¿Necesitas más de dos sesiones RDP simultáneas en un Windows Server 2019 que no está unido a un dominio? La respuesta pasa por instalar Remote Desktop Services (RDS) y licenciar correctamente. En esta guía paso a paso verás qué comprar, cómo configurarlo y cómo probarlo sin pagar aún gracias al período de gracia.

Escenario de partida

Servidor Windows Server 2019 Standard (HP ROK o similar), en workgroup (sin Active Directory). RDP está habilitado, pero solo permite dos conexiones simultáneas. La empresa quiere que tres usuarios trabajen a la vez sobre el servidor mediante Escritorio Remoto.

Por qué solo tienes dos sesiones

Windows Server, sin el rol de Remote Desktop Services instalado, permite únicamente dos sesiones administrativas en paralelo. Esta limitación es intencionada: sirve para tareas de mantenimiento, no para publicar escritorios o aplicaciones a varios usuarios. Para habilitar más sesiones concurrentes necesitas convertir el servidor en RD Session Host y licenciarlo con RDS CALs.

Qué necesitas para tres usuarios simultáneos

La clave es no confundir los tipos de licencias. Las Windows Server CALs (que suelen venir en kits OEM/ROK de fabricantes como HP) no habilitan sesiones RDP adicionales. Requieres RDS CALs específicas.

Tipo de licencia	Para qué sirve	Impacto en RDP
Windows Server CAL	Derecho de acceso a servicios de Windows Server (archivos, impresión, etc.).	No aumenta el número de sesiones RDP. No sustituye a RDS CAL.
RDS CAL por Usuario	Derecho a iniciar sesión en RDS para un usuario, desde uno o más dispositivos.	Permite sesiones concurrentes según el número de usuarios con CAL asignada.
RDS CAL por Dispositivo	Derecho a iniciar sesión en RDS para un dispositivo concreto, compartido por uno o varios usuarios.	Permite sesiones concurrentes según el número de dispositivos con CAL.

Para tres usuarios concurrentes, plan mínimo: 3 RDS CALs. Elige Por Usuario si cada persona se conectará desde varios equipos; Por Dispositivo si varios usuarios comparten un mismo PC.

Elección del modo de licenciamiento

En un entorno workgroup (sin AD), RDS funciona perfectamente. Sin embargo, hay matices:

• Por Usuario: el servidor no puede “contabilizar” técnicamente las CALs sin Active Directory. Es un modelo de cumplimiento por política interna.
• Por Dispositivo: el servidor sí emite y rastrea licencias a equipos concretos, incluso en workgroup.

Criterio	Por Usuario	Por Dispositivo
Número de equipos por persona	Varios equipos por usuario → eficiente	Uno o pocos equipos compartidos → eficiente
Seguimiento técnico en workgroup	No (honor system)	Sí (asignación a equipos)
Escenarios típicos	Usuarios móviles o teletrabajo con múltiples dispositivos	Aulas, kioscos, turnos sobre un mismo PC

Plan de implementación recomendado

A continuación, un despliegue simple en un solo servidor que hará de RD Session Host y de License Server.

Instalar roles de RDS

1. Abre Administrador del servidor → Agregar roles y características.
2. Elige Instalación basada en roles o características y, en el paso de roles, marca:
   • Servicios de Escritorio Remoto → Host de sesión de Escritorio remoto.
   • Servicios de Escritorio Remoto → Licencias de Escritorio remoto.
   Nota: En un único servidor, el RD Connection Broker es opcional. El asistente de “Implementación rápida” lo ofrece, pero no es estrictamente necesario para un host único.
3. Reinicia cuando lo solicite.

Atajo con PowerShell (equivalente):

Install-WindowsFeature RDS-RD-Server, RDS-Licensing -IncludeManagementTools

Activar el servidor de licencias e instalar RDS CALs

1. Ejecuta rdlicmgr.msc (Administrador de licencias de Escritorio remoto).
2. En el panel, clic derecho en el servidor → Activar servidor.
3. Tras la activación, Instalar licencias e introduce los datos de tus RDS CALs (elige Por Usuario o Por Dispositivo según tu decisión).

Apuntar el RD Session Host al servidor de licencias y fijar el modo

En gpedit.msc (Política de equipo local):

• Configuración del equipo → Plantillas administrativas → Componentes de Windows → Servicios de Escritorio remoto → Host de sesión de Escritorio remoto → Licencias.
• Habilita Usar los servidores de licencias de Escritorio remoto especificados y escribe el nombre del servidor (si es el mismo, su propio FQDN o nombre NetBIOS).
• Habilita Establecer el modo de licenciamiento de Escritorio remoto y selecciona Por Usuario o Por Dispositivo.

