共用方式為


啟動執行 Windows 的用戶端

提示

尋找零售啟用的相關信息嗎?

在密鑰管理服務 (在網路中設定 KMS) 或 Active Directory 型啟用之後,即可輕鬆地啟用執行 Windows 的用戶端。 如果計算機設定了一般大量授權密鑰 (GVLK) ,IT 或使用者就不需要採取任何動作。 一切都已就緒。

企業版映像和安裝媒體應已完成 GVLK 的設定。 在用戶端電腦啟動時,授權服務會檢查電腦目前的授權情況。

如果需要啟用或重新啟用,就會依序發生下列情形:

  1. 如果電腦是網域的成員,它會向網域控制站要求大量啟用物件。 如果已設定 Active Directory 型啟用,則網域控制站會傳回該物件。 如果物件符合下列需求:

    • 符合安裝的軟體版本
    • 具有相符的 GVLK

然後計算機會 (啟用或重新啟動) 。 計算機不需要重新啟動 180 天,雖然操作系統會嘗試以較短且定期的間隔重新啟用。

  1. 如果計算機不是網域的成員,或磁碟區啟用對象無法使用,計算機會發出 DNS 查詢以嘗試尋找 KMS 伺服器。 如果可以連絡 KMS 伺服器,則如果 KMS 有符合電腦 GVLK 的金鑰,就會進行啟用。

  2. 如果計算機是使用MAK來設定,則會嘗試針對Microsoft伺服器進行啟用。

如果客戶端無法自行成功啟用,則會定期再試一次。 重試嘗試的頻率取決於目前的授權狀態,以及用戶端計算機在過去是否已成功啟用。 例如,如果用戶端電腦先前使用 Active Directory 型啟用來啟用,則會在每次重新啟動時定期嘗試連絡域控制器。

金鑰管理服務的運作方式

KMS 使用用戶端伺服器拓撲。 KMS 用戶端電腦可以使用 DNS 或靜態設定尋找 KMS 主機電腦。 KMS 用戶端會使用透過 TCP/IP 傳輸的 RPC 聯繫 KMS 主機。

金鑰管理服務啟用閾值

實體計算機和虛擬機可以連絡 KMS 主機來啟動。 若要符合 KMS 啟用資格,至少必須有符合資格的電腦數目。 此最小值稱為啟用閾值。 KMS 用戶端只有在達到此閾值之後才會啟用。 每個 KMS 主機都會計算要求啟用的電腦數目,直到達到閾值為止。

每個 KMS 主機會回應來自各個 KMS 用戶端的有效啟用要求,告知已有多少聯繫 KMS 主機以要求啟用的電腦計數。 收到低於啟用閾值計數的用戶端電腦不會啟用。 例如,如果連絡 KMS 主機的前兩部電腦執行目前支援的 Windows 用戶端版本,則第一部電腦的啟用計數為 1,而第二部電腦的啟用計數為 2。 如果下一部計算機是執行目前支援之 Windows 用戶端版本的虛擬機,它會收到啟用計數 3,依此類推。 這些計算機都未啟用,因為必須達到25或以上的啟用計數。

當 KMS 用戶端等候 KMS 達到啟用閾值時,會每兩小時連線到 KMS 主機,以取得目前的啟用計數。 一旦達到閾值,就會啟用它們。

在我們的範例中,如果連絡 KMS 主機的下一部電腦正在執行目前支援的 Windows Server 版本,則會收到 4 的啟用計數,因為啟用計數是累積的。 如果執行目前支援之 Windows Server 版本的電腦收到 5 或以上的啟用計數,則會啟用。 如果執行目前支援之 Windows 用戶端版本的電腦收到 25 或以上的啟用計數,則會啟用。

啟用計數快取

為了追蹤啟用閾值,KMS 主機會記錄要求啟用的 KMS 用戶端。 KMS 主機會為每個 KMS 用戶端提供一個用戶端識別碼指定,且 KMS 主機會將每個用戶端識別碼儲存在表格中。 根據預設,每個啟用要求最多會保留在表格中 30 天。 當用戶端更新其啟用時,會從數據表中移除快取的用戶端標識碼、建立新的記錄,30 天的期間會重新開始。 如果 KMS 用戶端電腦未在 30 天內更新其啟用,KMS 主機會從數據表中移除對應的用戶端識別碼,並將啟用計數減少一。

不過,KMS 主機只會快取達到啟用閾值所需之用戶端識別碼數目的兩倍。 因此,只有 50 個最新的用戶端標識碼會保留在數據表中,而且客戶端識別碼可能會在 30 天內移除。

