Разбираемся в лицензиях клиентского доступа Microsoft (CAL): какие они бывают и сколько их нужно

В организациях, как правило, используется один или несколько серверов, на которых установлены ОС Windows Server и некоторые сервисы (SQL-сервер для баз данных, Exchange-сервер для почты, календарей и т. д.), которыми пользуются сотрудники. Для того, чтобы использование ИТ-инфраструктуры было законным и, соответственно, не повлекло рисков, необходимо иметь лицензии как для серверов, так и для клиентов.

Что такое клиентская лицензия?

Клиентская лицензия (или CAL — Client Access License) даёт пользователям за их устройствами законное право на доступ к установленному на сервер программному обеспечению Microsoft для серверов — самой Windows, SQL-сервера, Exchange-сервера.

Сама по себе серверная лицензия не предоставляет пользователям и устройствам прав на подключение к серверу. Для этих целей каждый пользователь или устройство должны иметь клиентскую лицензию.

Изготовители серверов, распространяющие программное обеспечение вместе с серверами, могут поставлять лицензии клиентского доступа. При этом приобретаемые вместе с сервером лицензии клиентского доступа предоставляют такие же права, как и аналогичные лицензии, приобретаемые отдельно от оборудования.

Но многие не знают, что корпорация Microsoft больше не поставляет клиентские лицензии (CAL) в составе с операционными системами Windows Server, лицензированными по каналу OEM.

Какие бывают клиентские лицензии и чем они отличаются?

Клиентские лицензии бывают двух типов, и в зависимости от организации работы в компании — используют ли сотрудники несколько устройств или, напротив, за некоторыми устройствами работают поочередно разные люди — можно значительно оптимизировать расходы, выбрав подходящий тип.

Лицензии CAL на пользователя (User CAL)

Лицензируя доступ по числу пользователей, вы покупаете лицензию CAL для каждого сотрудника. При этом не имеет значения, сколько устройств используют сотрудники, для которых вы купили лицензии. Приобретать лицензии CAL по числу пользователей имеет смысл, если сотрудникам вашей компании необходим доступ к корпоративной сети с нескольких разных устройств или если вы не знаете, с каких именно устройств они будут осуществлять доступ. Они также выгодны в тех случаях, когда в организации больше устройств, чем пользователей.

Лицензии CAL на устройство (Device CAL)

Лицензируя доступ по числу устройств, вы покупаете лицензии для каждого устройства, которое обращается к серверу. При этом не важно, сколько пользователей работает с имеющим лицензию устройством. Лицензии CAL на устройство позволяют снизить затраты и упростить администрирование в компаниях, где несколько сотрудников могут использовать одно устройство, например при работе в несколько смен.

Что, если в компании несколько серверов?

В крупной организации может быть сразу несколько серверов. Полезно знать, что наличие CAL-лицензии у пользователя (или устройства) позволяет ему законно работать с любым из них.

Для каких редакций Windows Server нужны клиентские лицензии?

Клиентские лицензии Windows Server 2019 можно использовать и для более ранних версий Windows Server.

Нужны ли CAL-лицензии, если пользователи/устройства не подключаются к серверному ПО Microsoft напрямую?

В компании может использоваться определенный серверный продукт для кадрового управления, бухгалтерского учёта и т. д. с собственной системой лицензирования. Если этот продукт сам по себе обращается к серверному ПО Microsoft — например, SQL Server — то такая схема называется мультиплексированием, и для законного использования нужны CAL-лицензии (в данном примере SQL Server CAL) по числу реальных пользователей/устройств.

Windows Server и клиентские лицензии Per-Device RDS CAL

Недавно, перебираясь на новый сервер лицензирования служб терминалов Remote Desktop Licensing на базе Windows Server 2012 с Windows Server 2008 R2 вспомнил про проблему, описанную в посте форума TechNet трёхлетней давности Terminal Services Licensing Warnings . На старом сервере лицензирования RD Licensing к настоящему моменту был настоящий бардак в смысле отображения имён клиентских компьютеров, получивших лицензии. Виной тому является информация хранящаяся на клиентских компьютерах в ключах реестра:

Не хотелось повторять ситуацию с именами клиентов на новом сервере лицензирования, и поэтому было решено немного углубиться в этот вопрос. В процессе изучения вопроса узнал для себя пару полезных утилит, которые на сегодня имеют уже почтенный возраст и найти их можно в пакете Windows Server 2003 Resource Kit Tools

Утилита Terminal Server Client License Test tool (Tsctst.exe) запускается на клиентском компьютере с одним единственным ключом /A и позволяет в читаемом виде получить информацию, хранящуюся в выше указанных ключах реестра.

