Les licences clientes pour Terminal Server de Windows 2003

Pour qu'un serveur TSE continue d'accepter des connexions après le "délai de grâce" qui est de 120 jours sous Windows 2003 (Il était de 90 jours sous Windows 2000), vous devez configurer un serveur de licence TSE.
Pour pouvoir se connecter à un serveur TSE Windows 2003, les clients devront obligatoirement avoir une CAL TSE Windows 2003. Ces dernières peuvent uniquement être émise par des serveurs de licence TSE Windows 2003, un serveur de licence Windows 2000 ne sera pas en mesure d'émettre ces nouvelles CALS, et donc, si vous avez déjà un serveur de licence Windows 2000, vous serez obligé de mettre à niveau ce serveur vers Windows 2003 ou activer le service de gestion des licences sur un autre Windows 2003.

Avant  l'installation d'un serveur de licence TSE, ou la mise à niveau d'un serveur existant, il est essentiel de connaître les points suivants :

Les différentes licences d'accès clientes TSE
Localisation du serveur de licence par un serveur TSE
Comment se passe l'attribution d'une licence d'accès cliente ?

Les différentes licences d'accès clientes TSE

Dés lors que vous avez sur votre réseau un serveur TSE Windows 2003, vous êtes dans l'obligation d'installer le service de gestion de licences pour les services TSE de Windows 2003. 
(cf : Installation de la gestion de licences Terminal Server)
Ce service peut être installé sur le serveur TSE lui même, ou sur une autre machine Windows 2003. Dans ce cas, la localisation du serveur de licence est essentiel pour le bon fonctionnement du système.

Le service de gestion des licences TSE Windows 2003 peut gérer les types de licence d'accès cliente suivantes :

Pour les serveurs TSE Windows 2003 :
- Par poste ou dispositif : Pour les clients qui se connecte à un serveur TSE qui est en mode de licence par périphérique.
- Par utilisateur : Pour les utilisateurs qui se connecte à un serveur TSE qui est en mode de licence par utilisateur
- Connecteur Externe : Pas encore disponible.

Pour les serveurs TSE Windows 2000 :

- Par dispositif : Pour les clients qui exécutent un système d'exploitation autre que Windows 2000 ou Windows XP.
- Connecteur Internet: Pour les clients anonymes se connectant sur un serveur TSE via Internet (Maxi 200 connexions)
- Intégré : Pour les clients qui exécutent un système d'exploitation Windows2000 ou Windows XP

Il n'y a plus de licence TSE intégré comme il pouvait y avoir sous Windows 2000, c'est à dire que chaque poste ou chaque utilisateur (suivant le mode de licence du serveur TSE), doit avoir une licence cliente. On ne peut plus se contenter comme sous Windows 2000, de procéder à l'activation du serveur de licence si l'ensemble des clients exécutent Windows 2000.

Localisation du serveur de licence par un serveur TSE

Lorsque le service de serveur de terminal démarre, il y a ce que l'on appelle le " Licensing Service Discovery progress", c'est à dire le procédé permettant à un serveur TSE de localiser les serveurs de licences. Ce procédé est différent selon l'environnement dans lequel le serveur TSE est installé.

Dans un groupe de travail ou dans un domaine de type NT4, le serveur TSE essaye de trouver les serveurs de licence qu'il a de listé dans sa clé " licenseServers " de la base de registre. Si il n'a pas de serveur de licence listé ou si il n'obtient aucune réponse, le serveur TSE effectue un broadcast de service sur son sous réseau. Tous les serveurs de licences  recevant la demande de service répondent au serveur TSE. Ce dernier va sélectionner de manière aléatoire le serveur de licence. 

Dans la cas d'un Active Directory, le serveur TSE essaye aussi de trouver les serveurs de licence qu'il a d'inscrit dans sa clé "LicenceServers". Si il n'en a pas, ou n'obtient pas de réponse, le serveur TSE exécute une requête LDAP portant sur un serveur de licence d'entreprise dans le même site que lui (cf: Attention). Si il n'obtient pas de réponse, le serveur TSE interroge alors tous les contrôleurs de domaine de son site, et si aucun serveur de licence n'est trouvé, il interroge alors tous les contrôleurs de domaine de son domaine.

Le serveur de licence d'accès TSE, n'est pas obligé d'être un contrôleur de domaine (à la différence de Windows 2000), il peut tout à fait être serveur membre d'un domaine. Dans ce cas précis, il est essentiel de comprendre maintenant qu'avec le mécanisme de découverte des serveurs de licences, seul un serveur de licences TSE d'entreprise
(cf :installation d'un serveur de licence TSE)  présent dans le même site AD que le serveur TSE sera découvert par requête LDAP. Si le serveur de licence TSE, est installé en tant que serveur d'entreprise dans un site AD différent du serveur TSE, ou est installé en tant que serveur de groupe de travail/domaine, il sera nécessaire de forcer l'utilisation d'un serveur de licence particulier est décrite dans l'article suivant :
 

Procédure pour remplacer le processus de découverte de serveur de licences dans les services Terminal Server de Windows Server 2003

Par contre si vous installez votre serveur de licence TSE sur un contrôleur de domaine, celui ci sera toujours détecté par un serveur TSE.

