激活运行 Windows 的客户端
在网络中配置密钥管理服务 (KMS) 或基于 Active Directory 的激活后,激活运行 Windows 的客户端就很容易了。 如果计算机配置了通用批量许可证密钥 (GVLK) ,则 IT 或用户无需采取任何操作。 使用简单。
企业版映像和安装媒体应该已经使用 GVLK 进行配置。 当客户端计算机启动时,授权服务会检查该计算机的当前授权条件。
如果需要激活或重新激活,将发生以下序列:
如果计算机是域的成员,则它将要求一个可用于批量激活对象的域控制器。 如果配置了基于 Active Directory 的激活,则域控制器将返回该对象。 如果对象满足以下要求:
- 匹配已安装的软件版本
- 具有匹配的 GVLK
则计算机 (激活或重新激活) 。 计算机在 180 天内不需要再次激活,尽管操作系统会尝试以较短的、固定的时间间隔重新激活。
如果计算机不是域的成员,或者批量激活对象不可用,则计算机会发出 DNS 查询来尝试查找 KMS 服务器。 如果可以联系 KMS 服务器,如果 KMS 具有与计算机的 GVLK 匹配的密钥,则会发生激活。
如果计算机配置了 MAK,则计算机会尝试针对Microsoft服务器进行激活。
如果客户端无法成功激活自身,它会定期重试。 重试尝试的频率取决于当前许可状态以及客户端计算机是否在过去成功激活。 例如,如果客户端计算机以前使用基于 Active Directory 的激活进行激活,则会在每次重启时定期尝试联系域控制器。
密钥管理服务的工作原理
KMS 使用客户端-服务器拓扑。 KMS 客户端计算机可使用 DNS 或静态配置找到 KMS 主计算机。 KMS 客户端使用通过 TCP/IP 传输的 RPC 来与 KMS 主机通信。
密钥管理服务激活阈值
物理计算机和虚拟机可以通过联系 KMS 主机来激活。 若要符合 KMS 激活条件,必须有最少数量的合格计算机。 此最小值称为激活阈值。 只有在满足此阈值后,才会激活 KMS 客户端。 每个 KMS 主机计算在达到阈值之前请求激活的计算机数。
KMS 主机使用与其通信以便激活的计算机数目,来响应来自 KMS 客户端的每个有效的激活请求。 接收计数低于激活阈值的客户端计算机不会激活。 例如,如果与 KMS 主机联系的前两台计算机正在运行当前支持的 Windows 客户端版本,则第一台计算机接收激活计数 1,第二台计算机接收激活计数 2。 如果下一台计算机是运行当前受支持的 Windows 客户端版本的虚拟机,则它会收到 3 的激活计数,依此表示。 这些计算机均未激活,因为必须达到 25 个或更多激活计数。
当 KMS 客户端等待 KMS 达到激活阈值时,它们每隔两小时连接到 KMS 主机以获取当前的激活计数。 一旦达到阈值,就会激活它们。
在我们的示例中,如果与 KMS 主机联系的下一台计算机正在运行当前受支持的 Windows Server 版本,则它会收到 4 的激活计数,因为激活计数是累积的。 如果运行当前受支持的 Windows Server 版本的计算机收到的激活计数为 5 或更多,则激活计数为 5 或更多。 如果运行当前受支持的 Windows 客户端版本的计算机收到 25 个或更多激活计数,则激活计数为 25 个。
激活计数缓存
若要跟踪激活阈值,KMS 主机将记录请求激活的 KMS 客户端。 KMS 主机为每个 KMS 客户端都提供了一个客户端 ID 标志,并将每个客户端 ID 都保存在表中。 默认情况下,每个激活请求最多在表中保留 30 天。 当客户端续订其激活时,将从表中删除缓存的客户端 ID,创建一条新记录,并且 30 天的期限将再次开始。 如果 KMS 客户端计算机未在 30 天内续订其激活,KMS 主机将从表中删除相应的客户端 ID,并将激活计数减少 1。
但是,KMS 主机只能缓存满足激活阈值所需的两倍多的客户端 ID。 因此,表中仅保留 50 个最新的客户端 ID,并且可以在 30 天内删除客户端 ID。
