Windows Server 2019: habilitar mais de 2 conexões RDP com RDS e CALs

Precisa da terceira sessão RDP no Windows Server 2019 Standard? Veja como habilitar o Remote Desktop Services, usar os 120 dias de carência e configurar licenciamento RDS (User ou Device) para sair do limite de 2 sessões administrativas com segurança e conformidade.

Índice

Cenário e sintoma

Após a mudança física do servidor, a equipe cresceu e três pessoas passaram a trabalhar remotamente. O Windows Server 2019 Standard com licença OEM HP ROK está apenas com o RDP administrativo habilitado (o padrão do sistema), o que permite no máximo duas sessões simultâneas para fins de administração. O terceiro utilizador recebe mensagem de recusa ou a sessão é encerrada de imediato.

Isso não é bug: é comportamento esperado. O RDP administrativo existe para tarefas de manutenção e suporte, não para publicar aplicativos ou prover ambiente multiusuário. Para permitir mais de duas sessões, é obrigatório ativar o Remote Desktop Services (RDS) e licenciar o uso com RDS CALs.

Por que o RDP administrativo não resolve

Limite técnico: duas conexões simultâneas (mais um console local em casos específicos) para administradores do servidor.
Sem gerenciamento de sessões: faltam relatórios, diagnóstico e políticas específicas para usuários finais.
Conformidade de licença: as CALs incluídas com o Windows Server (as “CALs de servidor”) não autorizam várias sessões de área de trabalho por usuário; para isso existem as RDS CALs.

Visão geral da solução

A solução é promover o servidor a Session Host com o papel RDS, ativar o License Server e instalar as RDS CALs adequadas. O sistema oferece um período de carência de 120 dias a partir da instalação do RDS para que você valide a carga de trabalho antes de comprar as licenças definitivas.

O que será habilitado

Componente	Função	Quando usar
RD Session Host	Entrega sessões de área de trabalho/aplicativos para múltiplos usuários.	Obrigatório em qualquer servidor de sessão RDS.
RD Licensing	Emite e controla as licenças de acesso (RDS CALs).	Obrigatório; pode residir no mesmo servidor em ambientes pequenos.
RD Connection Broker	Gerencia fazendas, reconexão e balanceamento.	Opcional; útil apenas em ambientes com múltiplos hosts RDS.

Pré-requisitos rápidos

Backup atualizado do servidor e do aplicativo publicado.
Contas de usuário locais ou de domínio e pertença ao grupo Remote Desktop Users.
Rede e firewall autorizando a porta TCP 3389 em rede interna (e, se exposto pela Internet, preferir RD Gateway em vez de encaminhar 3389 diretamente).
Recursos compatíveis com a carga (CPU, memória e I/O) — veja as dicas de dimensionamento mais abaixo.

Solução passo a passo

A tabela a seguir resume as etapas essenciais e, em seguida, cada uma é detalhada com instruções práticas.

Etapa	O que fazer	Observações úteis
Instalar a função RDS	No Server Manager → Add Roles and Features, marque: • Remote Desktop Session Host • Remote Desktop Licensing • (Opcional) RD Connection Broker em ambientes maiores	A opção “Permitir Conexões de Área de Trabalho Remota” sozinha não remove o limite de 2 sessões.
Aproveitar os 120 dias	Após instalar o RDS, o Windows inicia um período de carência de 120 dias com conexões de teste.	Período ideal para validar o aplicativo com 3 ou mais usuários, medir desempenho e ajustar políticas.
Comprar e instalar RDS CALs	Adquira RDS CALs por Usuário ou por Dispositivo. Para três pessoas, use 3 User CALs (ou Device CALs se os dispositivos forem fixos).	As CALs padrão incluídas no HP ROK não cobrem RDS. São licenças distintas.
Ativar o License Server	No Remote Desktop Licensing Manager, clique em Activate Server… e conclua o assistente; depois, Install Licenses… com a chave adquirida.	Ative online, por telefone ou pelo site. As chaves podem ser instaladas durante a carência, mas serão exigidas ao término.
Apontar o Session Host para o License Server	Em `gpedit.msc` ou GPO: Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → RD Session Host → Licensing. Configure Use the specified Remote Desktop license servers e Set the Remote Desktop licensing mode.	Sem essa configuração, o host não encontra as licenças, mesmo que o License Server esteja ativo.

Instalação guiada pelo Server Manager

Abra o Server Manager → Manage → Add Roles and Features.
Escolha Role-based or feature-based installation e selecione o servidor alvo.
Em Server Roles, marque Remote Desktop Services.
Em Role Services, selecione: Remote Desktop Session Host e Remote Desktop Licensing. Confirme a inclusão das ferramentas de gerenciamento.
Conclua o assistente e permita a reinicialização se solicitado.

