如何创建密钥管理服务 (KMS) 激活主机

KMS 使用客户端-服务器模型来激活 Windows 客户端,并用于在本地网络上批量激活。 KMS 客户端连接到一台 KMS 服务器(称为 KMS 主机)进行激活。 KMS 主机可以激活的 KMS 客户端取决于用于激活 KMS 主机的主机密钥。 本文将指导你完成创建 KMS 主机所需的步骤。 如需详细了解 KMS 和初始规划注意事项,请参阅密钥管理服务 (KMS) 激活规划

先决条件

一台 KMS 主机能够支持无限数量的 KMS 客户端。 如果客户端数量超过 50 个,我们建议至少准备两台 KMS 主机,以防某一台 KMS 主机不可用。 大多数组织单位运行两台 KMS 主机可以满足整个基础结构的需求。

KMS 主机不必是专用服务器,KMS 可与其他服务共用一台主机。 可以在运行受支持的 Windows Server 或 Windows 客户端操作系统的任何物理或虚拟系统上运行 KMS 主机。

用于 KMS 主机的 Windows 版本决定了可为 KMS 客户端激活的 Windows 版本。 请参阅激活版本表,以帮助你确定适合你的环境的版本。

默认情况下,KMS 主机在 DNS 中自动发布 SRV 资源记录。 这使 KMS 客户端能够自动发现 KMS 主机并进行激活,而无需在 KMS 客户端上配置。 可以禁用自动发布,并且可以手动创建记录,如果 DNS 服务不支持动态更新,则这也是自动激活所必需的。

将需要以下项:

  • 运行 Windows Server 或 Windows 的计算机。 在 Windows Server 操作系统上运行的 KMS 主机可以激活同时运行服务器和客户端操作系统的计算机,但在 Windows 客户端操作系统上运行的 KMS 主机只能激活也运行客户端操作系统的计算机。

  • 你使用的用户帐户必须是 KMS 主机上的管理员组成员。

  • 组织的 KMS 主机密钥。 可以从批量许可服务中心的“产品密钥”部分获取此密钥。

安装和配置 KMS 主机

  1. 从提升的 PowerShell 会话中,运行以下命令以安装批量激活服务角色:

    Install-WindowsFeature -Name VolumeActivation -IncludeManagementTools
    
  2. 配置 Windows 防火墙以允许密钥管理服务接收网络流量。 可以针对任何网络配置文件(默认)或域、专用和公共网络配置文件的任意组合允许此设置。 默认情况下,KMS 主机配置为在端口 1688 上使用 TCP。 在下面的示例中,防火墙规则配置为仅允许域和专用网络配置文件的网络流量:

    Set-NetFirewallRule -Name SPPSVC-In-TCP -Profile Domain,Private -Enabled True
    
  3. 通过运行以下内容启动批量激活工具向导:

    vmw.exe
    
  4. 在“简介”屏幕上,选择“下一步”。 选择“密钥管理服务 (KMS)”作为激活类型,然后输入 以配置要配置的本地服务器或服务器的主机名。

  5. 选择“安装 KMS 主机密钥”,输入组织的产品密钥,然后选择“提交” 。

  6. 安装产品密钥后,需要激活产品。 单击“下一步” 。

  7. 从下拉菜单中选择要激活的产品,然后选择是在线激活还是电话激活。 在本示例中,选择“在线激活”,然后选择“提交”。

  8. 激活成功后,将显示 KMS 主机配置。 如果这是你需要的配置,可以选择“关闭”退出向导。 DNS 记录将创建,可以开始激活 KMS 客户端。 如果需要手动创建 DNS 记录,请参阅以下部分。 如果要更改配置设置,请选择“下一步”。

  9. 可选:根据要求更改配置值,然后选择“提交” 。

注意

现在可以开始激活 KMS 客户端,但是网络具有的计算机数量不能低于下限(称为激活阈值)。 KMS 主机会对最近连接进行计数,因此当客户端或服务器联系 KMS 主机时,主机将计算机 ID 添加到其计数,然后在其响应中返回当前的计数值。 计数足够高时将激活客户端或服务器。 计数为 25 或更高时将激活 Windows 客户端。 计数为 5 或更大时,将激活 Windows 服务器和批量版 Microsoft Office 产品。 KMS 只对过去 30 天内的唯一连接计数,且仅存储 50 个最新联系人。

手动创建 DNS 记录

如果 DNS 服务不支持动态更新,则必须手动创建资源记录才能发布 KMS 主机。 使用以下信息(更改默认端口号,如果你已在 KMS 主机配置中更改此项)通过 DNS 服务为 KMS 手动创建 DNS 资源记录:

属性
类型 SRV
服务/名称 _vlmcs
协议 _tcp
优先度 0
重量 0
端口号 1688
主机名 KMS 主机的 FQDN

如果 DNS 服务不支持动态更新,还应禁用所有 KMS 主机上的发布,以防止事件日志收集失败的 DNS 发布事件。

提示

只要维护所有记录以防止冲突,手动创建的资源记录可以与 KMS 主机在其他域中自动发布的资源记录共存。

禁止发布 DNS 记录

若要禁止 KMS 主机发布 DNS 记录:

  1. 通过运行以下内容启动批量激活工具向导:

    vmw.exe
    
  2. 在“简介”屏幕上,选择“下一步”。 选择“密钥管理服务 (KMS)”作为激活类型,然后输入 以配置要配置的本地服务器或服务器的主机名。

  3. 选择“跳到配置”,然后选择“下一步” 。

  4. 取消选中用于发布 DNS 记录的框,然后选择“提交”。