Планирование активации корпоративных лицензий
Совет
Ищете сведения об активации розничной торговли?
Активация продукта — это процесс проверки программного обеспечения у производителя после его установки на определенном компьютере. Активация подтверждает, что продукт является подлинным, а не мошеннической копией. Активация также подтверждает, что ключ продукта или серийный номер действительны и не скомпрометирован или отозван. Активация также устанавливает связь между ключом продукта и конкретной установкой.
Во время активации анализируются сведения о конкретной установке. Для активации через Интернет эти сведения отправляются на сервер корпорации Майкрософт. Эта информация может включать версию программного обеспечения, ключ продукта, IP-адрес компьютера и сведения об устройстве. Методы активации, используемые корпорацией Майкрософт, предназначены для защиты конфиденциальности пользователей и не могут использоваться для отслеживания компьютера или пользователя. Собранные данные подтверждают, что ПО является законно лицензированной копией, и используются для статистического анализа. Корпорация Майкрософт не использует эти сведения для идентификации или связи с пользователем или организацией.
Примечание.
IP-адрес используется только для проверки расположения запроса, так как некоторые выпуски Windows (например, "Начальные" выпуски) можно активировать только на определенных географических целевых рынках.
Каналы распространения и активация
Обычно ПО Майкрософт распространяется по трем основным каналам: в розницу, через изготовителей оборудования (OEM) и в рамках соглашений корпоративного лицензирования. Для каждого канала доступны свои методы активации. Поскольку организации могут приобретать ПО по нескольким каналам одновременно (например, покупать одни продукты в розницу, а другие — по программе корпоративного лицензирования), большинство организаций предпочитают использовать сочетание нескольких методов активации.
Розничная активация
Для розничной активации каждая приобретенная копия поставляется с одним уникальным ключом продукта, который часто называют ключом розничной торговли. Пользователь вводит этот ключ во время установки продукта. Компьютер использует розничный ключ для выполнения активации после окончания установки. В большинстве случаев активация осуществляется через Интернет, но возможна также активация по телефону.
Существуют и другие сценарии распространения. Карточки с ключами продукта доступны для активации предустановленных или скачанных продуктов. Такие программы, как программа обновления Windows Anytime Upgrade и Get Genuine, позволяют пользователям приобретать легальные ключи отдельно от ПО. Эти электронные ключи могут поставляются с носителем, содержащим программное обеспечение, они могут быть отправлены как программное обеспечение, или они могут быть предоставлены на печатном карта или электронной копии. Активация продуктов с этими ключами в любом формате осуществляется одинаково.
Изготовители оборудования
Большинство изготовителей оборудования (OEM) продают системы, включающие стандартную сборку операционной системы Windows. Поставщик оборудования активирует Windows, связывая операционную систему с встроенным ПО или BIOS компьютера. Эта активация происходит до отправки компьютера клиенту, и никаких дополнительных действий не требуется.
Активация OEM действительна при условии, что клиент использует образ системы, предоставленный изготовителем оборудования. Активация OEM доступна только для компьютеров, которые приобретаются через OEM-каналы и содержат предустановленную операционную систему Windows.
Корпоративное лицензирование
Для корпоративного лицензирования предлагаются индивидуальные программы, соответствующие размеру и покупательским предпочтениям организации. Чтобы стать клиентом корпоративного лицензирования, организация должна настроить соглашение о корпоративном лицензировании с корпорацией Майкрософт. Существует распространенное недоразумение при получении лицензий на новый компьютер с помощью корпоративного лицензирования. Есть два законных способа приобрести полную клиентскую лицензию Windows для нового компьютера.
- Предустановка лицензии изготовителем оборудования.
- Покупка коробочного продукта в розницу.
Лицензии, предоставляемые по программам корпоративного лицензирования, например по соглашениям Open License, Select License и Enterprise, включают только обновления для клиентских версий ОС Windows. Прежде чем можно будет воспользоваться правами на обновление, полученными в рамках корпоративного лицензирования, для каждого компьютера под управлением поддерживаемых версий Windows потребуется существующая розничная или oem-версия операционной системы.
Корпоративное лицензирование также доступно через определенные подписки или программы членства, такие как Microsoft Partner Network и Visual Studio Codespace. Эти корпоративные лицензии могут содержать определенные ограничения или другие изменения общих условий, применимых к корпоративному лицензированию.
Примечание.
Некоторые выпуски операционной системы, например Windows Корпоративная, и некоторые выпуски программного обеспечения доступны только в рамках соглашений о корпоративном лицензировании или подписок.