Instalação via PowerShell (alternativa rápida)

Execute em PowerShell como Administrador:

# Instalar RD Session Host e RD Licensing (com ferramentas)
Install-WindowsFeature -Name RDS-RD-Server,RDS-Licensing -IncludeManagementTools

(Opcional) Instalar o Connection Broker

Install-WindowsFeature -Name RDS-Connection-Broker -IncludeManagementTools

Verificar se os serviços foram instalados

Get-WindowsFeature RDS\* | Where-Object {$\_.InstallState -eq 'Installed'}

Ativação e instalação das RDS CALs

Abra o Remote Desktop Licensing Manager a partir do Server Manager → Tools ou executando licmgr.exe.
Clique com o botão direito no servidor → Activate Server…. Forneça os dados solicitados e finalize.
Com o servidor ativado, clique novamente com o botão direito → Install Licenses… e informe o programa de licenciamento apropriado e a chave.

Dica: versões de RDS CAL devem ser iguais ou superiores à versão do Windows Server que hospeda as sessões. Por exemplo, CALs 2019 atendem 2019 e versões anteriores; CALs 2016 não atendem 2019.

Apontar o Session Host para o License Server

Se não usa GPO de domínio, configure via gpedit.msc no próprio servidor:

Habilite Use the specified Remote Desktop license servers e informe o nome do servidor de licenças (FQDN ou IP).
Habilite Set the Remote Desktop licensing mode e escolha Per User ou Per Device.
Execute gpupdate /force e reinicie o serviço Remote Desktop Services (ou o servidor, se preferir).

Configuração equivalente via PowerShell/Registro

Para automatizar em ambientes sem domínio, os comandos abaixo aplicam a política local (exemplo em modo Per User e servidor “SRV-LIC”):

# Definir modo de licenciamento: 4 = Per User, 2 = Per Device
New-Item -Path 'HKLM:\Software\Policies\Microsoft\Windows NT\Terminal Services' -Force | Out-Null
Set-ItemProperty -Path 'HKLM:\Software\Policies\Microsoft\Windows NT\Terminal Services' -Name 'LicensingMode' -Value 4 -Type DWord

Apontar servidores de licença

New-Item -Path 'HKLM:\Software\Policies\Microsoft\Windows NT\Terminal Services\LicenseServers' -Force | Out-Null
New-Item -Path 'HKLM:\Software\Policies\Microsoft\Windows NT\Terminal Services\LicenseServers\SRV-LIC' -Force | Out-Null

Aplicar políticas

gpupdate /force

Reiniciar serviços de RDS (opcional)

Restart-Service TermService -Force
Restart-Service TermServLicensing -Force

Escolha das RDS CALs: por Usuário vs por Dispositivo

Cenário	Per User	Per Device
Um usuário, vários dispositivos (PC da empresa, notebook, casa)	Ideal — flexível e simples de gerir em AD.	Geralmente sai mais caro (uma CAL por dispositivo).
Vários usuários revezando poucos equipamentos (ex.: thin clients)	Pode desperdiçar licenças.	Mais econômico — uma CAL por equipamento.
Servidor em workgroup (sem Active Directory)	Funciona, porém o rastreio é não reforçado; exige gestão manual de conformidade.	Recomendado quando precisa de controle automático de emissão.

Importante: as CALs que acompanham o HP ROK (CALs de Windows Server) não dão direito a múltiplas sessões RDP. São tipos de licenças distintos.

Validação rápida pós-instalação

Inclua ao menos três contas no grupo Remote Desktop Users ou conceda permissão de logon remoto via política.
De três dispositivos diferentes, conecte-se ao servidor e efetue logon simultâneo com as três contas.
No servidor, confira as sessões ativas com qwinsta ou pelo Task Manager → Users.
Abra o RD Licensing Diagnoser e verifique se o modo de licenciamento e o servidor de licenças estão corretos, e se há warnings sobre o período de carência.

Segurança e boas práticas

Autenticação em Nível de Rede (NLA): mantenha habilitada para reduzir superfície de ataque.
Exposição à Internet: evite publicar a porta 3389 diretamente. Prefira RD Gateway ou VPN.
Políticas de redirecionamento: avalie clipboard, unidades, impressoras e portas COM; desabilitar o que não for necessário aumenta a segurança.
Atualizações e hardening: aplique correções do Windows, política de bloqueio de conta e MFA quando usar Gateway.
Privilégios mínimos: usuários finais não precisam ser administradores do servidor.

