Activación de clientes que ejecutan Windows

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Sugerencia

¿Busca información sobre la activación comercial?

• Active Windows.
• Activación del producto para Windows.

Una vez configurado el servicio de administración de claves (KMS) o la activación basada en Active Directory en una red, es fácil activar un cliente que ejecuta Windows. Si el equipo está configurado con una clave de licencia por volumen genérica (GVLK), no es necesario que el usuario realice ninguna acción. Funciona por sí solo.

Las imágenes de Enterprise Edition y los medios de instalación ya deben estar configurados con la clave GVLK. Cuando se inicia el equipo cliente, el servicio de licencias examina la situación actual de la licencia del equipo.

Si se requiere la activación o la reactivación, se produce la siguiente secuencia:

1. Si el equipo es miembro de un dominio, se solicita al controlador de dominio un objeto de activación por volumen. Si Active Directory-based activation está configurada, el controlador de dominio devuelve el objeto. Si el objeto cumple los siguientes requisitos:

   • Coincide con la edición del software instalado
   • Tiene una GVLK coincidente

a continuación, el equipo se activa (o se reactiva). El equipo no necesita volver a activarse durante 180 días, aunque el sistema operativo intenta reactivarse a intervalos regulares más cortos.

1. Si el equipo no es miembro de un dominio o si el objeto de activación por volumen no está disponible, el equipo emite una consulta DNS para intentar localizar un servidor KMS. Si se puede ponerse en contacto con un servidor kms, se produce la activación si el KMS tiene una clave que coincide con la GVLK del equipo.

2. El equipo intenta activarse en servidores de Microsoft si está configurado con una MAK.

Si el cliente no puede activarse correctamente, vuelve a intentarlo periódicamente. La frecuencia de los reintentos depende del estado de licencia actual y de si el equipo cliente se activó correctamente en el pasado. Por ejemplo, si el equipo cliente usó anteriormente la activación basada en Active Directory para activarse, intenta ponerse en contacto periódicamente con el controlador de dominio en cada reinicio.

Funcionamiento del Servicio de administración de claves

KMS usa una topología cliente-servidor. Los equipos cliente del KMS localizan los equipos host del KMS mediante DNS o una configuración estática. Los clientes del KMS se ponen en contacto con el host del KMS por medio de RPC sobre TCP/IP.

Umbrales de activación del Servicio de administración de claves

Los equipos físicos y las máquinas virtuales pueden activarse poniéndose en contacto con un host de KMS. Para calificar para la activación de KMS, debe haber un número mínimo de equipos aptos. Este mínimo se denomina umbral de activación. Los clientes de KMS solo se activarán después de que se cumpla este umbral. Cada host de KMS cuenta el número de equipos que solicitaron la activación hasta que se alcanza el umbral.

El host del KMS responde a cada solicitud de activación válida de un cliente del KMS con el recuento de equipos que ya han hecho lo propio. Los equipos cliente que reciben un recuento por debajo del umbral de activación no se activan. Por ejemplo, si los dos primeros equipos que se comunican con el host de KMS ejecutan una versión compatible actualmente del cliente Windows, el primero recibe un recuento de activación de 1 y el segundo recibe un recuento de activación de 2. Si el siguiente equipo es una máquina virtual que ejecuta una versión compatible actualmente del cliente windows, recibe un recuento de activación de 3, etc. Ninguno de estos equipos se activa porque se debe alcanzar un recuento de activación de 25 o más.

Cuando los clientes de KMS están esperando a que el KMS alcance el umbral de activación, se conectan al host de KMS cada dos horas para obtener el recuento de activación actual. Se activan una vez que se alcanza el umbral.

En nuestro ejemplo, si el siguiente equipo que se pone en contacto con el host de KMS ejecuta una versión compatible actualmente de Windows Server, recibe un recuento de activación de 4, ya que los recuentos de activación son acumulativos. Si un equipo que ejecuta una versión compatible actualmente de Windows Server recibe un recuento de activación de 5 o más, se activa. Si un equipo que ejecuta una versión compatible actualmente del cliente de Windows recibe un recuento de activación de 25 o más, se activa.

Caché del recuento de activación

Para realizar el seguimiento del umbral de activación, el host del KMS mantiene un registro de los clientes del KMS que han solicitado la activación. El host del KMS asigna a cada cliente del KMS un identificador de cliente, designación que guarda en una tabla. De manera predeterminada, cada solicitud de activación permanece en la tabla hasta 30 días. Cuando un cliente renueva su activación, el identificador de cliente almacenado en caché se quita de la tabla, se crea un nuevo registro y el período de 30 días comienza de nuevo. Si un equipo cliente de KMS no renueva su activación en un plazo de 30 días, el host de KMS quita el identificador de cliente correspondiente de la tabla y reduce el número de activación en uno.

