Partager via

Activer les clients exécutant Windows 10

  • Article

Il est aisé d’activer un client exécutant Windows 10 après avoir configuré le service Gestion des clés (KMS) ou l’activation basée sur Active Directory sur votre réseau. Si l’ordinateur a été configuré avec une clé de licence en volume générique (GVLK), ni l’informaticien ni l’utilisateur ne doivent effectuer quoi que ce soit. Cela marche, tout simplement !

Les images et le média d’installation de l’édition Entreprise doivent déjà être configurés à l’aide de la clé GVLK. Au démarrage de l’ordinateur client, le service de gestion de licences examine l'état de licence actuel de l’ordinateur. Si une activation ou une réactivation est nécessaire, la séquence suivante se produit :

  1. Si l’ordinateur est membre d’un domaine, il demande à un contrôleur de domaine un objet d’activation en volume. Si l’activation basée sur Active Directory est configurée, le contrôleur de domaine renvoie l’objet. Si l’objet correspond à l’édition du logiciel qui est installé et que l’ordinateur possède une clé GVLK correspondante, l’ordinateur est activé (ou réactivé), et il n’a pas besoin d’être réactivé pendant 180 jours, même si le système d’exploitation essaie d’effectuer une réactivation à des intervalles réguliers, beaucoup plus courts.

  2. Si l’ordinateur n’est pas membre d’un domaine ou si l’objet d’activation en volume n’est pas disponible, l’ordinateur émet une requête DNS pour tenter de localiser un serveur KMS. Si un serveur KMS peut être contacté, l’activation a lieu si le service KMS possède une clé correspondant à la clé GVLK de l’ordinateur.

  3. L’ordinateur essaie de s’activer auprès des serveurs Microsoft s’il est configuré avec une clé MAK.

Si le client ne peut pas s’activer, il réessaie régulièrement. La fréquence des tentatives dépend de l’état de licence actuel et de l’activation de l’ordinateur client dans le passé. Par exemple, si l’ordinateur client a été précédemment activé par l’activation basée sur Active Directory, il essaie régulièrement de contacter le contrôleur de domaine à chaque redémarrage.

Fonctionnement du service KMS

Il utilise une topologie client/serveur. Les ordinateurs clients KMS peuvent localiser des ordinateurs hôtes KMS à l’aide de DNS ou d’une configuration statique. Les clients KMS contactent l’hôte KMS en utilisant des appels de procédure distante via TCP/IP.

Seuils de l’activation du service KMS

Vous pouvez activer les ordinateurs physiques et les machines virtuelles en contactant un hôte KMS. Pour pouvoir bénéficier de l’activation KMS, il doit exister un nombre minimal d’ordinateurs éligibles (appelés le seuil d’activation). Les clients KMS ne sont activés qu’une fois ce seuil atteint. Chaque hôte KMS compte le nombre d’ordinateurs ayant demandé l’activation tant que le seuil n’est pas atteint.

Un hôte KMS répond à chaque demande d’activation valide d’un client KMS avec le décompte du nombre d’ordinateurs ayant déjà contacté l’hôte KMS pour l’activation. Les ordinateurs clients qui reçoivent un nombre inférieur au seuil d’activation ne sont pas activés. Par exemple, si les deux premiers ordinateurs qui contactent l’hôte KMS exécutent Windows 10, le premier reçoit le nombre d’activations 1, et le second le nombre d’activations 2. Si l’ordinateur suivant est un ordinateur virtuel exécutant Windows 10, il reçoit le nombre d’activations 3 et ainsi de suite. Aucun de ces ordinateurs n’est activé, car les ordinateurs exécutant Windows 10, comme les autres versions de système d’exploitation client, doivent recevoir le nombre d’activations 25 ou supérieur.

Lorsque les clients KMS attendent que le service KMS atteigne le seuil d’activation, ils se connectent à l’hôte KMS toutes les deux heures pour obtenir le nombre d’activations actuel. Ils sont activés lorsque le seuil est atteint.

Dans notre exemple, si l’ordinateur suivant qui contacte l’hôte KMS exécute Windows Server 2012 R2, il reçoit le nombre d’activations 4, car les nombres d’activations sont cumulatifs. Si un ordinateur exécutant Windows Server 2012 R2 reçoit le nombre d’activations 5 ou supérieur, il est activé. Si un ordinateur exécutant Windows 10 reçoit le nombre d’activations 25 ou supérieur, il est activé.

Cache des nombres d’activations

Pour suivre le seuil d’activation, l’hôte KMS conserve un enregistrement des clients KMS qui demandent une activation. L’hôte KMS donne à chaque client KMS un ID client, puis il enregistre chaque ID client dans une table. Par défaut, chaque demande d’activation est conservée dans la table pendant 30 jours au plus. Quand un client renouvelle son activation, son ID mis en cache est supprimé de la table, un nouvel enregistrement est créé, et la période de 30 jours recommence. Si un ordinateur client KMS ne renouvelle pas son activation dans les 30 jours, l’hôte KMS supprime l’ID client correspondant de la table et réduit le nombre d’activations en en enlevant une.

