Montar un servidor Windows Server 2022 exclusivo para arrancar clientes por PXE y desplegar imágenes MDT parece sencillo, pero el aspecto de licenciamiento genera dudas: ¿basta con la licencia por núcleos o también hay que comprar 50 CALs? A continuación desgranamos la normativa, los matices y las mejores prácticas.
Contexto del escenario PXE/MDT
En la mayoría de laboratorios, aulas o entornos de pruebas se instala un único host físico con Windows Server 2022 (Standard o Datacenter). Sobre él se habilitan:
- Windows Deployment Services (WDS) para responder a peticiones PXE.
- Microsoft Deployment Toolkit (MDT) que, apoyado en WinPE, descarga la imagen y automatiza la instalación de Windows 10/11 o de un sistema operativo de servidor.
No se implementan Controladores de Dominio, ni se ofrece File Sharing continuo, ni otros servicios típicos que obliguen a registrar usuarios.Durante el arranque los 50 PCs solo leen ficheros vía TFTP y, brevemente, por SMB anónimo.
Cómo se licencia Windows Server 2022
Licencia «Core» obligatoria
Desde Windows Server 2016 toda la línea de servidor se licencia por núcleos físicos. Microsoft impone:
- Mínimo 8 cores por CPU.
- Mínimo 16 cores por servidor.
Con un único socket de 8 núcleos, compro exactamente un pack de 16 cores y cumplo. Si añado procesadores o activo hyper‑threading de forma que el número de núcleos físicos aumente, debo igualar la compra de licencias.
Edición Standard vs Datacenter
Para un servidor de despliegue puro casi siempre basta con Windows Server 2022 Standard. Solo optaría por Datacenter si aprovecho características como virtualización ilimitada o Storage Spaces Direct.
Qué son las CAL y por qué existen
Más allá de la licencia del sistema operativo, Microsoft exige una Client Access License (CAL) cada vez que un usuario o un dispositivo «accede o consume servicios» de Windows Server. Existen dos formatos:
- User CAL – una por persona, válida para todos los dispositivos que use.
- Device CAL – una por máquina, sin límite de usuarios que la compartan.
La elección habitual en laboratorios masivos es Device CAL porque suele haber más PCs que técnicos. No confundir con las RDS CAL: estas solo hacen falta si habilito Escritorio Remoto como «host de sesión».
Pero… ¿arrancar por PXE cuenta como acceso?
| Aspecto a evaluar | Detalle aplicado al escenario |
|---|---|
| Autenticación | Los clientes descargan boot.wim de forma anónima; no se valida usuario en el dominio. |
| Protocolos utilizados | TFTP y SMB ligero, limitados a lectura temporal. |
| Consumo de roles | Solo WDS/MDT; no hay impresión, file sharing continuo, IIS ni base de datos. |
| Texto contractual | El Product Terms establece que se necesita CAL «si el dispositivo usa los servicios del servidor»; no menciona autenticación. |
| Tono de Microsoft | En consultas al VLSC, la respuesta oficiosa es: «si un dispositivo contacta con el sistema operativo, se requiere CAL». |
La interpretación estricta sostiene que SÍ se necesita CAL, porque los 50 equipos leen ficheros facilitados por servicios del SO. Sin embargo, muchos administradores argumentan que la operación es transitoria, anónima y que existe una excepción informal cuando se usa exclusivamente para «imaging».
Imagen corporativa e «imaging rights»
Microsoft concede ciertos imaging rights a OEM Windows y a licencias por volumen, permitiendo capturar una misma imagen de referencia y aplicarla a múltiples equipos que ya poseen su propia licencia de Windows Pro/Enterprise. Ese derecho, no obstante, no exime de las CAL: solo afecta a la legalidad de clonar el sistema operativo cliente.
Lecciones de auditorías reales
- Durante una auditoría SAM, el software de inventario detectará tanto tráfico SMB como procesos svchost de WDS. Si se reportan 50 dispositivos –aunque sea durante minutos‑, el auditor pedirá justificación.
