Aktivieren von Windows 10-Clients

Gilt für:

  • Windows 10
  • Windows 8.1
  • Windows 8
  • Windows 7
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

Tipp

Suchen Sie Nach Informationen zur Einzelhandelsaktivierung?

Nach dem Konfigurieren des Schlüsselverwaltungsdiensts (Key Management Service, KMS) oder der Aktivierung über Active Directory in Ihrem Netzwerk ist das Aktivieren eines Windows 10-Clients ein Kinderspiel. Wenn der Computer mit einem generischen Volumenlizenzschlüssel (Generic Volume License Key, GVLK) konfiguriert wurde, muss weder die IT-Abteilung noch der Benutzer eine Aktion ausführen. Darauf können Sie sich verlassen.

Enterprise-Editionsimages und Installationsmedien sollten bereits mit dem GVLK konfiguriert worden sein. Beim Starten des Clientcomputers prüft der Lizenzierungsdienst die aktuelle Lizenzierungsbedingung auf dem Computer.

Wenn die Aktivierung oder eine erneute Aktivierung erforderlich ist, geschieht Folgendes:

  1. Wenn der Computer Mitglied einer Domäne ist, wird ein Domänencontroller hinsichtlich eines Volumenaktivierungsobjekts abgefragt. Wenn die Aktivierung über Active Directory konfiguriert wurde, gibt der Domänencontroller das Objekt zurück. Wenn das Objekt mit der Edition der installierten Software übereinstimmt und der Computer über einen übereinstimmenden GVLK verfügt, wird der Computer aktiviert (oder erneut aktiviert). Er muss für die nächsten 180 Tage nicht erneut aktiviert werden, auch wenn das Betriebssystem versucht, die erneute Aktivierung in kürzeren, regelmäßigen Intervallen vorzunehmen.

  2. Wenn der Computer kein Mitglied einer Domäne ist oder das Volumenaktivierungsobjekt nicht verfügbar ist, gibt der Computer eine DNS-Abfrage aus, um zu versuchen, einen KMS-Server zu suchen. Wenn ein KMS-Server kontaktiert werden kann, erfolgt die Aktivierung, wenn der KMS über einen Schlüssel verfügt, der dem GVLK des Computers entspricht.

  3. Der Computer versucht, die Aktivierung für Microsoft Server durchzuführen, wenn er mit einem MAK konfiguriert ist.

Wenn der Client nicht in der Lage ist, sich selbst erfolgreich zu aktivieren, versucht er es in regelmäßigen Abständen erneut. Die Häufigkeit der Wiederholungsversuche hängt vom aktuellen Lizenzierungsstatus und davon ab, ob der Clientcomputer in der Vergangenheit erfolgreich aktiviert wurde. Wenn der Clientcomputer beispielsweise anhand der Aktivierung über Active Directory aktiviert wurde, versucht er bei jedem Neustart regelmäßig den Domänencontroller zu kontaktieren.

Funktionsweise des Schlüsselverwaltungsdiensts (Key Management Service, KMS)

KMS verwendet eine Client-Server-Topologie. KMS-Clientcomputer können mithilfe von DNS oder einer statischen Konfiguration KMS-Hostcomputer ermitteln. KMS-Clients kontaktieren den KMS-Host mithilfe von über TCP/IP übertragenen RPCs.

KMS-Aktivierungsschwellenwerte

Sie können physische und virtuelle Computer aktivieren, indem Sie einen KMS-Host kontaktieren. Um sich für die KMS-Aktivierung zu qualifizieren, muss eine Mindestanzahl an Qualifizierungscomputern (der sog. Aktivierungsschwellenwert) vorliegen. KMS-Clients werden nur aktiviert, nachdem dieser Schwellenwert erreicht wurde. Jeder KMS-Host zählt die Anzahl der Computer, die die Aktivierung angefordert haben, bis der Schwellenwert erreicht ist.

