Windows를 실행하는 클라이언트 활성화
네트워크에서 KMS(키 관리 서비스) 또는 Active Directory 기반 정품 인증을 구성한 후에는 Windows를 실행하는 클라이언트를 쉽게 활성화할 수 있습니다. 컴퓨터가 GVLK(일반 볼륨 라이선스 키)로 구성된 경우 IT 또는 사용자가 아무 작업도 수행할 필요가 없습니다. 그대로 작동합니다.
Enterprise Edition 이미지 및 설치 미디어가 GVLK로 이미 구성되어 있어야 합니다. 클라이언트 컴퓨터가 시작되면 라이선스 서비스가 컴퓨터의 현재 라이선스 상태를 검사합니다.
정품 인증 또는 다시 정품 인증이 필요한 경우 다음 순서로 발생합니다.
컴퓨터가 도메인의 구성원인 경우 도메인 컨트롤러에 볼륨 정품 인증 개체를 요청합니다. Active Directory 기반 정품 인증이 구성된 경우 도메인 컨트롤러가 개체를 반환합니다. 개체가 다음 요구 사항을 충족하는 경우:
- 설치된 소프트웨어 버전과 일치합니다.
- 일치하는 GVLK가 있습니다.
그러면 컴퓨터가 활성화되거나 다시 활성화됩니다. 운영 체제가 짧고 정기적인 간격으로 다시 활성화를 시도하지만 컴퓨터는 180일 동안 다시 활성화할 필요가 없습니다.
컴퓨터가 도메인의 멤버가 아니거나 볼륨 활성화 개체를 사용할 수 없는 경우 컴퓨터는 DNS 쿼리를 실행하여 KMS 서버를 찾으려고 시도합니다. KMS 서버에 연결할 수 있는 경우 KMS에 컴퓨터의 GVLK와 일치하는 키가 있는 경우 활성화가 발생합니다.
컴퓨터가 MAK로 구성된 경우 Microsoft 서버에 대해 정품 인증을 시도합니다.
클라이언트가 성공적으로 정품 인증할 수 없는 경우 주기적으로 다시 시도합니다. 재시도 빈도는 현재 라이선스 상태와 클라이언트 컴퓨터가 과거에 성공적으로 활성화되었는지 여부에 따라 달라집니다. 예를 들어 클라이언트 컴퓨터가 이전에 Active Directory 기반 정품 인증을 사용하여 활성화한 경우 다시 시작할 때마다 정기적으로 도메인 컨트롤러에 연결하려고 시도합니다.
키 관리 서비스의 작동 방식
KMS는 클라이언트 서버 토폴로지를 사용합니다. KMS 클라이언트 컴퓨터는 DNS 또는 정적 구성을 사용하여 KMS 호스트 컴퓨터를 찾을 수 있습니다. KMS 클라이언트는 TCP/IP를 통해 수행된 RPC를 사용하여 KMS 호스트에 연결합니다.
키 관리 서비스 정품 인증 임계값
실제 컴퓨터와 가상 머신은 KMS 호스트에 문의하여 활성화할 수 있습니다. KMS 정품 인증을 받으려면 최소 한정 컴퓨터 수가 있어야 합니다. 이 최소값을 활성화 임계값이라고 합니다. KMS 클라이언트는 이 임계값을 충족한 후에만 활성화됩니다. 각 KMS 호스트는 임계값이 충족될 때까지 활성화를 요청한 컴퓨터 수를 계산합니다.
KMS 호스트는 정품 인증을 위해 KMS 호스트에 이미 연결한 컴퓨터 수를 계산하여 KMS 클라이언트의 각 유효한 정품 인증 요청에 응답합니다. 정품 인증 임계값 미만의 수를 수신하는 클라이언트 컴퓨터는 활성화되지 않습니다. 예를 들어 KMS 호스트에 문의하는 처음 두 컴퓨터가 현재 지원되는 버전의 Windows 클라이언트를 실행하는 경우 첫 번째 컴퓨터는 활성화 횟수 1을 수신하고 두 번째 컴퓨터는 정품 인증 횟수 2를 받습니다. 다음 컴퓨터가 현재 지원되는 버전의 Windows 클라이언트를 실행하는 가상 머신인 경우 활성화 횟수는 3개입니다. 정품 인증 횟수 25개 이상에 도달해야 하므로 이러한 컴퓨터는 활성화되지 않습니다.
KMS 클라이언트가 KMS가 정품 인증 임계값에 도달하기를 기다리는 경우 2시간마다 KMS 호스트에 연결하여 현재 정품 인증 횟수를 가져옵니다. 임계값에 도달하면 활성화됩니다.
