Windows 仮想マシンのアクティブ化が Azure で機能しなくなりました
適用対象: ✔️ Windows VM
この記事では、Windows Azure での Microsoft Windows 仮想マシン (VM) ライセンス認証の問題を引き起こす、キー管理サービス (KMS) IP アドレスに対して行われた重要な変更について説明します。 これらの変更は、KMS IP アドレスを許可するようにカスタム ルートまたはファイアウォール規則を構成し、以前は Windows VM を正常にアクティブ化できた Azure グローバル クラウド ユーザーに影響します。
概要
影響を受けるユーザー
2022 年 7 月、2 つの新しい KMS IP アドレス ( 20.118.99.224
と 40.83.235.53
) が Generally で利用可能になったことが Azure 更新プログラムで発表されました:Azure グローバル クラウドの新しい KMS DNS。 Azure 上のほとんどの Windows VM ユーザーは影響を受けません。 ただし、過去にトラブルシューティング ガイド (次の記事など) に従って、Windows VM が KMS IP アドレスに到達できるようにするカスタム ルートまたはファイアウォール規則を構成した場合は、これら 2 つの新しい KMS IP アドレスを含めるアクションを実行する必要があります。
2022 年 10 月 3 日までにこれらのアクションを実行しなかった場合、Windows VM は、ライセンス認証のために Windows ライセンス サーバーに到達できなかったことに関する警告の報告を開始しました。
影響を受ける方法
2022 年 7 月の Azure 更新プログラムにより、Azure グローバル クラウドのほとんどの Windows VM は、Windows ライセンス認証のために新しい azkms.core.windows.net
ドメイン名に依存するようになりました。 新しい azkms.core.windows.net
アドレスは、最初は既存の Windows ライセンス認証ドメイン名 ( kms.core.windows.net
) を指しています。 2022 年 10 月 3 日以降、 azkms.core.windows.net
は 2 つの新しい IP アドレスを指すよう再構成されました。 この変更の影響は次のとおりです。
この記事に従った場合 | この効果が表示されます |
---|---|
強制トンネリング シナリオで Windows ライセンス認証が失敗する | カスタム ルートに 2 つの新しい KMS IP アドレスを含めるアクションを実行しなかった場合、Windows VM は Windows ライセンス認証のために新しい KMS サーバーに接続できません。 |
Azure Firewall を使用して Azure Virtual Desktop デプロイを保護する | 2 つの新しい KMS IP アドレスを ファイアウォール規則に含めるアクションを実行しなかった場合 Windows VM は Windows ライセンス認証用の新しい KMS サーバーに接続できません。 |
KMS ライセンス認証計画の 操作要件で説明されているように KMS のアクティブ化は 180 日間 (アクティブ化の有効期間とも呼ばれます) に有効です。 アクティブ化を維持するには、KMS クライアントは、180 日ごとに少なくとも 1 回 KMS ホストに接続してアクティブ化を更新する必要があります。 既定では、KMS クライアント コンピューターは 7 日ごとにライセンス認証を更新しようとします。 クライアントのライセンス認証が更新された後、再びライセンス認証の有効期間が開始されます。
KMS ライセンス認証の有効期間内でも、Windows VM のすべての機能にアクセスできます。 この 180 日間のアクティブ化の問題を修正する必要があります。
タイムライン
2022 年 10 月 3 日以降、2023 年 3 月 1 日より前は、Azure のほとんどの (すべてではない) Windows VM が、Windows ライセンス認証のために新しい KMS IP アドレス (
20.118.99.224
と40.83.235.53
) に依存していました。azkms.core.windows.net
ドメイン名は、これら 2 つの IP アドレスを指しています。2023 年 3 月 1 日以降、Azure 内のすべての Windows VM は、Windows ライセンス認証に
20.118.99.224
および40.83.235.53
新しい KMS IP アドレスに依存します。kms.core.windows.net
ドメイン名は、これらの新しい IP アドレスの最初の (20.118.99.224
) を指すようになりました。
前提条件
現象
Windows ライセンス認証のために KMS サーバーに正常に接続できない場合、Azure の Windows VM は次のような警告を報告します。
組織のライセンス認証サーバーに接続できないため、このデバイスで Windows をライセンス認証することはできません。 組織のネットワークに接続していることを確認し、もう一度やり直してください。 アクティブ化に関する問題が引き続き発生する場合は、組織のサポート担当者にお問い合わせください。 エラー コード: 0xC004F074。
トラブルシューティングのチェックリスト
IP アドレス 20.118.99.224 および 40.83.235.53 への接続を確認する
Windows VM から KMS IP アドレス20.118.99.224
40.83.235.53
に正常に接続できる場合は、この問題について心配する必要はありません。
新しい KMS IP アドレスへの接続を確認するには、次の手順に従います。
Windows VM にリモートでサインインします。
PowerShell を開きます。
次の Test-NetConnection コマンドレット呼び出しを実行して、新しい KMS IP アドレスへの接続を確認します。
Test-NetConnection azkms.core.windows.net -Port 1688 Test-NetConnection 20.118.99.224 -Port 1688 Test-NetConnection 40.83.235.53 -Port 1688
接続が成功した場合、これ以上アクションは必要ありません。 1 つ以上の接続が失敗した場合は、次のセクションを確認して、Windows VM のアクティブ化エラーの具体的な原因を確認します。
原因 1: カスタム ルートが KMS サーバーに到達できない
以前に、「 強制トンネリング シナリオで Windows のアクティブ化が失敗する Azure KMS サーバーに接続するようにカスタム ルートを構成する」の手順に従いました。 ただし、KMS IP アドレスが変更されたため、カスタム ルートは KMS サーバーに接続できなくなります。
解決策 1: 新しい KMS IP アドレスをカスタム ルートに追加する
強制トンネリング シナリオで失敗するWindows のアクティブ化に関する記事の更新された手順に従って、ポート 1688 の KMS IP アドレス20.118.99.224
と40.83.235.53
をカスタム ルートに追加します。
原因 2: ファイアウォールが KMS サーバーへのアクセスをブロックしている
前に、「 Azure Firewall を使用して Azure Virtual Desktop デプロイを保護する ファイアウォールの送信ネットワーク規則を作成する」の手順に従いました。 このネットワーク規則により、Windows VM は Azure KMS サーバーに接続することができました。 ただし、KMS IP アドレスが変更されたため、その規則は正しい KMS IP アドレスへのアクセスを提供しなくなりました。
解決策 2: 新しい KMS IP アドレスをファイアウォール規則の例外として追加する
KMS IP アドレスがポート 1688 で 20.118.99.224
および 40.83.235.53
がファイアウォール経由で送信アクセスできるように、ネットワーク規則を変更します。
関連情報
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。