规划批量激活
产品激活 是在特定计算机上安装软件后向制造商验证软件的过程。 激活确认产品是正版产品,而不是欺诈性副本。 激活还确认产品密钥或序列号有效且未泄露或撤销。 激活还将建立产品密钥与特定安装之间的链接或关系。
在激活过程中,将检查有关特定安装的信息。 对于联机激活,此信息在 Microsoft 发送到服务器。 此信息可能包括软件版本、产品密钥、计算机的 IP 地址以及有关设备的信息。 Microsoft使用的激活方法旨在帮助保护用户隐私,不能用于跟踪计算机或用户。 收集的数据可确认软件是否为合法授权的副本,并且此数据可用于统计分析。 Microsoft不会使用此信息来标识或联系用户或组织。
注意
IP 地址仅用于验证请求的位置,因为某些版本的 Windows ((如“初学者”版本) 只能在某些地理目标市场中激活。
分发渠道和激活
通常情况下,通过三种主要渠道获取 Microsoft 软件:零售、原始设备制造商 (OEM) 和批量许可协议。 可通过每种渠道提供不同的激活方法。 由于组织可以随意地通过多种渠道获取软件(例如,以零售方式购买一些软件,通过批量许可计划获取其他软件),大多数组织选择将激活方法结合使用。
零售激活
对于零售激活,每个购买的副本附带一个唯一的产品密钥,通常称为零售密钥。 用户在产品安装过程中输入此密钥。 安装完成后,计算机使用此零售密钥完成激活。 大多数激活都在联机状态下执行,但也提供电话激活。
还存在其他分发方案。 产品密钥卡可用于激活预安装或下载的产品。 Windows Anytime Upgrade 和 Get Genuine 等程序允许用户获取独立于软件的法律密钥。 这些以电子方式分发的密钥可能附带包含软件的媒体,它们可以作为软件发货,或者可能以印刷卡或电子副本的形式提供。 使用其中任一零售密钥激活产品的方法均相同。
原始设备制造商
大多数原始设备制造商 (OEM) 销售的系统都包含标准版本的 Windows 操作系统。 硬件供应商通过将操作系统与计算机的固件/BIOS 相关联来激活 Windows。 此激活发生在计算机发送给客户之前,无需执行其他操作。
只要客户在系统上使用 OEM 提供的映像,OEM 激活即为有效。 OEM 激活仅适用于通过 OEM 渠道购买并已预安装 Windows 操作系统的计算机。
批量许可
批量许可提供了根据组织大小和购买意向定制的自定义程序。 若要成为批量许可客户,组织必须与 Microsoft 建立批量许可协议。 对于通过批量许可获取新计算机的许可证存在常见的误解。 有两种合法的方式为新计算机获取完整的 Windows 客户端许可证:
- 具有通过 OEM 预安装的许可证。
- 购买完全打包的零售产品。
通过批量许可计划(例如 Open License、Select License 和 Enterprise Agreements)提供的许可证仅包含 Windows 客户端操作系统的升级。 在行使通过批量许可获得的升级权限之前,对于运行当前受支持的 Windows 版本的每台计算机,都需要现有的零售或 OEM 操作系统许可证。
批量许可也可通过某些订阅或成员身份计划(如Microsoft合作伙伴网络和 Visual Studio Codespace)获得。 这些批量许可证可能包含对适用于批量许可的一般条款的特定限制或其他更改。
注意
某些版本的操作系统(例如 Windows 企业版)和某些版本的应用程序软件只能通过批量许可协议或订阅获得。
激活模型
对于用户或 IT 部门,关于如何激活通过零售或 OEM 渠道获取的产品,并不存在任何重要的抉择。 OEM 在工厂执行激活,用户或 IT 部门不需要执行任何激活步骤。
对于零售产品,批量激活管理工具 (VAMT) (本指南稍后将介绍)可帮助跟踪和管理密钥。 对于每个零售激活,可以选择以下选项:
- 联机激活。
- 电话激活。
- VAMT 代理激活。
电话激活主要用于一台计算机与所有网络都隔离的情况。 当 IT 部门想要集中零售激活时,有时会使用具有零售密钥的 VAMT 代理激活。 当具有零售版操作系统的计算机与 Internet 隔离但连接到 LAN 时,也可以使用 VAMT。 但是,对于批量许可产品,必须确定在环境中使用的最佳方法或方法组合。 对于当前支持的 Windows 专业版和企业版,可以选择以下三种模型之一:
- MAK) (多个激活密钥。
- KMS。
- 基于 Active Directory 的激活。
注意
当已批准的客户依赖隔离且高安全性环境中的公钥基础结构时,适用于 Windows 企业版 ((包括 LTSC) 和 Windows Server)的基于令牌的激活。 有关详细信息,请联系Microsoft客户团队或服务代表。
