大量啟用計劃
產品啟用 是在特定電腦上安裝軟體之後,向製造商驗證軟體的程式。 啟用會確認產品是正版產品,而不是詐騙複本。 啟用也會確認產品金鑰或序號有效,而且不會遭到入侵或撤銷。 啟用也會建立產品金鑰與特定安裝之間的連結或關係。
在啟用處理程序期間,系統會檢查特定安裝的相關資訊。 針對在線啟用,此資訊會傳送至位於 Microsoft 的伺服器。 此資訊可能包括軟體版本、產品密鑰、計算機的 IP 位址,以及裝置的相關信息。 Microsoft使用的啟用方法是設計來協助保護用戶隱私權,而且無法用來追蹤電腦或使用者。 收集的資料會確認軟體是合法授權的版本,並將這個資料用於統計分析。 Microsoft不會使用此資訊來識別或連絡使用者或組織。
注意
IP 位址僅用來驗證要求的位置,因為某些 Windows (版本,例如“Starter” 版本) 只能在特定地理目標市場內啟用。
通路與啟用
一般而言,您可以透過三個主要管道取得 Microsoft 軟體:零售、原始設備製造商 (OEM) 和大量授權合約。 透過每個管道可以取得不同的啟用方法。 因為組織可以透過多個管道自由取得軟體 (例如在零售商場購買部份授權,然後透過大量授權方案購買其他授權),大多數的組織會選擇使用啟用方法的組合。
零售版啟用
針對零售啟用,每個購買的復本都會隨附一個唯一的產品密鑰,通常稱為零售密鑰。 使用者會在產品安裝期間輸入此金鑰。 電腦會在安裝完成後,使用這個零售金鑰來完成啟用。 您可以在線上執行大部分的啟用,但也可以使用電話啟用。
其他散發案例也存在。 產品金鑰卡可用來啟用預安裝或下載的產品。 程式 (例如 Windows Anytime Upgrade 和取得正版) 允許使用者取得與軟體分開購買的合法金鑰。 這些以電子方式散發的密鑰可能隨附包含軟體的媒體、可作為軟體出貨,或是可在列印的卡片或電子副本上提供。 產品會使用與啟用任何一個零售金鑰的相同方式來啟用產品。
原始設備製造商
大多數的原始設備製造商 (OEM) 會販售包含標準 Windows 作業系統組建的系統。 硬體廠商藉由將操作系統與計算機的韌體/BIOS 建立關聯,來啟動 Windows。 此啟用會在將電腦傳送給客戶之前發生,而且不需要採取其他動作。
只要客戶使用系統上 OEM 提供的映像,OEM 啟用便會有效。 OEM 啟用僅適用於透過 OEM 管道購買且已預先安裝 Windows 作業系統的電腦。
大量授權
大量授權提供根據組織的規模與採購偏好量身訂做的自訂程式。 若要成為大量授權客戶,組織必須使用 Microsoft 來設定大量許可協定。 透過大量授權取得新電腦授權的常見誤解。 為新電腦取得完整的 Windows 用戶端授權有兩種合法方式:
- 透過 OEM 預先安裝授權。
- 購買完整包裝的零售產品。
透過大量授權方案 (例如 Open License、Open License 和 Enterprise Agreement) 提供的授權僅涵蓋升級至 Windows 用戶端作業系統。 執行透過大量授權取得的升級許可權之前,每部執行目前支援 Windows 版本的計算機都需要現有的零售或 OEM 操作系統授權。
大量授權也可透過特定訂用帳戶或成員資格計劃取得,例如Microsoft合作夥伴網路和Visual Studio Codespace。 這些大量授權可能包含適用於大量授權之一般條款的特定限制或其他變更。
注意
某些版本的作業系統,例如 Windows Enterprise,以及某些版本的應用程式軟體,只能透過大量許可協定或訂用帳戶來使用。
啟用模型
對使用者或 IT 部門而言,如何啟用透過零售或 OEM 管道取得的產品並沒有很明顯的選擇。 OEM 會在工廠執行啟用,而且使用者或IT部門不需要採取任何啟用步驟。
