Em cenários de laboratório com PXE/WinPE e MDT, a dúvida é comum: basta licenciar por núcleos o Windows Server 2022 ou também são necessárias CALs? A resposta depende de como os dispositivos acessam o servidor durante a implantação.
Visão geral da pergunta
Um servidor local executa o Windows Server 2022 e é usado apenas como ponto de arranque de rede (PXE/WinPE) para implantar imagens do sistema em aproximadamente cinquenta equipamentos de laboratório usando o Microsoft Deployment Toolkit (MDT). A dúvida: adquirir somente a licença por núcleos do Windows Server ou também Client Access Licenses (CALs)? Se forem necessárias, seriam cinquenta?
Resposta direta e solução
Licença por núcleo: é sempre obrigatória para executar legalmente o Windows Server (Standard ou Datacenter). Essa licença confere o direito de rodar o sistema operacional no host, mas não cobre os direitos de acesso de clientes ao servidor.
CALs: em regra, é necessário possuir uma CAL por usuário ou por dispositivo que acesse serviços do Windows Server, diretamente ou por intermédio de serviços/recursos do próprio servidor.
- Cenário com autenticação: se os cinquenta dispositivos consomem o compartilhamento do MDT via SMB mapeado com credenciais, ou acessam quaisquer serviços/roles do Windows Server que exijam autenticação, planeje 50 CALs de Dispositivo (ou um conjunto equivalente de CALs de Usuário, conforme o perfil de uso).
- Cenário sem autenticação: se todo o fluxo de implantação acontece de forma estritamente não autenticada (por exemplo: DHCP/TFTP para PXE, WDS/HTTP anônimo, sem mapear compartilhamentos SMB com credenciais e sem consumir serviços autenticados), pode haver base para não exigir CALs para os dispositivos que apenas fazem PXE/boot e recebem a imagem. Como isso depende da configuração concreta e de interpretações de licenciamento, valide formalmente com o seu parceiro ou representante Microsoft antes da compra.
CALs não são por servidor: são atreladas a usuários ou dispositivos e valem para acessar qualquer servidor Windows no ambiente. Uma Device CAL cobre aquele equipamento; uma User CAL cobre aquela pessoa, independentemente do equipamento.
Resumo em uma linha: você sempre precisa da licença por núcleos para o Windows Server. CALs serão necessárias se os dispositivos acessarem serviços autenticados do servidor (ex.: MDT via SMB com credenciais). Se o processo for totalmente não autenticado (PXE/TFTP/HTTP anônimo), pode não precisar de CALs — confirme oficialmente.
Como decidir rapidamente
- Mapeie o fluxo de implantação: há login/credenciais para acessar o Deployment Share do MDT (SMB) ou outro serviço do Windows Server?
Sim → adquira CALs (no cenário descrito, provavelmente 50 Device CALs).
Não → se for estritamente PXE/TFTP/HTTP anônimo, sem uso de serviços autenticados, pode dispensar CALs (ainda assim, valide). - Escolha o tipo de CAL:
- Device CAL: melhor quando há muitos dispositivos por poucos usuários (laboratórios, salas de aula, quiosques).
- User CAL: melhor quando poucos usuários usam muitos dispositivos (técnicos rodando implantações em vários computadores).
- Documente sua justificativa: guarde topologia, prints de configuração, scripts do WinPE, políticas de autenticação e as provas de compra/licenças.
Tabela de decisão por tipo de acesso
| Ação do cliente | Requer autenticação | Serviço/role envolvido | CAL exigida? | Observações práticas |
|---|---|---|---|---|
| Boot PXE, download de boot.wim via TFTP/HTTP anônimo | Não | PXE/DHCP/TFTP/WDS (HTTP anônimo) | Geralmente não | Evite mapeamento SMB com credenciais no WinPE; preferir HTTP anônimo para conteúdo estático. |
| Montar Deployment Share via SMB com net use e credenciais | Sim | Servidor de arquivos/SMB do Windows | Sim | Caso típico do MDT “tradicional”: exige CAL por dispositivo ou por usuário. |
| Consumo de scripts/TS do MDT hospedados em share protegido | Sim | SMB/NTFS com ACLs | Sim | Qualquer acesso autenticado ao Windows Server aciona necessidade de CAL. |
| Uso de HTTPS/HTTP com autenticação IIS | Sim | IIS no Windows Server | Sim | Mesmo sem SMB, se houver autenticação do Windows, planeje CALs. |
| Download de imagem via HTTP anônimo (somente leitura) | Não | IIS/HTTP anônimo | Geralmente não | Mantenha o pipeline estritamente anônimo; documente e valide. |
| Integração com AD, join ao domínio durante a Task Sequence | Sim | Active Directory | Sim | Se a Task Sequence interage com AD de forma autenticada, calcule CALs. |
| Uso de WDS apenas para responder ao PXE (sem autenticação) | Não | WDS (resposta/anônimo) | Geralmente não | Evite prompts de credenciais no WinPE; atenção à configuração do WDS. |
| Instalar apps a partir de share SMB ou GPOs que puxam de share | Sim | SMB/serviços de arquivos | Sim | Instalações via share autenticado implicam CAL. |
Licenciamento por núcleo em poucas palavras
A licença por núcleo do Windows Server autoriza a execução do sistema operacional no hardware. Em contratos típicos do Windows Server 2022, considera-se um mínimo por servidor e por processador físico, e a escolha entre Standard e Datacenter depende de virtualização/containers e demais requisitos. Esse licenciamento não substitui as CALs: pense nele como “direito de rodar” o SO, enquanto as CALs são o “direito de acessar” os serviços do SO.