多次激活密钥
多重激活密钥 (MAK) 通常用于具有批量许可协议但不符合运行 KMS 的要求的中小型组织。 如果首选更简单的方法,也可以使用 MAK。 MAK 还允许永久激活:
- 与 KMS 隔离的计算机。
- 属于独立网络一部分且没有足够的计算机使用 KMS 的计算机。
若要使用 MAK,要激活的计算机必须安装 MAK。 MAK 用于借助 Microsoft 联机托管的激活服务通过电话或通过使用 VAMT 代理激活执行的一次性激活。
简单地说,MAK 的行为类似于零售密钥,只不过 MAK 可用于激活多台计算机。 每个 MAK 都可以使用特定次数。 VAMT 可以帮助跟踪每个密钥的已执行激活数以及剩余的激活数。
组织可以从批量许可服务中心网站下载 MAK 和 KMS 密钥。 每个 MAK 都有预设的激活数,这些激活数基于组织购买的许可证计数的百分比。 但是,可以通过调用 Microsoft 来增加 MAK 的可用激活数。
密钥管理服务
使用密钥管理服务 (KMS),IT 专业人员可以在本地网络完成激活,而无需将个别计算机连接到 Microsoft 进行产品激活。 KMS 是一种轻量级服务,不需要专用系统,并且可以轻松地在提供其他服务的系统上共同托管。
当前支持的 Windows 和 Windows Server 的批量版本会自动连接到托管 KMS 的系统,以请求激活。 用户无需执行任何操作。
KMS 在网络环境中需要最少数量的计算机(物理计算机或虚拟机)。 组织必须至少有 5 台计算机才能激活当前支持的 Windows Server 版本,以及至少 25 台计算机才能激活运行当前受支持的 Windows 客户端版本的客户端计算机。 这些最小值称为激活阈值。
计划使用 KMS 包括选择 KMS 主机的最佳位置以及需要具有多少个 KMS 主机。 一台 KMS 主机可以处理大量激活,但组织通常会部署两台 KMS 主机以确保可用性。 KMS 可以托管在客户端计算机或服务器上。 本指南稍后将讨论 KMS 的设置。
基于 Active Directory 的激活
基于 Active Directory 的激活类似于使用 KMS 激活,但激活的计算机不需要与 KMS 主机保持定期连接。 相反,运行当前受支持的 Windows 或 Windows Server 版本的已加入域的计算机会查询存储在域中的批量激活对象的 ADDS。 操作系统将检查激活对象中包含的数字签名,然后激活设备。
基于 Active Directory 的激活允许企业通过连接到域激活计算机。 许多公司的计算机位于远程或分支机构,连接到 KMS 是不切实际的,或者不会达到 KMS 激活阈值。 基于 Active Directory 的激活提供了一种激活当前受支持的 Windows 和 Windows Server 版本的计算机的方法,而不是使用 MAK,前提是计算机能够联系公司的域。 基于 Active Directory 的激活提供将批量激活服务扩展到已有域的位置的优势。
网络和连接性
现代企业网络中包含许多细微差别和相互联系。 本部分介绍评估组织的网络以及可用于确定批量激活方式的连接。
核心网络
组织的核心网络是网络中的一部分,该部分享有与基础结构服务器的稳定、高速、可靠的连接。 在许多情况下,核心网络也连接到 Internet。 但是,在配置并激活 KMS 服务器或 ADDS 后,无需使用基于 KMS 或 Active Directory 的激活,则不需要 Internet 连接。 组织的核心网络可能由许多网段组成。 在许多组织中,核心网络构成大部分业务网络。
在核心网络中,建议使用集中式 KMS 解决方案。 也可以使用基于 Active Directory 的激活,但在许多组织中,未加入域的计算机可能仍需要 KMS。 某些管理员希望同时运行这两种解决方案,以实现最大灵活性,而其他用户为简单起见希望仅选择基于 KMS 的解决方案。 如果组织中的所有客户端都运行当前支持的 Windows 版本,则基于 Active Directory 的激活是唯一的解决方案。
包含 KMS 主机的典型核心网络如图 1 所示。
图 1. 典型核心网络
隔离网络
在大型网络中,出于安全原因或地理位置或连接问题,某些段可能会隔离。
出于安全原因隔离
通过防火墙与核心网络隔离或与其他网络断开连接的网段有时称为 高安全性区域。 在隔离网络中激活计算机的最佳解决方案取决于组织中的就地安全策略。
如果隔离网络可以:
- 使用 TCP 端口 1688 上的出站请求访问核心网络
- 允许接收远程过程调用 (RPC)