透過零售產品,本指南稍後討論的 大量啟用管理工具 (VAMT) 可協助追蹤和管理密鑰。 針對每個零售啟用,可以選擇下列選項:
- 在線啟用。
- 電話啟用。
- VAMT Proxy 啟用。
電話啟用主要用於電腦與所有網路隔離的情況。 當 IT 部門想要集中零售啟用時,有時會使用具有零售密鑰的 VAMT Proxy 啟用。 當具有零售版操作系統的計算機與因特網隔離,但連線到 LAN 時,也可以使用 VAMT。 不過,對於大量授權產品,最佳的方法或方法組合必須決定要在環境中使用。 針對目前支援的 Windows 專業版和企業版,您可以選擇下列三個模型之一:
- MAK) (多個啟用金鑰。
- KMS。
- Active Directory 型啟用。
注意
在已核准的客戶依賴隔離且高安全性環境中的公鑰基礎結構時,適用於 Windows 企業 (的令牌型啟用,包括 LTSC) 和 Windows Server。 如需詳細資訊,請連絡 Microsoft 帳戶小組或服務代表。
多次啟用金鑰
多重啟用金鑰 (MAK) 通常用於具有大量許可協定但不符合 KMS 操作需求的中小型組織。 如果慣用較簡單的方法,也可以使用MAK。 MAK 也允許永久啟用:
- 與 KMS 隔離的電腦。
- 屬於隔離網路的計算機,其沒有足夠的計算機可使用 KMS。
若要使用 MAK,要啟用的電腦必須安裝 MAK。 MAK 可用於搭配 Microsoft 線上主控啟用服務 (透過電話或透過使用 VAMT Proxy 啟用) 的一次性啟動。
簡言之,MAK 就像是零售金鑰,差別在於 MAK 可有效啟用多部電腦。 每個 MAK 都可以使用特定的次數。 VAMT 可協助追蹤每個金鑰的已執行啟用數目,以及剩餘的啟用次數。
組織可以從大量授權服務中心網站下載 MAK 和 KMS 金鑰。 每個MAK都有預設的啟用次數,以組織購買的授權計數百分比為基礎。 不過,您可以藉由呼叫 Microsoft,透過 MAK 來增加可用的啟用數目。
金鑰管理服務
使用金鑰管理服務 (KMS),IT 專業人員可以在其本機網路上完成啟用,而無需將個別電腦連線至 Microsoft 進行產品啟用。 KMS 是輕量型服務,不需要專用系統,而且可以輕鬆地在提供其他服務的系統上共同裝載。
目前支援的 Windows 和 Windows Server 大量版本會自動連線到裝載 KMS 以要求啟用的系統。 使用者無需執行任何動作。
KMS 在網路環境中需要最少數目的電腦,包括實體計算機或虛擬機。 組織至少必須有五部計算機才能啟用目前支援的 Windows Server 版本,以及至少 25 部電腦,才能啟用執行目前支援之 Windows 用戶端版本的用戶端電腦。 這些最小值稱為「啟用閾值」。
計劃使用 KMS 包括選取 KMS 主機的最佳位置以及要具備的 KMS 主機數目。 一部 KMS 主機可以處理大量啟用,但組織通常會部署兩部 KMS 主機以確保可用性。 KMS 可以裝載在用戶端電腦或伺服器上。 本指南稍後會討論如何設定 KMS。
Active Directory 型啟用
Active Directory 型啟用與使用 KMS 的啟用類似,但啟用的電腦不需要與 KMS 主機保持定期連線。 相反地,執行目前支援 Windows 或 Windows Server 版本的已加入網域計算機會查詢 ADDS,以取得儲存在網域中的大量啟用物件。 作業系統會檢查啟用物件中所含的數位簽章,然後啟動裝置。