Consejo: en entornos pequeños puedes forzar el máximo de conexiones para evitar saturaciones. En la misma GPO, ruta Conexiones, configura Limitar el número de conexiones al valor que desees (por ejemplo, 3) y Restringir a los usuarios a una sola sesión para impedir sesiones duplicadas por usuario.

Probar sin comprar todavía: período de gracia

Tras instalar RDS, el sistema concede un período de gracia de ~120 días en el que el host de sesión acepta conexiones más allá de las dos administrativas aun sin haber instalado CALs. Úsalo para validar que tres usuarios pueden trabajar a la vez, medir consumo de CPU/RAM y ajustar tu compra. Al expirar, el servidor dejará de emitir sesiones RDS a clientes sin licencia válida.

Configuración de usuarios y permisos

1. Cuentas locales o Microsoft/Entra ID: en workgroup usarás cuentas locales del servidor o credenciales que resuelvan en el propio host.
2. Grupo “Usuarios de escritorio remoto”: agrega a los usuarios que deban conectarse (Panel de control → Herramientas administrativas → Administración de equipos → Usuarios y grupos locales).
3. Directivas de seguridad local (secpol.msc):
   • Permitir el inicio de sesión a través de Servicios de Escritorio remoto: incluye a Usuarios de escritorio remoto.
   • Denegar el inicio de sesión a través de Servicios de Escritorio remoto: asegúrate de que no incluya a esos usuarios.
4. NLA: verifica que el cliente y el servidor soportan Network Level Authentication. Mejora seguridad y reduce consumo de recursos.

Puertos y firewall en un solo servidor

Función	Puerto/Protocolo	Notas
RDP	TCP 3389	Evita exponerlo a Internet. Usa VPN o RD Gateway.
Licenciamiento RDS	TCP 135 + puertos dinámicos RPC	Si el License Server es remoto, abre también el rango dinámico RPC entre ambos.
RD Gateway (opcional)	TCP 443	Publica RDP sobre TLS. Recomendado si hay acceso externo.

Diagnóstico y solución de problemas

• Licensing Diagnoser: en Administrador del servidor → Servicios de Escritorio remoto → RD Licensing Diagnoser. Verás el modo de licencia configurado, servidor de licencias detectado y días de gracia restantes.
• Visor de eventos: revisa Applications and Services Logs → Microsoft → Windows → TerminalServices-* para errores de licenciamiento y conexiones.
• Mensajes típicos:
  • “El modo de licenciamiento de Escritorio remoto no está configurado” → ajusta la GPO indicada.
  • “No se puede conectar al servidor de licencias” → comprueba firewall, RPC y nombre del servidor en la directiva.
  • “Se ha alcanzado el límite de conexiones” → sube el límite en la GPO de conexiones o cierra sesiones desconectadas.
• Sesiones huérfanas: establece tiempos de desconexión/fin por inactividad en Host de sesión de Escritorio remoto → Administración de sesiones (GPO) para liberar recursos.

Seguridad al exponer RDP

• Evita NAT directo 3389 desde Internet. Prefiere VPN o RD Gateway. Si es imprescindible, aplica listas de control de acceso por IP y geoblocking.
• Habilita NLA y contraseñas robustas; considera MFA detrás de RD Gateway.
• Actualiza el servidor y los clientes RDP. Mantén antimalware y reglas de firewall estrictas.
• Políticas de bloqueo de cuenta y auditoría de inicios de sesión para mitigar ataques de fuerza bruta.
• Renombra la cuenta Administrador y deshabilita RDP para cuentas con privilegios si no es imprescindible.

Rendimiento y capacidad

Windows Server Standard no limita el número de sesiones RDS por edición; la concurrencia real la marcan el hardware y las licencias. Para tres usuarios ofimáticos típicos:

• CPU: 2–4 vCPU suelen ser suficientes. Activa la programación Fair Share (viene habilitada por defecto) para repartir CPU.
• RAM: 6–8 GB adicionales sobre el mínimo del sistema suelen cubrir sesiones ligeras (1–2 GB por usuario; aumenta si hay apps pesadas).
• Disco: SSD recomendado. Habilita cachés de Office/Outlook en perfiles, y contempla FSLogix si más adelante escalas.
• Políticas de sesión: límites de inactividad y desconexión evitan consumos sostenidos por sesiones olvidadas.

Checklist rápido

• Instala RD Session Host y RD Licensing.
• Activa el License Server y carga RDS CALs (o usa período de gracia para pruebas).
• Configura en GPO el modo de licencia y el servidor de licencias.
• Añade usuarios al grupo Usuarios de escritorio remoto y confirma NLA.
• Define límites de conexiones y una sesión por usuario si procede.
• Asegura el acceso con VPN/RD Gateway, firewall y MFA.

Preguntas frecuentes

¿Necesito Active Directory? No. RDS funciona en workgroup. La única diferencia práctica es que el modo Por Usuario no se rastrea de forma automática sin AD.

