Si vas a desplegar PostgreSQL 14 y Tomcat 9 sobre Windows Server 2022 Standard, lo primero que debes aclarar es si cada persona o dispositivo que use la aplicación web necesita Client Access Licenses (CALs). En este artículo desglosamos la normativa de licenciamiento, aclaramos la excepción de web workload y ofrecemos una guía paso a paso para salir de dudas.
Por qué las CAL siguen siendo un tema crítico
Quien administra un servidor Windows sabe que la compra del sistema operativo es solo el comienzo. Las CAL representan el “derecho de entrada” para que usuarios o dispositivos internos —empleados, técnicos, consultores in‑situ— puedan autenticarse o consumir servicios que ofrece Windows Server. Sin ellas, cualquier auditoría de software puede derivar en costosas sanciones y un plan de regularización que golpee el presupuesto de TI.
Regla general de Microsoft
La política oficial es inequívoca: «Todo usuario o dispositivo que acceda —directa o indirectamente— a funciones o contenido proporcionado por Windows Server debe poseer su correspondiente CAL». “Indirectamente” incluye escenarios de multiplexing, es decir, cuando varias conexiones se agrupan a través de un proceso intermedio (una API, un servicio web, un ODBC, un proxy, etc.). El hecho de que, de cara al sistema operativo, solo se vea una cuenta de servicio no reduce el número de CAL exigibles; Microsoft contabiliza a los consumidores finales que están “detrás” de la capa intermedia.
La excepción de web workload
Existen dos exenciones expresas en la licencia estándar de Windows Server:
- Web workload: servicios basados exclusivamente en HTTP/HTTPS sin autenticación del sistema operativo ni consumo de otros recursos de Windows.
- HPC workload: cargas de computación de alto rendimiento reguladas en términos aparte.
Cuando tu servidor se limita a entregar páginas, archivos estáticos o APIs REST a través de un contenedor como Tomcat, y los usuarios no necesitan autenticarse en Windows ni acceder a recursos adicionales (comparticiones, impresoras, RDP, PowerShell Remoting, etc.), Microsoft considera que puede estar amparado por la exención de web workload.
Aquí radica el matiz: la documentación de licenciamiento habla de “websites” y “web‑based applications” pero no define con precisión legal dónde termina la capa web y dónde comienza el uso de servicios del sistema operativo. Por ello, la compañía recomienda validar cada caso con tu partner LSP/LAR de confianza.
Criterios para determinar si tu aplicación se ajusta a la exención
En la práctica, existen cuatro filtros que conviene revisar:
- Protocolo de acceso: ¿todo el tráfico usa HTTPS o HTTP? Si entra tráfico SMB, FTP, RDP o WinRM, la exención se debilita.
- Autenticación: ¿los usuarios inician sesión con cuentas de dominio o locales de Windows? Si la respuesta es sí, necesitas CALs.
- Dependencias internas: ¿la aplicación lee o escribe en carpetas compartidas, eventos de Windows, colas MSMQ o impresoras? Cada recurso compartido requiere CAL.
- Usuarios finales: ¿solo empleados internos acceden a la aplicación? Para usuarios externos (clientes, proveedores) existe la opción de External Connector.
Tipos de CAL y cómo elegir
| Tipo de licencia | Ventaja principal | Cuándo conviene |
|---|---|---|
| CAL de usuario | Un único usuario accede desde varios dispositivos. | Entornos con teletrabajo o departamentos con portátiles + sobremesa + móvil corporativo. |
| CAL de dispositivo | Varios usuarios comparten el mismo PC o thin client. | Call centers, terminales de planta, aulas de formación. |
| External Connector | Tarifa plana por servidor para usuarios externos. | Portales B2B/B2C con miles de clientes o proveedores. |
Escenarios habituales y resolución
Escenario A – Aplicación web interna pura
Los empleados sólo interactúan vía navegador con Tomcat; no hay mapeo de unidades de red ni impresión directa. Se almacena todo en PostgreSQL sobre el mismo servidor.
Posible resolución: encaja dentro de web workload; licencia básica del sistema y sin CAL adicionales. Aun así, documenta la arquitectura y valida con tu revendedor.
Escenario B – Aplicación web con carpetas compartidas
La aplicación exporta informes PDF a un directorio SMB al que los usuarios acceden manualmente.