По каждой хранящейся в реестре лицензии TS/RDS CAL можно увидеть полную информацию о дате получения, сроке действия, сервере лицензирования и типе лицензии (License ID):

A02-5.00-EX — Windows 2000 TS CAL from the “Built-in” pool.
A02-5.00-S — Windows 2000 TS temporary or permanent CAL.
A02-5.02-S — Windows server 2003 TS temporary or permanent CAL.
A02-6.00-S — Windows server 2008 TS/2008 R2 RDS temporary or permanent CAL.

Другая утилита Terminal Services Licensing Reporter (Lsreport.exe) позволяет получить более подробную информацию о выданных клиентских лицензиях с точки зрения самого сервера лицензирования.

Пример команды для построения отчета о всех выданных лицензиях включая информацию о клиентском HardwareID

LSREPORT /W /F C:TempLSReport.txt LICSERVER01

Итак, если на протяжении цикла жизни клиентского компьютера менялось его имя, то может получиться так, что в выше указанных ключах реестра будет храниться устаревшая информация и передаваться в таком же виде на сервер лицензирования, что в конечном итоге может привести к путанице и неразберихе. В качестве решения этой проблемы, да ещё и с учетом перехода на новый сервер лицензирования, может оказаться полезным выполнение очистки устаревшей информации из реестра на всех пользовательских компьютерах. Под очисткой подразумевается удаление соответствующих ключей реестра с добавлением прав на запись в родительский ключ, для того чтобы в дальнейшем у пользователей не возникло проблем с регенерацией этой информации в контексте их прав. Для решения этой задачи после ряда экспериментов получился следующий PowerShell скрипт:

Скрипт получает список разрешений на родительский ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing и если в списке отсутствуют разрешения для групп Interactive Users (IU) или BUILTIN Users (BU), то добавляются разрешения для группы интерактивных пользователей, дающие право создания под-ключей и установки значений, после чего происходит рекурсивное удаление всего содержимого указанного ключа реестра.

Скрипт выполняется на клиентских компьютерах в контексте системы (с полным набором прав). Доставку и запуск скрипта на клиентских компьютерах можно спланировать с помощью разных методов и средств, например GPO или SCCM.

После этого, при следующем подключении к терминальным серверам, клиенты заново сгенерируют идентификационную клиентскую информацию и отправят её на сервер лицензирования RDS с новым запросом на получение клиентской лицензии. Разумеется, желательно тщательно спланировать этот процесс, чтобы не получилось так, что в один момент на сервере лицензирования попросту не останется свободных клиентских лицензий, так как каждый клиент будет занимать по две лицензии. Именно поэтому самым удобным моментом для такого “наведения порядка” может стать перевод клиентов с одного сервера лицензирования на другой.

Дополнительные полезные источники информации:

Device cal для windows server 2012

В данной статье рассмотрим в чем разница между лицензиями Windows Server User Cal и Device CAL, т.е лицензия на устройство и на пользователя.

Что такое вообще клиентские лицензии User CAL / Device CAL (на пользователя / на устройство)?

Клиентская лицензия (или CAL — Client Access License) — Это клиентская лицензия для возможности подключения к Windows Server (RDP — терминальные лицензии), SQL Server, или Exchange Server. Сама по себе серверная лицензия выполняет только серверные задачи, и не дает возможности подключаться пользователям к функционалу данного ПО, чтобы такая возможность была Вам нужно отдельное лицензирование User CAL, или Device CAL.

К примеру для использования RDP (удаленные рабочие столы) на Windows Server больше 2х подключений пользователей нужно приобрести клиентские лицензии User CAL / Device CAL.

Лицензия User CAL (На пользователя)

Позволяет одному пользователю осуществлять доступ к серверному программному обеспечению с любого устройства. Т.е не имеет значения с какого устройства (компьютера) будет заходить определенный пользователь.

Приобретая данную лицензию, к примеру на 50 пользователей, Вы можете распределить данную лицензию на всех своих сотрудников и не важно с каких устройств одни будут подключаться к серверу.

Лицензия Device CAL (На устройство)

Позволяет любому числу пользователей подключаться с одного устройства (компьютера). Простыми словами — это клиентская лицензия на сами компьютеры.

Приобретая такую лицензию, к примеру на 50 устройств, Вы приобретаете лицензию на каждое устройство по отдельности в Вашей организации. И не важно сколько пользователей у Вас будет, главное чтобы самих подключенных устройств (компьютеров) не превышало максимальное число доступной в Вашей клиентской лицензии. (иначе будут ошибки при превышении лимита)

Какой способ лицензирования нужен именно Вам?