Si aucun serveur de licence n'est trouvé, le serveur TSE réessaye de trouver un serveur de licence une fois chaque heure.

Une fois le processus de localisation terminé, le serveur TSE inscrit tous les serveurs de licence TSE découverts dans les clefs suivantes de la base de registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing\Parameters\EnterpriseServerMulti
et
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing\Parameters\DomainLicense ServerMulti.
(Voir)

Si vous avez défini la clé LicenceServers, il se peut qu'aucune des deux clé ne soit présente.

Aucune autre découverte ne sera effectuée tant que tous les serveurs de licences inscrit dans ces enregistrements sont disponibles.

Comment se passe l'attribution d'une licence d'accès cliente ?

Chaque fois qu'un client se connecte à un serveur TSE, ce dernier interroge un serveur de licence afin de fournir une nouvelle licence, ou valider une CAL existante. La CAL que fournira le serveur dépend de son mode de licence (par utilisateur ou par périphérique). Ce mode est paramétré par GPO ou grâce à l'outil d'administration "Configuration des services TSE". Par défaut, le mode de licence est le mode "par périphérique".

Les étapes du processus d'attribution ou validation d'une CAL TSE (effectuées à chaque connexion d'un client sur un serveur TSE) sont les suivantes :
- Le serveur TSE interroge le client pour savoir si une CAL est déjà inscrite dans la base de registre de ce dernier. Si une CAL permanente (cf : Remarques) est présente, le serveur TSE interroge le serveur de licence qui a émis cette licence afin de la valider. Si un CAL temporaire est présente, le serveur de licence assignera au client une CAL permanente (cf : Remarques) et un enregistrement correspondant à cette licence sera inscrit dans la base de registre.

- Si le client ne possède aucune licence, le processus d'attribution dépend du mode de licence du serveur TSE :
(cf : Configuration des services Terminal Server)

    Par Utilisateur :
Le serveur TSE authentifie l'utilisateur. Il questionne ensuite le serveur de licence afin de valider ou de demander une CAL pour l'utilisateur. Cette licence est stocké sur le serveur de licence.

Pour le moment, les licences délivrées par ce système ne sont que des licences temporaires (valable 120 jours). Après leur expiration, il faut que le serveur TSE puisse toujours interroger un serveur de licence Terminal Server afin de valider le fait que vous ayez bien activé des CALS TSE utilisateurs, mais ne sera pas en mesure de gérer le nombre de licence fournie au client.

    Par périphérique :
Le serveur TSE demande une licence temporaire pour le poste client au serveur de licence, et l'inscrit dans la base de registre de ce dernier. Après que l'utilisateur ait été authentifié, le serveur TSE demande au serveur de licence de valider la licence temporaire. Si l'utilisateur ne s'authentifie pas, la licence est a nouveau disponible.

- Quelque soit le mode de licence du serveur TSE, si le serveur de licence n'a aucune licence disponible, un autre serveur de licence est intérrogé. Si le premier serveur de licence se rend compte qu'un autre serveur de licence a des licences disponibles, il demandera la CAL au nom du serveur terminal. Si le serveur de licence ne sait pas si il y a d'autres serveurs de licence d'installé, le serveur TSE questionnera le prochain serveur de licence inscrit dans sa base de registre.

Dans la plupart des cas, les serveurs de licence s'informent dés que des licences sont ajoutés ou enlevés de leurs pools. C'est cette communication qui permet aux serveurs de licence de demander aux autres serveurs de licences, une CAL au nom du serveur TSE qui leur en a fait la demande. Ces annonces se produisent :
- Entre les serveurs de licences de domaine d'un même domaine
- Entre les serveurs de licence d'entreprise d'un même site et d'un même domaine
- Depuis les serveurs de licences d'entreprise vers les serveurs de licences de domaine
- Depuis les serveurs de licences de Windows 2000 vers les serveurs de licences Windows 2003

Remarques:
En fait, cette CAL n'est pas vraiment permanente car elle est prévue pour expirer après un nombre de jours variable (entre 52 et 89 jours). Cette durée de vie est uniquement conçue de manière à récupérer les CALS des périphériques auxquels des licences d'accès client ont été distribué, mais qui ne sont plus présent  (Machine de test, réinstallation du système d'exploitation par exemple). Ce système existe depuis un patch Microsoft post SP2 (repris dans  le service Pack 3 de Windows 2000).

Liens Utiles

Terminal Services Licensing Server Discovery
   

Planning the License Server
   

The Function of Terminal Server CALs in Windows Server 2003
   

Windows Server 2003 Terminal Server Licensing
   

Licences Terminal Server avec Windows Server 2003
   

Évolution des droits d'utilisation et du modèle de licences pour Microsoft Windows Server 2003
   

Nouveautés dans les licences Windows Server 2003
   

Nouveautés Licensing Server 2003

[Les services TSE sous Windows 2003]

(Dernière mise à jour le 04/08/2004)