Сервер лицензий KMS/ADBA
Добавлено: 30 май 2016, 17:17
Источники:
http://winitpro.ru/index.php/2014/02/07 ... r-2012-r2/
http://winitpro.ru/index.php/2013/03/05 ... -tool-3-0/
http://winitpro.ru/index.php/2015/03/13 ... microsoft/
http://winitpro.ru/index.php/2013/02/16 ... rver-2012/
http://winitpro.ru/index.php/2011/01/29 ... x-domenax/
Установка KMS сервера на базе Windows Server 2012 R2
Инфраструктура KMS состоит из KMS-сервера, который активируется в Microsoft (эта операция выполняется один раз по телефону или онлайн) и клиентов KMS, отправляющих запросы на активацию на KMS сервер. В качестве клиентов KMS сервера могут выступать пользовательские и серверные ОС Microsoft и MS Office.
Сам KMS сервер активируется помощью специального корпоративного VLC ключа (KMS host key), получить который может каждый корпоративный клиент Microsoft на сайте корпоративного лицензирования (https://www.microsoft.com/Licensing/ser ... fault.aspx). Операция активации KMS сервера разовая.
Количество активаций, производимых с помощью KMS-сервера, не ограничено. Также отметим, что информация о проведенных активациях и их количестве не передается за пределы организации.
KMS сервер может активировать клиентов в разных доменах, а также клиенты в рабочих группах.
При установке KMS сервера в DNS регистрируется специальная SRV (_VLMCS) запись (по этой DNS записи клиент может найти имя KMS сервера в домене). Для активации KMS клиента на нем должен быть указан специальный публичный ключ KMS, который называется GVLK ключом ( Generic Volume License Key- универсальный ключ многократной установки). После указания GVLK ключа, клиент KMS пытается найти в DNS SRV запись, указывающую на сервер KMS и пытается произвести активацию.
Список универсальный KMS (GVLK) ключей для последних продуктов Microsoft:
Между клиентом и сервером KMS должен быть открыт порт 1688. При выполнении онлайн активации самого сервера KMS (выполняется один раз), с сервера KMS должны быть доступны сайты Microsoft по портам 80/443 (в изолированной среде сервер KMS можно активировать по телефону)
Активация продуктов на сервере KMS возможна только при удовлетворении следующих требований к минимальному количеству KMS клиентов (т.н. порог активации):
Клиентские ОС: 25
Серверные ОС: 5
MS Office: 5
Служба KMS не требовательна к ресурсам, поэтому эта роль может быть установлена на любой сервер. К службе KMS как правило не предъявляется требований высокой доступности. Если сервер KMS не доступен несколько часов (и даже дней), этот простой никак не скажется на работе предприятия.
Распространенные ошибки при использование сервера KMS
Установка публичного KMS ключа на клиенте:
slmgr /ipk
Задать KMS сервер и порт:
slmgr /skms kms-server.winitpro.ru:1688
Активция ОС на KMS-сервере:
slmgr /ato
Информация о статусе активации ОС:
slmgr /dlv
Вся лицензионная информация (включая статус активации MS Office):
slmgr /dlv all
Собственный KMS сервер позволяет значительно упростить процесс активации продуктов Microsoft в корпоративной сети, и в отличии от обычной процедуры активации, не требует предоставления каждому компьютеру доступа в интернет к серверам активации Майкрософт. Инфраструктура KMS достаточно простая, надежная и легко расширяется (один KMS сервер может обслуживать тысячи клиентов).
В этой статье мы опишем процесс установки в локальной сети KMS сервера на базе Windows Server 2012 R2 и его активацию.
Основные аспекты функционирования технологиий KMS активации продуктов Microsoft описаны в статье FAQ по KMS активации продуктов Microsoft
Установка и настройка роли Volume Activation Services
Для работы службы KMS нужно установить и настроить отдельную роль — Volume Activation Services. Сделать это можно с помощью консоли Server Manage или Powershell:
Install-WindowsFeature -Name VolumeActivation -IncludeAllSubFeature
После окончания установки запустите консоль Volume Activation Tools. Запустится мастер установки службы активации. Укажите, что будет устанавливаться сервер Key Management Service (KMS).
Найдите ключ с типом KMS (не MAK) и скопируйте его в буфер обмена.
Вставьте скопированный GVLK ключ в соответствующее поле мастера (Install your KMS host key).
Если система примет ключ, сразу же будет предложено его активировать. На основании введенного ключа система определит продукт, к которому он относится, и предложит два варианта активации (по телефону или Интернету).
После активации ключа, нужно настроить параметры службы управления ключами: интервал активации и реактивации, порт (по умолчанию служба KMS слушает порт 1688), исключения для Windows Firewall. Чтобы автоматически создать запись в DNS, необходимую для автоматического поиска сервера KMS в домене (SRV запись _vlmcs._tcp), включите опцию DNS Records – Publish.
На это процесс настройки сервера окончен. Проверьте, что в DNS создалась специальная запись, указывающая на ваш kms сервер (подробности в статье Как найти в домене KMS сервер):
Далее получим информацию о состоянии KMS сервера:
slmgr.vbs /dlv
Нас интересуют поля:
Для упрощения процедуры управления корпоративными ключами продуктов Microsft существует специальная утилита Microsoft Volume Activation Management Tool (VAMT). Последняя версия VAMT, выпущенная одновременно с выходом Windows 8 и Windows Server 2012 – VAMT 3.0.
Утилита VAMT 3.0 представляет собой оснастку MMC, позволяющую в корпоративной среде централизованно управлять лицензионными ключами продуктов Microsoft, активировать клиентов и осуществлять инвентаризацию используемых лицензий.
С помощью VAMT можно управлять следующими типами ключей активации:
Кроме того, с помощью VAMT можно проверить валидность MAK ключей для Windows 8, Windows 7, Windows Vista (во всех случаях для редакций Enterprise и Professional), MS Server 2008 R2 и оставшееся число online активаций.