尝试激活的客户端计算机类型设置缓存的总大小。 例如,如果 KMS 主机仅接收来自服务器的激活请求,则缓存仅保留 10 个客户端 ID,是所需阈值 5 的两倍。 但是,如果运行 Windows 客户端的客户端计算机与 KMS 主机联系,KMS 会将缓存大小增加到 50 以容纳更高的阈值。 KMS 永远不会减少缓存大小。
密钥管理服务连接性
KMS 激活需要 TCP/IP 连接性。 默认情况下,KMS 主机和客户端均使用 DNS 发布和查找 KMS。 可以使用默认设置,这几乎不需要执行管理操作或无需执行任何管理操作。 但是,可以根据网络配置和安全要求手动配置 KMS 主机和客户端计算机。
密钥管理服务激活续订
KMS 激活的有效期为 180 天(激活有效期时间间隔)。 若要保持激活状态,则 KMS 客户端计算机必须至少每 180 天连接到 KMS 主计算机一次,以续订其激活。 默认情况下,KMS 客户端计算机会每 7 天尝试一次激活续订。 如果 KMS 激活失败,客户端计算机将每 2 个小时重试一次。 续订客户端计算机的激活后,激活有效期间隔将再次开始。
密钥管理服务的发布
KMS 使用 DNS 中的服务 (SRV) 资源记录来存储和告知 KMS 主机的位置。 KMS 主机使用 DNS 动态更新协议(如果可用),来发布 KMS 服务 (SRV) 资源记录。 如果动态更新不可用或 KMS 主机没有发布资源记录的权限,则需要执行以下操作之一:
- 必须手动发布 DNS 记录。
- 客户端计算机必须配置为连接到特定的 KMS 主机。
客户端对密钥管理服务的发现
默认情况下,KMS 客户端计算机会向 DNS 查询 KMS 信息。 当 KMS 客户端计算机首次向 DNS 查询 KMS 信息时,它会从 DNS 返回的服务 (SRV) 资源记录列表中随机选择一台 KMS 主机。 包含服务 (SRV) 资源记录的 DNS 服务器的地址可以列为 KMS 客户端计算机上的后缀条目。 此功能允许一个 DNS 服务器播发服务 (SRV) KMS 的资源记录,KMS 客户端计算机与其他主 DNS 服务器一起进行查找。
可以将 priority 和 weight 参数添加到 KMS 的 DnsDomainPublishList 注册表值中。 通过在每个组中建立 KMS 主机优先级分组和权重,可以指定客户端计算机应首先尝试的 KMS 主机,并平衡多个 KMS 主机之间的流量。 当前支持的所有 Windows 和 Windows Server 版本都提供这些优先级和权重参数。
如果客户端计算机选择的 KMS 主机没有响应,KMS 客户端计算机将从其服务列表中删除该 KMS 主机, (SRV) 资源记录,并从列表中随机选择另一台 KMS 主机。 在 KMS 主机响应后,KMS 客户端计算机会缓存 KMS 主机的名称,并将其用于执行后续激活和续订尝试。 如果缓存的 KMS 主机在后续续订时未做出响应,KMS 客户端计算机将通过查询 DNS 来查询 KMS 服务 (SRV) 资源记录来发现新的 KMS 主机。
默认情况下,客户端计算机通过 TCP 端口 1688 使用匿名 RPC 连接到 KMS 主机进行激活,尽管可以更改默认端口。 客户端计算机与 KMS 主机建立 TCP 会话后,客户端计算机将发送单个请求数据包。 KMS 主机使用激活计数进行响应。 如果计数达到或超过激活阈值,则会激活客户端计算机并关闭会话。 KMS 客户端计算机对续订请求使用此相同的进程。 每种通信方式需使用 250 个字节。
域名系统服务器配置
默认的 KMS 自动发布功能需要服务 (SRV) 资源记录和对 DNS 动态更新协议的支持。 KMS 客户端计算机的默认行为和 KMS 服务 (SRV) 资源记录发布受支持:
- 运行Microsoft软件的 DNS 服务器。