Active Directory 型啟用允許企業透過其網域連線來啟用電腦。 許多公司都有位於遠端或分支位置的計算機,因此連線到 KMS 並不切實際,或無法達到 KMS 啟用閾值。 Active Directory 型啟用可讓您啟用執行目前支援之 Windows 和 Windows Server 版本的電腦,而不是使用MAK,只要電腦可以連絡公司的網域即可。 Active Directory 型啟用提供擴充大量啟用服務的優點,包括已存在網域的所有位置。
網路與連線能力
現代的企業網路有許多細微差異且相互連線。 本節會檢查評估組織的網路,以及可用來判斷大量啟用發生方式的連線。
核心網路
組織的核心網路是網路的一部分,可與基礎結構伺服器保持穩定、高速、可靠的連線。 在許多情況下,核心網路也會連線到因特網。 不過,在 KMS 伺服器或 ADDS 設定為作用中之後,因特網聯機並非使用 KMS 或 Active Directory 型啟用的需求。 組織的核心網路可能包含許多網路區段。 在許多組織中,核心網路會組成大部分的商務網路。
在核心網路中,建議使用集中式 KMS 解決方案。 您也可以使用 Active Directory 型啟用,但在許多組織中,未加入網域的計算機可能仍需要 KMS。 部份系統管理員為求最大彈性會偏好同時執行這兩個解決方案,而其他系統管理員為了簡單起見會偏好只選擇 KMS 型解決方案。 如果組織中的所有用戶端都執行目前支援的 Windows 版本,以 Active Directory 為基礎的啟用是唯一可行的解決方案。
圖 1 顯示包含 KMS 主機的典型核心網路。
圖 1 典型核心網路
隔離網路
在大型網路中,某些區段可能會因為安全性原因或地理位置或連線問題而隔離。
進行隔離以取得安全性
防火牆隔離到核心網路或與其他網路中斷連線的網路區段,有時稱為 高安全性區域。 啟用位於隔離網路中電腦的最佳解決方案會視組織的安全性原則是否已就緒而定。
如果隔離的網路可以:
- 在 TCP 連接埠 1688 上使用輸出要求來存取核心網路
- 允許接收遠端過程調用 (RPC)
啟用可以使用核心網路中的 KMS 來執行,避免需要達到額外的啟用閾值。
如果隔離的網路完全參與公司樹系,而且它可以對域控制器進行一般連線,例如:
- 針對查詢使用輕量型目錄存取通訊協定 (LDAP)
- 使用域名服務 (DNS) 進行名稱解析
那麼,此案例是針對目前支援的 Windows 和 Windows Server 版本使用 Active Directory 型啟用的好機會。
如果隔離的網路無法與核心網路的 KMS 伺服器通訊,而且無法使用 Active Directory 型啟用,則可以在隔離的網路中設定 KMS 主機。 圖 2 會顯示這個設定。 不過,如果隔離的網路只包含幾部計算機,則不會達到 KMS 啟用閾值。 在此情況下,MAK 可用於啟用。
如果網路是完全隔離的,則建議選擇與MAK無關的啟用,或許是使用電話選項,但可能也可啟用 VAMT Proxy。 MAK 也可用來在安裝期間啟用新的電腦,然後再將它們放在隔離的網路中。
圖 2 隔離網路中的新 KMS 主機
分公司和遠端網路
從採礦作業到出海出貨,組織通常會有幾部計算機無法輕鬆地連線到核心網路或因特網。 有些公司在分公司內部有大型且妥善連線的網路區段,但與組織其他部分的 WAN 連結卻十分緩慢或不穩定。 在這些情況下有數個選項:
Active Directory 型啟用。 在用戶端電腦執行目前支援之 Windows 版本的任何站台中,都支援以 Active Directory 為基礎的啟用,並可藉由加入網域來啟用。
本機 KMS。 如果網站有 25 部以上的用戶端電腦,它便可以在本機 KMS 伺服器中啟用。
遠端 (核心) KMS。 如果遠端月臺可以連線到現有的 KMS,或許是透過虛擬專用網 (VPN) 至核心網路,則可以使用該 KMS。 使用現有的 KMS 表示只需要在該伺服器上符合啟用閾值。