Установка VAMT 3.0
Volume Activation Management Tool входит в состав пакета Windows Assessment and Deployment Kit (ADK) for Windows 8. Скачать VAMT 3.0 можно в составе пакета ADK для Windows 8:
http://www.microsoft.com/en-us/download ... x?id=30652
VAMT 3.0 возможно установить на следующие операционные системы:
Для хранения и учета лицензий VAMT требует наличия SQL –сервера, можно задействовать существующую СУБД, либо, в случае отсутствия серверов с SQL-Server, установить SQL 2012 Express. Пользователь, который устанавливает VAMT 3.0, должен иметь права DbCreator на сервере БД.
Для выполнения командлетов PowerShell необходимо установить PowerShell 3 (в Windows 8 или Server 2012 он уже имеется, для остальных платформ нужно установить соответствующий апдейт — Windows Management Framework 3.0).
Установка VAMT обычно не вызывает особых трудностей. Запустите установочный файл ADK и укажите, что хотите установить:
После окончания установки VAMT и SQL Server запустите консоль, которая при первом запуске предложит указать существующий сервер и базу данных, либо создать новую (предполагается, что у пользователя есть соответствующие права).
Управление лицензиями с помощью VAMT 3.0
После первого запуска консоли управления VAMT 3.0 списки обнаруженных продуктов и компьютеров, естественно, будут пустыми.
Чтобы добавить лицензионный ключ щелкните правой кнопкой по элементу Product keys и выберите пункт Add product keys, введите список добавляемых ключей (по одному в каждой строке) и нажмите Add Key(s).
После проверки действительности ключей, в списке ключей появятся добавленные ключи, их типы (в данном случае добавлен MAK ключ) и продукт, для активации которого может использоваться данный ключ. Следует понимать, что при активации Windows ключом VAMT «вытащить» его из реестра способом, описанном в статье «Как узнать ключ установленной Windows 8» не получится, т.к. система его просто не запоминает.
На скриншоте ниже показа пример консоли VAMT, содержащую ключи GVLK, MAK и Retail.
После того, как ключи добавлены в базу VAMT, их можно использовать для активации соответствующих продуктов в сети, однако сначала необходимо добавить управляемые объекты (сервера и рабочие станции). Чтобы заполнить списки хостов с продуктами Microsoft в Вашей сети (раздел Products консоли VAMT), необходимо выбрать пункт Discover products и указать способ добавления новых устройств: вручную (Manually enter name or IP address), либо автоматически по базе Active Directory (Search for computers in the Active Directory).
После добавления компьютеров с продуктами Microsoft в базу VAMT для просмотра статуса лицензионной информации (активированы или нет, какими ключами) необходимо обновить лицензионный статус (пункт Update license status). Для получения подобной информации необходимо иметь права администратора на опрашиваемом оборудовании.
После обновления информации, можно приступить к установке на данный компьютер добавленного ранее ключа. Можно указать, что будет использоваться KMS ключ (GVLK), либо один из MAK ключей или Retail. Для этого выберите пункт “Install product Key…” и из списка выберите ключ, который нужно применить, нажав затем “Install Key“.
После применения ключа, клиента можно активировать, для этого щелкните правой кнопкой мыши по устройству, выберите “Activate“ и “Online activate”.
После чего клиент переходит в статус «Activate».
VAMT и ADAP активация
Напомним, что вместе с выходом Windows Server 2012 и Window 8, Microsoft презентовала новый способ активации своих новых продуктов — Active Directory Based Activation, позволяющий клиентам автоматически активироваться при включении их в состав домен Active Directory (как включить Windows 8 / Server 2012 в домен). Подробнее про Active Directory Based Activation в Windows Server 2012 будет ниже.
С помощью консоли VAMT 3.0 можно управлять и этим типом активации: добавить KMS Host Key и активировать лес AD для поддержки ADBA, т.е. все то же, что приходилось выполнять с помощью консоли Volume Activation Tools (в Windows Server 2012) или консольной утилиты slmgr.vbs.
Отчеты Volume Licensing Reports
В VAMT3.0 существует возможность построения, просмотра и экспорта в CSV различных отчетов о состоянии активации продуктов Microsoft в организации.
Доступны следующие типы отчетов:
Во многих крупных организациях для активации ОС Windows используется специальная служба управления ключами Key Management Server (KMS), установленная на выделенном хосте и активированныая специальным ключом Microsoft. В дальнейшем все компьютеры компании можно активировать не через сервера Microsoft, а напрямую через этот KMS сервер. Напомним, что при активации компьютера на сервере KMS, он сохраняет статус активации в течении 180 дней, по истечении которых клиент каждый раз должен проходить повторную активацию на следующие 180 дней.
В Windows Server 2012 появилась новая модель активации клиентов с ОС Windows 8, Windows Server 2012, а также пакетом Office 2013, предназначенная для замены KMS. Новая роль называется Active Directory Based Activation (ADBA). Данная технология позволяет активировать компьютеры (естественно, с Win8 и Win2012), которые просто включили в состав домена. В отличии от KMS-активации, активация с помощью ADBA завязана не на конкретный хост (kms-сервер), а целиком на службу AD, что предпочтительнее с точки зрения обеспечения отказоустойчивости службы активации, кроме того, отпадает необходимость открывать дополнительные порты на корпоративных файерволах (напомню для KMS-активации клиент должен по порту 1688 иметь доступ kms сервер), нужен лишь стандартный LDAP доступ к ближайшему контролеру домена (это должен быть обычный rw- контроллер домена, а не RODC контроллер). Хосты активируются службой ADBA на те же 180 дней, и если машина входит в состав домена, продление активации происходит автоматически путем взаимодействия с любым доступным контроллером домена. Естественно, при выводе машины, активированной с помощью Active Directory-based activation из домена, активация пропадает. Отметим, что ADBA позволяет активировать клиентов в пределах всего леса AD.
Для управления ADBA существует специальная консоль Volume Activation Management Toolkit 3.0 (VAMT). Подробнее что это и как описано главой выше.
Установка и настройка Active Directory Based Activation
Для работы Active Directory-based Activation необходимо расширить схему AD до Windows Server 2012 (как обновить схему с помощью adprep.exe описано в статье Обновляем AD до Windows Server 2012). Отдельный контроллер с Windows Server 2012 поднимать не нужно.