Ein KMS-Host antwortet auf jede gültige Aktivierungsanforderung von einem KMS-Client mit der Anzahl, wie viele Computer bereits den KMS-Host für die Aktivierung kontaktiert haben. Clientcomputer, die eine Anzahl unter dem Aktivierungsschwellenwert erhalten, werden nicht aktiviert. Wenn beispielsweise auf den ersten zwei Computern, die den KMS-Host kontaktieren, Windows 10 ausgeführt wird, empfängt der erste eine Aktivierungsanzahl von 1, und der zweite empfängt eine Aktivierungsanzahl von 2. Wenn der nächste Computer ein virtueller Computer auf einem Computer unter Windows 10 ist, empfängt er eine Aktivierungsanzahl von 3 usw. Keiner dieser Computer wird aktiviert, da Computer unter Windows 10 wie bei anderen Client-Betriebssystemversionen eine Aktivierungsanzahl von mindestens 25 empfangen müssen.

Wenn KMS-Clients darauf warten, dass der KMS den Aktivierungsschwellenwert erreicht, stellen sie alle zwei Stunden eine Verbindung mit dem KMS-Host her, um die aktuelle Aktivierungsanzahl zu erhalten. Sie werden aktiviert, wenn der Schwellenwert erreicht wird.

Wenn in unserem Beispiel auf dem nächsten Computer, der den KMS-Host kontaktiert, Windows Server 2012 R2 ausgeführt wird, empfängt er eine Aktivierungsanzahl von 4, da Aktivierungsanzahlen kumulativ sind. Wenn ein Computer, auf dem Windows Server 2012 R2 ausgeführt wird, eine Aktivierungsanzahl von 5 oder mehr erhält, wird er aktiviert. Wenn ein Computer, auf dem Windows 10 ausgeführt wird, eine Aktivierungsanzahl von 25 oder mehr erhält, wird er aktiviert.

Cache für die Aktivierungsanzahl

Zum Nachverfolgen des Aktivierungsschwellenwerts speichert der KMS-Host einen Eintrag der die Aktivierung anfordernden KMS-Clients. Der KMS-Host weist jedem KMS-Client eine Client-ID-Bestimmung zu. Zudem speichert der KMS-Host jede Client-ID in einer Tabelle. Standardmäßig verbleibt jede Aktivierungsanforderung für bis zu 30 Tage in der Tabelle. Wenn ein Client seine Aktivierung verlängert, wird die zwischengespeicherte Client-ID aus der Tabelle entfernt, ein neuer Datensatz wird erstellt, und der Zeitraum von 30 Tagen beginnt erneut. Wenn ein KMS-Clientcomputer seine Aktivierung nicht innerhalb von 30 Tagen verlängert, entfernt der KMS-Host die entsprechende Client-ID aus der Tabelle und reduziert die Aktivierungsanzahl um 1.

Der KMS-Host nimmt jedoch nur eine zweimalige Zwischenspeicherung der Anzahl der Client-IDs vor, die zum Erreichen des Aktivierungsschwellenwerts erforderlich sind. Daher werden nur die 50 neuesten Client-IDs in der Tabelle beibehalten, und eine Client-ID kann viel früher als nach 30 Tagen entfernt werden. Die Gesamtgröße des Caches wird durch den Clientcomputertyp festgelegt, der versucht, die Aktivierung vorzunehmen. Wenn ein KMS-Host Aktivierungsanforderungen nur von Servern empfängt, hält der Cache nur 10 Client-IDs (zweimal die erforderlichen 5). Wenn ein Clientcomputer unter Windows 10 diesen KMS-Host kontaktiert, erhöht der KMS die Cachegröße auf 50, um dem höheren Schwellenwert Rechnung zu tragen. Der KMS reduziert niemals die Cachegröße.

KMS-Konnektivität

Für die KMS-Aktivierung ist die TCP/IP-Konnektivität erforderlich. KMS-Hosts und Clients verwenden standardmäßig DNS zum Veröffentlichen und Suchen des KMS. Die standardmäßigen Einstellungen können verwendet werden, die nur wenige oder keine Verwaltungsaktionen erfordern. Alternativ können KMS-Host und Clientcomputer auf Grundlage von Netzwerkkonfigurations- und Sicherheitsanforderungen manuell konfiguriert werden.

