Impossibile attivare online
Controlla proxy e firewall. Prova l’attivazione via web o telefonica. Verifica che il server supporti protocolli TLS conformi alle policy aziendali. - Le CAL non sono riconosciute
Conferma la versione delle CAL rispetto alla versione di Windows Server dei Session Host. Le CAL devono essere uguali o superiori. - Il Session Host resta in periodo di grazia
Configura correttamente licensing mode e license servers via GPO/registro. Verifica la connettività RPC verso il License Server. - Token Kerberos e permessi
Dopo l’aggiunta ai gruppi, effettua un logoff/logon o riavvia i servizi per rinnovare i token. Considera la latenza di replica AD tra siti.
Strategie operative e buone pratiche
- Backup del database licenze: salva periodicamente la cartella %SystemRoot%\System32\LServer (servizio Remote Desktop Licensing arrestato) insieme allo stato del sistema; conserva i contratti e i codici licenza in sede sicura.
- Ridondanza: valuta l’uso di più License Server e configura i Session Host con un elenco di server per tolleranza ai guasti. Non è un cluster, ma la ridondanza riduce i disservizi.
- Documentazione: registra modalità di licenza, numeri di parte delle CAL, assegnazioni e procedure di ripristino. Tornerà utile in audit o incident response.
- Hardening: limita l’accesso amministrativo al License Server, applica patch con regolarità, monitora i log per tentativi anomali e imposta regole firewall minimali.
- Change control: quando cambi modalità da Per Utente a Per Dispositivo (o viceversa), pianifica la transizione: verifica i contratti e aggiorna GPO, Session Host e comunicazioni interne.
Approfondimenti su auto-discovery e SCP
I Session Host possono scoprire automaticamente i License Server pubblicati nel sito AD o a livello di foresta. Tuttavia, in molte organizzazioni è preferibile impostare esplicitamente i server di licenze via GPO, poiché:
- Consente un controllo predicibile e trasparente della destinazione.
- Evita dipendenze dal livello di privilegi necessari per pubblicare lo SCP.
- Riduce i falsi positivi in ambienti ibridi o gestiti (ad esempio Microsoft Entra Domain Services).
Informazioni supplementari utili
| Tema | Nota pratica |
|---|---|
| Documentazione ufficiale | La guida “Activate the Remote Desktop Services license server” su Microsoft Learn offre dettagli passo‑passo, schermate e chiarimenti sulle opzioni. |
| Licenze CAL | Dopo l’attivazione, installa licenze Per Utente o Per Dispositivo con l’Install Licenses Wizard. Mantieni evidenza dei codici e dei contratti. |
| Firewall e connettività | Conferma che le porte necessarie (soprattutto 443 in uscita per l’attivazione online) siano aperte e che il ruolo Remote Desktop Licensing raggiunga i servizi di attivazione. |
| Periodo di grazia | Senza attivazione i Session Host operano per circa 120 giorni. L’attivazione evita il blocco al termine del periodo. |
| Permessi richiesti | Usa un account con privilegi adeguati per registrare lo SCP e aggiungere il server al gruppo locale Terminal Server License Servers. |
Checklist rapida di esecuzione
- Verifica prerequisiti, permessi e connettività.
- Apri RD Licensing Manager dal Server Manager.
- Esegui l’Activate Server Wizard e inserisci i dati aziendali.
- Completa l’attivazione e, se necessario, installa le CAL.
- Esegui Review Configuration e registra lo SCP (se applicabile).
- Configura i Session Host via GPO (modalità e server licenze) o via registro.
- Verifica con Licensing Diagnoser ed esegui un test di connessione reale.
Domande frequenti
È obbligatorio registrare lo SCP?
Non in senso stretto. Se imposti via GPO l’elenco dei License Server, i Session Host possono operare senza auto-discovery. Lo SCP resta utile per ambienti AD con discovery automatico.
Meglio Per Utente o Per Dispositivo?
Dipende dal modello di utilizzo: accessi da molteplici device per lo stesso utente preferiscono Per Utente; postazioni fisse condivise prediligono Per Dispositivo. Verifica sempre i termini di licenza.
Posso attivare senza Internet?
Sì. Usa la modalità via web o telefonica e poi applica localmente il codice di attivazione nel RD Licensing Manager.
Come gestisco la migrazione del License Server?
Attiva un nuovo License Server, sposta o riemetti le CAL secondo le procedure fornite, aggiorna GPO/registro sui Session Host, e mantieni il vecchio in linea finché la transizione non è completa. Esegui backup di %SystemRoot%\System32\LServer a scopo conservativo.
Perché vedo “licensing mode non configurata” sul Session Host?
Perché non è stato applicato il GPO o la chiave di registro con la modalità. Imposta il criterio “Set the Remote Desktop licensing mode” e specifica l’elenco dei License Server.
Conclusioni operative
Per attivare correttamente un server di licenze RDS in Windows Server, segui il flusso consolidato: avvia l’Activate Server Wizard, inserisci le informazioni aziendali, completa l’attivazione, installa le CAL se necessario e registra lo SCP quando l’ambiente lo consente. In contesti Microsoft Entra Domain Services gli avvisi SCP sono prevedibili e non inficiano l’operatività se i Session Host sono configurati esplicitamente. Completa la configurazione con GPO o registro, cura firewall e proxy, e chiudi con verifiche puntuali: così eviterai interruzioni di servizio e garantirai l’uso legittimo delle licenze RDS.
Procedura sintetica passo‑passo
- RD Licensing Manager: Action → Activate Server, compila Company information, Finish.
- Licenze: se necessario, Action → Install Licenses, scegli programma e codici.
- SCP: Action → Review Configuration → Add to Group e autenticazione con privilegi adeguati.
- GPO/Registro: imposta license servers e licensing mode.
- Verifica: Diagnoser, Event Viewer, test di sessione da client.
In sintesi: la procedura è lineare. Attiva il server, inserisci le informazioni aziendali, completa l’attivazione e, se necessario, registra lo SCP. Una configurazione accurata – unita a GPO chiari e connettività verificata – evita blocchi a fine periodo di grazia e assicura la piena conformità delle tue licenze RDS.
Principali vantaggi:
- Conformità legale e tecnica dell’infrastruttura RDS.
- Gestione centralizzata e tracciabile dell’assegnazione delle CAL.
Criticità frequenti:
- Credenziali insufficienti o restrizioni di rete che impediscono il dialogo con i server di attivazione.
- Avvisi relativi allo SCP in Microsoft Entra Domain Services, che non compromettono l’operatività se l’attivazione è completata e i Session Host sono configurati esplicitamente.