Затем на сервере с ОС Windows Server 2012 необходимо установить роль Volume Activation Services. Сделать это можно с помощью стандартной консоли Server Manager, выбрав пункт Add Roles and Features ->Next->Next и отметьте роль Volume Activation Services.
Службу Volume Activation Services также можно установить с помощью следующей команды PowerShell:
Install-WindowsFeature VolumeActivation –IncludeManagementTools
После установки роли, запустите консоль управления Volume Activation Tools (Server Manager->Tools->Volume Activation Tools). Если настройка происходит с клиента Windows 8, необходимо установить RSAT для Windows 8, консоль Volume Activation Tools входит в этот пакет.
В окне Volume Activation Tools в качестве способа активации клиентов выберите Active Directory-Based Activation.
Чтобы активировать продукты MS с помощью ADBA, необходимо в серверную роль Volume Activation Services добавить соответствующие ключи. Далее нужно ввести выданный вашей организации ключ KMS (для KMS и ADBA используется один и тот же ключ), его имя (позволяет в дальнейшем более удобно работать со множеством ключей).
Следующий этап – включение поддержки ADAP-активации для всего леса и активация ключей volume license на серверах Microsoft (по телефону или онлайн). Активировать VLK ключи можно также и по старинке с помощью интерфейса командной строки и скрипта slmgr.vbs (подробнее процедура описана в статье Установка и активация KMS сервера).
После репликации всех новых объектов в AD, все клиенты с Windows 8 и Windows Server 2012, которые включены в домен и настроены на использование общих VLK ключей (наличие этих ключе говорит ОС о том, что активация будет происходить с помощью сервера KMS или по ADBA), получают информацию из AD и автоматически активируются. На клиентах дополнительно ничего настраивать не нужно. Полный список GVLK ключей можно найти здесь.
Следует понимать, что в домене нет выделенного сервера ADBA, или службы ADBA, запущенной на контролерах домена. Это пассивный процесс, при котором клиенты опрашивают Active Directory, обнаруживают нужные атрибуты и автоматически активируются.
Попробуем разобраться, где же в Active Directory хранится информация об активации ADBA?
При расширении схемы до Windows Server 2012 (об этом рассказывалось выше), в AD появляются новые объекты, которые клиенты могут использовать для поиска и активации продуктов в домене. Данные атрибуты хранятся в контейнере конфигурации леса CN=Activation Objects,CN=Microsoft SPP,CN=Services,CN=Configuration .
Напрямую объекты в этом разделе редактировать не рекомендуется, для этих целей использовать только утилиту Volume Activation Tool.
Текущий статус активации клиентов можно проверить с помощью команды:
slmgr.vbs –dlv
Строка Activation Object name: KMS AD Activation — говорит о том, что клиент активирован с помощью ADBA.
Атрибуты скрипта slmgr.vbs расширены дополнительными параметрами, отвечающими за активацию через AD.
В том случае, если нужные атрибуты Active Directory отсутствуют, клиент пытается активироваться следующим доступным методом — KMS-активацией, пытаясь в DNS найти SRV запись KMS сервера (как обнаружить сервер kms в домене).
При исключении компьютера из домена, активация пропадет при следующем цикле проверки лицензионной информации (при перезагрузке компьютера или при перезапуске службы Software Protection Service).
Итак, сегодня мы разобрались с настройкой активации клиентов с Windows 8 и Windows Server 2012 с помощью ADBA (KMS сервер для них больше не нужен!). Возможность активации ADBA не исключает возможности наличий KMS сервера и возможность активации клиентов на нем, тем более, пока отсутствует поддержка активации ADBA для старых ОС (Windows 2008/R2/Vista/7).
Активируем Windows при помощи KMS
Теперь о том, как активировать Windows 7 и R2 при помощи сервера KMS.
Во-первых, естественно, у вас должен быть установлен и активирован сервер KMS.
Проверить работоспособность сервера KMS можно при помощи следующих команд:
Cscript slmgr.vbs /dli
Cscript slmgr.vbs /dlv
Далее следует убедиться, что на системное время вашего компьютера и сервера активации совпадают. В идеале они должны синхронизироваться по протоколу NTP с одним сервером времени.
Затем открываем командную строку с правами администратора и последовательно выполняем следующие команды (обязательно дождитесь окончания каждой команды). В том случае, если вы используете лицензию типа Volume (VL), то первую команду выполнять не нужно!
slmgr /ipk ххххх- ххххх — ххххх — ххххх — ххххх
slmgr /skms kms_server.winitpro.ru:1688
где kms_server.winitpro.ru – имя (ip адрес вашего сервера KMS)
ххххх- ххххх — ххххх — ххххх – ххххх, — ключ от вашей редакции Windows
Публичные GVLK ключи для Windows 7 и Windows Server 2008 R2
Данные ключи используются для того, чтобы изменить ключ ОС с версии MAK (локальный ключ) на KMS ключ:
Windows 7 Professional FJ82H-XT6CR-J8D7P-XQJJ2-GPDD4
Windows 7 Professional N MRPKT-YTG23-K7D7T-X2JMM-QY7MG
Windows 7 Enterprise 33PXH-7Y6KF-2VJC9-XBBR8-HVTHH
Windows 7 Enterprise N YDRBP-3D83W-TY26F-D46B2-XCKRJ
Windows 7 Enterprise E C29WB-22CC8-VJ326-GHFJW-H9DH4
Windows Server 2008 R2 HPC Edition FKJQ8-TMCVP-FRMR7-4WR42-3JCD7
Windows Server 2008 R2 Datacenter 74YFP-3QFB3-KQT8W-PMXWJ-7M648
Windows Server 2008 R2 Enterprise 489J6-VHDMP-X63PK-3K798-CPX3Y
Windows Server 2008 R2 for Itanium-Based Systems GT63C-RJFQ3-4GMB6-BRFB9-CB83V
Windows Server 2008 R2 Standard YC6KT-GKW9T-YTKYR-T4X34-R7VHC
Windows Web Server 2008 R2 6TPJF-RBVHG-WBW2R-86QPH-6RTM4
После задания ключа установки KMS, активация клиента KMS может быть выполнена при помощи элемента «Система» (System) на панели управления. Также можно активировать Windows на KMS сервере при помощи команды:
Slmgr.vbs /ato
С помощью указанных команд на сервере KMS также можно активировать и Windows 2008 Server Core.
