Licenciamiento y configuración de RDS en Windows Server 2022: guía completa paso a paso

Guía práctica y completa para licenciar y configurar Remote Desktop Services en Windows Server 2022: qué hacer con el período de gracia, cómo activar las CAL por usuario y el flujo exacto para que tus usuarios se conecten de forma legal, segura y sin interrupciones al reemplazar un servidor antiguo.

Índice

Resumen de la pregunta

Al sustituir un servidor de Terminal Services dos mil ocho por uno con Windows Server dos mil veintidós y habiendo adquirido veinte CAL de Remote Desktop Services por usuario, surge la duda: ¿es obligatorio introducir las licencias de RDS antes de instalar y configurar los roles? ¿Cuál es el orden correcto para que los usuarios se conecten cumpliendo la normativa?

Respuesta y solución

No necesitas introducir las licencias de RDS para iniciar la configuración. Windows Server dos mil veintidós permite instalar y operar los roles de Remote Desktop Services durante un período de gracia aproximado de ciento veinte días. Antes de que venza, debes activar el servidor de licencias e instalar las CAL adquiridas. Así garantizas continuidad y cumplimiento.

Flujo recomendado de implementación

Prepara el sistema operativo. Activa Windows con su clave, configura IP y DNS, únete al dominio si aplica y actualiza el sistema.
Instala los roles de RDS. RD Session Host, RD Connection Broker, RD Licensing y, de forma opcional, RD Gateway y RD Web Access.
Configura el despliegue. Establece el modo de licenciamiento en Per User o Per Device y declara el servidor de licencias.
Activa el servidor de licencias e instala CAL. Usa RD Licensing Manager para activar e instalar las CAL por usuario compradas.
Señala los Session Hosts al servidor de licencias. Desde las propiedades del despliegue o mediante directiva de grupo.
Verifica y prueba. Con RD Licensing Diagnoser y sesiones de usuario representativas.

Preparación del sistema

Activación de Windows: la clave del sistema operativo es independiente de las CAL de RDS.
Red y DNS: asigna IP fija, revisa búsqueda directa e inversa y sincroniza el tiempo con el dominio o NTP.
Actualizaciones: aplica parches de calidad y seguridad. Considera habilitar actualizaciones automáticas programadas.
Endurecimiento inicial: habilita NLA, configura TLS y revisa la directiva de contraseñas.

Instalación de roles de servicios de escritorio remoto

Desde Server Manager > Add roles and features > Remote Desktop Services installation:

RD Session Host: permite múltiples sesiones de aplicaciones o escritorios.
RD Connection Broker: orquesta las sesiones y hace reconnect al host correcto.
RD Licensing: almacena y publica licencias de RDS.
RD Gateway (opcional): acceso seguro por HTTPS sin VPN.
RD Web Access (opcional): portal de aplicaciones y escritorio remoto.

También puedes instalar por PowerShell:

Install-WindowsFeature RDS-RD-Server,RDS-Connection-Broker,RDS-Licensing,RDS-Web-Access -IncludeManagementTools

Configuración del despliegue

En Server Manager > Remote Desktop Services > Overview > Tasks > Edit Deployment Properties:

Define el modo de licenciamiento de acuerdo con tus CAL: Per User o Per Device.
Indica el servidor de licencias (FQDN y, si procede, un secundario).

Activación del servidor de licencias e instalación de cal

Abre RD Licensing Manager desde Tools en Server Manager.
Clic derecho en el servidor > Activate Server (asistente en línea o por teléfono).
Tras activar, elige Install Licenses e introduce el programa/licencia y la cantidad de CAL por usuario adquiridas.

Consejos:

Guarda la evidencia de compra y el License Server ID para auditorías o traslados de licencias.
Si mueves licencias a otro host, realiza la desinstalación en el origen y la reactivación en el destino.

Asignación del servidor de licencias a los hosts de sesión

Puedes hacerlo de dos formas:

Mediante las propiedades del despliegue

En Edit Deployment Properties, define el modo y el servidor de licencias. Esto aplica a los servidores agregados al despliegue gestionado por RD Connection Broker.

Mediante directiva de grupo

Ruta de GPO:

Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Licensing

Use the specified Remote Desktop license servers
Set the Remote Desktop licensing mode

Tras vincular la GPO a la OU de los Session Host, fuerza actualización con gpupdate /force.