이 예제에서 KMS 호스트에 연결하는 다음 컴퓨터가 현재 지원되는 버전의 Windows Server를 실행하는 경우 정품 인증 횟수가 누적되므로 정품 인증 횟수는 4입니다. 현재 지원되는 버전의 Windows Server를 실행하는 컴퓨터가 5개 이상의 정품 인증 횟수를 받으면 활성화됩니다. 현재 지원되는 Windows 클라이언트 버전을 실행하는 컴퓨터가 25개 이상의 정품 인증 횟수를 받으면 정품 인증됩니다.
정품 인증 횟수 캐시
정품 인증 임계값을 추적하기 위해 KMS 호스트는 정품 인증을 요청하는 KMS 클라이언트 레코드를 유지합니다. KMS 호스트는 각 KMS 클라이언트에 클라이언트 ID를 지정하고 각 클라이언트 ID를 테이블에 저장합니다. 기본적으로 각 정품 인증 요청은 최대 30일간 테이블에 유지됩니다. 클라이언트가 활성화를 갱신하면 캐시된 클라이언트 ID가 테이블에서 제거되고, 새 레코드가 생성되고, 30일 기간이 다시 시작됩니다. KMS 클라이언트 컴퓨터가 30일 이내에 정품 인증을 갱신하지 않으면 KMS 호스트는 테이블에서 해당 클라이언트 ID를 제거하고 활성화 횟수를 하나씩 줄입니다.
그러나 KMS 호스트는 정품 인증 임계값을 충족하는 데 필요한 클라이언트 ID 수의 2배만 캐시합니다. 따라서 50개의 가장 최근 클라이언트 ID만 테이블에 유지되며 클라이언트 ID는 30일 이내에 제거할 수 있습니다.
정품 인증을 시도하는 클라이언트 컴퓨터의 유형은 캐시의 총 크기를 설정합니다. 예를 들어 KMS 호스트가 서버에서만 활성화 요청을 수신하는 경우 캐시는 필요한 임계값인 5의 두 배인 10개의 클라이언트 ID만 보유합니다. 그러나 Windows 클라이언트를 실행하는 클라이언트 컴퓨터가 해당 KMS 호스트에 연결하는 경우 KMS는 더 높은 임계값을 수용하기 위해 캐시 크기를 50으로 증가합니다. KMS가 캐시 크기를 줄이는 경우는 없습니다.
키 관리 서비스 연결
KMS 정품 인증을 받으려면 TCP/IP 연결이 필요합니다. 기본적으로 KMS 호스트와 클라이언트는 DNS를 사용하여 KMS를 게시하고 찾습니다. 관리 작업이 거의 또는 전혀 필요하지 않은 기본 설정을 사용할 수 있습니다. 그러나 KMS 호스트 및 클라이언트 컴퓨터는 네트워크 구성 및 보안 요구 사항에 따라 수동으로 구성할 수 있습니다.
키 관리 서비스 정품 인증 갱신
KMS 정품 인증은 180일(정품 인증 유효 간격) 동안 유효합니다. 정품 인증된 상태로 유지하려면 KMS 클라이언트 컴퓨터가 180일마다 한 번 이상 KMS 호스트에 연결하여 정품 인증을 갱신해야 합니다. 기본적으로 KMS 클라이언트 컴퓨터는 7일마다 정품 인증 갱신을 수행합니다. KMS 정품 인증에 실패하면 클라이언트 컴퓨터가 2시간마다 다시 시도합니다. 클라이언트 컴퓨터의 활성화가 갱신되면 활성화 유효성 간격이 다시 시작됩니다.
키 관리 서비스 게시
KMS는 DNS의 SRV(서비스) 리소스 레코드를 사용하여 KMS 호스트 위치를 저장 및 전달합니다. KMS 호스트는 DNS 동적 업데이트 프로토콜을 사용하여(사용 가능한 경우) KMS SRV(서비스) 리소스 레코드를 게시합니다. 동적 업데이트를 사용할 수 없거나 KMS 호스트에 리소스 레코드를 게시할 권한이 없는 경우 다음 작업 중 하나를 수행해야 합니다.
- DNS 레코드는 수동으로 게시해야 합니다.
- 클라이언트 컴퓨터는 특정 KMS 호스트에 연결하도록 구성해야 합니다.