Модели активации
Пользователи и ИТ-отделы в основном не могут выбирать, каким образом активировать продукты, приобретенные по розничным или OEM-каналам. Oem выполняет активацию на фабрике, и пользователю или ИТ-отделу не нужно предпринимать никаких действий по активации.
При использовании розничного продукта средство управления активацией корпоративных лицензий (VAMT), который рассматривается далее в этом руководстве, помогает отслеживать ключи и управлять ими. Для каждой активации розничной торговли можно выбрать следующие варианты:
- Активация через Интернет.
- Активация по телефону.
- Активация прокси-сервера VAMT.
Активация по телефону в основном используется в ситуациях, когда компьютер изолирован от всех сетей. Активация прокси-сервера VAMT с ключами розничной торговли иногда используется, когда ИТ-отдел хочет централизовать активацию розничной торговли. VAMT также можно использовать, если компьютер с розничной версией операционной системы изолирован от Интернета, но подключен к локальной сети. Однако для продуктов с корпоративной лицензией необходимо определить оптимальный метод или сочетание методов для использования в среде. Для поддерживаемых в настоящее время версий Windows Pro и Enterprise можно выбрать одну из следующих трех моделей:
- Несколько ключей активации (MAK).
- KMS.
- Активация на основе Active Directory.
Примечание.
Активация на основе маркеров для Windows Enterprise (включая LTSC) и Windows Server доступна в определенных ситуациях, когда утвержденные клиенты полагаются на инфраструктуру открытых ключей в изолированной среде с высоким уровнем безопасности. За дополнительными сведениями обратитесь к группе по учетным записям Майкрософт или представителю службы.
Ключ многократной активации
Ключ множественной активации (MAK) обычно используется в небольших или средних организациях, имеющих соглашение о корпоративном лицензировании, но не отвечающих требованиям по эксплуатации KMS. Mak также можно использовать, если предпочтителен более простой подход. MAK также позволяет постоянно активировать:
- Компьютеры, изолированные от KMS.
- Компьютеры, входящие в изолированную сеть, в которых недостаточно компьютеров для использования KMS.
Чтобы использовать ключ MAK, он должен быть установлен на активируемых компьютерах. Ключ MAK используется для однократной активации при помощи размещенных в Интернете служб активации Майкрософт, по телефону или путем прокси-активации с помощью VAMT.
В упрощенном представлении ключ MAK аналогичен розничному ключу, за исключением того, что MAK можно применять для активации нескольких компьютеров. Каждый ключ MAK можно использовать строго определенное число раз. VAMT помогает отслеживать количество выполненных активаций с помощью каждого ключа и количество оставшихся активаций.
Организации могут загрузить ключи MAK и KMS с веб-сайта Microsoft Volume Licensing Service Center. Каждый MAK имеет предустановленное число активаций, которое основано на проценте от количества лицензий, приобретенных организацией. Однако количество доступных активаций можно увеличить с помощью MAK, вызвав корпорацию Майкрософт.
Служба управления ключами
С помощью службы управления ключами (KMS) ИТ-специалисты могут проводить активации в локальной сети, так что отдельным компьютерам больше не нужно будет подключаться к серверам Майкрософт для активации продуктов. KMS — это упрощенная служба, которая не требует выделенной системы и может быть легко размещена в системе, предоставляющей другие службы.
Корпоративные выпуски поддерживаемых в настоящее время версий Windows и Windows Server автоматически подключаются к системе, где размещается KMS для запроса активации. Никаких действий от пользователя не требуется.
Для KMS требуется минимальное количество компьютеров(физических или виртуальных машин) в сетевой среде. Организация должна иметь по крайней мере пять компьютеров для активации поддерживаемых в настоящее время версий Windows Server и не менее 25 компьютеров для активации клиентских компьютеров под управлением поддерживаемых версий клиента Windows. Эти минимальные количества называются порогами активации.
Планирование использования KMS включает выбор оптимального расположения узла KMS и количества узлов KMS. Один узел KMS может обрабатывать большое количество активаций, но организации часто развертывают два узла KMS для обеспечения доступности. KMS можно разместить на клиентском компьютере или на сервере. Настройка KMS рассматривается далее в этом руководстве.
Активация с помощью Active Directory
Активация на основе Active Directory аналогична активации с помощью KMS, но активированный компьютер не должен поддерживать периодическое подключение к узлу KMS. Вместо этого присоединенный к домену компьютер под управлением поддерживаемых в настоящее время версий Windows или Windows Server запрашивает инструкции ADDS для объекта активации корпоративных лицензий, хранящегося в домене. Операционная система проверяет цифровые подписи, содержащиеся в объекте активации, а затем активирует устройство.