No obstante, el host del KMS solo almacena dos veces en caché el número de identificadores de cliente obligatorio para cumplir el umbral de activación. Por lo tanto, solo los 50 identificadores de cliente más recientes se conservan en la tabla y un identificador de cliente podría quitarse antes de 30 días.

El tipo de equipo cliente que intenta activar establece el tamaño total de la memoria caché. Por ejemplo, si un host de KMS recibe solicitudes de activación solo de servidores, la memoria caché solo contiene 10 identificadores de cliente, el doble del umbral requerido de 5. Sin embargo, si un equipo cliente que ejecuta contactos de cliente de Windows que hospeda KMS, KMS aumenta el tamaño de la memoria caché a 50 para adaptarse al umbral más alto. El KMS nunca reduce el tamaño de la caché.

Conectividad del Servicio de administración de claves

La activación con el KMS requiere conectividad TCP/IP. De manera predeterminada, los clientes y los hosts del KMS usan DNS para publicar y para buscar el KMS. Se puede usar la configuración predeterminada, que requiere poca o ninguna acción administrativa. Sin embargo, los hosts de KMS y los equipos cliente se pueden configurar manualmente en función de los requisitos de seguridad y configuración de red.

Renovación de la activación del Servicio de administración de claves

Las activaciones del KMS son válidas durante 180 días (intervalo de validez de la activación). Para seguir estando activados, los equipos cliente del KMS deben renovar la activación conectándose al host del KMS al menos una vez cada 180 días. De manera predeterminada, los equipos cliente de KMS intentan renovar las activaciones cada siete días. Si se produce un error en la activación con el KMS, el equipo cliente vuelve a intentarlo cada 2 horas. Una vez que se renueva la activación de un equipo cliente, el intervalo de validez de activación comienza de nuevo.

Publicación del Servicio de administración de claves

El KMS utiliza los registros de recursos de servicio (SRV) en DNS para almacenar y comunicar las ubicaciones de los hosts del KMS. Los hosts del KMS utilizan el protocolo de actualización dinámica de DNS, si está disponible, para publicar los SRV del KMS. Si la actualización dinámica no está disponible o el host de KMS no tiene derechos para publicar los registros de recursos, es necesario realizar una de las siguientes acciones:

• Los registros DNS deben publicarse manualmente.
• Los equipos cliente deben configurarse para conectarse a hosts de KMS específicos.

Detección de clientes del Servicio de administración de claves

De manera predeterminada, los equipos cliente del KMS realizan una consulta en DNS para obtener información del KMS. La primera vez que un equipo cliente del KMS realiza una consulta en DNS para obtener información del KMS, elige un host del KMS aleatorio en la lista de SRV que devuelve DNS. La dirección de un servidor DNS que contiene los registros de recursos del servicio (SRV) se puede enumerar como una entrada con sufijo en los equipos cliente de KMS. Esta característica permite que un servidor DNS anuncie los registros de recursos del servicio (SRV) para KMS y los equipos cliente de KMS con otros servidores DNS principales para encontrarlo.

Se pueden agregar parámetros de prioridad y peso al valor DnsDomainPublishList del Registro del KMS. El establecimiento de agrupaciones y ponderaciones de prioridad de host de KMS dentro de cada grupo permite especificar qué host de KMS deben probar primero los equipos cliente y equilibra el tráfico entre varios hosts de KMS. Todas las versiones admitidas actualmente de Windows y Windows Server proporcionan estos parámetros de prioridad y peso.

Si el host de KMS que selecciona un equipo cliente no responde, el equipo cliente de KMS quita ese host de KMS de su lista de registros de recursos de servicio (SRV) y selecciona aleatoriamente otro host de KMS de la lista. Cuando responde un host del KMS, el equipo cliente del KMS almacena en caché su nombre y lo usa en los intentos posteriores de activación y renovación. Si el host de KMS almacenado en caché no responde en una renovación posterior, el equipo cliente de KMS detecta un nuevo host de KMS consultando los registros de recursos del servicio KMS (SRV) de DNS.

De forma predeterminada, los equipos cliente se conectan al host de KMS para su activación mediante RPC anónimas a través del puerto TCP 1688, aunque se puede cambiar el puerto predeterminado. Después de que un equipo cliente establece una sesión TCP con el host de KMS, el equipo cliente envía un único paquete de solicitud. El host del KMS responde con el recuento de activaciones. Si el recuento cumple o supera el umbral de activación, se activa el equipo cliente y se cierra la sesión. El equipo cliente del KMS utiliza este mismo proceso para las solicitudes de renovación. Se usan 250 bytes para la comunicación en cada sentido.

Configuración del servidor del Sistema de nombres de dominio

La característica predeterminada de publicación automática del KMS requiere SRV y compatibilidad con el protocolo de actualización dinámica de DNS. El comportamiento predeterminado del equipo cliente de KMS y la publicación de registros de recursos del servicio KMS (SRV) se admiten en:

• Servidor DNS que ejecuta software de Microsoft.
• Servidor DNS que admite registros de recursos de servicio (SRV) (por grupo de tareas de ingeniería de Internet [IETF] Solicitud de comentarios [RFC] 2782) y actualizaciones dinámicas (por IETF RFC 2136).