Mediante PowerShell

En entornos administrados por RD Connection Broker:

Import-Module RemoteDesktop
Set-RDLicenseConfiguration -LicenseServer @("rdls01.contoso.local") -Mode PerUser

En un host independiente, como alternativa basada en registro:

$key = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services'
New-Item -Path $key -Force | Out-Null
New-Item -Path "$key\LicenseServers" -Force | Out-Null
Set-ItemProperty -Path $key -Name 'LicensingMode' -Type DWord -Value 4   # 4 = Per User, 2 = Per Device
New-Item -Path "$key\LicenseServers" -Name 'rdls01.contoso.local' -Force | Out-Null

Verificación y pruebas

RD Licensing Diagnoser: desde Tools > Remote Desktop Services > Remote Desktop Licensing Diagnoser. Debe mostrar el servidor de licencias, el modo correcto y cero errores.
Pruebas de usuario: inicia sesión con varias cuentas de negocio y valida perfiles, impresoras y aplicaciones.
Eventos: revisa el Visor de eventos en Microsoft > Windows > TerminalServices-Licensing, RemoteConnectionManager y LocalSessionManager.

Comprobación rápida por PowerShell:

Get-CimInstance -Namespace root\cimv2\terminalservices -ClassName Win32_TerminalServiceSetting |
  Select-Object LicensingType, SpecifiedLicenseServers

Buenas prácticas esenciales

Período de gracia: existe y te permite configurar y probar sin licencias instaladas, pero al expirar se negarán nuevas conexiones si no hay un servidor de licencias válido.
Licencias distintas: la activación de Windows no cubre RDS; necesitas ambas en regla.
Elección del modo: Per User es flexible para usuarios con varios dispositivos; Per Device conviene en kioscos o dispositivos compartidos.
Contabilidad: en Per User el control es declarativo; instala igualmente las CAL y deja evidencia documental.
Acceso remoto: usar VPN o RD Gateway no cambia el licenciamiento; las CAL de RDS aplican siempre.
Documentación: conserva facturas, ID de servidor de licencias y capturas del Diagnoser.
Alta disponibilidad: para muchos usuarios, considera varios Session Host con Connection Broker y collections.
Perfiles: evalúa contenedores de perfil (por ejemplo, FSLogix) para mejorar tiempos de inicio de sesión en entornos multiusuario.

Topología y acceso seguro

Componente	Propósito	¿Obligatorio?	Notas de seguridad
RD Session Host	Ejecuta aplicaciones y escritorios	Sí	Habilita NLA, aplica actualizaciones y antivirus
RD Connection Broker	Equilibrio y reconexión de sesiones	Recomendado	Protege el acceso de administración
RD Licensing	Servir y contabilizar licencias	Sí	Respalda la base de licencias y el ID
RD Gateway	Acceso por HTTPS desde Internet	Opcional	Requiere certificado TLS confiable
RD Web Access	Portal de aplicaciones	Opcional	Integra MFA y endurece IIS

Migración desde versiones antiguas

Cuando sustituyes un servidor antiguo por uno nuevo con Windows Server dos mil veintidós, lo más seguro es una migración en paralelo:

Prepara el nuevo host: únelo al dominio, instala los roles y aplica parches.
Replica configuración: colecciones, RemoteApps, políticas y restricciones.
Instala aplicaciones de negocio: confirma compatibilidad y licenciamiento de terceros.
Perfiles de usuario: define ruta de perfiles, redirige carpetas o usa contenedores de perfil.
Licenciamiento: activa RD Licensing y carga las CAL. Si necesitas trasladar licencias, realiza el proceso de transferencia con la documentación de compra.
Pruebas piloto: redirige un grupo pequeño de usuarios para validar rendimiento y experiencia.
Cambio definitivo: apunta DNS y accesos al nuevo entorno; deshabilita progresivamente el servidor antiguo.

