Ottenere licenze Windows Server 2022: acquisto, attivazione KMS/ADBA, RDS CAL ed External Connector

Guida completa e aggiornata per licenziare correttamente Windows Server 2022: dove acquistare, come attivare (MAK, KMS, ADBA), quando usare RDS CAL ed External Connector, con esempi reali e checklist pronte per audit e conformità.

Indice

Panoramica della richiesta

Mohamed deve mettere in produzione Windows Server 2022 e ha tre esigenze specifiche:

Licenza core di Windows Server 2022 per l’host o per le VM.
Windows Server 2022 Remote Desktop Services (RDS) con una postazione per utente o per dispositivo.
Windows Server External Connector per consentire a clienti e partner di accedere ai servizi pubblicati sul server senza acquistare CAL individuali per ogni utente esterno.

Obiettivo: capire dove acquistare, come attivare e quali obblighi di conformità rispettare, riducendo rischi e costi.

Cosa licenziare davvero

Prima di procedere con gli acquisti, chiarisci le tre aree di copertura:

Licenza del sistema operativo (per core fisici). Windows Server 2022 si licenzia per core: minimo 16 core per server e minimo 8 core per CPU. L’edizione Standard concede due diritti di virtualizzazione per ogni set da 16 core; l’edizione Datacenter concede virtualizzazione illimitata sull’host correttamente licenziato.
CAL (Client Access License). Ogni utente o dispositivo interno che accede ai servizi del server (dominio, file, stampa, ecc.) necessita di una CAL Windows Server. Le RDS CAL sono aggiuntive, richieste quando si usano sessioni Desktop remoto o RemoteApp.
External Connector (EC). Licenza acquistata per server che copre un numero illimitato di utenti esterni (clienti, partner, visitatori) per l’accesso ai servizi pubblicati. Non sostituisce le RDS CAL: se gli utenti esterni usano Desktop remoto, servono comunque RDS CAL o altri diritti idonei.

Confronto tra edizioni

Caratteristica	Standard	Datacenter
Modello di licenza	Per core fisici, minimo 16 core	Per core fisici, minimo 16 core
Diritti di virtualizzazione	2 OSE per ogni 16 core (aggiungi altri 16 core per altre 2 OSE)	Illimitati OSE sull’host licenziato
Scenario ideale	Poche VM stabili	Virtualizzazione intensiva, cluster, VDI, container
Compatibilità con CAL	CALA richieste per gli accessi interni	Idem

Canali di acquisto e metodi

La scelta del canale d’acquisto incide su prezzo, flessibilità e strumenti di gestione. Ecco il riepilogo, con le stesse opzioni più diffuse usate dalle aziende:

Canale / Metodo	Quando è indicato	Cosa occorre fare	Vantaggi	Limiti / Attenzioni
Microsoft Store / rivenditori autorizzati (CSP, LSP)	Piccole e medie aziende con poche istanze	Acquistare licenze core + eventuali CAL e RDS CAL direttamente dal partner	Licenze genuine, supporto diretto Microsoft, fatturazione semplice	Prezzo retail più alto rispetto a VL; gestione frammentata se si cresce
Volume Licensing Service Center (VLSC)	Aziende con accordo Enterprise, MPSA, Open Value/OVS	Recuperare le chiavi in VLSC, distribuire in modo centralizzato	Sconti volume, diritti di downgrade, Software Assurance opzionale	Richiede contratto attivo; gestione amministrativa più complessa
Licenze Retail (FPP/PKC)	SOHO o utilizzi occasionali	Acquisto “boxed” o key card, attivazione online	Facilità di reperimento, nessun requisito di contratto	Prezzi solitamente più alti del VL, nessuna SA inclusa
Key Management Service (KMS) o Active Directory‑Based Activation (ADBA)	Ambienti con molte VM/host da attivare	Installare host KMS, attivarlo con KMS Host Key; con ADBA configurare oggetti di attivazione in AD	Automazione dell’attivazione, niente gestione di singole MAK	Soglie minime KMS (25 client OS, 5 server); ADBA richiede dominio AD

Nota: esistono anche licenze OEM fornite con l’hardware del server. Sono spesso convenienti, ma legate al dispositivo e con minore flessibilità in scenari di migrazione.