Resolución: cada usuario o dispositivo que abra la carpeta necesita CAL; la exención ya no aplica por uso de SMB.
Escenario C – Autenticación integrada en Active Directory
El equipo de seguridad exige Single Sign‑On mediante Kerberos.
Resolución: la sesión autenticada contra el SO implica CAL, aunque el tráfico del navegador sea HTTP/HTTPS.
Escenario D – Clientes externos
Se lanza un portal para distribuidores que consultan precios y stock.
Resolución: dos vías:
- External Connector por servidor, ideal cuando el número de distribuidores es alto e impredecible.
- CAL de usuario nominativa si son pocos y siempre los mismos.
Pasos para calcular las CAL necesarias
- Haz un inventario de todos los dispositivos y usuarios que tocan el servidor, directa o indirectamente.
- Clasifica el tipo de acceso (HTTP puro, carpetas compartidas, RDP, impresión, etc.).
- Identifica accesos externos versus internos.
- Aplica la matriz CAL de usuario / CAL de dispositivo / External Connector.
- Documenta por escrito la metodología y conserva correos de confirmación con el proveedor.
Buenas prácticas para superar una auditoría de licenciamiento
- Evidencia técnica: diagramas de red, capturas de configuración de Tomcat, políticas de firewall.
- Evidencia comercial: facturas de compra de CALs o del External Connector, contrato con Microsoft o mayorista.
- Procedimiento interno: una política de altas/bajas que actualice el recuento de CALs cada trimestre.
- Herramientas SAM: emplea software de gestión de activos para detectar picos de uso.
Alternativas cuando el presupuesto es ajustado
Windows Server 2022 Essentials incluye derechos de acceso para hasta 25 usuarios o 50 dispositivos sin necesidad de comprar CAL adicionales. Es una opción atractiva para pymes con un único servidor físico o virtual, siempre que no necesiten roles avanzados como Failover Clustering o más de dos CPUs lógicas.
Otra vía es trasladar la carga web a Azure App Service o contenedores Linux en un host gratuito. Al sacar la capa web de Windows, el servidor on‑premise pasa a actuar como base de datos o backend y se recalcula el número de CAL requeridas.
Preguntas frecuentes
¿Las CAL son de por vida?
Las CAL perpetuas no caducan, pero solo cubren la versión específica de Windows Server adquirida o versiones anteriores (downgrade). Para versiones futuras necesitas cobertura Software Assurance o nuevas CAL.
¿Las CAL de Windows cubren Escritorio Remoto?
No. El acceso RDS exige CAL “Additive” adicionales (RDS CAL). Piensa en las CAL estándar como base, y en las CAL “Additive” como extensiones.
¿Puedo mezclar CAL de usuario y de dispositivo?
Sí, la licencia lo permite. Combinar ambos tipos suele optimizar costes en organizaciones híbridas (oficinas fijas + personal móvil).
¿Qué ocurre si sobrepaso el número de CAL?
Durante una auditoría, Microsoft te requerirá regularizar la situación retroactivamente pagando las CAL faltantes y, en algunos casos, penalizaciones contractuales.
Checklist final antes de comprar o descartar CALs
- Confirmar quién accede, cómo y desde dónde.
- Identificar servicios de Windows utilizados aparte de HTTP/HTTPS.
- Validar con el partner de licenciamiento y guardar su respuesta por escrito.
- Plan de crecimiento: prever picos estacionales y proyectos futuros (RDS, BI, etc.).
- Revisar cada año la arquitectura; los cambios de versión de Tomcat o PostgreSQL pueden alterar requisitos.
Conclusión
La tentación de asumir que “solo una aplicación web” no necesita CALs es comprensible, pero peligrosa. El truco reside en demostrar que tu servidor Windows Server 2022 Standard se utiliza exclusivamente como plataforma HTTP/HTTPS sin ningún otro servicio del sistema operativo en juego. Si cumples esa premisa, la exención de web workload puede ahorrarte una inversión apreciable en CALs. Si no la cumples —o tienes la más mínima duda— invierte tiempo en medir, clasificar accesos y documentar tu caso con el distribuidor. Ese dossier será tu seguro contra futuras auditorías.