| Item | O que cobre | Quando pensar nisso |
|---|---|---|
| Licença por núcleo | Execução do Windows Server no host e, conforme edição, direitos de virtualização. | Sempre que instalar o Windows Server, físico ou virtual. |
| CAL de Usuário | Uma pessoa acessando serviços do Windows Server a partir de qualquer dispositivo. | Ambientes com poucos usuários que usam muitos dispositivos. |
| CAL de Dispositivo | Um equipamento acessando serviços do Windows Server, independentemente de quem o use. | Laboratórios, salas de aula, quiosques, ambientes com muitos equipamentos. |
Dica: em laboratórios, Device CAL quase sempre é mais econômica.
Exemplos práticos com cinquenta equipamentos
Cenário com SMB autenticado
O WinPE mapeia \\servidor\DeploymentShare$ com net use e credenciais para puxar WIMs, drivers e pacotes. A Task Sequence escreve logs no share e consulta scripts no servidor. Resultado: além da licença por núcleo do Windows Server no host, adquira 50 Device CALs (ou o equivalente em User CALs conforme o perfil de usuários).
Cenário estritamente anônimo
O PXE entrega o boot via TFTP; o boot.wim inicia e a Task Sequence consome todo o conteúdo por HTTP/HTTPS anônimo (somente leitura) ou por um servidor de conteúdo estático sem autenticação; não há net use, nem AD, nem GPOs, nem gravações em shares. Resultado: é possível argumentar que CALs não são necessárias para os clientes nesse fluxo, pois não há acesso autenticado aos serviços do Windows Server. Ainda assim, registe a configuração e valide com o licenciamento Microsoft para mitigar riscos.
Cenário misto
Arranque anônimo por PXE/HTTP, porém drivers e apps são obtidos de uma partilha SMB com credenciais. Resultado: CALs necessárias para os dispositivos que consomem a partilha.
Matriz rápida de escolha de CAL
| Perfil | Quantidade de equipamentos | Quantidade de usuários | Tipo de CAL indicado | Justificativa |
|---|---|---|---|---|
| Laboratório universitário | 50 | 3 técnicos | Device CAL | Muitos dispositivos para poucos usuários. |
| Equipe de campo | 15 | 20 técnicos | User CAL | Mais usuários do que dispositivos; cada pessoa usa vários PCs. |
| Quiosques/terminais | 80 | Vários | Device CAL | Uso rotativo e anônimo dos dispositivos. |
Checklist de conformidade para implantação PXE/MDT
- Mapeie exatamente quais serviços do Windows Server são usados durante a Task Sequence (SMB, IIS, AD, DNS, etc.).
- Identifique onde existem credenciais (scripts, Bootstrap.ini, CustomSettings.ini, variáveis de TS, prompts do WinPE).
- Registre se há acesso somente leitura e anônimo a conteúdo (HTTP) ou se há acesso autenticado a shares (SMB) ou AD.
- Escolha Device CAL ou User CAL com base na relação usuários↔dispositivos.
- Guarde documentação: topologia, prints de configuração do WDS/MDT, logs do WinPE (SMSTS.log), política de credenciais e evidências de compra.
- Valide com o parceiro/licenciamento Microsoft antes de formalizar a aquisição.
Boas práticas para reduzir ou eliminar autenticação durante o deployment
- Servir conteúdo via HTTP anônimo quando possível (imagens, pacotes, scripts somente leitura).
- Evitar mapear shares SMB no WinPE; se inevitável, opte por conta de serviço dedicada e reconheça que isso tende a exigir CAL.
- Separar o servidor de conteúdo (somente leitura/anônimo) do servidor de serviços autenticados do domínio.
- Revisar Bootstrap.ini/CustomSettings.ini para remover credenciais embutidas e desabilitar prompts.
- Segregar tasks que interagem com AD (join ao domínio, GPOs) para um momento posterior ou para outro mecanismo, caso queira manter o pipeline inicial anônimo.
Perguntas frequentes
Se o servidor só fizer PXE/WinPE, sem AD e sem shares, preciso de CAL?
Se o fluxo permanecer integralmente anônimo (PXE/DHCP/TFTP/HTTP anônimo), há um caso plausível para dispensar CALs. Ainda assim, documente o desenho e confirme com o licenciamento Microsoft. CALs são por servidor ou por ambiente?