Attivazione: MAK, KMS e ADBA

Tre strategie principali, da scegliere in base alla scala e alla maturità dell’ambiente.

Attivazione con MAK

Come funziona: si inserisce una Multiple Activation Key su ciascuna installazione. Ogni attivazione consuma un “conto” associato alla chiave.
Quando usarla: pochi server o VM, ambienti con reti isolate senza connettività internet regolare, installazioni occasionali.
Passaggi:
1. Apri un prompt con privilegi elevati.
2. Esegui slmgr /ipk <MAK>.
3. Esegui slmgr /ato per l’attivazione online.
4. Verifica con slmgr /xpr (stato) e slmgr /dlv (dettagli).

Attivazione con KMS

Come funziona: un KMS host locale attiva automaticamente i client che trovano il servizio via DNS (SRV) sulla porta 1688. I client usano chiavi GVLK e si riattivano periodicamente.
Quando usarla: molte installazioni di Windows Server/Client, cicli di rebuild frequenti.
Soglie minime: 5 server e 25 client Windows per iniziare a rilasciare attivazioni.
Passaggi essenziali:
1. Designa un server come KMS host e installa il ruolo Volume Activation Services.
2. Attiva il KMS host con la KMS Host Key (GUI o slmgr /ipk + slmgr /ato).
3. Assicurati che il record DNS SRV vlmcs.tcp sia pubblicato e che la porta 1688 sia raggiungibile.
4. Sui client/VM usa la chiave GVLK dell’edizione (o lascia quella preimpostata nelle immagini VL) e verifica con slmgr /ato.

Attivazione con ADBA

Come funziona: l’attivazione è integrata in Active Directory. I dispositivi membri del dominio si attivano automaticamente quando rilevano l’oggetto di attivazione pubblicato.
Quando usarla: organizzazioni con dominio AD consolidato e rete affidabile, desiderose di evitare la gestione di un KMS host dedicato.
Passaggi:
1. Installa il ruolo Volume Activation Services su un controller di dominio o su un server connesso al dominio.
2. Avvia la procedura guidata Volume Activation Tools e scegli Active Directory‑Based Activation.
3. Immetti la chiave di attivazione idonea e pubblica l’oggetto nel dominio.
4. I client membri del dominio si attiveranno automaticamente al successivo riavvio/rinnovo.

Confronto rapido dei metodi

Metodo	Pro	Contro	Scenario ideale
MAK	Semplice, nessun requisito infrastrutturale	Gestione delle attivazioni per singola macchina	Pochi server, reti isolate
KMS	Automazione e rinnovi trasparenti	Soglie minime, host da mantenere	Molte VM e rebuild frequenti
ADBA	Nessun server KMS dedicato, integrato in AD	Richiede dominio AD stabile	Organizzazioni con AD diffuso su tutte le sedi

Configurazione dei servizi Desktop remoto

Le RDS CAL sono obbligatorie quando gli utenti accedono tramite Desktop remoto o RemoteApp. Ecco la procedura consigliata:

Preparazione

Stabilisci la modalità di licenza: Per dispositivo (postazioni condivise) o Per utente (con utenti personali e mobilità tra dispositivi).
Valuta una grazia di 120 giorni a installazione RDS: entro questo periodo devi installare e attivare il server licenze, altrimenti nuove sessioni verranno rifiutate.

Installazione del ruolo

Apri Server Manager e aggiungi i ruoli Servizi Desktop remoto → Licenze Desktop remoto.
In alternativa via PowerShell: Install-WindowsFeature RDS-Licensing -IncludeManagementTools -Restart.

Attivazione del server licenze

Apri Gestione licenze Desktop remoto.
Attiva il server con la procedura guidata (Connessione automatica, Web o Telefono).
Installa i pacchetti di RDS CAL acquistati selezionando correttamente per utente o per dispositivo e la versione.

