Установка и активация сервера лицензирования RDS на Windows Server 2019/2016

В это статье мы рассмотрим процесс установки, настройки и активации роли сервера лицензирования удаленных рабочих столов (Remote Desktop Licensing) на базе Windows Server 2016 или 2019, а также процедуру установки и активации клиентских терминальных (CAL).

Напомню, что после установки роли терминального сервера Remote Desktop Session Host, пользователи могут использовать его только в течении пробного периода 120 дней, после окончания которого возможность подключения к удаленному RDS серверу пропадает. Согласно схеме лицензирования Microsoft, все пользователи или устройства, использующие возможности RDS, должны быть лицензированы. Для учета и выдачи терминальных лицензий (RDS CAL) существует отдельная роли в службе RDS — Remote Desktop License Server.

Установка роли Remote Desktop Licensing в Windows Server 2019/2016

Вы можете развернуть компонент Remote Desktop License на любом сервере домена, не обязательно устанавливать его на одном из серверов фермы RDSH.

Переда началом установки сервера лицензирования RDS нужно добавить (или убедиться, что у вас есть право на добавление) нового сервера в доменную группу Terminal Server License Servers, иначе сервер не сможет выдать CAL типа RDS Per User пользователям домена.

Установить службу Remote Desktop Licensing можно через консоль Server Manager. Для этого в мастере Add Roles and Features выберите роль Remote Desktop Services.

В качестве компонента роли нужно выбрать службу Remote Desktop Licensing.

Осталось дождаться окончания установки роли.

Дополнительно установите утилиту для диагностики проблем лицензирования на серверах RDS — Remote Desktop Licensing Diagnoser (lsdiag.msc), которую можно установить с помощью Server Manager: Features -> Remote Server Administration Tools -> Role Administration Tools -> Remote Desktop Services Tools -> Remote Desktop Licensing Diagnoser Tools (по умолчанию при установке службы RDS-Licensing устанавливается только консоль Remote Desktop Licensing Manager — licmgr.exe).

Также вы можете установить компонент лицензирования RDS и RD Licensing Diagnoser с помощью PowerShell:

Install-WindowsFeature RDS-Licensing –IncludeAllSubFeature -IncludeManagementTools

Активация сервера лицензий RDS в Windows Server

Чтобы сервер лицензирования RDS мог выдавать лицензии клиентам, его необходимо активировать. Для этого, откройте консоль Remote Desktop Licensing Manager (licmgr.exe), щелкните ПКМ по имени вашего сервера и выберите пункт меню Activate Server.

Запустится мастер активации сервера лицензирования RDS, в котором нужно будет выбрать желаемый метод активации. Если ваш сервер имеет доступ в Интернет, он может автоматически подключиться к серверам Microsoft. Если доступа в интернет с сервера нет, можно активировать сервер через веб браузер или по телефону.

Далее нужно будет заполнить ряд информации о вашей организации (часть полей является обязательными).

Осталось нажать кнопку Finish.

Теперь, если в консоли щелкнуть ПКМ по имени сервера и выбрать пункт Review Configuration, можно убедится что данный сервер лицензий RDS является активированным и может быть использован для активации RDS клиентов в домене.

Типы клиентских терминальных лицензий (RDS CAL)

Каждый пользователь или устройство, которое подключается к серверам Remote Desktop Session должно иметь клиентскую лицензию (CAL — client access license). Есть два типа терминальных CAL.

• На устройство (Per Device CAL) – это постоянный тип лицензии, назначающаяся компьютеру или устройству, которое подключается к RDS серверу более одного раза (при первом подключении устройства ему выдается временная лицензия). Данные лицензии не являются конкурентными, т.е. если у вас 10 лицензий Per Device, то к вашему RDS серверу смогут подключится всего 10 хостов.
• На пользователя (Per User CAL) – такой тип лицензии позволяет одному пользователю подключаться к серверу RDS с любого количества компьютеров/устройств. Данный тип лицензий привязывается к пользователю Active Directory, но выдается не навсегда, а на определенный период времени (90 дней по-умолчанию).