¿Cuántas sesiones permite Windows Server Standard? La edición no impone un número fijo. La concurrencia la determinan tus RDS CALs y los recursos del servidor.

¿Puedo probar antes de comprar? Sí. Tras instalar RDS, existe un período de gracia de ~120 días en el que se permiten más sesiones sin CALs cargadas. Úsalo para validar que tres usuarios trabajan bien.

¿Basta con las 5 CALs del ROK del fabricante? Esas suelen ser Windows Server CALs, no RDS CALs. Para más de dos sesiones RDP necesitas RDS CALs específicas.

¿Cómo limito el total de conexiones a tres? En la GPO de RD Session Host → Conexiones configura Limitar el número de conexiones en 3 y habilita Restringir a los usuarios a una sola sesión.

¿Puedo usar Windows 10/11 para RDP multiusuario? No. Windows cliente no admite sesiones RDP multiusuario. Para esto se usa Windows Server con RDS.

Automatización opcional con PowerShell

Además de instalar los roles, puedes fijar el modo de licencia y el servidor desde registro/GPO local (usa con precaución y valida rutas antes):

# Instalar roles
Install-WindowsFeature RDS-RD-Server, RDS-Licensing -IncludeManagementTools

Fijar licenciamiento en la GPO local (2 = Por Dispositivo, 4 = Por Usuario)

\$tsKey = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services'
New-Item -Path \$tsKey -Force | Out-Null
New-ItemProperty -Path \$tsKey -Name 'LicensingMode' -Value 4 -PropertyType DWord -Force | Out-Null

Apuntar al servidor de licencias (mismo servidor en este ejemplo)

\$lsKey = Join-Path \$tsKey 'LicenseServers'
New-Item -Path \$lsKey -Force | Out-Null
New-Item -Path (Join-Path \$lsKey \$env\:COMPUTERNAME) -Force | Out-Null

Opcional: limitar conexiones a 3 y forzar una sesión por usuario

New-ItemProperty -Path \$tsKey -Name 'MaxInstanceCount' -Value 3 -PropertyType DWord -Force | Out-Null
New-ItemProperty -Path \$tsKey -Name 'fSingleSessionPerUser' -Value 1 -PropertyType DWord -Force | Out-Null

Reiniciar servicios de Terminal Services para aplicar (o reiniciar el servidor)

Restart-Service -Name TermService -Force 

Nota: En algunos entornos, después de tocar políticas puede ser preferible reiniciar el servidor para garantizar la aplicación de la configuración.

Estrategia de prueba y compra

1. Semana 1: instala RDS y prueba con los tres usuarios. Mide CPU, RAM y disco.
2. Semana 2: ajusta límites de sesión, políticas de desconexión e imprime reportes de consumo.
3. Semana 3: define el modo de licencia (Usuario o Dispositivo) basándote en el patrón real de uso.
4. Antes de expirar el período de gracia: adquiere e instala las RDS CALs necesarias en rdlicmgr.msc.

Retirada o cambios

Si más adelante dejas de necesitar RDS, puedes quitar roles desde Administrador del servidor → Quitar roles y características. Al hacerlo, regresarás al comportamiento de dos sesiones administrativas. Antes de desinstalar, planifica una ventana de mantenimiento para no interrumpir usuarios activos.

Resumen ejecutivo

• El límite de dos sesiones viene de no tener RDS instalado.
• Para habilitar tres usuarios simultáneos, instala RD Session Host, activa RD Licensing y compra 3 RDS CALs.
• Configura GPO local con el modo de licenciamiento y el servidor de licencias.
• Prueba hasta ~120 días sin CALs cargadas y, una vez validado, instala las licencias.
• Refuerza seguridad con NLA, VPN o RD Gateway, MFA y firewall.

---

Guía paso a paso condensada

1. Instalar RDS:
   • Roles: RD Session Host y RD Licensing.
   • PowerShell: Install-WindowsFeature RDS-RD-Server, RDS-Licensing -IncludeManagementTools
2. Activar licencias:
   • rdlicmgr.msc → Activar servidor → Instalar RDS CALs.
3. Configurar GPO local:
   • Ruta: Equipo → Plantillas administrativas → Componentes de Windows → Servicios de Escritorio remoto → RD Session Host → Licencias.
   • Fija el modo (Usuario/Dispositivo) y el servidor de licencias.
   • Opcional: Conexiones → Limitar número de conexiones (por ejemplo, 3) y una sesión por usuario.
4. Asignar usuarios:
   • Grupo Usuarios de escritorio remoto, NLA habilitado.
5. Probar y securizar:
   • Verifica que tres usuarios conectan y trabajan.
   • Acceso externo solo mediante VPN o RD Gateway.

Con estos pasos tendrás un Windows Server 2019 en workgroup listo para más de dos sesiones RDP, con licenciamiento correcto, seguridad razonable y capacidad ajustada a tus necesidades.