Накрутка счетчика на KMS сервере
Еще раз вернемся к теоретическим основам функционирования службы KMS.
Согласно корпоративной программе лицензирования Microsoft (Volume License) минимальное количество лицензий в пакете 25 штук. Каждому покупателю корпоративной лицензии выдается специальный GVLK ключ, с помощью которого активируется внутренний KMS сервер компании. Однако сразу после установки и активации KMS сервер не будет активировать обратившихся к нему клиентов. При попытке активировать ОС на KMS сервере (в этом примере Windows 7 Pro) появится ошибка:
В любой момент общее количество запросов активации на KMS сервере можно посмотреть с помощью команды:
slmgr –dlv
Смотрите значение параметра Current count.
Срок активации KMS клиента — 180 дней, причем каждые 7 дней (7 дней по умолчанию, изменить его можно командой slmgr.vbs /sri ) клиент пытается продлить активацию (на те же 180 дней). Если в течении 30 дней активация не обновлялась, KMS сервер удаляет CMID клиента из базы и уменьшает счетчик активаций. Клиент, который не обновлял активацию на KMS в течении 180 дней, переходит в режим grace period.
В том случае, если вы пытаетесь активировать клиентскую ОС на KMS сервере, а счетчик не увеличивается, это может вызвано следующими причинами:
В качестве более простой альтернативы советуем вам воспользоваться следующим скриптом, позволяющим накрутить счетчик активации на KMS сервере. Установите нужную версию ОС (в этом примере это Windows 7 Professional) , создайте произвольный каталог, скопируйте в него следующий bat файл, в этом же каталоге создайте два пустых файла с именами:
7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
Запустите файл kms_increase.bat:
kms1.winitpro.ru – DNS имя или ip-адрес вашего KMS сервера.
количество точек в третье строке – нужное количество обращений к KMS серверу (в нашем примере мы накручиваем 25 обращений)
После окончания работы скрипта проверьте счетчик активации на KMS сервере:
slmgr –dlv
Его значение должно превысить число 25. После этого KMS сервер будет активировать все обещающиеся к нему системы десктопные системы. Этот скрипт в дальнейшем (если нужное количество реальных клиентов не наберется) нужно будет запускать каждые 180 дней, т.к. при отсутствии запросов к серверу счетчик активации будет со временем уменьшаться.
http://winitpro.ru/index.php/2014/02/07 ... r-2012-r2/
http://winitpro.ru/index.php/2013/03/05 ... -tool-3-0/
http://winitpro.ru/index.php/2015/03/13 ... microsoft/
http://winitpro.ru/index.php/2013/02/16 ... rver-2012/
http://winitpro.ru/index.php/2011/01/29 ... x-domenax/
Установка KMS сервера на базе Windows Server 2012 R2
Инфраструктура KMS состоит из KMS-сервера, который активируется в Microsoft (эта операция выполняется один раз по телефону или онлайн) и клиентов KMS, отправляющих запросы на активацию на KMS сервер. В качестве клиентов KMS сервера могут выступать пользовательские и серверные ОС Microsoft и MS Office.
Сам KMS сервер активируется помощью специального корпоративного VLC ключа (KMS host key), получить который может каждый корпоративный клиент Microsoft на сайте корпоративного лицензирования (https://www.microsoft.com/Licensing/ser ... fault.aspx). Операция активации KMS сервера разовая.
- Архитектурная схема KMS
KMS сервер может активировать клиентов в разных доменах, а также клиенты в рабочих группах.
При установке KMS сервера в DNS регистрируется специальная SRV (_VLMCS) запись (по этой DNS записи клиент может найти имя KMS сервера в домене). Для активации KMS клиента на нем должен быть указан специальный публичный ключ KMS, который называется GVLK ключом ( Generic Volume License Key- универсальный ключ многократной установки). После указания GVLK ключа, клиент KMS пытается найти в DNS SRV запись, указывающую на сервер KMS и пытается произвести активацию.
Список универсальный KMS (GVLK) ключей для последних продуктов Microsoft:
- GVLK ключи для Windows 7/ Windows Server 2008/ 2008 R2
► Показать
- GVLK ключи для Windows 8.1 и Windows Server 2012 R2
► Показать
- GVLK ключи для MS Office 2016
► Показать
- GVLK ключи для MS Office 2013
► Показать
- GVLK ключи для MS Office 2010
► Показать
Между клиентом и сервером KMS должен быть открыт порт 1688. При выполнении онлайн активации самого сервера KMS (выполняется один раз), с сервера KMS должны быть доступны сайты Microsoft по портам 80/443 (в изолированной среде сервер KMS можно активировать по телефону)
Активация продуктов на сервере KMS возможна только при удовлетворении следующих требований к минимальному количеству KMS клиентов (т.н. порог активации):
Клиентские ОС: 25
Серверные ОС: 5
MS Office: 5
Компьютеры с активированными на KMS сервере продуктами должны для продления активации подключатся к корпоративной сети с KMS сервером как минимум раз в 180 дней. По истечении 180 дней активация «слетает»Совет. При необходимости счетчик активаций на KMS сервере можно накрутить программно с помощью скрипта.
Служба KMS не требовательна к ресурсам, поэтому эта роль может быть установлена на любой сервер. К службе KMS как правило не предъявляется требований высокой доступности. Если сервер KMS не доступен несколько часов (и даже дней), этот простой никак не скажется на работе предприятия.
Распространенные ошибки при использование сервера KMS
- Установка корпоративного ключа KMS (VLK ключа) на клиентах
- Общий KMS ключ не соответствует версии ОС на активируемом хосте
- Сервер KMS должен быть обновлён для поддержки активации последних версий продуктов Microsoft (здесь, к примеру, описан процесс обновления KMS сервера на Windows 2008 R2 для поддержки активации Windows1 и Windows Server 2012 R2).