Установка клиентских лицензий RDS CAL в Windows Server 2016/2019

Теперь на сервер лицензирования нужно установить приобретенный пакет терминальных лицензий (RDS CAL).

В консоли Remote Desktop Licensing Manager щелкните ПКМ по серверу и выберите Install Licenses.

Выберите способ активации (автоматически, через веб или по телефону) и программу лицензирования (в нашем случае Enterprise Agreement).

Следующие шаги мастера зависят от того, какой тип лицензирования выбран. В случае Enterprise Agreement нужно указать его номер. Если выбран тип лицензирования License Pack (Retail Purchase), нужно будет указать 25-символьный ключ продукта, полученный от Microsoft.

Тип продукта (Windows Server 2016/2019), тип лицензии (RDS Per user CAL) и количество лицензий, которые нужно установить на сервере.

После этого, сервер может выдавать лицензии (RDS CAL) клиентам.

Вы можете сконвертировать RDS лицензии User CAL в Device CAL (и наоборот) с помощью контекстного меню Convert Licenses в консоли RD Licensing Manager.

Если у вас закончились свободные лицензии, вы можете отозвать ранее выданные лицензии RDS Device CAL для неактивных компьютеров с помощью следующего скрипт PowerShell:

$RevokedPCName=”msk-pc2332”
$licensepacks = Get-WmiObject win32_tslicensekeypack | where <($_.keypacktype -ne 0) -and ($_.keypacktype -ne 4) -and ($_.keypacktype -ne 6)>
$licensepacks.TotalLicenses
$TSLicensesAssigned = gwmi win32_tsissuedlicense | where <$_.licensestatus -eq 2>
$RevokePC = $TSLicensesAssigned | ? sIssuedToComputer -EQ $RevokedPCName

Удаление RDS CAL с сервера лицензирования

Если вы хотите перенести свой набор лицензий RDS CAL с одного сервера лицензирования Remote Desktop на другой, вы можете удалить установленные лицензии с сервера лицензирования с помощью PowerShell.

С помощью следующего командлета вы можете вывести список установленных пакетов RDS лицензий на сервере:

Get-WmiObject Win32_TSLicenseKeyPack|select-object KeyPackId,ProductVersion,TypeAndModel,AvailableLicenses,IssuedLicenses |ft

Найдите значение KeyPackId для пакета RDS CAL, который нужно удалить и выполите команду:

wmic /namespace:\\root\CIMV2 PATH Win32_TSLicenseKeyPack CALL UninstallLicenseKeyPackWithId KEYPACKID

Также вы можете полностью удалить все наборы CAL, пересоздав базу лицензий RDS. Для этого остановите службу Remote Desktop Licensing:

Переименуйте файл C:\Windows\System32\lserver\TLSLic.edb в C:\Windows\System32\lserver\TLSLic.bak и запустите службу:

После этого все RDS CAL лицензии будут удалены, и вы должны активировать их заново.

Настройка сервера лицензий на серверах RD Session Host

После того, как служба сервера лицензирования RDS запущена и активирована, можно перенастроить терминальные сервера RD Session Host на получение лицензий с данного сервера. Выбрать тип лицензий и указать имя терминального сервера из графического интерфейса Server Manager, с помощью PowerShell или групповой политики.

Чтобы изменить адрес сервера лицензирования на хосте RDS, откройте Server Manager -> Remote Desktop Services -> Collections. В правом верхнем меню “Tasks” выберите “Edit Deployment Properties”.

В настройках перейдите на вкладку RD Licensing, выберите тип лицензирования (Select the Remote Desktop licensing mode) и сервер RDS лицензий (Specify a license server). Нажмите Add -> Ok.

Вы можете изменить адрес сервера лицензирования RDS и тип CAL с помощью PowerShell:

$obj = gwmi -namespace «Root/CIMV2/TerminalServices» Win32_TerminalServiceSetting

Затем укажите желаемый тип лицензирования:

Теперь можно указать имя сервера лицензирования RDS:

И проверить настройки:

При настройке через GPO, нужно создать новую GPO и назначить ее на OU с RDS серверами (либо вы можете указать имя сервера лицензирования RDS с помощью локального редактора групповых политик – gpedit.msc). Настройки лицензирования задаются в разделе: Computer Configuration -> Policies -> Admin Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Licensing.