- En varios dictámenes se aceptó la no‑exigencia de CAL cuando el servidor estaba aislado en VLAN y documentado como “server only for imaging”, sin dominio ni file‑sharing.
- Sin confirmación escrita previa, la organización terminó comprando Device CAL para cerrar el expediente con rapidez.
Recomendaciones prácticas
| Acción | Motivo | Resultado esperado |
|---|---|---|
| Comprar licencia de 16 cores | Requisito fijo de Windows Server | Host legalmente cubierto |
| Solicitar dictamen a un LSP (Licensing Solution Provider) | Clarificar necesidad de CAL al ser uso marginal | Prueba escrita ante futura auditoría |
| Si no hay respuesta firme, adquirir 50 Device CAL | Interpretación conservadora del contrato | Riesgo de sanción prácticamente nulo |
| Segregar el servidor en red cerrada | Evitar confusión con otros servicios corporativos | Auditoría más sencilla |
Alternativas para evitar CAL
- Serva Community/Pro: ejecuta DHCP+TFTP+HTTP sobre Windows 10 Pro; sin licenciamiento de servidor.
- FOG Project o Cobbler: distribuciones Linux con PXE, clonación y multicast integrados.
- iPXE + TinyPXE: minimalista, ideal para entornos portátiles.
- USB‑Boot: crear pendrives WinPE firmados y paralelizar la instalación prescindiendo de red.
Estas soluciones son válidas si no existe otra dependencia con servicios de Microsoft en ese punto de despliegue.
Coste estimado 2025 (orientativo)
| Concepto | Precio medio EUR | Observaciones |
|---|---|---|
| Windows Server 2022 Std. 16 Core OEM | 540 € | Licencia perpetua incluida la clave BIOS‑locked |
| Device CAL x 50 | 750 € (≈ 15 € c/u) | Volumen Open NL, pago único |
| User CAL x 10 | 180 € (≈ 18 € c/u) | Solo rentable si menos de 10 técnicos usan el entorno |
Los precios fluctúan según país, partner y promociones CSP.
Checklist rápido antes de la puesta en producción
- ✅ Host cumplimenta mínimo 16 licencias de núcleo.
- ✅ Documento técnico describe que solo presta WDS/MDT, sin usuarios autenticados.
- ✅ Respuesta oficial de Microsoft o partner guardada (o, en su defecto, factura de CALs).
- ✅ VLAN o NIC dedicada para aislar el tráfico de imaging.
- ✅ Scripts de MDT borran logs que contengan información sensible.
Preguntas frecuentes (FAQ)
¿Necesito CAL si los equipos destino ya tienen Windows Pro OEM?
Sí; la CAL es para acceder al servidor, no para licenciar el sistema operativo cliente.
¿Una CAL cubre varias versiones de Windows Server?
Las CAL de 2022 también valen para 2019 y 2016 (downgrade). A la inversa, una CAL 2016 no sirve para acceder a un servidor 2022.
¿Si uso SCCM en lugar de MDT cambia algo?
SCCM (ahora Microsoft Configuration Manager) impone licencia propia y sigue requiriendo CAL de Windows Server para los clientes que contacten con el SO subyacente.
¿Qué pasa si apago WDS cuando no despliego?
No cambia la interpretación: la obligación de CAL surge en el momento de la conexión, por breve que sea.
Conclusión
Todo servidor Windows Server 2022 debe estar licenciado por núcleos; sobre ese punto no hay dudas. El debate se centra en las CAL: aunque la conexión PXE sea efímera y anónima, Microsoft acostumbra a considerarla «acceso a servicios». Si quiere eliminar riesgos, compre 50 Device CAL o solicite a su LSP un correo firmado donde se exima expresamente su escenario. Como regla de oro, deje constancia escrita de cualquier recomendación: será su mejor defensa frente a auditorías futuras.