MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. Licencias Windows Server 2022: CAL vs. RDS CAL y cómo elegir entre perpetuo y suscripción

Licencias Windows Server 2022: CAL vs. RDS CAL y cómo elegir entre perpetuo y suscripción

Windows Server

La correcta elección de licenciamiento es clave para que un proyecto de Privileged Access Management (PAM) cumpla lineamientos de seguridad y normativa sin disparar costes. En esta guía exhaustiva analizamos cómo funcionan las CAL de Windows Server 2022 y las RDS CAL, sus modalidades de compra (perpetua vs. suscripción) y los pasos recomendados para implantar un servidor RDS que actúe como Jump Server sin riesgos de infracción de licencias.

Índice

Conceptos básicos sobre licenciamiento en Windows Server 2022

Windows Server se licencia a dos niveles. Por un lado, la licencia del sistema operativo del servidor, que en la edición Datacenter o Standard se mide por núcleos (mínimo 8 núcleos por procesador y 16 núcleos por equipo). Por otro, Microsoft exige una licencia de acceso de cliente (CAL) para cada usuario o dispositivo que consuma los servicios del servidor. El objetivo de las CAL es legalizar el derecho de conexión a recursos como el inicio de sesión en el dominio, el acceso a compartidos SMB, servicios de impresión o autenticación de Active Directory.

Tipos de CAL disponibles

Existen dos grandes familias de CAL que, aunque comparten apellido, cumplen propósitos distintos y, en la práctica, deben coexistir en muchos despliegues empresariales:

  • Windows Server CAL: habilita el acceso a las funciones “base” del sistema operativo.
  • Remote Desktop Services CAL (RDS CAL): concede el derecho a abrir sesiones interactivas vía RDP o utilizar escritorios/aplicaciones publicadas.

Comparativa detallada

AspectoWindows Server CALRDS CAL
FinalidadHabilita a un usuario o dispositivo para consumir servicios estándar de Windows Server (inicio de sesión en dominio, archivos, impresoras, autenticación, IIS, etc.).Autoriza el acceso interactivo a sesiones RDP, escritorios virtuales y RemoteApp; indispensable para roles de Session Host, Gateway o VDI.
Necesidad combinadaSiempre obligatoria cuando el servidor presta servicios Windows.Se requiere además la Windows Server CAL correspondiente; en entornos RDS se necesitan ambas licencias por cada usuario/dispositivo que se conecte.
Tipo de licenciaGeneralmente perpetua (pago único), con opción de añadir Software Assurance para actualizaciones y soporte.También perpetua en entornos on‑prem. Alternativamente, modalidad de pago mensual “per user per month” vía CSP o SPLA para proveedores de servicios o cargas en Azure.
RenovaciónNo se renueva salvo adquirir Software Assurance (renovación anual) o migrar a suscripción.Misma lógica; la cuota mensual se liquida mientras dure la suscripción CSP/SPLA.
Escenarios típicosAcceso a compartidos, impresión, autenticación LDAP/Kerberos, aplicaciones line‑of‑business locales.Administración remota segura, Jump Server PAM, call center, teletrabajo, aulas de formación, laboratorios de pruebas, VDI corporativo.

Elección entre licenciamiento por usuario o por dispositivo

Cada tipo de CAL puede licenciarse por usuario (“User CAL”) o por dispositivo (“Device CAL”). La decisión debe basarse en el número de dispositivos por persona y en la facilidad de auditoría:

  • CAL por usuario: adecuada cuando cada profesional emplea varios endpoints (portátil, móvil, sobremesa, VDI). Simplifica la contabilidad: basta contar identidades.
  • CAL por dispositivo: óptima para entornos con puestos compartidos (kioscos, PCs de laboratorio, terminales de fábrica) donde muchos usuarios usan el mismo hardware.

Modelo de adquisición: perpetua vs. suscripción

Licencia perpetua

La forma tradicional. Se paga una vez y la CAL es válida de forma indefinida para la versión adquirida. La ventaja es la previsibilidad de costes de capital (CAPEX). El inconveniente es que la actualización a versiones futuras implica adquirir nuevas CAL o mantener un contrato Software Assurance.

Suscripción CSP / SPLA

Bajo el programa Cloud Solution Provider o Service Provider License Agreement, las RDS CAL pueden abonarse mensual o anualmente. Es un gasto operativo (OPEX) que escala según consumo real y resulta atractivo cuando el host RDS se aloja en Azure o en un hosting tercero. Importante: las Windows Server CAL también existen en CSP, pero su adopción es menos frecuente porque muchos clientes prefieren la perpetuidad para servicios de autenticación.

Implicaciones para un Jump Server en proyectos PAM

Licencias mínimas necesarias

  1. 1 Windows Server CAL por cada usuario/dispositivo que inicie sesión en el dominio o consuma SMB.
  2. 1 RDS CAL adicional para cada conexión interactiva RDP al Jump Server.

Un error habitual es asumir que la RDS CAL “incluye” la Windows Server CAL. No es así: se debe cubrir la doble capa. Para evitar sanciones en auditorías de software asset management, documenta la correlación entre identidades PAM y licencias asignadas.