В этом разделе имеется 2 интересующие нас политики:

• Use the specified Remote Desktop license servers – здесь указывается адрес сервера лицензирования RDS;
• Set the Remote Desktop licensing mode – выбор метода лицензирования (типа клиентских лицензий – RDS CAL).

Remote Desktop Session Host -> Licensing» width=»562″ height=»348″ srcset=»https://winitpro.ru/wp-content/uploads/2017/11/gpo-greater-remote-desktop-session-host-greater-licensing.png 772w, https://winitpro.ru/wp-content/uploads/2017/11/gpo-greater-remote-desktop-session-host-greater-licensing-300×185.png 300w, https://winitpro.ru/wp-content/uploads/2017/11/gpo-greater-remote-desktop-session-host-greater-licensing-768×475.png 768w» sizes=»(max-width: 562px) 100vw, 562px»/>

• TCP/135 (Microsoft RPC)
• UDP/137 (NetBIOS Datagram Service)
• UDP/138 (NetBIOS Name Resolutio)
• TCP/139 (NetBIOS Session Service)
• TCP/445 (SMB)
• TCP 49152 – 65535 — RPC динамический диапазон адресов

Вы можете проверить доступность портов с помощью утилиты PortQry либо командлета Test-NetConnection.

Проверить статус сервера лицензий и количество выданных лицензий можно с помощью консоли RD Licensing Diagnoser.

Если предупреждений нет, и вы видите сообщение «RD Licensing Diagnoser did not identify any licensing problems for the Remote Desktop Session Host server«, значит RDSH сервер может получать лицензии RDS CAL для пользователей.

Microsoft Windows Server CAL 2016

Скачать прайс-лист Adobe Systems

В связи с особенностями лицензирования, цена на данный продукт предоставляется по запросу.

Программное обеспечение Microsoft Windows Server CAL – это официальный документ (не программное обеспечение), дающий право пользователю осуществлять доступ к серверу Windows в сети. Клиентская лицензия нужна: для осуществления доступа к серверу с устройства в сети, или удаленного, вне зависимости от используемой ОС; для использования базовых служб серверов. При данной схеме лицензирования общее количество клиентских лицензий должно быть равно общему количеству клиентских ПК или пользователей в сети.

Лицензия Microsoft Windows Server CAL требуется к редакциям Microsoft Windows Server Standard и Datacenter выпуска. Кроме того, добавочные CAL-лицензии приобретаются в дополнение к Microsoft Windows Server CAL для доступа к службам удаленных рабочих столов (RDS CAL) и службам управления правами Active Directory (AD RMS CAL).

Клиентские лицензии Microsoft Windows Server CAL могут быть на устройство и на пользователя. Лицензия на устройство позволяет любому числу пользователей осуществлять доступ к серверному ПО с одного устройства. Данный тип CAL удобен для тех организаций, где несколько пользователей работают на одном устройстве.

Лицензия на пользователя позволяет одному пользователю осуществлять доступ к серверному ПО с любого числа устройств. Данный тип CAL удобен для тех организаций, где много мобильных сотрудников, которым необходим доступ к корпоративной сети с произвольных устройств, или сотрудников, использующих несколько устройств для доступа к сети.

Новое в версии Windows Server 2016

Hyper-V

Контейнеры Windows: поддержка контейнеров в Windows Server 2016 обеспечивает повышение производительности, упрощенное управления сетями и использование контейнеров Windows в Windows 10.

Сервер Nano Server

В Nano Server обновлен модуль для создания образов Nano Server. Это обновление включает дополнительное разграничение функций физического узла и гостевой виртуальной машины, а также поддержку разных выпусков Windows Server. Кроме того, усовершенствован агент восстановления: разграничены правила брандмауэра для входящего и исходящего трафика, а также добавлена возможность восстановить настройки службы WinRM.