Configurazione dei server RDSH

Imposta via Criteri di gruppo: Configura la modalità di licenza Desktop remoto e Usa i server licenze Desktop remoto specificati.
Verifica con Diagnostica licenze Desktop remoto che non rimangano errori di licenza.

Attenzione: l’External Connector non copre l’uso di Desktop remoto. Per gli utenti esterni che usano RDS servono RDS CAL idonee o soluzioni alternative (ad es. pubblicazione applicativa con licenza adeguata).

External Connector in pratica

L’External Connector (EC) è progettato per scenari in cui molti utenti esterni accedono ai servizi Windows Server (file, web, API, autenticazione) ma non sono dipendenti o collaboratori equiparabili. L’EC si acquista per server e copre un numero illimitato di utenti esterni per l’accesso ai servizi Windows Server.

Perché conviene

Elimina la gestione di migliaia di CAL individuali per partner/clienti.
Consente modelli B2B e extranet senza ostacoli amministrativi.

Quando non basta

Non copre le funzionalità RDS: se gli utenti esterni necessitano di sessioni desktop/app pubblicate, servono RDS CAL.
Vale per server: ogni server che eroga servizi a esterni deve essere coperto da un EC.

Stima di convenienza

Confronta il numero di utenti esterni × CALA richieste con il costo di un EC per server. Se il numero varia molto e l’accesso è anonimo o sporadico, l’EC è in genere più efficiente e semplice da amministrare.

Conformità, audit e rischi

Allineamento d’uso: assicurati che ogni funzionalità utilizzata abbia la licenza corrispondente (es. RDS CAL se usi Desktop remoto).
Prova d’acquisto: conserva fatture, contratti, report VLSC, e le e‑mail di conferma di attivazione.
Documentazione tecnica: mappa server, ruoli installati, servizi pubblicati, utenti interni/esterni e modalità d’accesso.
Downgrade rights: con Volume Licensing puoi utilizzare versioni precedenti mantenendo i diritti della versione acquistata.
Rischi: uso di chiavi non autorizzate può comportare sanzioni, blocco degli aggiornamenti, perdita di supporto e impatti reputazionali.
Software Assurance (opzionale): utile per diritti di upgrade verso versioni future, Azure Hybrid Benefit, diritti di Disaster Recovery e supporto esteso.

Scenari applicativi passo per passo

Scenario per Mohamed

Supponiamo che Mohamed abbia:

Un host fisico con 2 CPU × 8 core (totale 16 core) e 3 VM pianificate.
Accesso RDS per 1 utente interno.
Servizi web/API esposti a partner esterni in extranet.

Licenze necessarie:

Windows Server 2022 Standard licenziato per 16 core (base). Concede 2 OSE. Per la terza VM aggiungi un altro set da 16 core per ottenere 2 OSE aggiuntive (ora 4 OSE totali, di cui ne userai 3).
RDS CAL per 1 utente (modalità per utente). Configura il License Server RDS entro 120 giorni.
External Connector per il server che pubblica i servizi agli esterni. Se più server pubblicano servizi, ogni server necessita del proprio EC.

Canale consigliato: se l’azienda è piccola e senza contratti attivi, valuta un partner CSP/LSP che può fornire licenze, assistenza sull’attivazione e fatturazione ordinata. Se è presente un contratto VL, usa VLSC per chiavi e supporto a downgrade.

Scenario cluster

Due host fisici con 24 core ciascuno in cluster Hyper‑V, molte VM: qui Datacenter per 48 core totali è la scelta naturale, con virtualizzazione illimitata.
Per utenti interni che accedono a file/servizi, prevedi CAL adeguate; per Desktop remoto, RDS CAL.
Se i servizi sono esposti a clienti esterni, valuta EC per ciascun server frontend.

Scenario con molti utenti esterni

Portale partner con migliaia di utenti B2B: l’EC per i server di front‑end semplifica la gestione e spesso riduce i costi rispetto a migliaia di CAL.
Se il portale non usa RDS, l’EC è sufficiente per la parte Windows Server. Per applicazioni terze verifica i loro termini specifici.

