次の方法で共有


Windows 仮想マシンのアクティブ化が Azure で機能しなくなりました

適用対象: ✔️ Windows VM

この記事では、Windows Azure での Microsoft Windows 仮想マシン (VM) ライセンス認証の問題を引き起こす、キー管理サービス (KMS) IP アドレスに対して行われた重要な変更について説明します。 これらの変更は、KMS IP アドレスを許可するようにカスタム ルートまたはファイアウォール規則を構成し、以前は Windows VM を正常にアクティブ化できた Azure グローバル クラウド ユーザーに影響します。

概要

影響を受けるユーザー

2022 年 7 月、2 つの新しい KMS IP アドレス ( 20.118.99.22440.83.235.53) が Generally で利用可能になったことが Azure 更新プログラムで発表されました:Azure グローバル クラウドの新しい KMS DNS。 Azure 上のほとんどの Windows VM ユーザーは影響を受けません。 ただし、過去にトラブルシューティング ガイド (次の記事など) に従って、Windows VM が KMS IP アドレスに到達できるようにするカスタム ルートまたはファイアウォール規則を構成した場合は、これら 2 つの新しい KMS IP アドレスを含めるアクションを実行する必要があります。

2022 年 10 月 3 日までにこれらのアクションを実行しなかった場合、Windows VM は、ライセンス認証のために Windows ライセンス サーバーに到達できなかったことに関する警告の報告を開始しました。

影響を受ける方法

2022 年 7 月の Azure 更新プログラムにより、Azure グローバル クラウドのほとんどの Windows VM は、Windows ライセンス認証のために新しい azkms.core.windows.net ドメイン名に依存するようになりました。 新しい azkms.core.windows.net アドレスは、最初は既存の Windows ライセンス認証ドメイン名 ( kms.core.windows.net) を指しています。 2022 年 10 月 3 日以降、 azkms.core.windows.net は 2 つの新しい IP アドレスを指すよう再構成されました。 この変更の影響は次のとおりです。

この記事に従った場合 この効果が表示されます
強制トンネリング シナリオで Windows ライセンス認証が失敗する カスタム ルートに 2 つの新しい KMS IP アドレスを含めるアクションを実行しなかった場合、Windows VM は Windows ライセンス認証のために新しい KMS サーバーに接続できません。
Azure Firewall を使用して Azure Virtual Desktop デプロイを保護する 2 つの新しい KMS IP アドレスを ファイアウォール規則に含めるアクションを実行しなかった場合 Windows VM は Windows ライセンス認証用の新しい KMS サーバーに接続できません。

KMS ライセンス認証計画の 操作要件で説明されているように KMS のアクティブ化は 180 日間 (アクティブ化の有効期間とも呼ばれます) に有効です。 アクティブ化を維持するには、KMS クライアントは、180 日ごとに少なくとも 1 回 KMS ホストに接続してアクティブ化を更新する必要があります。 既定では、KMS クライアント コンピューターは 7 日ごとにライセンス認証を更新しようとします。 クライアントのライセンス認証が更新された後、再びライセンス認証の有効期間が開始されます。

KMS ライセンス認証の有効期間内でも、Windows VM のすべての機能にアクセスできます。 この 180 日間のアクティブ化の問題を修正する必要があります。

タイムライン

  • 2022 年 10 月 3 日以降、2023 年 3 月 1 日より前は、Azure のほとんどの (すべてではない) Windows VM が、Windows ライセンス認証のために新しい KMS IP アドレス ( 20.118.99.22440.83.235.53) に依存していました。 azkms.core.windows.net ドメイン名は、これら 2 つの IP アドレスを指しています。

  • 2023 年 3 月 1 日以降、Azure 内のすべての Windows VM は、Windows ライセンス認証に 20.118.99.224 および 40.83.235.53 新しい KMS IP アドレスに依存します。 kms.core.windows.netドメイン名は、これらの新しい IP アドレスの最初の (20.118.99.224) を指すようになりました。

前提条件

現象

Windows ライセンス認証のために KMS サーバーに正常に接続できない場合、Azure の Windows VM は次のような警告を報告します。

組織のライセンス認証サーバーに接続できないため、このデバイスで Windows をライセンス認証することはできません。 組織のネットワークに接続していることを確認し、もう一度やり直してください。 アクティブ化に関する問題が引き続き発生する場合は、組織のサポート担当者にお問い合わせください。 エラー コード: 0xC004F074。

トラブルシューティングのチェックリスト

IP アドレス 20.118.99.224 および 40.83.235.53 への接続を確認する

Windows VM から KMS IP アドレス20.118.99.22440.83.235.53に正常に接続できる場合は、この問題について心配する必要はありません。

新しい KMS IP アドレスへの接続を確認するには、次の手順に従います。

  1. Windows VM にリモートでサインインします。

  2. PowerShell を開きます。

  3. 次の Test-NetConnection コマンドレット呼び出しを実行して、新しい KMS IP アドレスへの接続を確認します。

    Test-NetConnection azkms.core.windows.net -Port 1688
    Test-NetConnection 20.118.99.224 -Port 1688
    Test-NetConnection 40.83.235.53 -Port 1688
    

接続が成功した場合、これ以上アクションは必要ありません。 1 つ以上の接続が失敗した場合は、次のセクションを確認して、Windows VM のアクティブ化エラーの具体的な原因を確認します。

原因 1: カスタム ルートが KMS サーバーに到達できない

以前に、「 強制トンネリング シナリオで Windows のアクティブ化が失敗する Azure KMS サーバーに接続するようにカスタム ルートを構成する」の手順に従いました。 ただし、KMS IP アドレスが変更されたため、カスタム ルートは KMS サーバーに接続できなくなります。

解決策 1: 新しい KMS IP アドレスをカスタム ルートに追加する

強制トンネリング シナリオで失敗するWindows のアクティブ化に関する記事の更新された手順に従って、ポート 1688 の KMS IP アドレス20.118.99.22440.83.235.53をカスタム ルートに追加します

原因 2: ファイアウォールが KMS サーバーへのアクセスをブロックしている

前に、「 Azure Firewall を使用して Azure Virtual Desktop デプロイを保護する ファイアウォールの送信ネットワーク規則を作成する」の手順に従いました。 このネットワーク規則により、Windows VM は Azure KMS サーバーに接続することができました。 ただし、KMS IP アドレスが変更されたため、その規則は正しい KMS IP アドレスへのアクセスを提供しなくなりました。

解決策 2: 新しい KMS IP アドレスをファイアウォール規則の例外として追加する

KMS IP アドレスがポート 1688 で 20.118.99.224 および 40.83.235.53 がファイアウォール経由で送信アクセスできるように、ネットワーク規則を変更します。

関連情報

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。