- 支持服务 (SRV) 资源记录的 DNS 服务器 (每个 Internet 工程任务组 [IETF] 注释请求 [RFC] 2782) 和动态更新 (每个 IETF RFC 2136) 。
例如,Berkeley Internet 域名 8.x 和 9.x 版支持服务 (SRV) 资源记录和动态更新。 必须对 KMS 主机进行配置,以便它拥有在 DNS 服务器上创建和更新以下资源记录所需的凭据:服务 (SRV)、IPv4 主机 (A) 和 IPv6 主机 (AAAA),或者需手动创建的记录。 为 KMS 主机提供所需凭据的推荐解决方案是,在 AD DS 中创建一个安全组并将所有 KMS 主机都添加到该组。 在运行Microsoft软件的 DNS 服务器上,确保向此安全组授予对 _VLMCS._TCP 记录的完全控制权。 此要求需要在包含 KMS 服务 (SRV) 资源记录的每个 DNS 域中发生。
激活首台密钥管理服务主机
网络上的 KMS 主机需要先安装 KMS 密钥,然后才能通过 Microsoft 进行激活。 安装 KMS 密钥将启用KMS 主机上的 KMS。 安装完 KMS 密钥后,通过电话或联机方式完成 KMS 主机的激活。 除了此初始激活之外,KMS 主机不会将任何信息传达给Microsoft。 KMS 密钥只能安装在 KMS 主机上,而决不能安装在各个 KMS 客户端计算机上。
激活后续密钥管理服务主机
每个 KMS 密钥可安装在至多六台 KMS 主机上。 这些主机既可以是物理计算机也可以虚拟机。 激活 KMS 主机后,同一主机最多可以使用同一密钥重新激活九次。 如果组织需要六个以上的 KMS 主机,可以通过调用 Microsoft 批量 许可激活中心 来请求例外,为组织的 KMS 密钥请求其他激活。
多次激活密钥的工作原理
MAK 用于通过Microsoft的托管激活服务进行一次性激活。 每个 MAK 都有预先确定的允许激活次数。 此数字基于批量许可协议,可能与组织的确切许可证计数不匹配。 每次使用 MAK 向 Microsoft 托管激活服务进行的激活均计入激活限制内。
可以通过两种方式使用 MAK 激活计算机:
MAK 独立激活。 每台计算机单独进行连接并通过 Internet 或电话向 Microsoft 进行激活。 MAK 独立激活最适合组织中不与公司网络保持连接的计算机。 MAK 独立激活如图 16 中所示。
图 16. MAK 独立激活
MAK 代理激活。 MAK 代理激活代表多台连接到 Microsoft 的计算机启用集中激活请求。 可以使用 VAMT 配置 MAK 代理激活。 MAK 代理激活适合于因安全问题可能限制直接访问 Internet 或企业网络的环境。 它还适用于缺少此连接的开发和测试实验室。 使用 VAMT 的 MAK 代理激活如图 17 中所示。
图 17. 使用 VAMT 的 MAK 代理激活
建议将 MAK 用于:
- 很少或从不连接到公司网络的计算机。
- 需要激活的计算机数不符合 KMS 激活阈值的环境。
MAK 可用于单台计算机或映像,可以使用Microsoft部署解决方案进行复制或安装。 MAK 还可用于最初配置为使用 KMS 激活的计算机。 从 KMS 切换到 MAK 对于将计算机从核心网络移动到断开连接的环境非常有用。
多重激活密钥 (MAK) 体系结构和激活
MAK 独立激活将 MAK 产品密钥安装在客户端计算机上。 该密钥指示该计算机自行通过 Internet 向 Microsoft 服务器进行激活。
在 MAK 代理激活中,VAMT:
- 在客户端计算机上安装 MAK 产品密钥。
- 从目标计算机获取安装 ID。
- 代表客户端将安装 ID 发送到 Microsoft。
- 获取确认 ID。
然后,该工具通过安装确认 ID 激活客户端计算机。
以标准用户身份激活
当前支持的 Windows 版本不需要管理员特权进行激活。 但是,其他激活或与许可证相关的任务(例如“重新”)仍需要管理员帐户。