激活可以通过在核心网络中使用 KMS 来执行,而无需达到其他激活阈值。
如果隔离网络完全参与公司林,并且它可以与域控制器建立典型连接,例如:
- 对查询使用轻型目录访问协议 (LDAP)
- 使用域名服务 (DNS) 进行名称解析
则此方案是将基于 Active Directory 的激活用于当前支持的 Windows 和 Windows Server 版本的好机会。
如果隔离网络无法与核心网络的 KMS 服务器通信,并且无法使用基于 Active Directory 的激活,则可以在隔离网络中设置 KMS 主机。 此配置如图 2 所示。 但是,如果隔离网络仅包含几台计算机,则不会达到 KMS 激活阈值。 在这种情况下,可以使用 MAK 进行激活。
如果网络是完全隔离的,建议选择独立于 MAK 的激活,也许使用电话选项,但 VAMT 代理激活也可能是可能的。 MAK 还可用于在设置过程中激活新计算机,然后再将其置于隔离网络中。
图 2. 隔离网络中的新 KMS 主机
分支机构和远程网络
从采矿业务到海上船舶,组织通常有几台计算机不容易连接到核心网络或 Internet。 某些组织在较大且内部连接良好的分支机构具有网段,但与组织其余部分的 WAN 链接较慢且不可靠。 在这些情况下,有几个选项:
基于 Active Directory 的激活。 在客户端计算机运行当前受支持的 Windows 版本的任何站点中,都支持基于 Active Directory 的激活,并且可以通过加入域来激活它。
本地 KMS。 如果某个站点具有 25 台以上的客户端计算机,它可以针对本地 KMS 服务器来激活。
远程(核心)KMS。 如果远程站点连接到现有 KMS(可能通过虚拟专用网络 (VPN) 核心网络),则可以使用该 KMS。 使用现有 KMS 意味着只需在该服务器上满足激活阈值。
MAK 激活。 如果该站点仅具有几台计算机,并且未连接到现有 KMS 主机,则 MAK 激活是最佳选择。
断开连接的计算机
某些用户可能位于远程位置,或者可能前往多个位置。 此方案常用于漫游客户端(例如销售人员使用的计算机,或在公司外但不在分支机构的其他用户所使用的计算机)。 此方案也适用于未连接到核心网络的远程分支机构位置。 此分支机构可被视为“隔离网络”,其中计算机数为 1。 断开连接的计算机可以使用基于 Active Directory 的激活、KMS 或 MAK,具体取决于计算机连接到核心网络的频率。
当计算机满足以下条件时,可以使用基于 Active Directory 的激活:
- 计算机已加入域。
- 计算机运行的是当前受支持的 Windows 或 Windows Server 版本。
- 计算机至少每 180 天直接或通过 VPN 连接到域一次。
否则,对于很少或从未连接到网络的计算机,应通过电话或 Internet 使用 MAK 独立激活。
测试和开发实验室
实验室环境通常具有大量虚拟机和物理计算机,并且实验室中的虚拟机将频繁进行重新配置。 因此,请先确定测试和开发实验室中的计算机是否需要激活。 当前支持的包含批量许可的 Windows 版本正常运行,即使它们无法立即激活。
如果操作系统的测试或开发副本在许可协议范围内,则频繁重新生成实验室计算机时,可能不需要激活这些计算机。 如果需要激活实验室计算机,请将实验室视为独立的网络,并使用本指南前面所述的方法。 在计算机和几个 KMS 客户端的实验室中,必须监视 KMS 激活计数。 可能需要调整 KMS 缓存激活请求的时间。 默认值为 30 天。
将网络映射到激活方法
通过评估每个站点的网络连接和计算机数量,可以确定确定哪种激活方法最有效所需的信息。 可以在表 1 中填写此信息,以帮助做出此决定。
表 1. 激活方法的条件
条件 | 激活方法 |
---|---|
至少每 180 天连接到域控制器的已加入域的计算机数。 计算机可能处于移动、半隔离状态,或位于分支机构或核心网络。 | 基于 Active Directory 的激活 |
核心网络中至少每 180 天直接或通过 VPN 进行连接的计算机数。 核心网络必须满足 KMS 激活阈值。 | KMS(中心) |
至少每 180 天未连接到网络一次的计算机数,或者如果没有网络达到激活阈值,则为数。 | MAK |
与核心网络中 KMS 建立连接的半隔离网络中的计算机数。 | KMS(中心) |
隔离网络中满足 KMS 激活阈值的计算机数。 | KMS(本地) |
未满足 KMS 激活阈值的隔离网络中的计算机数。 | MAK |
测试和开发实验室中无法激活的计算机数。 | 无 |
没有零售批量许可证的计算机数。 | 零售(联机或手机) |