Dimensionamento e desempenho

Regras práticas ajudam a começar; refine com monitoramento:

CPU: cargas de escritório leves costumam operar bem com ~1 vCPU para cada 5–10 usuários, dependendo do aplicativo.
Memória: planeje de 1,5 a 2,5 GB por sessão ativa para apps de produtividade; aplicativos mais pesados podem exigir mais.
Disco: prefira SSD; acompanhe fila de disco e latência. Perfis de usuário e cache de impressão consomem I/O.
Rede: garanta latências estáveis < 100 ms para boa experiência; o RDP comprime bem, mas é sensível a jitter.

Portas e serviços relevantes

Componente	Porta/Protocolo	Uso
RDP	TCP 3389	Conexões de área de trabalho remota.
RD Licensing	TCP 135 + portas RPC dinâmicas	Comunicação do Session Host com o License Server.
RD Gateway (se usado)	TCP 443	Túnel seguro HTTPS para RDP.

Erros comuns e como corrigir

Sintoma	Causa provável	Correção
“Sem servidores de licença de Área de Trabalho Remota disponíveis.”	Session Host não sabe onde buscar licenças ou serviço de licenciamento inativo.	Configure as políticas de Licensing, valide DNS, reinicie TermService e TermServLicensing.
“Não há licenças de acesso de Área de Trabalho Remota disponíveis para este computador.”	RDS CALs não instaladas, expiradas ou em quantidade insuficiente.	Instale/atribua as RDS CALs corretas e confirme o modo (Per User/Per Device).
Aviso de carência prestes a expirar (120 dias).	Ambiente ainda em período de teste.	Compre e instale as RDS CALs antes do prazo; após expirar, novas conexões deixam de funcionar.
Tela desconecta o terceiro usuário imediatamente.	Apenas RDP administrativo ativo.	Instale RDS e licencie conforme este guia.

Políticas úteis de RD Session Host

Set time limit for disconnected sessions — evita sessões órfãs consumindo recursos.
Restrict each user to a single session — força 1 sessão por usuário (útil para evitar múltiplos logons simultâneos).
Do not allow drive redirection — melhora segurança ao bloquear mapeamento de unidades locais.
Always prompt for password upon connection — reforça autenticação.

Boas práticas de licenciamento

Quantidade certa: calcule usuários ou dispositivos efetivamente conectados. Comprar a mais encarece; comprar a menos impede acesso.
Versão correta: alinhe a versão das RDS CALs ao Windows Server.
Documentação: guarde notas fiscais e chaves de licença; em Per User sem AD, mantenha planilha de controle para conformidade.

Checklist de implementação

Instale RD Session Host e RD Licensing.
Teste conexões durante o período de 120 dias.
Compre RDS CALs (User ou Device) na quantidade exata.
Ative o License Server e instale as licenças.
Configure o modo de licenciamento e informe o servidor de licença em gpedit.msc ou via GPO/registro.
Valide com três sessões simultâneas e revise políticas de segurança.
Monitore desempenho e ajuste CPU/RAM/I/O conforme o uso real.

Perguntas frequentes

Posso ficar indefinidamente no modo de carência?
Não. Ao expirar, novas conexões passam a ser recusadas até que o licenciamento seja reconhecido.

CALs de Windows Server substituem RDS CALs?
Não. São licenças de propósitos diferentes. Você precisa de ambas: CAL de Windows (acesso a serviços do servidor) e CAL de RDS (acesso a sessões remotas).

Per User funciona sem Active Directory?
Funciona, porém o rastreamento automático de emissão não ocorre. A conformidade deve ser gerida manualmente. Em workgroup, muitos administradores preferem Per Device para ter controle técnico de emissão.

Posso instalar o License Server no mesmo host?
Sim, em ambientes pequenos é comum reunir Session Host e License Server na mesma máquina.

Preciso do Connection Broker?
Não para um único servidor. Ele é útil em fazendas com mais de um Session Host.

Conclusão

O limite de duas sessões afeta apenas o RDP administrativo. Para suportar três ou mais usuários simultâneos com estabilidade e conformidade, instale o Remote Desktop Services, use o período de 120 dias para validar o ambiente e, antes do prazo, compre e instale as RDS CALs. Por fim, aponte o Session Host para o License Server e defina o modo de licenciamento — isso garante que a terceira sessão (e as seguintes) sejam aceitas sem surpresas.

Resumo executivo

Para permitir mais de duas conexões RDP simultâneas em um Windows Server 2019 Standard fora de domínio, instale a função Remote Desktop Services, aproveite os 120 dias de carência e, antes do prazo vencer, adquira e instale RDS CALs (por usuário ou dispositivo). Configure o License Server e aponte o Session Host para ele, definindo o modo de licenciamento. Assim, a terceira sessão — e quantas mais forem licenciadas — passa a ser aceita normalmente.