- Если при попытке активации появляется ошибка 0xC004F074 – причиной может быть отсутствие SRV записи _VLMCS._tcp.winitpro.ru в DNS. Ее можно создать вручную или указать адрес KMS сервера вручную (команда указана ниже)
- Ошибка 0xC004F038 говорит о том, что в вашей сети не набралось необходимого количества систем для активации
Установка публичного KMS ключа на клиенте:
slmgr /ipk
Задать KMS сервер и порт:
slmgr /skms kms-server.winitpro.ru:1688
Активция ОС на KMS-сервере:
slmgr /ato
Информация о статусе активации ОС:
slmgr /dlv
Вся лицензионная информация (включая статус активации MS Office):
slmgr /dlv all
Совет. Всплывающее окно с лицензионной информацией не прокручивается и не всегда помещается на экран. Вывод информации для удобства анализа можно перенаправить в текстовый файл:
cscript.exe c:\windows\system32\slmgr.vbs /dlv all > c:\tmp\dlv.txt
УстановкаСовет. В качестве одного из расширений технологии KMS стоит упомянуть еще один тип активации продуктов MS — Active Directory Based Activation (ADBA). ADBA позволяет автоматически активировать клиенты с ОС Windows 8, Windows Server 2012 и MS Office 2013, включенные в состав домена. В этом случае выделенный KMS сервер отсутствует, а активация завязан на расширении службы Active Directory.
Собственный KMS сервер позволяет значительно упростить процесс активации продуктов Microsoft в корпоративной сети, и в отличии от обычной процедуры активации, не требует предоставления каждому компьютеру доступа в интернет к серверам активации Майкрософт. Инфраструктура KMS достаточно простая, надежная и легко расширяется (один KMS сервер может обслуживать тысячи клиентов).
В этой статье мы опишем процесс установки в локальной сети KMS сервера на базе Windows Server 2012 R2 и его активацию.
Основные аспекты функционирования технологиий KMS активации продуктов Microsoft описаны в статье FAQ по KMS активации продуктов Microsoft
Установка и настройка роли Volume Activation Services
Для работы службы KMS нужно установить и настроить отдельную роль — Volume Activation Services. Сделать это можно с помощью консоли Server Manage или Powershell:
Install-WindowsFeature -Name VolumeActivation -IncludeAllSubFeature
- Установка роли KMS (Volume Activation Services)
Примечание. Если все ОС Windows, которые будут активированы на KMS сервере, состоят в одном домене Active Directory- можно воспользоваться специальным расширением технологии KMS – Active Directory Based Activation, активацией через AD. Ниже будет описан этот процесс.
- Тип активации KMS или ADBA
Далее на сайте Microsoft (https://www.microsoft.com/Licensing/ser ... /home.aspx) необходимо получить свой корпоративный KMS ключ (GVLK – Generic Volume License Key). Найти его можно в разделе Downloads and Keys — Windows Server – Windows Server 2012 R2.Примечание. Учетная запись должна обладать права Enterprise Admin.
- Получаем gvlk ключ с сайта Microsoft
Вставьте скопированный GVLK ключ в соответствующее поле мастера (Install your KMS host key).
- Установка ключа KMS на сервере активаций
- Активация сервера KMS по телефону или через Интернет
- Расширенные опции настройки KMS сервера
Код: Выделить всё
nslookup -type=srv _vlmcs._tcp.corp.winitpro.ruslmgr.vbs /dlv
- Получаем статус kms сервера: инормация о лицензии, и количестве клиентов
- Partial Product Key – отображены последние 5 символов ключа продукта
- License status – статус активации лицензии (должно быть Licensed)
- Total requests received — количество запросов на активацию (пока 0)
Теперь KMS сервер может активировать клиентов (как активировать клиент на KMS сервере описано тут).Внимание. Напомним, что у KMS сервера есть т.н. порог активации. Это означает, что активированный KMS сервер начинает активировать клиентов, только тогда, когда количество обратившихся к нему за последние 30 дней клиентов превысит предопределенные пороги (activation count):
- Порог активации для клиентских ОС Vista / Windows 7 / Win 8 – 25 клиентов
- Для серверных ОС: Windows Server 2008/ 2008 R2 / 2012 / 2012 R2 – 5 клиентов
Управление лицензиями Microsoft с помощью Volume Activation Management Tool 3.0Несколько советов.
- Общедоступные KMS ключи для Windows 7/ Server 2008/ 2008 R2 можно найти здесь, для Windows 8.1 / Server 2012 R2 здесь
- Для удобного управлениями ключами продуктами MS, активации клиентов и построения отчетов можно воспользоваться утилитой Microsoft Volume Activation Management Tool — VAMT 3.0
- С помощью этого же KMS сервера можно активировать и продукты MS Office ( подробности в статье Активация MS Office 2013 VL)
- Для активации виртуальных машин, запущенных на сервере Hyper-V можно воспользоваться специальным типом активации: AVMA (Automatic Virtual Machine Activation)
- С помощью утилиты VAMT можно настроить активацию через прокси для MAK ключей. Для KMS в этом особого смысла нет. Сам корпоративный KMS ключ (GVLK) можно активировать по телефону, а клиентам KMS для активации доступ в интернет не нужен. Если же сам KMS-сервер по отношению к клиентам находится за прокси-сервером — можно на клиенте задать системный прокси, в результате запрос на KMS активацию пойдет через него:
netsh winhttp set proxy proxy-server=”proxy.winitpro.ru:3128″
или импортировать настройки прокси из IE:
netsh winhttp import proxy source=ie- После активации ключа KMS серверу доступ в интернет не нужен.
- Старые версии винды можно активировать на этом KMS сервере, главное — прописать на клиентах ключ для соответствующей версии win os.
- Можно ли настроить KMS так, чтобы он был виден только нескольким OU или вообще в обход AD?