키 관리 서비스의 클라이언트 검색
기본적으로 KMS 클라이언트 컴퓨터는 DNS에서 KMS 정보를 쿼리합니다. KMS 클라이언트 컴퓨터는 DNS에서 KMS 정보를 처음 쿼리할 때 DNS가 반환하는 SRV(서비스) 리소스 레코드 목록에서 KMS 호스트를 무작위로 선택합니다. 서비스(SRV) 리소스 레코드가 포함된 DNS 서버의 주소는 KMS 클라이언트 컴퓨터에서 접미사 항목으로 나열될 수 있습니다. 이 기능을 사용하면 한 DNS 서버가 KMS에 대한 SRV(서비스) 리소스 레코드를 보급하고 다른 기본 DNS 서버가 있는 KMS 클라이언트 컴퓨터를 보급하여 찾을 수 있습니다.
KMS에 대한 DnsDomainPublishList 레지스트리 값에 우선 순위 및 가중치 매개 변수를 추가할 수 있습니다. 각 그룹 내에서 KMS 호스트 우선 순위 그룹화 및 가중치를 설정하면 클라이언트 컴퓨터가 먼저 시도해야 하는 KMS 호스트를 지정하고 여러 KMS 호스트 간에 트래픽을 분산할 수 있습니다. 현재 지원되는 모든 버전의 Windows 및 Windows Server는 이러한 우선 순위 및 가중치 매개 변수를 제공합니다.
클라이언트 컴퓨터가 선택하는 KMS 호스트가 응답하지 않으면 KMS 클라이언트 컴퓨터는 해당 KMS 호스트를 SRV(서비스) 리소스 레코드 목록에서 제거하고 목록에서 다른 KMS 호스트를 임의로 선택합니다. KMS 호스트가 응답하는 경우 KMS 클라이언트 컴퓨터는 KMS 호스트의 이름을 캐시하고 후속 정품 인증 및 갱신 시도에 사용합니다. 캐시된 KMS 호스트가 후속 갱신 시 응답하지 않으면 KMS 클라이언트 컴퓨터는 SRV(KMS 서비스) 리소스 레코드에 대한 DNS를 쿼리하여 새 KMS 호스트를 검색합니다.
기본적으로 클라이언트 컴퓨터는 TCP 포트 1688을 통해 익명 RPC를 사용하여 정품 인증을 위해 KMS 호스트에 연결하지만 기본 포트는 변경할 수 있습니다. 클라이언트 컴퓨터가 KMS 호스트와 TCP 세션을 설정한 후 클라이언트 컴퓨터는 단일 요청 패킷을 보냅니다. KMS 호스트가 정품 인증 횟수로 응답합니다. 개수가 활성화 임계값을 충족하거나 초과하면 클라이언트 컴퓨터가 활성화되고 세션이 닫힙니다. KMS 클라이언트 컴퓨터는 갱신 요청에도 이와 동일한 프로세스를 사용합니다. 각 방향의 통신에 250바이트가 사용됩니다.
DNS(Domain Name System) 서버 구성
기본 KMS 자동 게시 기능을 사용하려면 SRV(서비스) 리소스 레코드가 필요하며 DNS 동적 업데이트 프로토콜을 지원해야 합니다. KMS 클라이언트 컴퓨터 기본 동작 및 KMS 서비스(SRV) 리소스 레코드 게시는 다음에서 지원됩니다.
- Microsoft 소프트웨어를 실행하는 DNS 서버입니다.
- SRV(서비스) 리소스 레코드를 지원하는 DNS 서버(인터넷 엔지니어링 태스크 포스 [IETF] 주석 요청 [RFC] 2782) 및 동적 업데이트(IETF RFC 2136당).
예를 들어 Berkeley Internet Domain Name 버전 8.x 및 9.x는 SRV(서비스) 리소스 레코드와 동적 업데이트를 지원합니다. DNS 서버에서 SRV(서비스), IPv4 호스트(A) 및 IPv6 호스트(AAAA) 리소스 레코드를 만들고 업데이트하는 데 필요한 자격 증명이 있도록 KMS 호스트를 구성해야 합니다. 그렇지 않으면 수동으로 레코드를 만들어야 합니다. KMS 호스트에 필요한 자격 증명을 제공하기 위한 권장 솔루션은 AD DS에서 보안 그룹을 만든 후 해당 그룹에 모든 KMS 호스트를 추가하는 것입니다. Microsoft 소프트웨어를 실행하는 DNS 서버에서 이 보안 그룹에 _VLMCS._TCP 레코드에 대한 모든 권한이 부여되었는지 확인합니다. 이 요구 사항은 KMS 서비스(SRV) 리소스 레코드가 포함된 각 DNS 도메인에서 발생해야 합니다.