没有 OEM 批量许可证的计算机数。 | OEM(在工厂) |
计算机激活的总数。 此总数应与组织中许可的计算机总数相匹配。 |
选择并获取密钥
当它知道需要哪些密钥时,必须获取密钥。 通常来说,有两种方式收集批量许可密钥:
转到批量许可服务中心的产品密钥部分查找以下协议:Open、Open Value、Select、Enterprise 和 Services Provider License。
请联系 Microsoft激活中心。
KMS 主机密钥
KMS 主机需要一个密钥向 Microsoft 激活(或验证)该 KMS 主机。 此密钥称为 KMS 主机密钥,但正式称为 MICROSOFT客户特定批量许可密钥 (CSVLK) 。 某些文档和 Internet 参考使用术语 KMS 密钥,但 CSVLK 是当前文档和管理工具的正确名称。
运行当前受支持的 Windows Server 版本的 KMS 主机可以激活 Windows Server 和 Windows 客户端操作系统。 还需要 KMS 主机密钥才能在 ADDS 中创建激活对象,如本指南稍后所述。 设置的任何 KMS 都需要 KMS 主机密钥。 此外,还需要确定是否将使用基于 Active Directory 的激活。
通用批量许可密钥
如果在使用自定义安装媒体或映像安装 Windows 时使用 KMS 或基于 Active Directory 的激活激活计算机,请在创建自定义安装媒体或映像时 (GVLK) 安装通用批量许可证密钥。 GVLK 应与所安装的 Windows 版本匹配。
Microsoft for Enterprise 版 Windows 操作系统的安装媒体可能已包含 GVLK。 一个 GVLK 可用于每种安装类型。 GVLK 不会针对Microsoft激活服务器激活软件,而是针对基于 KMS 或 Active Directory 的激活对象激活软件。 换句话说,除非可以找到有效的 KMS 主机密钥,否则 GVLK 不起作用。 GVLK 是唯一不需要保密的产品密钥。
通常,无需手动输入 GVLK,除非计算机为:
- 使用 MAK 或零售密钥激活。
- 转换为 KMS 激活或基于 Active Directory 的激活。
如果需要查找特定客户端版本的 GVLK,请参阅 密钥管理服务 (KMS) 客户端激活和产品密钥。
多次激活密钥
还需要具有适当数量的可用激活的 MAK 密钥。 可以在批量许可服务中心网站或 VAMT 中看到 MAK 的使用次数。
选择 KMS 主机
KMS 不需要专用服务器。 它可以与其他服务(例如 ADDS 域控制器和只读域控制器)共同托管。
KMS 主机可以在运行任何受支持的 Windows 操作系统的物理计算机或虚拟机上运行。 运行当前受支持的 Windows Server 版本的 KMS 主机可以激活支持批量激活的任何 Windows 客户端或服务器操作系统。 运行当前受支持的 Windows 客户端版本的 KMS 主机只能激活运行当前受支持的 Windows 客户端版本的计算机。
单个 KMS 主机可以支持无限数量的 KMS 客户端,但出于故障转移的目的,Microsoft 建议最少部署两个 KMS 主机。 但是,随着更多的客户端通过基于 Active Directory 的激活激活,可能不需要 KMS 和 KMS 的冗余。 大多数组织可以仅将两个 KMS 主机用于整个基础结构。
KMS 激活的流程如图 3 所示,并遵循以下顺序:
管理员使用 VAMT 控制台配置 KMS 主机并安装 KMS 主机密钥。
Microsoft 验证 KMS 主机密钥,然后 KMS 主机开始侦听请求。
KMS 主机更新 DNS 中的资源记录以使客户端能够找到 KMS 主机。 如果环境不支持 DNS 动态更新协议,则需要手动添加 DNS 记录。
通过 GVLK 配置的客户端使用 DNS 查找 KMS 主机。
客户端将一个数据包发送到 KMS 主机。
KMS 主机记录有关请求客户端的信息(通过使用客户端 ID)。 客户端 ID 用于维持客户端的计数并检测同一计算机何时再次请求激活。 客户端 ID 仅用于确定是否满足激活阈值。 ID 不会永久存储或传输到Microsoft。 如果重新启动 KMS,客户端 ID 收集将再次启动。
如果 KMS 主机具有与 GVLK 中的产品匹配的 KMS 主机密钥,KMS 主机将向客户端发送回一个数据包。 此数据包包含从此 KMS 主机请求激活的计算机数的计数。
如果计数超过要激活的产品的激活阈值,则激活客户端。 如果未满足激活阈值,客户端将重试。
图 3. KMS 激活流程