Активация с помощью Active Directory позволяет организациям активировать компьютеры через подключение к собственному домену. Многие компании имеют компьютеры в удаленных расположениях или филиалах, где нецелесообразно подключаться к KMS или не достигает порогового значения активации KMS. Вместо использования MAK активация на основе Active Directory позволяет активировать компьютеры под управлением поддерживаемых в настоящее время версий Windows и Windows Server при условии, что компьютеры могут связаться с доменом компании. Активация на основе Active Directory предлагает преимущество расширения служб активации корпоративных лицензий везде, где уже есть домен.
Сеть и подключения
Современная корпоративная сеть характеризуется множеством нюансов и взаимосвязей. В этом разделе рассматривается оценка сети организации и доступных подключений, чтобы определить, как происходит активация корпоративных лицензий.
Основная сеть
Основная сеть организации — это часть сети, которая обеспечивает стабильное, высокоскоростное и надежное подключение к серверам инфраструктуры. Во многих случаях основная сеть также подключена к Интернету. Однако подключение к Интернету не является обязательным условием для использования активации на основе KMS или Active Directory после того, как сервер KMS или ADDS будет настроен и активен. Основная сеть организации, скорее всего, состоит из нескольких сегментов сети. Во многих организациях основная сеть составляет большую часть бизнес-сети.
В основной сети рекомендуется централизованное решение KMS. Также можно использовать активацию на основе Active Directory, но во многих организациях KMS может по-прежнему требоваться для компьютеров, которые не присоединены к домену. Некоторые администраторы предпочитают использовать оба решения, чтобы получить максимальную гибкость, другие же выбирают только решение на основе KMS для упрощения работы. Активация на основе Active Directory в качестве единственного решения работает, если все клиенты в организации работают под управлением поддерживаемых в настоящее время версий Windows.
Типичная основная сеть, включающая узел KMS, показана на рис. 1.
Рисунок 1. Типичная основная сеть
Изолированные сети
В крупной сети некоторые сегменты могут быть изолированы либо по соображениям безопасности, либо из-за географических проблем или проблем с подключением.
Изоляция из соображений безопасности
Сегмент сети, изолированный от основной сети брандмауэром или отключенный от других сетей, иногда называется зоной с высоким уровнем безопасности. Оптимальный способ активации компьютеров в изолированной сети зависит от политик безопасности, действующих в организации.
Если изолированная сеть может:
- Доступ к основной сети с помощью исходящих запросов через TCP-порт 1688
- Разрешено принимать удаленные вызовы процедур (RPC)
активацию можно выполнить с помощью KMS в основной сети, избегая необходимости достижения дополнительных пороговых значений активации.
Если изолированная сеть полностью участвует в корпоративном лесу и может устанавливать типичные подключения к контроллерам домена, например:
- Использование протокола LDAP для запросов
- Использование службы доменных имен (DNS) для разрешения имен
тогда этот сценарий является хорошей возможностью использовать активацию на основе Active Directory для поддерживаемых в настоящее время версий Windows и Windows Server.
Если изолированная сеть не может взаимодействовать с сервером KMS основной сети и не может использовать активацию на основе Active Directory, узел KMS можно настроить в изолированной сети. Такая конфигурация показана на рис. 2. Однако если изолированная сеть содержит только несколько компьютеров, порог активации KMS не достигнет. В этом случае для активации можно использовать ключи MAK.
Если сеть полностью изолирована, рекомендуется использовать активацию, не зависят от MAK, возможно, с помощью телефона, но также возможна активация прокси-сервера VAMT. Пакеты MAK также можно использовать для активации новых компьютеров во время установки, прежде чем они будут помещены в изолированную сеть.
Рисунок 2. Новый узел KMS в изолированной сети
Филиалы и удаленные сети
От добычи полезных ископаемых до судов в море, организации часто имеют несколько компьютеров, которые не легко подключиться к основной сети или Интернету. В филиалах некоторых организаций имеются крупные и тесно связанные друг с другом сетевые сегменты, однако их подключение к остальным корпоративным подразделениям осуществляется по медленным или ненадежным каналам глобальной сети. В таких ситуациях существует несколько вариантов.
Активация с помощью Active Directory. На любом сайте, где клиентские компьютеры работают под управлением поддерживаемых версий Windows, активация на основе Active Directory поддерживается, и ее можно активировать, присоединившись к домену.
Локальный KMS-сервер. Если на объекте насчитывается не менее 25 клиентских компьютеров, можно провести активацию с помощью локального KMS-сервера.
Удаленный (основной) KMS-сервер. Если удаленный сайт имеет подключение к существующему KMS, возможно, через виртуальную частную сеть (VPN) к основной сети, этот KMS можно использовать. Использование существующего KMS означает, что порог активации должен быть достигнут только на этом сервере.
Активация с помощью MAK. Если на узле мало компьютеров и у него нет связи с существующим узлом KMS, оптимальным вариантом является активация с помощью MAK.
Неподключенные компьютеры
Некоторые пользователи могут находиться в удаленных расположениях или перемещаться во многие расположения. Это типичный сценарий для мобильных клиентов, например компьютеров торговых представителей или других пользователей, работающих удаленно, но не в филиалах. Данный сценарий также применим к удаленным филиалам, не имеющим подключения к основной сети. Этот филиал можно считать "изолированной сетью", где количество компьютеров составляет один. Отключенные компьютеры могут использовать активацию на основе Active Directory, KMS или MAK в зависимости от частоты подключения компьютеров к основной сети.
Активацию на основе Active Directory можно использовать на компьютерах, если они соответствуют следующим условиям:
- Компьютер присоединен к домену.
- На компьютере установлена поддерживаемая в настоящее время версия Windows или Windows Server.
- Компьютер подключается к домену не реже одного раза в 180 дней напрямую или через VPN.
В противном случае для компьютеров, которые редко или никогда не подключаются к сети, следует использовать независимую активацию MAK через телефон или Через Интернет.
Лаборатории тестирования и разработки
В лабораторных средах часто присутствует большое количество виртуальных компьютеров, причем конфигурация физических компьютеров и виртуальных компьютеров часто меняется. Поэтому сначала определите, требуется ли активация компьютеров в лабораториях тестирования и разработки. Поддерживаемые в настоящее время выпуски Windows, включающие корпоративное лицензирование, работают в обычном режиме, даже если они не могут активироваться немедленно.
Если тестовые или разрабатываемые копии операционной системы находятся в рамках лицензионного соглашения, компьютеры лаборатории, возможно, не нужно активировать, если они часто перестраиваются. Если компьютеры лаборатории необходимо активировать, обработайте лабораторию как изолированную сеть и используйте методы, описанные выше в этом руководстве. В лабораториях с высокой текучестью компьютеров и несколькими клиентами KMS необходимо отслеживать количество активаций KMS. Время кэширования KMS запросов активации, возможно, потребуется изменить. По умолчанию используется значение 30 дней.
Сопоставление сети с методами активации
Оценив сетевое подключение и количество компьютеров на каждом сайте, можно определить сведения, необходимые для определения наиболее подходящих методов активации. Эти сведения можно заполнить в таблице 1, чтобы помочь принять это решение.
Таблица 1. Критерии для методов активации
Критерий | Метод активации |
---|---|
Количество присоединенных к домену компьютеров, которые будут подключаться к контроллеру домена по крайней мере каждые 180 дней. Компьютеры могут быть мобильными, полуизолированными либо располагаться в филиале или основной сети. | Активация с помощью Active Directory |
Количество компьютеров в основной сети, которые будут подключаться по крайней мере каждые 180 дней напрямую или через VPN. В основной сети должен быть достигнут порог активации через KMS. | KMS (централизованная) |
Количество компьютеров, которые не подключаются к сети по крайней мере раз в 180 дней, или если ни один из сетей не соответствует порогу активации. | MAK |
Количество компьютеров в полуизолированных сетях, имеющих подключение к KMS в основной сети. | KMS (централизованная) |
Количество компьютеров в изолированных сетях, где достигнуто пороговое значение активации KMS. | KMS (локальная) |
Количество компьютеров в изолированных сетях, на которых не достигнуто пороговое значение активации KMS. | MAK |
Количество компьютеров в лабораториях тестирования и разработки, которые не будут активированы. | Нет |
Количество компьютеров без корпоративной лицензии для розничной торговли. | Розничная (через Интернет или по телефону) |
Количество компьютеров без корпоративной лицензии OEM. | OEM (на заводе) |
Общее количество активаций компьютера. Этот итог должен соответствовать общему количеству лицензированных компьютеров в организации. |
Выбор и приобретение ключей
Когда известно, какие ключи необходимы, ключи должны быть получены. В целом получить ключи многократной установки можно двумя способами.
Перейдите в раздел Ключи продуктов веб-сайта Microsoft Volume Licensing Service Center для следующих соглашений: Open, Open Value, Select, Enterprise и Services Provider License.
Обратитесь в Центр активации Майкрософт.