첫 번째 키 관리 서비스 호스트 정품 인증
네트워크의 KMS 호스트는 KMS 키를 설치한 후 Microsoft에서 정품 인증을 받아야 합니다. KMS 키를 설치하면 KMS 호스트에서 KMS를 사용할 수 있습니다. KMS 키를 설치한 후 전화 또는 온라인으로 KMS 호스트의 정품 인증을 완료합니다. 이 초기 정품 인증 외에도 KMS 호스트는 Microsoft에 정보를 전달하지 않습니다. KMS 키는 KMS 호스트에만 설치되고 개별 KMS 클라이언트 컴퓨터에는 설치되지 않습니다.
후속 키 관리 서비스 호스트 정품 인증
각 KMS 키는 최대 6개의 KMS 호스트에 설치할 수 있습니다. 이러한 호스트는 물리적 컴퓨터 또는 가상 컴퓨터일 수 있습니다. KMS 호스트가 활성화되면 동일한 키를 사용하여 동일한 호스트를 최대 9번까지 다시 활성화할 수 있습니다. organization 6개 이상의 KMS 호스트가 필요한 경우 Microsoft 볼륨 라이선스 정품 인증 센터를 호출하여 예외를 요청하여 organization KMS 키에 대한 추가 정품 인증을 요청할 수 있습니다.
MAK(복수 정품 인증 키)의 작동 방식
MAK는 Microsoft의 호스트된 정품 인증 서비스와 함께 일회성 정품 인증에 사용됩니다. 각 MAK에 미리 결정된 허용되는 정품 인증 횟수가 있습니다. 이 숫자는 볼륨 라이선스 계약을 기반으로 하며 organization 정확한 라이선스 수와 일치하지 않을 수 있습니다. Microsoft에 호스트된 정품 인증 서비스와 함께 MAK를 사용하는 각 정품 인증이 정품 인증 제한에 계산됩니다.
MAK를 사용하여 컴퓨터를 활성화할 수 있는 방법은 두 가지입니다.
MAK 독립 정품 인증. 각 컴퓨터가 인터넷 또는 전화를 통해 Microsoft에 독립적으로 연결하고 정품 인증됩니다. MAK 독립 정품 인증은 회사 네트워크에 대한 연결을 유지하지 않는 organization 내의 컴퓨터에 가장 적합합니다. MAK 독립 정품 인증은 그림 16에 표시되어 있습니다.
그림 16. MAK 독립 정품 인증
MAK 프록시 정품 인증. MAK 프록시 정품 인증은 여러 컴퓨터가 각각 하나의 Microsoft 연결을 설정하는 대신 중앙 집중식 정품 인증 요청을 사용할 수 있습니다. MAK 프록시 활성화는 VAMT를 사용하여 구성할 수 있습니다. MAK 프록시 정품 인증은 보안 문제로 인해 인터넷 또는 회사 네트워크에 대한 직접 액세스가 제한되는 환경에 적합합니다. 또한 이 연결이 부족한 개발 및 테스트 랩에도 적합합니다. VAMT를 사용한 MAK 프록시 정품 인증은 그림 17에 표시되어 있습니다.
그림 17. VAMT를 사용한 MAK 프록시 정품 인증
MAK는 다음을 위해 권장됩니다.
- 회사 네트워크에 거의 연결하지 않거나 연결되지 않는 컴퓨터입니다.
- 정품 인증이 필요한 컴퓨터 수가 KMS 정품 인증 임계값을 충족하지 않는 환경입니다.
MAK는 개별 컴퓨터 또는 Microsoft 배포 솔루션을 사용하여 복제하거나 설치할 수 있는 이미지와 함께 사용할 수 있습니다. MAK는 원래 KMS 정품 인증을 사용하도록 구성된 컴퓨터에서도 사용할 수 있습니다. KMS에서 MAK로 전환하는 것은 컴퓨터를 코어 네트워크에서 연결이 끊긴 환경으로 이동하는 데 유용합니다.
MAK(다중 활성화 키) 아키텍처 및 활성화
MAK 독립 정품 인증은 클라이언트 컴퓨터에 MAK 제품 키를 설치합니다. 키는 인터넷을 통해 Microsoft 서버에 정품 인증하도록 해당 컴퓨터에 지시합니다.
MAK 프록시 활성화에서 VAMT:
- 클라이언트 컴퓨터에 MAK 제품 키를 설치합니다.
- 대상 컴퓨터에서 설치 ID를 가져옵니다.
- 클라이언트를 대신하여 Microsoft에 설치 ID를 보냅니다.
- 확인 ID를 가져옵니다.
그런 다음 확인 ID를 설치하여 클라이언트 컴퓨터를 정품 인증합니다.
표준 사용자로 정품 인증
현재 지원되는 Windows 버전은 정품 인증을 위해 관리자 권한이 필요하지 않습니다. 그러나 다른 활성화 또는 라이선스 관련 작업(예: "다시 시작")에는 관리자 계정이 여전히 필요합니다.