Dimensionamiento

En un entorno PAM, conviene licenciar por usuario y no por dispositivo, dado que los administradores acceden desde múltiples estaciones endurecidas (admin workstations). Comienza calculando el número máximo de administradores concurrentes en horario pico y añade un porcentaje de reserva (10‑15 %).

Integración con Azure y modelo híbrido

Si el Jump Server se hospeda en Azure, la licencia de Windows Server está cubierta por las máquinas virtuales “pay‑as‑you‑go” o por tu propio Azure Hybrid Benefit (AHB) si migras licencias Datacenter con Software Assurance. Pero las RDS CAL continúan siendo obligatorias y deben instalarse en un Remote Desktop Licensing Server online. Excepción: si mudas la carga a Azure Virtual Desktop (AVD) o Windows 365, la RDS CAL se sustituye por licencias Microsoft 365 E3/E5 o Business Premium.

Procedimiento de implementación paso a paso

Preparar la infraestructura

  1. Definir roles RDS: Session Host, Licensing, Gateway y, opcionalmente, Web Access para portal HTML5.
  2. Configurar GPO de seguridad: restringir tarjetas inteligentes, usar NLA, deshabilitar redirección de unidades, grabar vídeo de sesiones privilegiadas.
  3. Segmentar redes: ubicar el Jump Server en VLAN/PAN dedicada y filtrar RDP saliente solo a objetivos permitidos.

Instalación y activación de licencias

  1. Instala la característica Remote Desktop Licensing y registra el servidor con Microsoft (puede requerir salida a Internet o activación telefónica).
  2. Selecciona el modo de licenciamiento (Usuario o Dispositivo) de forma coherente para toda la colección RDS.
  3. Introduce el ID de producto (clave de 25 caracteres) o vincula la suscripción CSP/SPLA.
  4. Verifica en el visor de eventos que las licencias se emiten correctamente y no aparecen avisos de gracia (Clinical 120 days).

Auditoría y gobierno

  • Habilita Remote Desktop Session Host Configuration para registrar quién se conecta, desde dónde y durante cuánto tiempo.
  • Integra los logs con un SIEM (p. ej. Microsoft Sentinel) para detectar movimientos laterales y escaladas de privilegio.
  • Documenta procedimientos de revocación cuando un administrador cambia de rol o sale de la compañía.

Cálculo de costes aproximado

A modo ilustrativo (precios orientativos en USD sin impuestos):

  • Windows Server 2022 User CAL perpetua: ~45 $.
  • RDS User CAL perpetua: ~100 $.
  • RDS User CAL por suscripción CSP: ~8 $ al mes.

Para 50 administradores:

  • Perpetuo: (50×45) + (50×100) = 7 250 $ CAPEX. Incluye derecho de uso ilimitado, pero sin nuevas versiones futuras.
  • Suscripción: 50×8 = 400 $ OPEX mensual; 4 800 $ anuales. Ventaja: escalabilidad; desventaja: en 19 meses se iguala el coste del perpetuo.

Conclusión: en escenarios estables (>24 meses), la adquisición perpetua con Software Assurance suele ser más rentable; si el proyecto es temporal o la plantilla varía mucho, conviene la suscripción.

Buenas prácticas de cumplimiento

  • Unificar modo de CAL: mezclar User y Device en la misma granja RDS causa errores de emisión y puede invalidar la gracia de 120 días.
  • Etiquetado de licencias: mantén hoja de cálculo o sistema ITAM donde relaciones identidad AD ↔ CAL asignada ↔ fecha de compra.
  • Revisión periódica: programa auditorías internas semestrales para ajustar sobrantes y evitar sobrelicenciamiento.
  • Actualización de versión: si planeas migrar a Windows Server vNext, asegura tener Software Assurance vigente al menos 90 días antes de la liberación general (GA).

Preguntas frecuentes

¿Una RDS CAL sirve para varias ediciones de Windows Server?

Sí, la RDS CAL es retrocompatible con versiones anteriores (2019, 2016…), pero no válida para versiones posteriores.

¿Hace falta una RDS CAL para usar Remote Management o PowerShell Remoting?

No; esas herramientas se consideran administración remota “out‑of‑band”. Solo se requieren credenciales con privilegios y conectividad WINRM/5985 o 5986.

¿Qué ocurre si uso escritorios publicados de terceros como Citrix o VMware Horizon?

Debes seguir adquiriendo RDS CAL porque el servicio subyacente sigue usando componentes RDS (Session Host). Las licencias de Citrix/VMware son adicionales.

¿Puedo reasignar una CAL a otro usuario?

Solo después de 90 días desde la asignación inicial, salvo baja definitiva del empleado. Microsoft vigila este punto durante auditorías SAM.

Recomendaciones finales

El licenciamiento en Windows Server puede parecer complejo, pero se resume en dos reglas de oro: 1) Toda autenticación o acceso a recursos Windows exige una Windows Server CAL, y 2) Cualquier sesión RDP requiere además una RDS CAL. Define desde el primer día el modo (usuario/dispositivo), el modelo de compra (perpetuo vs. suscripción) y documenta la asignación. Así evitarás sorpresas económicas y auditorías desfavorables mientras refuerzas la seguridad de tu Jump Server en el contexto PAM.

Windows Server
Índice