Если речь о терминальных лицензиях (RDP — Удаленных рабочих столов) — тут все просто, если в Ваш сервер подключен к домену, то Вам нужно «На пользователя (User CAL)», если же Вы не используете домен в Вашем сервере, то Вам нужен «На устройство (Device CAL)». Т.к если лицензировать RDP без подключенного домена — «на пользователя», то у Вас будут выходить следующие ошибки, они решаются путем смены настроек в Windows Server в режим «На устройство», и Ваша клиентская лицензия будет работать соответственно не «на пользователя», а «на устройство».

Приобрести ключи активации User Cal и Device CAL по самым низким ценам можете в нашем каталоге, доставка ключей на Вашу электронную почту в течении нескольких часов. В наличии терминальные лицензии для Windows Server 2019, 2016, 2012 R2 и 2008 R2.

Windows Server и клиентские лицензии Per-Device RDS CAL

Недавно, перебираясь на новый сервер лицензирования служб терминалов Remote Desktop Licensing на базе Windows Server 2012 с Windows Server 2008 R2 вспомнил про проблему, описанную в посте форума TechNet трёхлетней давности Terminal Services Licensing Warnings . На старом сервере лицензирования RD Licensing к настоящему моменту был настоящий бардак в смысле отображения имён клиентских компьютеров, получивших лицензии. Виной тому является информация хранящаяся на клиентских компьютерах в ключах реестра:

Не хотелось повторять ситуацию с именами клиентов на новом сервере лицензирования, и поэтому было решено немного углубиться в этот вопрос. В процессе изучения вопроса узнал для себя пару полезных утилит, которые на сегодня имеют уже почтенный возраст и найти их можно в пакете Windows Server 2003 Resource Kit Tools

Утилита Terminal Server Client License Test tool (Tsctst.exe) запускается на клиентском компьютере с одним единственным ключом /A и позволяет в читаемом виде получить информацию, хранящуюся в выше указанных ключах реестра.

По каждой хранящейся в реестре лицензии TS/RDS CAL можно увидеть полную информацию о дате получения, сроке действия, сервере лицензирования и типе лицензии (License ID):

A02-5.00-EX — Windows 2000 TS CAL from the “Built-in” pool.
A02-5.00-S — Windows 2000 TS temporary or permanent CAL.
A02-5.02-S — Windows server 2003 TS temporary or permanent CAL.
A02-6.00-S — Windows server 2008 TS/2008 R2 RDS temporary or permanent CAL.

Другая утилита Terminal Services Licensing Reporter (Lsreport.exe) позволяет получить более подробную информацию о выданных клиентских лицензиях с точки зрения самого сервера лицензирования.

Пример команды для построения отчета о всех выданных лицензиях включая информацию о клиентском HardwareID

LSREPORT /W /F C:TempLSReport.txt LICSERVER01

Итак, если на протяжении цикла жизни клиентского компьютера менялось его имя, то может получиться так, что в выше указанных ключах реестра будет храниться устаревшая информация и передаваться в таком же виде на сервер лицензирования, что в конечном итоге может привести к путанице и неразберихе. В качестве решения этой проблемы, да ещё и с учетом перехода на новый сервер лицензирования, может оказаться полезным выполнение очистки устаревшей информации из реестра на всех пользовательских компьютерах. Под очисткой подразумевается удаление соответствующих ключей реестра с добавлением прав на запись в родительский ключ, для того чтобы в дальнейшем у пользователей не возникло проблем с регенерацией этой информации в контексте их прав. Для решения этой задачи после ряда экспериментов получился следующий PowerShell скрипт:

Скрипт получает список разрешений на родительский ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing и если в списке отсутствуют разрешения для групп Interactive Users (IU) или BUILTIN Users (BU), то добавляются разрешения для группы интерактивных пользователей, дающие право создания под-ключей и установки значений, после чего происходит рекурсивное удаление всего содержимого указанного ключа реестра.

Скрипт выполняется на клиентских компьютерах в контексте системы (с полным набором прав). Доставку и запуск скрипта на клиентских компьютерах можно спланировать с помощью разных методов и средств, например GPO или SCCM.

После этого, при следующем подключении к терминальным серверам, клиенты заново сгенерируют идентификационную клиентскую информацию и отправят её на сервер лицензирования RDS с новым запросом на получение клиентской лицензии. Разумеется, желательно тщательно спланировать этот процесс, чтобы не получилось так, что в один момент на сервере лицензирования попросту не останется свободных клиентских лицензий, так как каждый клиент будет занимать по две лицензии. Именно поэтому самым удобным моментом для такого “наведения порядка” может стать перевод клиентов с одного сервера лицензирования на другой.

Дополнительные полезные источники информации: