Windows 虚拟机激活在 Azure 中不再有效

适用于：✔️ Windows VM

本文讨论对 Windows Azure 中密钥管理服务（KMS）IP 地址进行的重要更改，这些地址会导致 Windows Azure 中Microsoft Windows 虚拟机（VM）激活出现问题。 这些更改会影响配置自定义路由或防火墙规则以允许 KMS IP 地址以及以前能够成功激活 Windows VM 的 Azure 全局云用户。

概述

受影响的人

2022 年 7 月，我们在 Azure 更新中宣布了两个新的 KMS IP 地址，20.118.99.224现在40.83.235.53已正式发布：Azure 全球云中的新 KMS DNS。 Azure 上的大多数 Windows VM 用户不会受到影响。 但是，如果过去遵循故障排除指南（如以下文章）来配置允许 Windows VM 访问 KMS IP 地址的自定义路由或防火墙规则，则必须采取措施包括这两个新的 KMS IP 地址：

• 强制隧道方案中的 Windows 激活失败

• 排查 Azure Windows 虚拟机激活问题

• 使用Azure 防火墙保护 Azure 虚拟桌面部署

如果在 2022 年 10 月 3 日之前未采取这些操作，Windows VM 开始报告有关未能访问 Windows 许可服务器进行激活的警告。

你受到的影响

由于 2022 年 7 月 Azure 更新，Azure 全球云中的大多数 Windows VM 现在依赖于新的 azkms.core.windows.net 域名进行 Windows 激活。 新azkms.core.windows.net地址最初指向现有的 Windows 激活域名。 kms.core.windows.net 2022 年 10 月 3 日之后， azkms.core.windows.net 重新配置为指向两个新的 IP 地址。 此更改具有以下效果：

如果已遵循本文	你会看到此效果
强制隧道方案中的 Windows 激活失败	如果未采取措施将这两个新的 KMS IP 地址包含在自定义路由中，则 Windows VM 无法连接到新的 KMS 服务器进行 Windows 激活。
使用Azure 防火墙保护 Azure 虚拟桌面部署	如果未采取措施将这两个新的 KMS IP 地址包含在防火墙规则中，则 Windows VM 无法连接到新的 KMS 服务器进行 Windows 激活。

如 KMS 激活规划的操作要求中所述，KMS 激活有效期为 180 天（也称为激活有效期间隔）。 若要保持激活状态，KMS 客户端必须每隔 180 天至少连接到 KMS 主机一次来续订激活。 默认情况下，KMS 客户端计算机尝试每隔七天续订激活一次。 客户端的激活已续订之后，激活有效期将重新开始计算。

在 KMS 激活有效期间隔内，你仍然可以访问 Windows VM 的完整功能。 应在此 180 天期间修复激活问题。

时间线

• 2022 年 10 月 3 日之后，但在 2023 年 3 月 1 日之前，Azure 中的大多数（但不是全部）Windows VM 依赖于新的 KMS IP 地址， 20.118.99.224 以及 40.83.235.53Windows 激活。 azkms.core.windows.net域名指向这两个 IP 地址。

• 2023 年 3 月 1 日之后，Azure 中的所有 Windows VM 都依赖于新的 KMS IP 地址 20.118.99.224 和 40.83.235.53 Windows 激活。 kms.core.windows.net域名现在指向这些新 IP 地址中的第一个（20.118.99.224）。

先决条件

• PowerShell

现象

如果无法成功连接到 KMS 服务器进行 Windows 激活，Azure 中的 Windows VM 将报告如下警告：

无法在此设备上激活 Windows，因为我们无法连接到组织的激活服务器。 请确保已连接到组织的网络，然后重试。 如果继续遇到激活问题，请联系组织的支持人员。 错误代码：0xC004F074。

故障排除清单

检查与 IP 地址 20.118.99.224 和 40.83.235.53 的连接

如果能够成功连接到 KMS IP 地址 20.118.99.224 和 40.83.235.53 Windows VM，则不必担心此问题。

若要检查是否连接到新的 KMS IP 地址，请执行以下步骤：

1. 远程登录到 Windows VM。

2. 打开 PowerShell。

3. 运行以下 Test-NetConnection cmdlet 调用以验证与新 KMS IP 地址的连接：

   Test-NetConnection azkms.core.windows.net -Port 1688
   Test-NetConnection 20.118.99.224 -Port 1688
   Test-NetConnection 40.83.235.53 -Port 1688
   

如果连接成功，则无需执行更多操作。 如果一个或多个连接失败，请查看以下部分以确定 Windows VM 激活失败的具体原因。

原因 1：自定义路由无法访问 KMS 服务器

此前，在强制隧道方案中，Windows 激活中的说明失败，无法配置自定义路由以连接到 Azure KMS 服务器。 但是，由于 KMS IP 地址已更改，因此自定义路由无法再连接到 KMS 服务器。

解决方案 1：将新的 KMS IP 地址添加到自定义路由

按照 Windows 激活中的更新说明在强制隧道方案中失败，将 KMS IP 地址20.118.99.224和40.83.235.53端口 1688 添加到自定义路由。

原因 2：防火墙阻止对 KMS 服务器的访问

此前，按照“使用Azure 防火墙保护 Azure 虚拟桌面部署”中的说明为防火墙创建出站网络规则。 此网络规则允许 Windows VM 连接到 Azure KMS 服务器。 但是，由于 KMS IP 地址已更改，因此该规则不再提供对正确 KMS IP 地址的访问权限。

解决方案 2：将新的 KMS IP 地址添加为防火墙规则的例外

更改网络规则，以便允许通过防火墙对 KMS IP 地址 20.118.99.224 和 40.83.235.53 端口 1688 进行出站访问。

参考

• 正式发布：Azure 全球云中的新 KMS DNS

• 密钥管理服务 （KMS） 激活规划操作要求

• 排查 Azure Windows 虚拟机激活问题

联系我们寻求帮助

如果你有任何疑问或需要帮助，请创建支持请求或联系 Azure 社区支持。 你还可以将产品反馈提交到 Azure 反馈社区。