Службы удаленных рабочих столов

Развертывание высокодоступной среды служб удаленных рабочих столов позволяет использовать базу данных SQL Azure для посредников подключений к удаленному рабочему столу в режиме высокой доступности.

Удостоверение и доступ

Новые компоненты удостоверения повышают уровень защиты сред Active Directory для организаций, а также помогают перейти к развертываниям только для облачной среды и гибридным развертываниям, в которых некоторые приложения и службы размещены в облаке, а другие — на локальном компьютере.

Службы сертификатов Active Directory

Новые возможности служб сертификатов Active Directory. Для служб сертификатов Active Directory (AD CS) в Windows Server 2016 увеличена поддержка аттестации ключей доверенного платформенного модуля. Теперь можно использовать KSP смарт-карты для аттестации ключей. Для устройств, не присоединенных к домену, теперь можно использовать регистрацию NDES, чтобы получить сертификат, который можно аттестовать для ключей в доверенном платформенном модуле.

Доменные службы Active Directory

Доменные службы Active Directory содержат усовершенствования, которые помогут организациям обеспечить безопасность сред Active Directory и повысить эффективность выполнения задач по управлению удостоверениями для корпоративных и персональных устройств.

Службы федерации Active Directory (AD FS)

В состав служб федерации Active Directory (AD FS) в Windows Server 2016 включены новые возможности, которые позволяют настраивать AD FS для проверки подлинности пользователей, хранящихся в каталогах LDAP.

Прокси-сервер веб-приложения

Последняя версия прокси-службы веб-приложения обеспечивает новые возможности для публикации и предварительной проверки подлинности дополнительных приложений, а также удобство работы пользователей.

Управление и автоматизация

Windows PowerShell 5.0 содержит важные новые компоненты, в том числе поддержку разработки с использованием классов и новые средства безопасности, которые расширяют возможности использования, повышают удобство использования и упрощают комплексное управление средами для Windows.

Программно-определяемая сеть

Теперь доступны зеркалирование и маршрутизация трафика для новых или существующих виртуальных модулей. Вместе с распределением брандмауэра и групп безопасности сети пользователь получает возможность динамически сегментировать и защищать рабочие нагрузки так же, как в Azure. Кроме того, можно развертывать целый стек программно конфигурируемой сети (SDN) и управлять ими с помощью System Center Virtual Machine Manager.

Повышенная производительность TCP

Начальный период перегрузки (ICW) по умолчанию был увеличен с 4 до 10, а также была реализована функция TCP Fast Open (TFO). TFO сокращает время, необходимое для установки TCP-соединения, а увеличенный период ICW позволяет передавать более крупные объекты в рамках начальной отправки. Такое сочетание может значительно снизить время, необходимое для передачи интернет-объекта между клиентом и облаком.

Just Enough Administration

Just Enough Administration в Windows Server 2016 — это технология безопасности, позволяющая делегировать администрирование всех компонентов, которыми можно управлять через Windows PowerShell. Возможности включают в себя поддержку выполнения с сетевым удостоверением, подключение через PowerShell Direct, безопасное копирование файлов из конечных точек JEA и в них, а также настройку консоли PowerShell для запуска в контексте JEA по умолчанию.

Credential Guard

Для защиты секретов Credential Guard использует безопасность на основе виртуализации, чтобы только привилегированное системное ПО могло получать доступ к этим данным.

Удаленный Credential Guard

Credential Guard поддерживает сеансы RDP, чтобы учетные данные пользователя оставались на стороне клиента и не предоставлялись на стороне сервера. Это также обеспечивает единый вход для удаленного рабочего стола.

Device Guard (целостность кода)

Device Guard обеспечивает целостность кода режима ядра (KMCI) и целостность кода пользовательского режима (UMCI) путем создания политик, которые указывают, какой код может выполняться на сервере.

Экранированные виртуальные машины

Windows Server 2016 предоставляет новые экранированные виртуальные машины на основе Hyper-V для защиты любой виртуальной машины поколения 2 от скомпрометированной структуры.