Solución de problemas

Síntoma	Causa probable	Acción correctiva
Mensaje de falta de licencias	Modo de licenciamiento no configurado o sin servidor de licencias	Configura GPO o propiedades del despliegue; valida con el Diagnoser
No se puede contactar el servidor de licencias	Firewall o DNS bloqueando RPC	Permite RPC y puertos dinámicos, revisa resolución de nombres
Usuarios no pueden iniciar sesión tras la gracia	CAL no instaladas o servidor no activado	Activa RD Licensing, instala CAL y reinicia servicios
Modo de CAL no coincide con la compra	Desajuste entre Per User y Per Device	Ajusta el modo en GPO o en el despliegue; alinea con contrato
Pérdida de reconexión a sesiones	Falta Connection Broker o persistencia incorrecta	Agrega Broker o corrige su base de datos

Revisa estos registros en el Visor de eventos:

Microsoft > Windows > TerminalServices-Licensing > Operational
Microsoft > Windows > TerminalServices-RemoteConnectionManager > Operational
Microsoft > Windows > TerminalServices-LocalSessionManager > Operational

Comandos y directivas útiles

Consulta rápida del modo y servidores de licencias

Get-CimInstance -Namespace root\cimv2\terminalservices -ClassName Win32_TerminalServiceSetting |
  Select-Object LicensingType, SpecifiedLicenseServers

Forzar directivas y comprobar aplicación

gpupdate /force
Get-GPResultantSetOfPolicy -ReportType Html -Path C:\Temp\RDS-RSoP.html

Reinicio de servicios clave

Restart-Service TermService -Force      # Remote Desktop Services
Restart-Service LicenseManager -Force   # Remote Desktop Licensing (si aplica)

Directivas recomendadas

Licenciamiento: definir modo y servidor de licencias.
Seguridad: NLA obligatorio, cifrado alto, límite de reintentos.
Restricciones: duración máxima de sesión inactiva y desconexión automática.

Puertos y comunicación

Servicio	Protocolo y puerto	Notas
RDP a Session Host	TCP 3389	Puedes cambiarlo por seguridad; recuerda actualizar reglas
RD Gateway	TCP 443	Requiere certificado TLS público o de CA corporativa confiable
RD Licensing	TCP 135 y puertos RPC dinámicos	Permite tráfico entre Session Host y Licensing; abre el rango RPC
Connection Broker	TCP 3389 y 443	Para redirección y administración; si usas HA, considera base de datos externa

Lista de verificación final

Windows activado y actualizado.
Roles de RDS instalados: Session Host, Connection Broker, Licensing, Gateway si aplica.
Servidor de licencias activado y CAL por usuario instaladas.
Modo de licencia y servidor de licencias definidos en Session Host (GUI o GPO).
RD Licensing Diagnoser sin advertencias.
Pruebas de inicio de sesión con cuentas reales y validación de aplicaciones.
Documentación de compra y del ID de servidor guardada.

Preguntas frecuentes

¿Puedo configurar todo sin introducir licencias?
Sí. El período de gracia ronda los ciento veinte días. Aprovecha ese tiempo para validar el entorno y, antes de que expire, activa el servidor de licencias e instala las CAL.

¿Las CAL de Windows cubren RDS?
No. Son elementos distintos: necesitas licencias de Windows para el sistema operativo y CAL de RDS para las conexiones de Escritorio remoto a un Session Host.

¿Qué diferencia hay entre por usuario y por dispositivo?

Criterio	Por usuario	Por dispositivo
Escenario ideal	Usuarios con varios equipos o acceso móvil	Equipos compartidos, kioscos, aulas
Control	Declarativo, basado en cumplimiento	Asignación automática por dispositivo
Flexibilidad	Alta	Media
Requisitos de auditoría	Evidencia documental	Registros de asignación en el servidor

¿RD Gateway afecta el licenciamiento?
No. RD Gateway solo cambia el método de acceso; el requisito de CAL de RDS permanece.

¿Cómo conservo evidencia de cumplimiento?
Guarda facturas, capturas del Diagnoser, configuraciones de GPO, listados de usuarios licenciados y el ID del servidor de licencias.