Por ejemplo, las versiones 8.x y 9.x de Berkeley Internet Domain Name admiten tanto registros de recurso de servicio (SRV) como la actualización dinámica. El host del KMS se debe configurar de modo que tenga las credenciales necesarias para crear y actualizar los registros de recursos siguientes en los servidores DNS: servicio (SRV), host IPv4 (A) y host IPv6 (AAAA); si no, tienes que crear manualmente los registros. La solución recomendada para proporcionar al host del KMS las credenciales necesarias consiste en crear un grupo de seguridad en AD DS y luego agregar a ese grupo todos los hosts del KMS. En un servidor DNS que ejecuta software de Microsoft, asegúrese de que este grupo de seguridad tenga control total sobre el registro _VLMCS._TCP. Este requisito debe producirse en cada dominio DNS que contenga los registros de recursos del servicio KMS (SRV).

Activación del primer host del Servicio de administración de claves

En los hosts del KMS que hay en la red, tienes que instalar una clave del KMS y después activarla con Microsoft. La instalación de esa clave habilita el KMS en su host. Después de instalar la clave del KMS, completa la activación del host del KMS por teléfono o en línea. Más allá de esta activación inicial, un host de KMS no comunica ninguna información a Microsoft. Las claves del KMS solo se instalan en los hosts del KMS, nunca en los equipos cliente del KMS.

Activación de más hosts del Servicio de administración de claves

Cada clave del KMS se puede instalar en hasta seis hosts del KMS. Estos hosts pueden ser ordenadores físicos o máquinas virtuales. Una vez activado un host de KMS, se puede reactivar el mismo host hasta nueve veces con la misma clave. Si la organización necesita más de seis hosts de KMS, se pueden solicitar activaciones adicionales para la clave de KMS de una organización llamando a un Centro de activación de licencias por volumen de Microsoft para solicitar una excepción.

Funcionamiento de la clave de activación múltiple

Una MAK se usa para la activación única con los servicios de activación hospedados de Microsoft. Cada MAK tiene un número predeterminado de activaciones permitidas. Este número se basa en contratos de licencias por volumen y es posible que no coincida con el número exacto de licencias de la organización. Cada activación que usa una MAK con el servicio de activación hospedado por Microsoft cuenta para el límite de activación.

Los equipos se pueden activar mediante una MAK de dos maneras:

• Activación independiente con MAK. Cada equipo se conecta a Microsoft y se activa con Microsoft por Internet o por teléfono de forma independiente. La activación independiente de MAK es más adecuada para los equipos de una organización que no mantienen una conexión a la red corporativa. La activación independiente con MAK se muestra en la figura 16.

  

  Figura 16. Activación independiente con MAK

• Activación de proxy con MAK. La activación de proxy con MAK habilita la solicitud de activación centralizada en nombre de varios equipos con una conexión a Microsoft. La activación del proxy MAK se puede configurar mediante VAMT. La activación de proxy con MAK resulta adecuada en entornos donde, por cuestiones de seguridad, se restringe el acceso directo a Internet o a la red corporativa. También es adecuado para laboratorios de desarrollo y pruebas que carecen de esta conectividad. La activación de proxy con MAK mediante VAMT se muestra en la figura 17.

  

  Figura 17. Activación de proxy con MAK mediante VAMT

Mak se recomienda para:

• Equipos que rara vez o nunca se conectan a la red corporativa.
• Entornos en los que el número de equipos que requieren activación no cumple el umbral de activación del KMS.

MAK se puede usar para equipos individuales o con una imagen que se puede duplicar o instalar mediante soluciones de implementación de Microsoft. Mak también se puede usar en un equipo que se configuró originalmente para usar la activación de KMS. Cambiar de KMS a mak es útil para mover un equipo de la red principal a un entorno desconectado.

Arquitectura y activación de varias claves de activación (MAK)

La activación independiente con MAK instala una clave de producto MAK en un equipo cliente. La clave indica al equipo que se active automáticamente con los servidores de Microsoft por Internet.

En la activación del proxy MAK, vamt:

• Instala una clave de producto MAK en un equipo cliente.
• Obtiene el identificador de instalación del equipo de destino.
• Envía el identificador de instalación a Microsoft en nombre del cliente.
• Obtiene un identificador de confirmación.

A continuación, la herramienta activa el equipo cliente instalando el identificador de confirmación.

Activación como usuario estándar

Las versiones admitidas actualmente de Windows no requieren privilegios de administrador para la activación. Sin embargo, todavía se necesita una cuenta de administrador para otras tareas relacionadas con la activación o la licencia, como "rearmar".

Contenidos relacionados

• Activación por volumen para Windows.