Первое что приходит на ум — скрыть запись сервера KMS в DNS (отключить публикацию записей SRV KMS на DNS) — в этом случае клиенты не смогут «автоматически» обнаруживать KMS сервер и поменять «слушающий» порт-kms с 1688 на что-то другое, например 1600.
В этом случае придется активировать клиентов вручную:
slmgr /ipk ххххх- ххххх – ххххх – ххххх – ххххх
slmgr /skms kms_server.winitpro.ru:1600
slmgr /ato
Эти настройки можно распространить на нужные OU групповой политикой.- Ключи от более старых версий продуктов, чем введенная в системе, не подходят
- Количество активаций с публичным ключом на активированном KMS севере не ограничено и не проверяется. «В нашем клубе принято верить джентльменам на слово». Другой вопрос, что в договоре с MS количество клиентов указано, и при первой же проверке проверяющими органами можно серьезно влететь.
Для упрощения процедуры управления корпоративными ключами продуктов Microsft существует специальная утилита Microsoft Volume Activation Management Tool (VAMT). Последняя версия VAMT, выпущенная одновременно с выходом Windows 8 и Windows Server 2012 – VAMT 3.0.
Утилита VAMT 3.0 представляет собой оснастку MMC, позволяющую в корпоративной среде централизованно управлять лицензионными ключами продуктов Microsoft, активировать клиентов и осуществлять инвентаризацию используемых лицензий.
С помощью VAMT можно управлять следующими типами ключей активации:
- Retail product key
- Multiple Activation Key (MAK)
- Key Management Service (KMS) и Active Director Based Activation
- Использование SQL Server для хранения данных (возможность работы с VAMT нескольких администраторов лицензий)
- Встроенные отчеты
- Обновленный интерфейс
- Поддержка PowerShell
- Поддержка Active Directory Based Activation как альтернативы службе KMS в домене Active Directory
- Поддержка проверки подлинности на прокси-сервере – активация клиентов на серверах Microsoft через прокcи
- Windows Vista
- Windows 7
- Windows 8
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Microsoft Office 2010
- Microsoft Office 2013 (подробнее о способах активации Office 2013 в корпоративной сети)
Кроме того, с помощью VAMT можно проверить валидность MAK ключей для Windows 8, Windows 7, Windows Vista (во всех случаях для редакций Enterprise и Professional), MS Server 2008 R2 и оставшееся число online активаций.
Установка VAMT 3.0
Volume Activation Management Tool входит в состав пакета Windows Assessment and Deployment Kit (ADK) for Windows 8. Скачать VAMT 3.0 можно в составе пакета ADK для Windows 8:
http://www.microsoft.com/en-us/download ... x?id=30652
VAMT 3.0 возможно установить на следующие операционные системы:
- Windows 8
- Windows 7
- Windows Vista
- Windows Server 2012
- Windows Server 2008 R2 /2008
Для хранения и учета лицензий VAMT требует наличия SQL –сервера, можно задействовать существующую СУБД, либо, в случае отсутствия серверов с SQL-Server, установить SQL 2012 Express. Пользователь, который устанавливает VAMT 3.0, должен иметь права DbCreator на сервере БД.
Для выполнения командлетов PowerShell необходимо установить PowerShell 3 (в Windows 8 или Server 2012 он уже имеется, для остальных платформ нужно установить соответствующий апдейт — Windows Management Framework 3.0).
Установка VAMT обычно не вызывает особых трудностей. Запустите установочный файл ADK и укажите, что хотите установить:
- Volume Activation Management Tool(VAMT)
- Microsoft SQL Server 2012 Expess (опционально; не используется, если вы хотите использовать существующий сервер БД)
- Установка VAMT 3.0
- GVLK, MAK и Retail ключи в консоли Volume Activation Management Tool
После первого запуска консоли управления VAMT 3.0 списки обнаруженных продуктов и компьютеров, естественно, будут пустыми.
- Добавляем ключи продуктов в vamt 3
- Внешний вид консоли VAMT 3.0
На скриншоте ниже показа пример консоли VAMT, содержащую ключи GVLK, MAK и Retail.
- Подключение к серверу VAMT 3.0
- Выбираем MAK ключ для установки на клиенте с ОС Windows 8
- Публикация ключа на клиенте в консоли vamt
- Добавляем компьютеры в консоль vamt
- Лицензионыые отчеты в vamt 3.0
VAMT и ADAP активация
Напомним, что вместе с выходом Windows Server 2012 и Window 8, Microsoft презентовала новый способ активации своих новых продуктов — Active Directory Based Activation, позволяющий клиентам автоматически активироваться при включении их в состав домен Active Directory (как включить Windows 8 / Server 2012 в домен). Подробнее про Active Directory Based Activation в Windows Server 2012 будет ниже.
С помощью консоли VAMT 3.0 можно управлять и этим типом активации: добавить KMS Host Key и активировать лес AD для поддержки ADBA, т.е. все то же, что приходилось выполнять с помощью консоли Volume Activation Tools (в Windows Server 2012) или консольной утилиты slmgr.vbs.
Отчеты Volume Licensing Reports
В VAMT3.0 существует возможность построения, просмотра и экспорта в CSV различных отчетов о состоянии активации продуктов Microsoft в организации.
- windows активирован с помощью vamt
- At Risk Products Report (Отчет о продуктах в состоянии риска): список всех продуктов с GVLK ключами, активацией которых истекает в течении 90 дней. Т.к. данный тип ключей активируется на KMS или ADBA, это скорее всего означает, что у данных машин проблемы с подключением к сети.
- Duplicate Client Machine ID Report (Отчет о повторяющихся индикаторах CMID) — машины с дублирующимися ID. Обычно это клонированные или развернутые из одного образа машины, сброс ID на которых с помощью Sysprep не был выполнен.
- Multiple Activation Key Usage Report (Отчет об использовании MAK): все компьютеры в базе с VAMT с лицензией MAK.
- Not Activated Product Report (Отчет о нелицензированных продуктах): список компьютеров с невыполненной активацией.