Percorso decisionale rapido

Se usi solo servizi Windows (file, autenticazione, web) per esterni → External Connector per ogni server esposto
Se pubblichi desktop/app via RDS → servono RDS CAL (EC non copre RDS)
Se hai poche VM → Standard + set aggiuntivi da 16 core per altri 2 diritti OSE
Se hai molte VM/host → Datacenter per host + KMS/ADBA per attivazione scalabile

Checklist operative

Prima dell’acquisto

Conta i core fisici per host (minimo 16 per server, 8 per CPU).
Stima VM attuali e future per scegliere tra Standard e Datacenter.
Calcola utenti/dispositivi interni che accedono ai servizi.
Stima utenti esterni e individua i server esposti: valuta EC.
Decidi la modalità RDS (per utente o per dispositivo).
Scegli il canale (CSP/LSP, VLSC, Retail) in base a sconti e gestione.

Dopo l’acquisto

Recupera le chiavi dal portale appropriato (VLSC o documentazione del partner).
Seleziona il metodo di attivazione (MAK, KMS, ADBA) e prepara i prerequisiti.
Installa e attiva il License Server RDS; carica le RDS CAL.
Configura i criteri di gruppo per la modalità di licenza RDS e i server licenze.
Documenta tutto (chiavi, server, ruoli, proprietari del servizio).

Per l’audit

Conserva fatture, contratti, report VLSC e inventari aggiornati.
Allinea inventario tecnico e inventario licenze con un ID univoco per ogni server/VM.
Annota le deroghe (test, DR, lab) con riferimenti ai diritti di SA quando applicabile.

Domande frequenti

Le CAL devono corrispondere alla versione del server?

Sì: la regola generale è che la CAL deve essere di versione uguale o superiore rispetto al server a cui accede. Vale sia per CAL Windows Server sia per RDS CAL.

L’External Connector sostituisce le RDS CAL?

No. L’EC copre gli accessi ai servizi Windows Server da parte di utenti esterni, ma non copre l’uso di Desktop remoto/RemoteApp. Per RDS servono RDS CAL.

È possibile combinare MAK e KMS nello stesso ambiente?

Sì. Ad esempio, puoi usare MAK per server in rete isolata e KMS/ADBA per sedi principali e workload dinamici.

Come si contano i core per l’host?

Conta i core fisici per CPU e somma. Ricorda i minimi: 8 core per CPU e 16 per server. Licenze aggiuntive si acquistano in pacchetti per coprire core eccedenti.

Posso spostare liberamente le licenze tra host?

Dipende dal tipo di licenza e dai termini contrattuali. Le OEM sono legate all’hardware; le licenze volume offrono in genere maggiore flessibilità, nel rispetto dei termini di trasferimento.

Serve la CAL anche se l’accesso è indiretto tramite un middleware?

Sì: il multiplexing non elimina la necessità delle CAL. Gli utenti o i dispositivi finali che beneficiano dei servizi devono essere coperti.

Errori da evitare

Dimenticare le RDS CAL quando si pubblicano desktop/applicazioni via RDS.
Supporre che l’External Connector copra qualsiasi tipo di accesso: non è così per RDS.
Sottovalutare i core reali e quindi licenziare al ribasso.
Ignorare la modalità di licenza RDS nei criteri di gruppo: dopo 120 giorni le sessioni verranno rifiutate.
Usare chiavi non autorizzate o non documentate, esponendosi a rischi legali e operativi.

Template di documentazione

Usa questo modello come base per l’inventario licenze e ruoli:

[Server/VM]
- Nome: 
- Ruoli: AD DS, File, IIS, RDSH, Gateway RDS, ecc.
- CPU fisiche × core: 
- Edizione OS: Standard / Datacenter
- Core licenziati: 
- Metodo attivazione: MAK / KMS / ADBA
- Ultima verifica attivazione: 
- External Connector: Sì/No (per questo server)
- Servizi pubblicati a esterni: Sì/No (quali)

[RDS]

- Modalità: Per utente / Per dispositivo
- License Server:
- Pacchetti CAL caricati: tipo, quantità, versione
- Scadenza grazia:
- Esito Diagnostica RDS: OK/KO, data

[Acquisti]