MAK 啟用。 如果網站只有幾部電腦且未與現有的 KMS 主機連線,則 MAK 啟用會是最佳選擇。
中斷連線的電腦
有些使用者可能位於遠端位置,或可能前往許多位置。 這種情況對於行動用戶端是很常見的,例如由銷售人員或不在分行位置的其他異地使用者使用的電腦。 這種情況也可以套用至未與核心網路連線的遠端分公司位置。 此分公司可視為「隔離的網路」,其中的計算機數目為一。 中斷連線的計算機可以使用 Active Directory 型啟用、KMS 或 MAK,視電腦連線到核心網路的頻率而定。
Active Directory 型啟用可在符合下列條件的電腦上使用:
- 計算機已加入網域。
- 計算機正在執行目前支援的 Windows 或 Windows Server 版本。
- 計算機至少每隔 180 天連線到網域一次,不論是直接連線還是透過 VPN。
否則,對於很少或永遠不會連線到網路的計算機,應該透過電話或因特網使用MAK獨立啟用。
測試和開發實驗室
實驗室環境通常會有大量的虛擬機器,而且會經常重新設定實驗室中的實體電腦和虛擬機器。 因此,首先判斷測試和開發實驗室中的電腦是否需要啟用。 目前支援包含大量授權的 Windows 版本會正常運作,即使它們無法立即啟用也一般。
如果操作系統的測試或開發複本是在許可協定內,則如果經常重建實驗室計算機,則可能不需要啟用它們。 如果實驗室計算機需要啟動,請將實驗室視為隔離的網路,並使用本指南稍早所述的方法。 在計算機和少數 KMS 用戶端高度流動的實驗室中,必須監視 KMS 啟用計數。 KMS 快取啟用要求的時間可能需要調整。 預設值是 30 天。
將網路對應至啟用方法
藉由評估網路連線能力和每個站臺上的計算機數目,即可判斷哪些啟用方法最適合使用所需的資訊。 您可以在表格 1 中填入這項資訊,以協助進行這項判斷。
表 1 啟用方法的條件
條件 | 啟用方法 |
---|---|
至少每隔 180 天連線到域控制器的已加入網域計算機數目。 電腦可以是行動、半隔離或位於分公司或核心網路。 | Active Directory 型啟用 |
核心網路中至少每隔 180 天連線一次的計算機數目,無論是直接連線或透過 VPN。 核心網路必須符合 KMS 啟用閾值。 | KMS (中央) |
每 180 天未連線到網路至少一次的電腦數目,如果沒有任何網路符合啟用閾值,則為 。 | MAK |
半隔離網路中連線到核心網路中 KMS 的電腦數目。 | KMS (中央) |
隔離網路中符合 KMS 啟用閾值的電腦數目。 | KMS (本機) |
隔離網路中不符合 KMS 啟用閾值的電腦數目。 | MAK |
測試和開發實驗室中將不會啟用的計算機數目。 | 無 |
沒有零售大量授權的計算機數目。 | 零售 (線上或電話) |
沒有 OEM 大量授權的電腦數目。 | OEM (在工廠) |
計算機啟用總數。 此總數應符合組織中授權計算機的總數。 |
選擇並取得金鑰
當知道需要哪些金鑰時,必須取得金鑰。 一般而言,大量授權金鑰的收集方式有兩種:
移至大量授權服務中心的 \[產品金鑰\] 區段並尋找下列合約:Open、Open Value、Select、Enterprise 以及服務提供者授權。
請連絡 Microsoft啟用中心。
KMS 主機金鑰
KMS 主機需要向 Microsoft 啟用或驗證 KMS 主機的金鑰。 此密鑰稱為 KMS 主機金鑰,但正式稱為 Microsoft 客戶特定大量授權金鑰 (CSVLK) 。 某些檔和因特網參考使用 KMS 金鑰一詞,但 CSVLK 是目前檔和管理工具的正確名稱。
