Windows 虛擬機啟用無法在 Azure 中運作

適用於：✔️ Windows VM

本文討論對 Windows Azure 中Microsoft Windows 虛擬機 （VM） 啟用造成問題之 金鑰管理服務 （KMS） IP 位址所做的重要變更。 這些變更會影響已設定自定義路由或防火牆規則的 Azure 全域雲端使用者，以允許 KMS IP 位址，以及先前能夠成功啟用 Windows VM 的人員。

概觀

受影響的人

在 2022 年 7 月，我們在 Azure 更新中宣佈，兩個新的 KMS IP 位址20.118.99.224和 現已正式推出：Azure 全域雲端中的新 KMS 40.83.235.53DNS。 Azure 上的大部分 Windows VM 使用者不會受到影響。 不過，如果您過去遵循疑難解答指南（如下列文章）來設定自定義路由或防火牆規則，以允許 Windows VM 連線到 KMS IP 位址，您必須採取動作來包含這兩個新的 KMS IP 位址：

• 強制通道案例中的 Windows 啟用失敗

• 針對 Azure Windows 虛擬機器啟用問題進行疑難排解

• 使用 Azure 防火牆 來保護 Azure 虛擬桌面部署

如果您未在 2022 年 10 月 3 日前採取這些動作，您的 Windows VM 就會開始回報有關無法連線到 Windows 授權伺服器以進行啟用的警告。

您受到的影響

由於 2022 年 7 月的 Azure 更新，Azure 全域雲端中的大部分 Windows VM 現在都依賴 Windows 啟用的新 azkms.core.windows.net 功能變數名稱。 新 azkms.core.windows.net 位址一開始指向現有的 Windows 啟用網域名稱 kms.core.windows.net。 2022 年 10 月 3 日之後， azkms.core.windows.net 重新設定為指向兩個新的 IP 位址。 這項變更具有下列效果：

如果您遵循這篇文章	您會看到此效果
強制通道案例中的 Windows 啟用失敗	如果您未採取動作，將兩個新的 KMS IP 位址包含在自定義路由中，您的 Windows VM 就無法連線到新的 KMS 伺服器以進行 Windows 啟用。
使用 Azure 防火牆 來保護 Azure 虛擬桌面部署	如果您未採取動作，將兩個新的 KMS IP 位址包含在防火牆規則中，您的 Windows VM 就無法連線到新的 KMS 伺服器以進行 Windows 啟用。

如 KMS 啟用規劃的操作需求中所述，KMS 啟用有效期為 180 天（也稱為啟用有效間隔）。 若要保持啟用狀態，KMS 用戶端必須每隔 180 天至少連線到 KMS 主機一次，以更新其啟用。 根據預設，KMS 用戶端計算機會嘗試每隔七天更新其啟用。 用戶端啟用更新之後，啟用有效間隔會重新開始計算。

在 KMS 啟用有效間隔內，您仍然可以存取 Windows VM 的完整功能。 您應該在這個 180 天的期間修正啟用問題。

時間軸

• 在 2022 年 10 月 3 日之後，但在 2023 年 3 月 1 日之前，Azure 中的大多數 Windows VM 都依賴新的 KMS IP 位址， 20.118.99.224 以及 40.83.235.53Windows 啟用的 。 功能變數名稱 azkms.core.windows.net 指向這兩個IP位址。

• 2023 年 3 月 1 日之後，Azure 中的所有 Windows VM 都依賴新的 KMS IP 位址 20.118.99.224 和 40.83.235.53 Windows 啟用。 功能變數名稱 kms.core.windows.net 現在會指向這些新IP位址中的第一個 （20.118.99.224）。

必要條件

• PowerShell

徵兆

如果您無法成功連線到 KMS 伺服器以進行 Windows 啟用，Azure 中的 Windows VM 會回報警告，例如：

我們無法在此裝置上啟用 Windows，因為我們無法連線到組織的啟用伺服器。 請確定您已連線到組織的網路，然後再試一次。 如果您繼續遇到啟用問題，請連絡組織的支持人員。 錯誤碼：0xC004F074。

疑難排解檢查清單

檢查IP位址的連線能力 20.118.99.224 和40.83.235.53

如果您能夠成功連線到 KMS IP 位址 20.118.99.224 ，以及 40.83.235.53 從 Windows VM 連線，就不需要擔心這個問題。

若要檢查新 KMS IP 位址的連線能力，請遵循下列步驟：

1. 從遠端登入您的 Windows VM。

2. 開啟 PowerShell。

3. 執行下列 Test-NetConnection Cmdlet 呼叫，以確認連線到新的 KMS IP 位址：

   Test-NetConnection azkms.core.windows.net -Port 1688
   Test-NetConnection 20.118.99.224 -Port 1688
   Test-NetConnection 40.83.235.53 -Port 1688
   

如果連線成功，就不需要採取其他動作。 如果一或多個連線失敗，請檢閱下列各節，以判斷 Windows VM 啟用失敗的特定原因。

原因 1：自定義路由無法連線到 KMS 伺服器

您先前遵循 Windows 啟用中的指示，在強制通道案例中失敗，以設定自定義路由以連線到 Azure KMS 伺服器。 不過，由於 KMS IP 位址已變更，因此自定義路由無法再連線到 KMS 伺服器。

解決方案 1：將新的 KMS IP 位址新增至自定義路由

遵循強制通道案例中 Windows 啟用失敗的更新指示，將 KMS IP 位址20.118.99.224和40.83.235.53埠 1688 新增至您的自定義路由。

原因 2：防火牆封鎖對 KMS 伺服器的存取

您先前遵循使用 Azure 防火牆 來保護 Azure 虛擬桌面部署中的指示，為您的防火牆建立輸出網路規則。 此網路規則可讓 Windows VM 連線到 Azure KMS 伺服器。 不過，因為 KMS IP 位址已變更，因此該規則不再提供正確 KMS IP 位址的存取權。

解決方案 2：將新的 KMS IP 位址新增為防火牆規則的例外狀況

變更網路規則，讓 KMS IP 位址 20.118.99.224 和 40.83.235.53 埠 1688 允許透過防火牆進行輸出存取。

參考資料

• 正式推出：Azure 全域雲端中的新 KMS DNS

• 金鑰管理服務 （KMS） 啟用規劃作業需求

• 針對 Azure Windows 虛擬機器啟用問題進行疑難排解

與我們連絡，以取得說明

如果您有問題或需要相關協助，請建立支援要求，或詢問 Azure community 支援。 您也可以向 Azure 意見反應社群提交產品意見反應。