- Volume Activations by Type (Отчет активации корпоративных лицензий по центрам): список продуктов с разбивкой по типам активации. С помощью отчета можно получить информацию о том, сколько серверов и компьютеров активировано с помощью MAK, KMS и ADBA.
Во многих крупных организациях для активации ОС Windows используется специальная служба управления ключами Key Management Server (KMS), установленная на выделенном хосте и активированныая специальным ключом Microsoft. В дальнейшем все компьютеры компании можно активировать не через сервера Microsoft, а напрямую через этот KMS сервер. Напомним, что при активации компьютера на сервере KMS, он сохраняет статус активации в течении 180 дней, по истечении которых клиент каждый раз должен проходить повторную активацию на следующие 180 дней.
В Windows Server 2012 появилась новая модель активации клиентов с ОС Windows 8, Windows Server 2012, а также пакетом Office 2013, предназначенная для замены KMS. Новая роль называется Active Directory Based Activation (ADBA). Данная технология позволяет активировать компьютеры (естественно, с Win8 и Win2012), которые просто включили в состав домена. В отличии от KMS-активации, активация с помощью ADBA завязана не на конкретный хост (kms-сервер), а целиком на службу AD, что предпочтительнее с точки зрения обеспечения отказоустойчивости службы активации, кроме того, отпадает необходимость открывать дополнительные порты на корпоративных файерволах (напомню для KMS-активации клиент должен по порту 1688 иметь доступ kms сервер), нужен лишь стандартный LDAP доступ к ближайшему контролеру домена (это должен быть обычный rw- контроллер домена, а не RODC контроллер). Хосты активируются службой ADBA на те же 180 дней, и если машина входит в состав домена, продление активации происходит автоматически путем взаимодействия с любым доступным контроллером домена. Естественно, при выводе машины, активированной с помощью Active Directory-based activation из домена, активация пропадает. Отметим, что ADBA позволяет активировать клиентов в пределах всего леса AD.
Для управления ADBA существует специальная консоль Volume Activation Management Toolkit 3.0 (VAMT). Подробнее что это и как описано главой выше.
Установка и настройка Active Directory Based Activation
Для работы Active Directory-based Activation необходимо расширить схему AD до Windows Server 2012 (как обновить схему с помощью adprep.exe описано в статье Обновляем AD до Windows Server 2012). Отдельный контроллер с Windows Server 2012 поднимать не нужно.
Затем на сервере с ОС Windows Server 2012 необходимо установить роль Volume Activation Services. Сделать это можно с помощью стандартной консоли Server Manager, выбрав пункт Add Roles and Features ->Next->Next и отметьте роль Volume Activation Services.
- установка службы активации в домене Volume Activation Services на Windows Server 2012
Install-WindowsFeature VolumeActivation –IncludeManagementTools
После установки роли, запустите консоль управления Volume Activation Tools (Server Manager->Tools->Volume Activation Tools). Если настройка происходит с клиента Windows 8, необходимо установить RSAT для Windows 8, консоль Volume Activation Tools входит в этот пакет.
В окне Volume Activation Tools в качестве способа активации клиентов выберите Active Directory-Based Activation.
- Установка в windows 2012 active directory based activation
- Активация ключа KMS Host key - по Microsoft Volume Licensing
- активация adba в active directory
Следует понимать, что в домене нет выделенного сервера ADBA, или службы ADBA, запущенной на контролерах домена. Это пассивный процесс, при котором клиенты опрашивают Active Directory, обнаруживают нужные атрибуты и автоматически активируются.
Попробуем разобраться, где же в Active Directory хранится информация об активации ADBA?
При расширении схемы до Windows Server 2012 (об этом рассказывалось выше), в AD появляются новые объекты, которые клиенты могут использовать для поиска и активации продуктов в домене. Данные атрибуты хранятся в контейнере конфигурации леса CN=Activation Objects,CN=Microsoft SPP,CN=Services,CN=Configuration .
- Расширение схемы в AD для поддержки активации Windows 8 и Win 2012 в домене
Текущий статус активации клиентов можно проверить с помощью команды:
slmgr.vbs –dlv
Строка Activation Object name: KMS AD Activation — говорит о том, что клиент активирован с помощью ADBA.
- Activation Object name: KMS AD Activation в slmgr
- /ad-activation-online [ProductKey]
- /ad-activation-apply-get-iid [ProductKey]
- /ad-activation-apply-cid [ProductKey][ConfirmationID]
- /ao-list
- /del-ao
- Новые параметры slmgr
При исключении компьютера из домена, активация пропадет при следующем цикле проверки лицензионной информации (при перезагрузке компьютера или при перезапуске службы Software Protection Service).
Итак, сегодня мы разобрались с настройкой активации клиентов с Windows 8 и Windows Server 2012 с помощью ADBA (KMS сервер для них больше не нужен!). Возможность активации ADBA не исключает возможности наличий KMS сервера и возможность активации клиентов на нем, тем более, пока отсутствует поддержка активации ADBA для старых ОС (Windows 2008/R2/Vista/7).
Активируем Windows при помощи KMS
Теперь о том, как активировать Windows 7 и R2 при помощи сервера KMS.
Во-первых, естественно, у вас должен быть установлен и активирован сервер KMS.
Проверить работоспособность сервера KMS можно при помощи следующих команд:
Cscript slmgr.vbs /dli
Cscript slmgr.vbs /dlv
Далее следует убедиться, что на системное время вашего компьютера и сервера активации совпадают. В идеале они должны синхронизироваться по протоколу NTP с одним сервером времени.
