Les licences clientes pour
Terminal Server de Windows 2003
Pour qu'un serveur TSE continue d'accepter des connexions après le "délai de
grâce" qui est de 120 jours sous Windows 2003 (Il était de 90 jours sous Windows
2000), vous devez configurer un serveur de licence TSE.
Pour pouvoir se connecter à un serveur TSE Windows 2003, les clients devront
obligatoirement avoir une CAL TSE Windows 2003. Ces dernières peuvent uniquement
être émise par des serveurs de licence TSE Windows 2003, un serveur de licence
Windows 2000 ne sera pas en mesure d'émettre ces nouvelles CALS, et donc, si
vous avez déjà un serveur de licence Windows 2000, vous serez obligé de mettre à
niveau ce serveur vers Windows 2003 ou activer le service de gestion des
licences sur un autre Windows 2003.
Avant l'installation d'un serveur de licence TSE, ou la mise à niveau d'un serveur existant, il est essentiel de connaître les points suivants :
| Les différentes licences d'accès clientes TSE |
| Localisation du serveur de licence par un serveur TSE |
| Comment se passe l'attribution d'une licence d'accès cliente ? |
Les différentes licences d'accès clientes TSE
Dés lors que vous avez sur votre réseau un serveur TSE Windows 2003, vous
êtes dans l'obligation d'installer le service de gestion de licences pour les
services TSE de Windows 2003.
(cf : Installation de la gestion de licences Terminal Server)
Ce service peut être installé sur le serveur TSE lui même, ou sur une autre
machine Windows 2003. Dans ce cas, la localisation du
serveur de licence est essentiel pour le bon fonctionnement du système.
Le service de gestion des licences TSE Windows 2003 peut gérer les types de licence d'accès cliente suivantes :
Pour les serveurs TSE Windows 2003 :
- Par poste ou dispositif : Pour les clients qui se connecte à un serveur TSE
qui est en mode de licence par périphérique.
- Par utilisateur : Pour les utilisateurs qui se connecte à un serveur TSE qui
est en mode de licence par utilisateur
- Connecteur Externe : Pas encore disponible.
Pour les serveurs TSE Windows 2000 :
- Par dispositif : Pour les clients qui exécutent un système d'exploitation
autre que Windows 2000 ou Windows XP.
- Connecteur Internet: Pour les clients anonymes se connectant sur un serveur
TSE via Internet (Maxi 200 connexions)
- Intégré : Pour les clients qui exécutent un système d'exploitation Windows2000
ou Windows XP
Il n'y a plus de licence TSE intégré comme il pouvait y avoir sous Windows 2000, c'est à dire que chaque poste ou chaque utilisateur (suivant le mode de licence du serveur TSE), doit avoir une licence cliente. On ne peut plus se contenter comme sous Windows 2000, de procéder à l'activation du serveur de licence si l'ensemble des clients exécutent Windows 2000.
Localisation du serveur de licence par un serveur TSE
Lorsque le service de serveur de terminal démarre, il y a ce que l'on appelle le " Licensing Service Discovery progress", c'est à dire le procédé permettant à un serveur TSE de localiser les serveurs de licences. Ce procédé est différent selon l'environnement dans lequel le serveur TSE est installé.
Dans un groupe de travail ou dans un domaine de type NT4, le serveur TSE essaye de trouver les serveurs de licence qu'il a de listé dans sa clé " licenseServers " de la base de registre. Si il n'a pas de serveur de licence listé ou si il n'obtient aucune réponse, le serveur TSE effectue un broadcast de service sur son sous réseau. Tous les serveurs de licences recevant la demande de service répondent au serveur TSE. Ce dernier va sélectionner de manière aléatoire le serveur de licence.
Dans la cas d'un Active Directory, le serveur TSE essaye aussi de trouver les serveurs de licence qu'il a d'inscrit dans sa clé "LicenceServers". Si il n'en a pas, ou n'obtient pas de réponse, le serveur TSE exécute une requête LDAP portant sur un serveur de licence d'entreprise dans le même site que lui (cf: Attention). Si il n'obtient pas de réponse, le serveur TSE interroge alors tous les contrôleurs de domaine de son site, et si aucun serveur de licence n'est trouvé, il interroge alors tous les contrôleurs de domaine de son domaine.
 |
||
| Le serveur de licence d'accès TSE, n'est pas obligé d'être un
contrôleur de domaine (à la différence de Windows 2000), il peut tout à
fait être serveur membre d'un domaine. Dans ce cas précis, il est
essentiel de comprendre maintenant qu'avec le mécanisme de découverte
des serveurs de licences, seul un serveur de licences TSE d'entreprise
(cf :installation d'un serveur de licence TSE) présent dans le même site AD que le serveur TSE sera découvert par requête LDAP. Si le serveur de licence TSE, est installé en tant que serveur d'entreprise dans un site AD différent du serveur TSE, ou est installé en tant que serveur de groupe de travail/domaine, il sera nécessaire de forcer l'utilisation d'un serveur de licence particulier est décrite dans l'article suivant :
Par contre si vous installez votre serveur de licence TSE sur un contrôleur de domaine, celui ci sera toujours détecté par un serveur TSE. |
Si aucun serveur de licence n'est trouvé, le serveur TSE réessaye de trouver un serveur de licence une fois chaque heure.
