Odpowiedź na komentarz @Farrirlan, ale w komentarzu będzie za mało miejsca ;-)
W Windows Server istnieje coś takiego jak licencje dostępowe - CAL (Client Access Licence). I tutaj zaczyna się problem.
Windows Server 2012 R2 configured to run Web Workloads ** do not require CALs or External Connectors. Web workloads, also referred to as an internet web solution, are publically accessible (e.g. accessible outside of the firewall) and consist only of web pages, web sites, web applications, web services, and/or POP3 mail serving. Access to content, information, and/or applications within the internet web solution must be publically accessible. In other words, they cannot be restricted to you or your affiliate’s employees.
If you have Windows Servers configured to run a “web workload” these users will not require CALs or External Connectors. However, let’s say you are using Windows Server to setup an online store where customers can buy widgets. You have front end Windows Servers setup to support your website, and backend servers (e.g. commerce servers) setup so customers can check out and buy your widgets. The front end servers used to host your website would generally be considered as running “web workloads” and CALs or External Connectors will not be required to access these servers. Once the customer adds a widget to their shopping cart, creates an account and enters their credit card and shipping information to complete the sale – they are now authenticated via your back end commerce servers/application (non-web workload). Since users are accessing the backend commerce servers which web workloads are not running – CALs or External Connectors will be required for users to access these back end servers.
(za http://blogs.technet.com/b/volume-licensing/archive/2014/03/10/licensing-how-to-when-do-i-need-a-client-access-license-cal.aspx)
Czyli teoretycznie, jeżeli ktoś założy konto i się uwierzytelni, to w tym momencie staje się użytkownikiem dla którego wymagany będzie CAL - ale ta odpowiedź wyżej nie odpowiada na pytanie, czy serwer będący "web workload" (bez back-endu) może uwierzytelniać (znaczy aplikacja na nim działająca) i potrzeba CAL w takim wypadku? Przed Windows Server 2012 był sobie np. Windows Server 2008 R2 Web Edition, w którym w ogóle nie było koncepcji CAL - w momencie wejścia WSS 2012 zlikwidowano edycję Web, ale zapowiedziano, że nie ma wymagań CAL dla scenariuszy aplikacji internetowych.
Z drugiej strony Internet jest podzielony - jedni są zdania, że zawsze, kiedy użytkownik jest uwierzytelniony w jakiś sposób wymagany jest CAL (http://serverfault.com/a/296192, https://www.reddit.com/r/sysadmin/comments/13b06c/windows_2012_iis_licensing/c72fpn8) lub, że CAL jest niezbędny tylko, gdy uwierzytelnienie następuje przez mechanizm Windows authentication lub Active Directory (https://www.reddit.com/r/sysadmin/comments/13b06c/windows_2012_iis_licensing/c72dp7u.
Z tego też powodu paradoksalnie najlepiej zdecydować się na zewnętrzny hosting - odpadają problemy z niejasnym licencjonowaniem. O ile jestem fanem firmy z Redmond, o tyle kwestie licencji, zwłaszcza CAL, i przejrzystości informacji ma koszmarne.