Perder la clave alfanumérica de las CAL de Escritorio Remoto puede parecer un callejón sin salida, pero Windows Server 2022 ofrece varias formas de comprobar el paquete instalado y volver a obtener la licencia desde los canales oficiales sin interrumpir el servicio a los usuarios.
Cómo funciona el almacenamiento de licencias RDS CAL 2022
Al activar un paquete de licencias de acceso de cliente (Remote Desktop Client Access Licenses) en un servidor de licencias RDS con licmgr.exe, el asistente envía la clave de 25 caracteres a los servidores de activación de Microsoft. Tras la validación, se genera un certificado X.509 que se almacena en la base de datos TLSLic.edb (Jet Blue) y en los archivos de respaldo *.mof. A efectos de seguridad:
- La clave original nunca se guarda en texto claro en el servidor.
- Lo que persiste es el ID de paquete, la cantidad de licencias y la firma digital que autoriza su uso.
- Tanto el registro (
HKLM\SYSTEM\CurrentControlSet\Services\TermServLicensing\Parameters) como la carpetaCertificatescontienen blobs cifrados que no se pueden revertir a la clave.
Verificar los paquetes instalados
Abra Remote Desktop Licensing Manager (licmgr.exe) con privilegios de administrador y localice el servidor en cuestión. Por defecto, verá las siguientes columnas:
| Columna | Descripción | Utilidad práctica |
|---|---|---|
| ID de paquete | Código interno asociado a la orden de compra. | Clave para que Microsoft reemita la licencia. |
| Tipo de CAL | Por Usuario o Por Dispositivo. | Determina el modo de asignación. |
| Cantidad instalada / en uso | Número total y número consumido. | Ayuda a planificar ampliaciones. |
| Fecha de instalación | Marca de tiempo UTC. | Relaciona el paquete con facturas. |
| Estado | Activo, Temporal, Advertencia, etc. | Diagnóstico rápido. |
Paso rápido para inventariar
Puede exportar los datos con PowerShell:
<#
Exporta los paquetes de licencias a CSV
#>
Import-Module RemoteDesktop
Get-RDLicenseConfiguration |
Select-Object LicenseServer, LicensingMode |
Out-File C:\Temp\RDSLicStatus.txt
Este comando no revela la clave, pero documenta el modo de licenciamiento y facilita la auditoría.
Recuperar la clave de activación extraviada
- Revisar los correos electrónicos y contratos del centro de licencias por volumen (VLSC).
Cuando el distribuidor carga la orden, el VLSC envía un correo de confirmación al contacto primario; allí figura la clave. - Acceder al portal VLSC.
Inicie sesión con la cuenta asociada a la organización, navegue a Licencias > Pases de producto y busque el ID de paquete enumerado en el Licensing Manager. El portal permite volver a visualizar la clave las veces que sea necesario. - Contactar al revendedor o al Soporte de Licenciamiento de Microsoft.
Si el acceso al portal no es posible (por cambios de personal o de dominio), abra un ticket de licenciamiento. Proporcione al agente:- ID de paquete (aparece en licmgr.exe).
- Prueba de compra (factura, orden de compra, contrato Open Value).
- Cantidad de CAL instaladas.
Lo que no resolverá el problema
- Usar software de recuperación de contraseñas: la clave no está presente en texto plano.
- Extraer
TLSLic.edby abrirlo con edb viewers: el archivo está protegido y firmado. - Copiar la carpeta de licencias a otro servidor esperando que aparezca la clave: solo se transferirán los certificados.
Buenas prácticas para evitar futuras pérdidas
Almacenar las claves fuera de línea
Mantenga un repositorio cifrado (por ejemplo KeePass o Bitwarden), accesible para el equipo de TI y con políticas de copia de seguridad. Incluir:
- Clave de 25 caracteres.
- ID de paquete.
- Número de licencias y tipo.
- Fecha de compra y proveedor.
Exportar y respaldar la base de datos de licencias
# Respaldar la base de datos Stop-Service TermServLicensing Copy-Item "C:\Windows\System32\lserver\*" "D:\Backups\RDSLic\" -Recurse Start-Service TermServLicensing
Con este respaldo podrá restaurar rápidamente el rol en caso de corrupción o migración sin volver a introducir la clave.
Plan de migración inteligente
- En el servidor origen, desinstale el rol de Licencias y marque la casilla «Rebuild the license server database». Esto revoca temporalmente el paquete en Microsoft.
- Instale el rol en el nuevo host, aplique la clave recuperada y vuelva a activar el paquete.
- Verifique desde licmgr.exe que el Issue Date y el ID de paquete concuerdan con el registro anterior.
Solución de problemas frecuentes
El asistente rechaza la clave recuperada
Posibles causas:
- Modo de licencia incorrecto. Cambie el servidor a Per Device o Per User según corresponda.
- Clave ya activada en otro servidor. Desinstale primero el paquete de ese host o abra un caso con Microsoft para reasignarlo.
- Datos regionales. Asegúrese de que el servidor tenga la zona horaria y el idioma correctos; en ocasiones el asistente valida la región del contrato.
El servidor muestra CAL Temporales en vez de Permanentes
Cuando un host miembro del dominio no encuentra licencias permanentes disponibles, asigna una temporal de 120 días. Verifique:
- Que el número de CAL instaladas sea suficiente para la cantidad de usuarios/dispositivos.
- Que ningún firewall esté bloqueando los puertos 135 (RPC) y TCP/UDP 3389.
- Que el equipo cliente esté en la OU permitida, si se aplican políticas de restricción.
Checklist post‑recuperación
Después de reinstalar la clave o reemitirla, confirme los siguientes puntos:
- Licmgr.exe muestra el paquete con estado Activo y la cantidad correcta.
- El Visor de eventos (
TerminalServices-Licensing) no genera advertencias 1011/1016. - Los clientes se conectan sin recibir alertas de gracia (
Event ID 24). - El informe de uso en
C:\Program Files\Remote Desktop Licensing Diagnoserrefleja los clientes consumiendo CAL Permanentes.
Conclusión
En Windows Server 2022 la seguridad prima sobre la comodidad: una vez introducida la clave de las CAL, el sistema guarda solamente el certificado y el ID de paquete. Si pierde la cadena de activación, el único camino es acudir a sus canales de licencia —portal VLSC, distribuidor o soporte de Microsoft— con la información que ya reside en el servidor. Documentar procesos, exportar la base de licencias y almacenar las claves en un gestor cifrado son las mejores defensas para evitar esta situación en el futuro.