Une fois le processus de localisation terminé, le serveur TSE inscrit tous
les serveurs de licence TSE découverts dans les clefs suivantes de la base de
registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing\Parameters\EnterpriseServerMulti
et
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing\Parameters\DomainLicense
ServerMulti.
(Voir)
|
Si
vous avez défini la clé LicenceServers, il se peut qu'aucune des deux
clé ne soit présente. |
Aucune autre découverte ne sera effectuée tant que tous les serveurs de licences inscrit dans ces enregistrements sont disponibles.
Comment se passe l'attribution d'une licence d'accès cliente ?
Chaque fois qu'un client se connecte à un serveur TSE, ce dernier interroge un serveur de licence afin de fournir une nouvelle licence, ou valider une CAL existante. La CAL que fournira le serveur dépend de son mode de licence (par utilisateur ou par périphérique). Ce mode est paramétré par GPO ou grâce à l'outil d'administration "Configuration des services TSE". Par défaut, le mode de licence est le mode "par périphérique".
Les étapes du processus d'attribution ou validation d'une CAL TSE (effectuées
à chaque connexion d'un client sur un serveur TSE) sont les suivantes :
- Le serveur TSE interroge le client pour savoir si une CAL est déjà inscrite
dans la base de registre de ce dernier. Si une CAL permanente (cf :
Remarques) est présente, le serveur TSE interroge le
serveur de licence qui a émis cette licence afin de la valider. Si un CAL
temporaire est présente, le serveur de licence assignera au client une CAL
permanente (cf : Remarques) et un enregistrement
correspondant à cette licence sera inscrit dans la base de registre.
- Si le client ne possède aucune licence, le processus d'attribution dépend
du mode de licence du serveur TSE :
(cf : Configuration des services Terminal Server)
Par Utilisateur :
Le serveur TSE authentifie l'utilisateur. Il questionne ensuite le serveur de
licence afin de valider ou de demander une CAL pour l'utilisateur. Cette licence
est stocké sur le serveur de licence.
|
|
Pour le moment, les licences délivrées par ce système ne sont que des licences temporaires (valable 120 jours). Après leur expiration, il faut que le serveur TSE puisse toujours interroger un serveur de licence Terminal Server afin de valider le fait que vous ayez bien activé des CALS TSE utilisateurs, mais ne sera pas en mesure de gérer le nombre de licence fournie au client. |
Par périphérique :
Le serveur TSE demande une licence temporaire pour le poste client au serveur de
licence, et l'inscrit dans la base de registre de ce dernier. Après que
l'utilisateur ait été authentifié, le serveur TSE demande au serveur de licence
de valider la licence temporaire. Si l'utilisateur ne s'authentifie pas, la
licence est a nouveau disponible.
- Quelque soit le mode de licence du serveur TSE, si le serveur de licence n'a aucune licence disponible, un autre serveur de licence est intérrogé. Si le premier serveur de licence se rend compte qu'un autre serveur de licence a des licences disponibles, il demandera la CAL au nom du serveur terminal. Si le serveur de licence ne sait pas si il y a d'autres serveurs de licence d'installé, le serveur TSE questionnera le prochain serveur de licence inscrit dans sa base de registre.
Dans la plupart des cas, les serveurs de licence s'informent dés que des
licences sont ajoutés ou enlevés de leurs pools. C'est cette communication qui
permet aux serveurs de licence de demander aux autres serveurs de licences, une
CAL au nom du serveur TSE qui leur en a fait la demande. Ces annonces se
produisent :
- Entre les serveurs de licences de domaine d'un même domaine
- Entre les serveurs de licence d'entreprise d'un même site et d'un même domaine
- Depuis les serveurs de licences d'entreprise vers les serveurs de licences de
domaine
- Depuis les serveurs de licences de Windows 2000 vers les serveurs de licences
Windows 2003
Remarques:
En fait, cette CAL n'est pas vraiment permanente car elle est prévue pour
expirer après un nombre de jours variable (entre 52 et 89 jours). Cette durée de
vie est uniquement conçue de manière à récupérer les CALS des périphériques
auxquels des licences d'accès client ont été distribué, mais qui ne sont plus
présent (Machine de test, réinstallation du système d'exploitation par
exemple). Ce système existe depuis un patch Microsoft post SP2 (repris dans le
service Pack 3 de Windows 2000).
Liens Utiles
[Les services TSE sous Windows 2003]
(Dernière mise à jour le 04/08/2004)