Nem uma coisa nem outra: CALs são por usuário ou por dispositivo e habilitam o acesso a serviços do Windows Server em todos os servidores do seu ambiente. RDS CALs entram nesse cenário?
Não. RDS CALs só são necessárias para acesso via Remote Desktop/RemoteApp/VDI. Implantação via PXE/MDT não envolve RDS. Preciso de CAL se só ler ficheiros via HTTP anônimo?
Em geral, acesso anônimo e somente leitura a conteúdo hospedado tende a não exigir CAL por dispositivo. Garanta que não exista qualquer passo autenticado (SMB, AD, IIS com login) e valide oficialmente. O tipo de edição (Standard ou Datacenter) muda a necessidade de CALs?
A edição impacta direitos de virtualização e funcionalidades, mas a regra de CALs permanece: se houver acesso a serviços autenticados do Windows Server, são necessárias CALs independentemente da edição.
Erros comuns que levam a não conformidade
- Pressupor que “somente PXE” exclui qualquer acesso autenticado. Muitas Task Sequences mapeiam shares SMB com credenciais sem que a equipa perceba.
- Confundir licenças por núcleo com CALs. Uma não substitui a outra: a primeira autoriza a execução do SO; a segunda, o acesso dos clientes.
- Ignorar acessos indiretos. Scripts que copiam logs para shares autenticados, aplicações instaladas a partir de share, driver stores em SMB — tudo isso conta como acesso ao Windows Server.
- Comprar CALs por servidor. CALs são por usuário ou dispositivo e cobrem todos os servidores do ambiente.
Passo a passo para documentar e provar conformidade
- Desenho da topologia: descreva PXE, WDS ou serviço equivalente, repositórios de imagens e onde vivem os conteúdos (HTTP vs SMB).
- Inventário de credenciais: liste contas usadas em Bootstrap.ini/CustomSettings.ini, variáveis, scripts e GPOs.
- Trilhas de auditoria: colete trechos do SMSTS.log que evidenciem ausência/presença de net use ou conexões autenticadas.
- Mapa de serviços: relacione roles do Windows Server utilizados durante a implantação e indique se exigem autenticação.
- Decisão de licenciamento: registre critério (Device vs User CAL), contagens e justificativa.
- Arquivamento: guarde PDFs das notas fiscais, contratos e prints de configuração.
Recomendações finais
- Para fluxos com SMB/AD: além do licenciamento por núcleos, planeje CALs (no laboratório de cinquenta máquinas, Device CAL costuma ser a melhor escolha).
- Para fluxos 100% anônimos: mantenha-os simples (somente PXE/HTTP anônimo), documente bem e valide a interpretação de licenciamento.
- Para ambientes híbridos: se qualquer etapa exigir autenticação, conte CALs para os clientes envolvidos.
Seguir esses passos reduz o risco de não conformidade e evita compras desnecessárias. Em suma, a peça-chave é identificar se existe — e onde — o ponto de autenticação no seu pipeline de implantação.
Modelo de justificativa para anexar ao dossiê de licenciamento
Use este texto como base e adapte à sua realidade.
“O servidor SRV-DEPLOY executa Windows Server 2022 Standard, licenciado por n núcleos conforme inventário de hardware. Ele presta serviços de PXE/HTTP anônimos para implantação de imagens em laboratórios. O pipeline não mapeia shares SMB, não consulta Active Directory e não usa IIS com autenticação. Todo o conteúdo é servido por HTTP anônimo e somente leitura. Dada a ausência de acessos autenticados aos serviços do Windows Server pelos dispositivos de laboratório, a organização entende que não se aplicam CALs para esses dispositivos. Esta posição foi validada junto ao parceiro de licenciamento em data.”
Se houver autenticação, substitua a última frase por: “Como há acesso autenticado a SMB/IIS/AD durante a Task Sequence, foram adquiridas 50 Device CALs que cobrem os dispositivos de laboratório em todos os servidores Windows do ambiente.”
Conclusão
Para um laboratório com cerca de cinquenta equipamentos: a licença por núcleos do Windows Server 2022 é sempre necessária. As CALs são exigidas quando há acesso autenticado a serviços do Windows Server durante a implantação (como o MDT via SMB). Se o seu fluxo for totalmente anônimo (PXE/TFTP/HTTP anônimo, sem shares, sem AD), existe argumento para dispensar CALs — mas, por se tratar de tema de licenciamento, documente e valide com o seu parceiro Microsoft antes de fechar a compra.
Apêndice de terminologia
PXE Preboot eXecution Environment. Permite arrancar pela rede para iniciar processos de implantação. WinPE Windows Preinstallation Environment. Ambiente mínimo do Windows para instalação e manutenção. MDT Microsoft Deployment Toolkit. Conjunto de ferramentas para criação de imagens e automação de deployment. Device CAL Licença de acesso por dispositivo. Cobre um equipamento independentemente de quem o use. User CAL Licença de acesso por usuário. Cobre uma pessoa usando quaisquer dispositivos.