Plantilla para documentación y auditoría

Elemento	Detalle
Tipo de CAL adquirido	Por usuario / por dispositivo
Cantidad de CAL	Veinte
Servidor de licencias	FQDN y dirección IP
ID del servidor de licencias	Alfanumérico provisto tras la activación
Fecha de activación	Fecha exacta y responsable
Modo de licenciamiento en Session Host	Por usuario / por dispositivo
Evidencia	Capturas de Diagnoser y de GPO aplicadas

Conclusiones clave

No es requisito introducir las CAL de RDS para comenzar la configuración: el sistema funciona durante la gracia, lo que te permite montar y probar el entorno.
Antes de que termine ese periodo, activa el servidor de licencias e instala las CAL para evitar interrupciones y mantener el cumplimiento.
Configura correctamente el modo de licenciamiento y apunta los Session Host al servidor de licencias mediante GUI o GPO.
Verifica el estado con RD Licensing Diagnoser y documenta todo para auditorías.

Guía operativa paso a paso detallada

Pre requisitos del sistema

Windows Server dos mil veintidós activado con su clave.
IP fija, DNS del dominio y sincronización de hora.
Servidor integrado al dominio con privilegios mínimos necesarios.
Políticas de seguridad aplicadas y antivirus compatible con entornos RDS.

Instalación de roles

Desde Server Manager, selecciona Remote Desktop Services installation.
Selecciona los roles requeridos y, si el despliegue es único, instala todos en el mismo host.
Reinicia cuando sea solicitado.

Configuración de licenciamiento

En las propiedades del despliegue, establece Per User como modo, de acuerdo con tus licencias.
Introduce el FQDN del servidor con RD Licensing.
Si gestionas con GPO, usa las directivas de Licensing para reforzar la configuración.

Activación de RD Licensing e instalación de CAL

Abre RD Licensing Manager y ejecuta Activate Server.
Elige el método de activación preferido.
Instala las CAL por usuario adquiridas; documenta el resultado.

Validación

Comprueba con el Diagnoser que el modo y el servidor de licencias están correctos.
Realiza conexiones de prueba desde distintos equipos y con varias cuentas.
Monitorea eventos durante y después de las pruebas piloto.

Resumen ejecutivo

Instalar y configurar RDS en Windows Server dos mil veintidós sin introducir inmediatamente las CAL es válido gracias al período de gracia. El camino correcto es: preparar el sistema, instalar roles, definir modo y servidor de licencias, activar RD Licensing, instalar CAL y, finalmente, verificar con el Diagnoser. Solo así garantizas continuidad operativa y cumplimiento.

Anexo de comandos útiles

Verificar puertos abiertos

Test-NetConnection -ComputerName rdls01.contoso.local -Port 135
Test-NetConnection -ComputerName rds01.contoso.local -Port 3389

Listado de colecciones y hosts

Import-Module RemoteDesktop
Get-RDSessionCollection
Get-RDServer

Despliegue rápido de un host adicional

Add-RDServer -Server "rds02.contoso.local" -Role "RDS-RD-SERVER"

Claves para auditorías y cumplimiento

Mantén un inventario exacto de usuarios habilitados y su relación con las CAL por usuario.
Revisa trimestralmente el Diagnoser y conserva reportes firmados por el área responsable.
Arquitectura documentada: diagrama de roles, servidores y dependencias.
Plan de continuidad: procedimiento para restaurar RD Licensing y reinstalar CAL en caso de desastre.

Recomendaciones de seguridad adicionales

Habilita MFA en RD Gateway para accesos externos.
Restringe el acceso administrativo mediante Jump Host o Just‑In‑Time.
Audita inicios de sesión exitosos y fallidos; integra con SIEM corporativo.
Usa certificados de confianza pública en portales y Gateway.

Resumen práctico

La configuración inicial puede hacerse sin introducir licencias gracias a la gracia.
Antes de que caduque, activa RD Licensing e instala las CAL por usuario.
Define el modo de licenciamiento y el servidor de licencias vía GUI o GPO.
Verifica con el Diagnoser y documenta todo para auditoría.

Checklist final antes de producción

Windows activado.
Roles de RDS instalados.
Servidor de licencias activado y CAL instaladas.
Modo y servidor de licencias configurados en Session Host.
Diagnoser sin errores.
Pruebas con usuarios reales completadas.

Con esta guía puedes configurar el nuevo entorno de RDS en Windows Server dos mil veintidós, operar durante el período de gracia y, antes de que termine, activar correctamente tus veinte CAL por usuario para que todas las conexiones continúen sin problemas y en cumplimiento.