KMS-Aktivierungsverlängerung

KMS-Aktivierungen sind für 180 Tage (im Rahmen des Aktivierungsgültigkeitszeitraums) gültig. Um aktiviert zu bleiben, müssen KMS-Clientcomputer ihre Aktivierung verlängern, indem sie mindestens einmal alle 180 Tage eine Verbindung mit dem KMS-Host herstellen. KMS-Clientcomputer versuchen standardmäßig alle sieben Tage, ihre Aktivierung zu erneuern. Wenn bei der KMS-Aktivierung Fehler auftreten, versucht der Clientcomputer, den Vorgang alle zwei Stunden erneut auszuführen. Nachdem die Aktivierung eines Clientcomputers erneuert wurde, beginnt das Gültigkeitsintervall der Aktivierung erneut.

Veröffentlichung des KMS

Der KMS verwendet Ressourceneinträge für Dienste (Service Resource Record, SRV) in DNS zum Speichern und Kommunizieren der Orte von KMS-Hosts. KMS-Hosts verwenden das dynamische DNS-Updateprotokoll, sofern dies verfügbar ist, um die KMS-Ressourceneinträge für Dienste zu veröffentlichen. Wenn keine dynamische Aktualisierung verfügbar ist oder der KMS-Host nicht über Berechtigungen zum Veröffentlichen der Ressourceneinträge verfügt, müssen die DNS-Einträge manuell veröffentlicht werden, oder Sie müssen Clientcomputer so konfigurieren, dass sie eine Verbindung mit bestimmten KMS-Hosts herstellen.

Clientermittlung des KMS

Standardmäßig fragen KMS-Clientcomputer DNS hinsichtlich KMS-Informationen ab. Wenn der KMS-Clientcomputer erstmals DNS hinsichtlich KMS-Informationen abfragt, wählt er standardmäßig einen KMS-Host aus der Liste der Ressourceneinträge für Dienste (SRV) aus, die von diesem DNS zurückgegeben werden. Die Adresse eines DNS-Servers, der die Ressourceneinträge für Dienste (SRV) enthält, kann als ein angehängter Eintrag auf KMS-Clientcomputern aufgelistet werden, wodurch ein DNS-Server die Ressourceneinträge für Dienste (SRV) für KMS ankündigen kann und KMS-Clientcomputer mit anderen primären DNS-Servern diese finden können.

Dem Registrierungswert „DnsDomainPublishList“ für KMS können Prioritäts- und Gewichtungsparameter hinzugefügt werden. Das Einrichten von KMS-Hostprioritätsgruppierungen und einer -gewichtung in jeder Gruppe ermöglicht Ihnen das Angeben, welchen KMS-Host die Clientcomputer zuerst testen sollten. Zudem wird dadurch der Datenverkehr zwischen mehreren KMS-Hosts ausgeglichen. Nur Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Server 2012 R2, Windows Server 2012 und Windows Server 2008 R2 stellen diese Prioritäts- und Gewichtungsparameter bereit.

Wenn der KMS-Host, den ein Clientcomputer auswählt, nicht antwortet, entfernt der KMS-Clientcomputer diesen KMS-Host aus seiner Liste der Dienstressourceneinträge (SRV) und wählt nach dem Zufallsprinzip einen anderen KMS-Host aus der Liste aus. Wenn ein KMS-Host antwortet, nimmt der KMS-Clientcomputer eine Zwischenspeicherung des KMS-Hostnamens vor und verwendet ihn für die nachfolgenden Aktivierungs- und Verlängerungsversuche. Wenn der zwischengespeicherte KMS-Host bei einer nachfolgenden Verlängerung nicht reagiert, ermittelt der KMS-Clientcomputer einen neuen KMS-Host, indem er DNS für RESSOURCENeinträge des KMS-Diensts (SRV) abfragt.

Clientcomputer stellen standardmäßig eine Verbindung zum KMS-Host für die Aktivierung her, indem sie anonyme RPCs über den TCP-Port 1688 verwenden. (Sie können den Standardport ändern.) Nach dem Einrichten einer TCP-Sitzung mit dem KMS-Host sendet der Clientcomputer ein einzelnes Anforderungspaket. Der KMS-Host antwortet mit der Aktivierungsanzahl. Wenn die Anzahl den Aktivierungsschwellenwert für dieses Betriebssystem erreicht oder überschreitet, wird der Clientcomputer aktiviert, und die Sitzung wird geschlossen. Der KMS-Clientcomputer verwendet denselben Prozess für Verlängerungsanforderungen. Für die Kommunikation in beide Richtungen werden jeweils 250 Byte verwendet.

Domain Name System-Serverkonfiguration

Für das standardmäßige Feature für die automatische KMS-Veröffentlichung sind der Ressourceneintrag für Dienste (SRV) und die Unterstützung für das dynamische DNS-Updateprotokoll erforderlich. Das Standardverhalten von KMS-Clientcomputern und die Veröffentlichung von RESSOURCENdatensätzen des KMS-Diensts (SRV) werden auf einem DNS-Server unterstützt, auf dem Microsoft Software oder ein anderer DNS-Server ausgeführt wird, der SrV-Ressourceneinträge (gemäß Internet Engineering Task Force [IETF] Request for Comments [RFC] 2782) und dynamischen Updates (gemäß IETF RFC 2136) unterstützt. Beispielsweise unterstützen die Versionen 8.x und 9.x von Berkeley Internet Domain Name Ressourceneinträge für Dienste (SRV) und dynamische Updates. Der KMS-Host muss konfiguriert werden, sodass er über die Anmeldeinformationen verfügt, die zum Erstellen und Aktualisieren der folgenden Ressourceneinträge auf den DNS-Servern erforderlich sind: Dienst (SRV), IPv4-Host (A) und IPv6-Host (AAAA). Andernfalls müssen die Einträge manuell erstellt werden. Um dem KMS-Host die erforderlichen Anmeldeinformationen zuzuweisen, sollten Sie eine Sicherheitsgruppe in AD DS erstellen und dieser Gruppe anschließend alle KMS-Hosts hinzufügen. Stellen Sie auf einem DNS-Server, auf dem Microsoft Software ausgeführt wird, sicher, dass diese Sicherheitsgruppe die vollständige Kontrolle über den _VLMCS._TCP-Eintrag in jeder DNS-Domäne erhält, die die RESSOURCENeinträge des KMS-Diensts (SRV) enthält.

Aktivieren des ersten KMS-Hosts

KMS-Hosts im Netzwerk müssen einen KMS-Schlüssel installieren und dann durch Microsoft aktiviert werden. Durch die Installation eines KMS-Schlüssels wird der KMS auf dem KMS-Host aktiviert. Schließen Sie nach dem Installieren des KMS-Schlüssels die Aktivierung des KMS-Hosts telefonisch oder online ab. Über diese anfängliche Aktivierung hinaus übermittelt ein KMS-Host keine Informationen an Microsoft. KMS-Schlüssel werden nur auf KMS-Hosts installiert, jedoch niemals auf einzelnen KMS-Clientcomputern.

Aktivieren von nachfolgenden KMS-Hosts

Jeder KMS-Schlüssel kann auf bis zu sechs KMS-Hosts installiert werden. Bei diesen Hosts kann es sich um physische oder virtuelle Computer handeln. Nach dem Aktivieren eines KMS-Hosts kann derselbe Host bis zu neunmal mit demselben Schlüssel erneut aktiviert werden. Wenn die Organisation mehr als sechs KMS-Hosts benötigt, können Sie zusätzliche Aktivierungen für den KMS-Schlüssel Ihrer Organisation anfordern, indem Sie ein Microsoft Volume Licensing Activation Center aufrufen, um eine Ausnahme anzufordern.