嘗試啟用的用戶端電腦類型會設定快取的總大小。 例如,如果 KMS 主機只收到來自伺服器的啟用要求,快取只會保留 10 個用戶端識別碼,是所需閾值 5 的兩倍。 不過,如果執行 Windows 用戶端的用戶端電腦連絡該 KMS 主機,KMS 會將快取大小增加到 50,以容納較高的閾值。 KMS 絕不會減少快取大小。

金鑰管理服務連線

KMS 啟用需要 TCP/IP 連線。 根據預設,KMS 主機與用戶端會使用 DNS 來發佈和尋找 KMS。 您可以使用預設設定,這幾乎不需要系統管理動作。 不過,KMS 主機和用戶端計算機可以根據網路設定和安全性需求手動設定。

金鑰管理服務啟用更新

KMS 啟用的有效期為 180 天 (啟用有效間隔)。 若要保持啟用,KMS 用戶端電腦必須至少每 180 天連線至 KMS 主機一次,以更新其啟用。 根據預設,KMS 用戶端電腦會每 7 天嘗試更新它們的啟用。 如果 KMS 啟用失敗,用戶端電腦會每兩小時重試一次。 用戶端電腦的啟用更新之後,啟用驗證間隔會再次開始。

金鑰管理服務的發佈

KMS 會使用 DNS 中的服務 (SRV) 資源記錄,來儲存和傳輸 KMS 主機的位置。 KMS 主機會使用 DNS 動態更新通訊協定 (如果可用) 來發佈 KMS 服務 (SRV) 資源記錄。 如果無法使用動態更新,或 KMS 主機沒有發布資源記錄的許可權,則必須採取下列其中一個動作:

  • DNS 記錄必須手動發佈。
  • 用戶端電腦必須設定為連線到特定 KMS 主機。

金鑰管理服務的用戶端探索

根據預設,KMS 用戶端電腦會向 DNS 查詢 KMS 資訊。 KMS 用戶端電腦第一次向 DNS 查詢 KMS 資訊時,會隨機從 DNS 傳回的服務 (SRV) 資源記錄清單中選擇 KMS 主機。 包含服務的 DNS 伺服器位址 (SRV) 資源記錄可列為 KMS 用戶端電腦上的後綴專案。 這項功能可讓一部 DNS 伺服器通告服務 (SRV) KMS 的資源記錄,以及使用其他主要 DNS 伺服器的 KMS 用戶端電腦來尋找服務。

優先順序和權數參數可以新增至 KMS 的 DnsDomainPublishList 登錄值。 在每個群組內建立 KMS 主機優先順序群組和加權,可指定用戶端電腦應該先嘗試哪個 KMS 主機,並平衡多個 KMS 主機之間的流量。 所有目前支援的 Windows 和 Windows Server 版本都提供這些優先順序和權數參數。

如果用戶端電腦選取的 KMS 主機沒有回應,KMS 用戶端電腦會從服務清單中移除該 KMS 主機 (SRV) 資源記錄,並從清單中隨機選取另一個 KMS 主機。 當 KMS 主機回應時,KMS 用戶端電腦會快取 KMS 主機的名稱,並將其用於後續的啟用和更新嘗試。 如果快取的 KMS 主機在後續更新時沒有回應,KMS 用戶端電腦會藉由查詢 KMS 服務的 DNS (SRV) 資源記錄來探索新的 KMS 主機。

根據預設,用戶端計算機會透過 TCP 連接埠 1688 使用匿名 RPC 連線到 KMS 主機進行啟用,不過可以變更預設埠。 用戶端電腦與 KMS 主機建立 TCP 工作階段之後,用戶端電腦會傳送單一要求封包。 KMS 主機會以啟用計數回應。 如果計數符合或超過啟用閾值,就會啟動用戶端電腦,並關閉會話。 KMS 用戶端電腦會使用這個相同程序發出更新要求。 每個方向的通訊會使用 250 個位元組。

網域名稱系統伺服器設定

預設 KMS 自動發佈功能需要服務 (SRV) 資源記錄和 DNS 動態更新通訊協定的支援。 支援 KMS 用戶端電腦預設行為和 KMS 服務 (SRV) 資源記錄發佈:

  • 執行軟體Microsoft DNS 伺服器。
  • 支援服務 (SRV) 資源記錄的 DNS 伺服器, (每個 IETF RFC 2136) 每個 IETF RFC 2136) 的批注要求 [RFC] 2782) 和動態更新 (。