執行目前支援之 Windows Server 版本的 KMS 主機可以同時啟用 Windows Server 和 Windows 用戶端作業系統。 在 ADDS 中建立啟用物件也需要 KMS 主機金鑰,如本指南稍後所述。 任何已設定的 KMS 都需要 KMS 主機金鑰。 此外,還必須判斷是否將使用 Active Directory 型啟用。
一般大量授權金鑰
如果計算機在使用自定義安裝媒體或映像安裝 Windows 時使用 KMS 或 Active Directory 型啟用來啟用,請在建立自定義安裝媒體或映像時,安裝一般大量授權密鑰 (GVLK) 。 GVLK 應該符合所安裝的 Windows 版本。
Windows 作業系統Microsoft版的安裝媒體可能已經包含 GVLK。 每一種安裝類型都有一個 GVLK 可用。 GVLK 不會針對Microsoft啟用伺服器啟用軟體,而是針對 KMS 或 Active Directory 型啟用物件。 換句話說,除非找到有效的 KMS 主機金鑰,否則 GVLK 無法運作。 GVLK 是唯一不需要保密的產品密鑰。
一般而言,除非計算機為,否則不需要手動輸入 GVLK:
- 使用MAK或零售金鑰啟動。
- 轉換成 KMS 啟用或 Active Directory 型啟用。
如果需要找到特定用戶端版本的 GVLK,請 參閱金鑰管理服務 (KMS) 用戶端啟用和產品密鑰。
多次啟用金鑰
也需要具有適當啟用數目的MAK金鑰。 MAK 的使用次數可以在大量授權服務中心網站或 VAMT 中看到。
選取 KMS 主機
KMS 不需要專用伺服器。 它可以與其他服務共同裝載,例如ADDS域控制器和只讀域控制器。
KMS 主機可以在執行任何支援 Windows 作業系統的實體電腦或虛擬機器上執行。 執行目前支援之 Windows Server 版本的 KMS 主機可以啟用支援大量啟用的任何 Windows 用戶端或伺服器作業系統。 執行目前支援之 Windows 用戶端版本的 KMS 主機,只能啟用執行目前支援之 Windows 用戶端版本的電腦。
單一 KMS 主機可以支援不限數目的 KMS 用戶端,但 Microsoft 建議部署至少兩部 KMS 主機,以供容錯移轉使用。 不過,由於透過 Active Directory 型啟用啟用的用戶端較多,因此可能不需要 KMS 和 KMS 的備援。 大部分的組織可以使用最少兩部 KMS 主機,以供整個基礎結構使用。
圖 3 顯示 KMS 啟用的流程,它會遵循以下順序:
系統管理員會使用 VAMT 主控台來設定 KMS 主機並安裝 KMS 主機金鑰。
Microsoft 會驗證 KMS 主機金鑰,並且 KMS 主機會開始接聽要求。
KMS 主機會更新 DNS 中的資源記錄,以便用戶端可以找到 KMS 主機。 如果環境不支援 DNS 動態更新通訊協定,則需要手動新增 DNS 記錄。
透過 GVLK 設定的用戶端會使用 DNS 來找到 KMS 主機。
用戶端會傳送一個封包給 KMS 主機。
KMS 主機會記錄有關要求用戶端的資訊 (透過使用用戶端識別碼)。 用戶端識別碼可用來維護用戶端計數,並偵測同一部電腦何時會重新要求啟用。 用戶端識別碼只可用來判斷是否符合啟用閾值。 標識元不會永久儲存或傳輸至Microsoft。 如果重新啟動 KMS,用戶端識別碼收集便會重新啟動。
如果 KMS 主機具備符合 GVLK 中產品的 KMS 主機金鑰,則 KMS 主機會傳回單一封包給用戶端。 此封包包含要求從此 KMS 主機啟用的電腦數目。
如果計數超過待啟用產品的啟用閾值,則系統就會啟用用戶端。 如果不符合啟用閾值,用戶端會再試一次。
圖 3 KMS 啟用流程