Ключи узла KMS
Для узла KMS требуется ключ, который активирует (проверяет подлинность) узла KMS в Майкрософт. Этот ключ называется ключом узла KMS, но формально он называется ключом корпоративной лицензии (CSVLK) для конкретного клиента Майкрософт . В некоторых документах и справочниках по Интернету используется термин ключ KMS, но CSVLK является правильным названием для текущей документации и средств управления.
Узел KMS под управлением поддерживаемой в настоящее время версии Windows Server может активировать как windows Server, так и клиентские операционные системы Windows. Ключ узла KMS также необходим для создания объектов активации в ADDS, как описано далее в этом руководстве. Ключ узла KMS необходим для всех настроенных KMS. Кроме того, необходимо определить, будет ли использоваться активация на основе Active Directory.
Универсальные ключи корпоративного лицензирования
Если компьютеры активируются с помощью KMS или активации на основе Active Directory при использовании пользовательского установочного носителя или образа для установки Windows, установите универсальный ключ корпоративной лицензии (GVLK) при создании пользовательского установочного носителя или образа. GVLK должен соответствовать устанавливаемой версии Windows.
Установочный носитель из выпусков операционной системы Windows microsoft for Enterprise может уже содержать GVLK. Один ключ GVLK доступен для каждого типа установки. GVLK активирует программное обеспечение не на серверах активации Майкрософт, а для объекта активации на основе KMS или Active Directory. Иными словами, GVLK не работает, если не найден допустимый ключ узла KMS. GVLK — это единственные ключи продуктов, которые не нужно хранить в конфиденциальном режиме.
Как правило, GVLK не требуется вводить вручную, если компьютер:
- Активируется с помощью ключа MAK или розничной торговли.
- Преобразование в активацию KMS или активацию на основе Active Directory.
Если необходимо найти GVLK для определенного клиентского выпуска, см. статью Активация клиентов и ключи продуктов служб управления ключами (KMS).
Ключи многократной активации
Также требуются ключи MAK с соответствующим количеством доступных активаций. Количество использования MAK можно увидеть на веб-сайте Центра обслуживания корпоративного лицензирования или в VAMT.
Выбор узла KMS
Для KMS не требуется выделенный сервер. Его можно разместить совместно с другими службами, такими как контроллеры домена ADDS и контроллеры домена только для чтения.
Узлы KMS могут работать на физических компьютерах или виртуальных машинах с любой поддерживаемой операционной системой Windows. Узел KMS под управлением поддерживаемых в настоящее время версий Windows Server может активировать любой клиент Или серверную операционную систему Windows, поддерживающую активацию корпоративных лицензий. Узел KMS под управлением поддерживаемой версии клиента Windows может активировать только компьютеры с поддерживаемой версией клиента Windows.
Один узел KMS поддерживает неограниченное число клиентов KMS, но Майкрософт рекомендует развертывать минимум два узла KMS для обеспечения отказоустойчивости. Однако, поскольку все больше клиентов активируются с помощью активации на основе Active Directory, KMS и избыточность KMS могут не потребоваться. Большинство организаций могут использовать всего два узла KMS для всей инфраструктуры.
Активация с помощью KMS показана на рис. 3 и происходит следующим образом.
Администратор настраивает узел KMS и устанавливает ключ узла KMS с использованием консоли VAMT.
Майкрософт проверяет ключ узла KMS, и узел начинает ожидать запросы.
Узел KMS обновляет записи ресурса в DNS, чтобы дать клиентам возможность найти узел KMS. Добавление записей DNS вручную требуется, если среда не поддерживает протокол динамического обновления DNS.
Клиент с установленным ключом GVLK использует DNS, чтобы обнаружить узел KMS.
Клиент отправляет один пакет узлу KMS.
Узел KMS записывает сведения о клиенте, отправившем запрос (с использованием идентификатора клиента). Идентификаторы клиентов используются для подсчета количества клиентов и определения случаев, когда один и тот же компьютер запрашивает активацию повторно. Идентификатор клиента применяется только для определения того, достигнуты ли пороги активации. Идентификаторы не хранятся постоянно и не передаются в корпорацию Майкрософт. В случае перезапуска KMS сбор идентификаторов клиентов начинается снова.
Если ключ узла KMS соответствует продуктам в GVLK, узел KMS отправляет один пакет обратно клиенту. Этот пакет содержит количество компьютеров, запрашивающих активацию с этого узла KMS.
Если данное количество превышает порог активации для активируемого продукта, то клиент активируется. Если порог активации не достигнут, клиент пытается повторить попытку.
Рисунок 3. Процесс активации с помощью KMS