Защитник Windows

Windows Server Antimalware будет обновлять определения для антивредоносного ПО и защищать компьютер без пользовательского интерфейса.

Защита потока управления

Защита потока управления (CFG) — это компонент безопасности платформы, предназначенный для борьбы с уязвимостями на базе повреждения памяти.

Дисковые пространства прямого подключения

Локальные дисковые пространства позволяют создавать масштабируемые хранилища с высоким уровнем доступности с помощью серверов с локальным хранилищем. Они упрощают развертывание и администрирование программно-определяемых систем хранения данных и открывают возможность использования дисковых устройств новых классов, например SATA SSD и NVMe.

В рамках

акции все клиенты компании Softline, которые приобрели лицензии Microsoft, смогут бесплатно получать стандартную и расширенную поддержку, в том числе с возможностью выезда!

Лицензирование продукта

Модели лицензирования Windows Server 2016

Для ОС Windows Server 2016 предусмотрено две модели лицензирования: на основе ядер и на основе клиентских лицензий (CAL). В выпусках Windows Server Standard, Datacenter или Multipoint для каждого пользователя и (или) устройства необходимо приобрести лицензию Windows Server CAL или Windows Server и Remote Desktop Services (RDS) CAL. Лицензия Windows Server CAL дает пользователю или устройству право доступа к любому выпуску Windows Server аналогичной или более ранней версии. Лицензия Window Server CAL предоставляет доступ к нескольким лицензиям Windows Server.

Стоимость лицензий Windows Server 2016 для выпусков Standard и Datacenter расчитывается по количеству ядер, а не процессоров. Такая модель лучше подходит для сред с несколькими облаками, упрощает перенос рабочих нагрузок Windows Server благодаря льготе гибридного использования Azure и уменьшает расхождения между различными методами лицензирования.

Выпуски	Лицензируемая модель	Требования CAL
Windows Server 2016 Datacenter	По количеству ядер	Windows Server CAL
Windows Server 2016 Standard	По количеству ядер	Windows Server CAL
Windows Server 2016 Essentials	По количеству процессоров	Лицензии CAL не требуются
Windows Server 2016 MultiPoint Premium Server	По количеству процессоров	Windows Server CAL+ Remote Desktop Services CAL
Windows Storage Server 2016	По количеству процессоров	Лицензии CAL не требуются

Чтобы использовать службы удаленных рабочих столов, службы управления правами Active Directory и другие дополнительные и улучшенные функции, нужно приобрести специальные лицензии CAL.

Выпуски Windows Server 2016 Standard и Datacenter: лицензирование по количеству ядер

• Все физические ядра сервера подлежат лицензированию. Стоимость лицензии каждого физического сервера определяется исходя из количества ядер установленных в нем процессоров.
• Каждый сервер должен иметь лицензию минимум на 16 ядер.
• Каждый физический процессор должен иметь лицензию минимум на 8 ядер.
• Лицензии будут продаваться в комплектах из двух ядер.
• Для каждого физического сервера необходимо приобрести хотя бы восемь комплектов лицензий на два ядра. Стоимость лицензии для двух ядер составляет одну восьмую стоимости лицензии для двух процессоров соответствующего выпуска Windows Server 2012 R2.
• Выпуск Standard предоставляет права на две OSE или два контейнера Hyper-V, если все физические ядра сервера лицензированы. Для каждых двух дополнительных виртуальных машин требуется повторное лицензирование всех ядер сервера.
• Стоимость лицензии на 16 ядер для выпусков Windows Server 2016 Datacenter и Standard равна стоимости лицензии на два процессора соответствующих выпусков Windows Server 2012 R2.

До 8 ядер на процессор и 16 ядер на сервер: Клиенты получат лицензии минимум на 8 ядер для каждого процессора или 16 ядер для каждого сервера.

Больше 8 ядер на процессор и 16 ядер на сервер: Клиенты получат лицензии для серверов с более чем 8 ядрами на процессор или 16 ядрами на сервер.