- Canale: CSP/LSP, VLSC, Retail
- Fattura/PO:
- Contratto (se VL):
- SA attiva: Sì/No, fino al:

[Controlli]

- slmgr /xpr (stato)
- slmgr /dlv (dettagli)
- rdlicensingdiag (nessun errore)

Script e comandi utili

Verifica core e CPU: Get-CimInstance -ClassName Win32_Processor | Select-Object Name,NumberOfCores,NumberOfLogicalProcessors
Installazione ruolo RDS Licensing: Install-WindowsFeature RDS-Licensing -IncludeManagementTools -Restart
Attivazione MAK su un server: slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX slmgr /ato slmgr /xpr slmgr /dlv
Installazione ruolo Volume Activation: Install-WindowsFeature VolumeActivation -IncludeManagementTools
Firewall per KMS (porta 1688): New-NetFirewallRule -DisplayName “KMS 1688” -Direction Inbound -Protocol TCP -LocalPort 1688 -Action Allow

Best practice e raccomandazioni finali

Pianifica il fabbisogno: calcola core, utenti interni, esterni, sessioni RDS; confronta CAL individuali vs External Connector.
Conserva la prova d’acquisto: fatture, accordi e report VLSC semplificano eventuali audit.
Valuta Software Assurance se ti servono diritti di upgrade a versioni future, licenze per Disaster Recovery o Azure Hybrid Benefit.
Configura un License Server RDS e installa le RDS CAL entro il periodo di grazia.
Documenta l’ambiente: schema dei server, servizi pubblicati e tipo di accesso (interno vs esterno), con ownership e contatti.
Scegli l’attivazione giusta: MAK per isole e test, KMS/ADBA per scala maggiore.
Evita il multiplexing come scorciatoia: non elimina l’obbligo di CAL.
Allinea versioni: usa CAL e RDS CAL di versione uguale o superiore al server.

Soluzioni proposte con azioni consigliate

Canale / Metodo	Quando è indicato	Cosa occorre fare	Vantaggi	Limiti / Attenzioni
Microsoft Store / rivenditori autorizzati (CSP, LSP)	Piccole e medie aziende con poche istanze	Acquista core + CAL + RDS CAL; chiedi supporto al partner per attivazione e installazione pacchetti RDS	Genuine, supporto ufficiale, amministrazione semplice	Prezzo retail più alto; rischio frammentazione se cresci velocemente
VLSC	Aziende con Enterprise, MPSA, Open Value/OVS	Recupera chiavi/ISO, usa VAMT per distribuzione, gestisci downgrade	Sconti, SA, centralizzazione	Richiede governance contrattuale e processi
Licenze Retail (FPP/PKC)	SOHO o casi sporadici	Attivazione online per singola installazione	Reperimento immediato	Prezzi più alti, nessuna SA
KMS / ADBA	Molti host/VM, rebuild frequenti	Allestisci KMS o pubblica oggetto ADBA in AD	Automazione, nessuna chiave per VM	Soglie KMS; necessità di DNS/AD stabili

Riepilogo operativo per Mohamed

Acquisto: tramite CSP/LSP prendi:
- Windows Server 2022 Standard per 16 core + un ulteriore set da 16 core (per arrivare a 4 OSE e coprire 3 VM).
- 1 RDS CAL in modalità per utente.
- 1 External Connector per il server che espone i servizi a esterni.
- Valuta SA se vuoi upgrade e vantaggi in cloud/DR.
Attivazione:
- Per poche VM: MAK su ogni installazione.
- Se prevedi crescita: KMS o ADBA per automatizzare l’attivazione.
RDS:
- Installa il License Server RDS, attivalo e carica la RDS CAL per l’utente interno.
- Imposta GPO per modalità e server licenze, verifica con diagnostica.
Conformità:
- Documenta server, servizi, utenti interni/esterni; archivia prove d’acquisto.
- Ricorda che l’EC non copre Desktop remoto.

Disclaimer: questa guida è pensata per consulenza operativa. Le decisioni finali devono sempre rispettare i termini di licenza applicabili e i contratti attivi della tua organizzazione.