Funktionsweise von Mehrfachaktivierungsschlüsseln (Multiple Activation Key, MAK)

Ein MAK wird für die einmalige Aktivierung mit Microsoft gehosteten Aktivierungsdiensten verwendet. Jeder MAK verfügt über eine im Voraus festgelegte Anzahl an zulässigen Aktivierungen. Diese Zahl basiert auf Volumenlizenzverträgen und stimmt möglicherweise nicht mit der genauen Lizenzanzahl der Organisation überein. Jede Aktivierung, bei der ein MAK mit dem durch Microsoft gehosteten Aktivierungsdienst verwendet wird, wirkt sich auf die Aktivierungsbegrenzung aus.

Sie können Computer mithilfe eines MAKs auf zwei verschiedene Art und Weisen aktivieren:

  • Unabhängige MAK-Aktivierung. Jeder Computer stellt eine unabhängige Verbindung zu Microsoft her und wird darüber über das Internet oder telefonisch aktiviert. Die mak-unabhängige Aktivierung eignet sich am besten für Computer innerhalb einer Organisation, die keine Verbindung mit dem Unternehmensnetzwerk aufrechterhalten. Die unabhängige MAK-Aktivierung wird in Abbildung 16 veranschaulicht.

    MAK-unabhängige Aktivierung.

    Abbildung 16. Unabhängige MAK-Aktivierung

  • MAK-Proxyaktivierung. Die MAK-Proxyaktivierung aktiviert eine zentralisierte Aktivierungsanforderung im Auftrag mehrerer Computer mit einer Verbindung zu Microsoft. Sie können die MAK-Proxyaktivierung mithilfe von VAMT konfigurieren. Die MAK-Proxyaktivierung ist für Umgebungen angemessen, in denen Sicherheitsbedenken den direkten Zugriff auf das Internet oder das Unternehmensnetzwerk beschränken. Es eignet sich auch für Entwicklungs- und Testlabs, denen diese Konnektivität fehlt. Die MAK-Proxyaktivierung mit VAMT wird in Abbildung 17 veranschaulicht.

    MAK-Proxyaktivierung mit dem VAMT.

    Abbildung 17. MAK-Proxyaktivierung mit dem VAMT

Ein MAK wird für Computer empfohlen, die selten oder nie eine Verbindung mit dem Unternehmensnetzwerk herstellen, und für Umgebungen, in denen die Anzahl der Computer, die eine Aktivierung erfordern, den KMS-Aktivierungsschwellenwert nicht erfüllt.

Sie können einen MAK für einzelne Computer oder mit einem Image verwenden, das mit Microsoft Bereitstellungslösungen dupliziert oder installiert werden kann. Sie können einen MAK auch auf einem Computer verwenden, der ursprünglich für die Verwendung der KMS-Aktivierung konfiguriert wurde. Der Wechsel von KMS zu einem MAK ist nützlich, um einen Computer aus dem Kernnetzwerk in eine getrennte Umgebung zu verschieben.

MAK-Architektur und -Aktivierung

Bei der unabhängigen MAK-Aktivierung wird ein MAK Product Key auf einem Clientcomputer installiert. Der Schlüssel weist den Computer an, sich selbst bei Microsoft-Servern über das Internet zu aktivieren.

Bei der MAK-Proxyaktivierung installiert das VAMT einen MAK Product Key auf einem Clientcomputer, ruft die Installations-ID vom Zielcomputer ab, sendet die Installations-ID im Auftrag des Clients an Microsoft und ruft eine Bestätigungs-ID ab. Das Tool aktiviert anschließend den Clientcomputer durch das Installieren der Bestätigungs-ID.

Aktivieren als ein Standardbenutzer

Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Server 2012 R2, Windows Server 2012 und Windows Server 2008 R2 erfordern keine Administratorrechte für die Aktivierung. Diese Änderung lässt jedoch nicht zu, dass Standardbenutzerkonten Computer entfernen können, auf denen ausgeführt wird. Windows 7 oder Windows Server 2008 R2 aus dem aktivierten Zustand. Für andere Aktivierungs- oder lizenzbezogene Aufgaben, z. B. "Rearm", ist weiterhin ein Administratorkonto erforderlich.