例如,Berkeley Internet Domain Name 8.x 和 9.x 版皆可支援服務 (SRV) 資源記錄和動態更新。 KMS 主機必須經過設定以具備在 DNS 伺服器上建立和更新下列資源記錄所需的憑證:服務 (SRV)、IPv4 主機 (A) 和 IPv6 主機 (AAAA),否則必須手動建立記錄。 為 KMS 主機提供所需認證的建議解決方案,是在 AD DS 中建立安全性群組,然後將所有的 KMS 主機新增到該群組。 在執行Microsoft軟體的 DNS 伺服器上,確定此安全組已獲得_VLMCS._TCP 記錄的完整控制權。 此需求必須在包含 KMS 服務 (SRV) 資源記錄的每個 DNS 網域中發生。

啟用第一個金鑰管理服務主機

網路上的 KMS 主機必須安裝 KMS 金鑰,然後對 Microsoft 進行啟用。 安裝 KMS 金鑰可以在 KMS 主機上啟用 KMS。 安裝 KMS 金鑰後,請透過電話或網路完成 KMS 主機的啟用。 除了此初始啟用之外,KMS 主機不會將任何資訊傳達給Microsoft。 KMS 金鑰只會安裝在 KMS 主機上,一律不會安裝在個別的 KMS 用戶端電腦上。

啟用後續的金鑰管理服務主機

一個 KMS 金鑰最多可安裝在六個 KMS 主機上。 這些主機可以是實體電腦或虛擬機器。 啟用 KMS 主機之後,可以使用相同的金鑰重新啟動相同的主機最多九次。 如果組織需要六部以上的 KMS 主機,則可以呼叫 Microsoft 大量 授權啟用中心 來要求例外狀況,以要求組織 KMS 密鑰的額外啟用。

多次啟用金鑰的運作方式

MAK 用於搭配Microsoft託管啟用服務的一次性啟用。 每個 MAK 都會有一個預先決定的允許啟用數目。 這個數位是以大量許可協定為基礎,而且可能不符合組織的確切授權計數。 每個使用 MAK 對 Microsoft 託管啟用服務進行的啟用,都會計入啟用限制中。

您可以透過兩種方式使用MAK來啟動電腦:

  • MAK 獨立啟用。 每部電腦會獨立連線,並透過網際網路或電話對 Microsoft 啟用。 MAK 獨立啟用最適合組織內未維護公司網路連線的電腦。 MAK 獨立啟用的說明請見圖 16。

    MAK 獨立啟用。

    圖 16 MAK 獨立啟用

  • MAK Proxy 啟用。 Mak Proxy 啟用可透過一個 Microsoft 連線代表多部電腦發出集中式啟用要求。 您可以使用 VAMT 來設定 MAK Proxy 啟用。 MAK Proxy 啟用適用於安全性考量對於直接存取網際網路或公司網路有所限制的環境。 它也適用於缺乏此連線能力的開發和測試實驗室。 使用 VAMT 進行 MAK Proxy 啟用的說明請見圖 17。

    使用 VAMT 的 MAK Proxy 啟用。

    圖 17 使用 VAMT 進行 MAK Proxy 啟用

建議針對下列專案使用MAK:

  • 很少或永遠不會連線到公司網路的計算機。
  • 需要啟用的計算機數目不符合 KMS 啟用閾值的環境。

MAK 可用於個別電腦,或是可使用Microsoft部署解決方案複製或安裝的映像。 MAK 也可以在原本設定為使用 KMS 啟用的電腦上使用。 從 KMS 切換至 MAK 對於將電腦從核心網路移至已中斷連線的環境很有用。

MAK) 架構和啟用 (多個啟用金鑰

MAK 獨立啟用會在用戶端電腦上安裝 MAK 產品金鑰。 此金鑰會指示電腦透過網際網路對 Microsoft 伺服器自行啟用。

在MAK Proxy啟用中,VAMT:

  • 在用戶端電腦上安裝 MAK 產品金鑰。
  • 從目標電腦取得安裝識別碼。
  • 代表客戶端將安裝標識碼傳送至 Microsoft。
  • 取得確認標識碼。

接著,此工具會安裝確認識別碼以啟用用戶端電腦。

以標準使用者的身分啟用

目前支援的 Windows 版本不需要系統管理員許可權就能啟用。 不過,其他啟用或授權相關工作仍需要系統管理員帳戶,例如“rearm”。