Затем открываем командную строку с правами администратора и последовательно выполняем следующие команды (обязательно дождитесь окончания каждой команды). В том случае, если вы используете лицензию типа Volume (VL), то первую команду выполнять не нужно!
slmgr /ipk ххххх- ххххх — ххххх — ххххх — ххххх
slmgr /skms kms_server.winitpro.ru:1688
где kms_server.winitpro.ru – имя (ip адрес вашего сервера KMS)
ххххх- ххххх — ххххх — ххххх – ххххх, — ключ от вашей редакции Windows
Публичные GVLK ключи для Windows 7 и Windows Server 2008 R2
Данные ключи используются для того, чтобы изменить ключ ОС с версии MAK (локальный ключ) на KMS ключ:
Windows 7 Professional FJ82H-XT6CR-J8D7P-XQJJ2-GPDD4
Windows 7 Professional N MRPKT-YTG23-K7D7T-X2JMM-QY7MG
Windows 7 Enterprise 33PXH-7Y6KF-2VJC9-XBBR8-HVTHH
Windows 7 Enterprise N YDRBP-3D83W-TY26F-D46B2-XCKRJ
Windows 7 Enterprise E C29WB-22CC8-VJ326-GHFJW-H9DH4
Windows Server 2008 R2 HPC Edition FKJQ8-TMCVP-FRMR7-4WR42-3JCD7
Windows Server 2008 R2 Datacenter 74YFP-3QFB3-KQT8W-PMXWJ-7M648
Windows Server 2008 R2 Enterprise 489J6-VHDMP-X63PK-3K798-CPX3Y
Windows Server 2008 R2 for Itanium-Based Systems GT63C-RJFQ3-4GMB6-BRFB9-CB83V
Windows Server 2008 R2 Standard YC6KT-GKW9T-YTKYR-T4X34-R7VHC
Windows Web Server 2008 R2 6TPJF-RBVHG-WBW2R-86QPH-6RTM4
После задания ключа установки KMS, активация клиента KMS может быть выполнена при помощи элемента «Система» (System) на панели управления. Также можно активировать Windows на KMS сервере при помощи команды:
Slmgr.vbs /ato
С помощью указанных команд на сервере KMS также можно активировать и Windows 2008 Server Core.
Накрутка счетчика на KMS сервере
Еще раз вернемся к теоретическим основам функционирования службы KMS.
Согласно корпоративной программе лицензирования Microsoft (Volume License) минимальное количество лицензий в пакете 25 штук. Каждому покупателю корпоративной лицензии выдается специальный GVLK ключ, с помощью которого активируется внутренний KMS сервер компании. Однако сразу после установки и активации KMS сервер не будет активировать обратившихся к нему клиентов. При попытке активировать ОС на KMS сервере (в этом примере Windows 7 Pro) появится ошибка:
Дело в том, что на KMS сервере имеется т.н. счётчик активаций (kms count) который увеличивается после каждого запроса на активацию от клиента в сети. При обращении KMS сервер присваивает каждому клиенту уникальный идентификатор CMID (client machine identification) и заносит его в свою базу. Обратившиеся компьютеры при этом не активируются. Это происходи до тех пор, пока во внутренней базе KMS не будет преодолен минимальный порог запросов на активацию, полученных от клиентов за последние 30 дней. Этот порог составляет 5 запросов на активацию от серверных ОС или 25 запросов от клиентских ОС Windows (пороги активации для десктопных/серверных ОС независимы, т.е. если KMS значение счетчика KMS сервер для клиентских систем превысило значение 25, этот сервер все равно не будет активировать северные ОС до тех пор, пока количество обращений на активацию с этих платформ не достигнет 5). Если клиент не обращается к серверу активации KMS в течении 30 дней, он удаляется из базы, а счетчик активации уменьшается на единицу.Activating Windows 7, Professional edition
0xc004f038: The Software Licensing Service reported that the computer could not be activated. The count reported by your Key Management Service (KMS) is insufficient. Please contact your system administrator.
windows 7 ошибка активации 0xc004f038
В любой момент общее количество запросов активации на KMS сервере можно посмотреть с помощью команды:
slmgr –dlv
Смотрите значение параметра Current count.
Срок активации KMS клиента — 180 дней, причем каждые 7 дней (7 дней по умолчанию, изменить его можно командой slmgr.vbs /sri ) клиент пытается продлить активацию (на те же 180 дней). Если в течении 30 дней активация не обновлялась, KMS сервер удаляет CMID клиента из базы и уменьшает счетчик активаций. Клиент, который не обновлял активацию на KMS в течении 180 дней, переходит в режим grace period.
В том случае, если вы пытаетесь активировать клиентскую ОС на KMS сервере, а счетчик не увеличивается, это может вызвано следующими причинами:
- Дублирующиеся CMID ( обычно это происходит из-за клонирования ОС)
- Наличие в сети других KMS серверов (задать текущий KMS сервер можно так: slmgr /skms kms_server.winitpro.ru:1688)
- Использование клиентами не KMS ключей
В качестве более простой альтернативы советуем вам воспользоваться следующим скриптом, позволяющим накрутить счетчик активации на KMS сервере. Установите нужную версию ОС (в этом примере это Windows 7 Professional) , создайте произвольный каталог, скопируйте в него следующий bat файл, в этом же каталоге создайте два пустых файла с именами:
7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
Запустите файл kms_increase.bat:
Код: Выделить всё
@echo off
set skms=kms1.winitpro.ru
for %%i in (. . . . . . . . . . . . . . . . . . . . . . . . . .) do call :Act %skms%
slmgr /ato
sc stop sppsvc
goto :end
:Act
sc stop sppsvc
xcopy "7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0" "%systemroot%\system32\*" /H /R /K /Y
xcopy "7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0" "%systemroot%\system32\*" /H /R /K /Y
sc start sppsvc
cscript.exe "%systemroot%\system32\slmgr.vbs" /skms %1
cscript.exe "%systemroot%\system32\slmgr.vbs" /ipk FJ82H-XT6CR-J8D7P-XQJJ2-GPDD4
cscript.exe "%systemroot%\system32\slmgr.vbs" /ato
sc stop sppsvc
:endколичество точек в третье строке – нужное количество обращений к KMS серверу (в нашем примере мы накручиваем 25 обращений)
После окончания работы скрипта проверьте счетчик активации на KMS сервере:
slmgr –dlv
Его значение должно превысить число 25. После этого KMS сервер будет активировать все обещающиеся к нему системы десктопные системы. Этот скрипт в дальнейшем (если нужное количество реальных клиентов не наберется) нужно будет запускать каждые 180 дней, т.к. при отсутствии запросов к серверу счетчик активации будет со временем уменьшаться.