Toutefois, l’hôte KMS ne met en cache que deux fois le nombre d’ID clients requis pour atteindre le seuil d’activation. Par conséquent, seuls les 50 derniers ID clients sont conservés dans la table, et un ID client peut être supprimé bien avant 30 jours.

La taille totale du cache est définie par le type d’ordinateur client qui tente de procéder à l’activation. Si un hôte KMS ne reçoit des demandes d’activation que des serveurs, le cache contient seulement 10 ID clients (deux fois les 5 requis). Si un ordinateur client exécutant Windows 10 contacte cet hôte KMS, le service KMS augmente la taille du cache pour la définir sur 50 afin de satisfaire au seuil le plus élevé. Le service KMS ne réduit jamais la taille du cache.

Connectivité du service KMS

L’activation KMS nécessite une connectivité TCP/IP. Par défaut, les hôtes et les clients KMS utilisent DNS pour publier et rechercher le service KMS. Les paramètres par défaut peuvent être utilisés, ce qui nécessite peu ou pas d’actions administratives. Les hôtes et ordinateurs clients KMS peuvent être configurés manuellement en fonction des besoins de la configuration et de la sécurité du réseau.

Renouvellement de l’activation du service KMS

Les activations KMS sont valides pendant 180 jours (intervalle de validité de l’activation). Pour rester activés, les ordinateurs clients KMS doivent renouveler leur activation en se connectant à l’hôte KMS au moins une fois tous les 180 jours. Par défaut, les ordinateurs clients KMS tentent de renouveler leur activation tous les 7 jours. En cas d’échec de l’activation KMS, l’ordinateur client la renouvelle toutes les deux heures. Une fois que l’activation d’un ordinateur client est renouvelée, l’intervalle de validité de l’activation recommence.

Publication du service KMS

Le service KMS utilise les enregistrements de ressource de service (SRC) dans DNS pour stocker et communiquer les emplacements des hôtes KMS. Les hôtes KMS utilisent le protocole de mise à jour DNS dynamique, s’il est disponible, pour publier les enregistrements SRC du service KMS. Si aucune mise à jour dynamique n’est disponible ou si l’hôte KMS ne dispose pas des droits suffisants pour publier les enregistrements de ressource, les enregistrements DNS doivent être publiés manuellement, ou vous devez configurer les ordinateurs clients pour qu’ils se connectent à des hôtes KMS spécifiques.

Découverte du service KMS par le client

Par défaut, les ordinateurs clients KMS interrogent DNS pour obtenir des informations sur le service KMS. La première fois qu’un ordinateur client KMS interroge DNS pour obtenir des informations sur le service KMS, il choisit de façon aléatoire un hôte KMS dans la liste des enregistrements SRC retournés par DNS. L’adresse d’un serveur DNS qui contient les enregistrements SRC peut être indiquée sous la forme d’une entrée avec suffixe sur les ordinateurs clients KMS, ce qui permet à un serveur DNS de publier les enregistrements SRC pour KMS, et aux ordinateurs clients KMS des autres serveurs DNS principaux de le rechercher.

Des paramètres de priorité et de pondération peuvent être ajoutés à la valeur de Registre DnsDomainPublishList pour le service KMS. Établir des regroupements de priorité d’hôte KMS et une pondération dans chaque groupe vous permet de spécifier l’hôte KMS que les ordinateurs clients doivent d’abord essayer, et équilibre le trafic entre plusieurs hôtes KMS. Seuls Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Server 2012 R2, Windows Server 2012 et Windows Server 2008 R2 fournissent ces paramètres de priorité et de pondération.

Si l’hôte KMS sélectionné par un ordinateur client ne répond pas, l’ordinateur client KMS supprime l’hôte KMS de sa liste d’enregistrements SRC et en sélectionne un autre de manière aléatoire dans la liste. Si un hôte KMS répond, l’ordinateur client KMS met en cache le nom de cet hôte KMS et l’utilise pour les tentatives ultérieures d’activation et de renouvellement. Si l’hôte KMS mis en cache ne répond pas lors d’un renouvellement ultérieur, l’ordinateur client KMS découvre un nouvel hôte KMS en interrogeant DNS pour obtenir les enregistrements SRC du service KMS.

Par défaut, les ordinateurs clients se connectent à l’hôte KMS pour l’activation en utilisant des appels de procédure distante anonymes via le port TCP 1688. (Vous pouvez modifier ce port par défaut.) Après avoir établi une session TCP avec l’hôte KMS, l’ordinateur client envoie un paquet de demande unique. L’hôte KMS répond avec le nombre d’activations. Si ce nombre atteint ou dépasse le seuil d’activation correspondant à ce système d’exploitation, l’ordinateur client est activé, et la session est fermée. L’ordinateur client KMS utilise ce même processus pour les demandes de renouvellement. 250 octets sont utilisés pour chaque communication.

Configuration de serveurs DNS

La fonctionnalité de publication automatique par défaut du service KMS nécessite l’enregistrement SRC et la prise en charge du protocole de mise à jour DNS dynamique. Le comportement par défaut d’un ordinateur client KMS et la publication d’enregistrements SRC du service KMS sont pris en charge sur un serveur DNS exécutant de logiciels Microsoft ou sur tout autre serveur DNS prenant en charge les enregistrements SRC (par demande IETF [Internet Engineering Task Force] pour les commentaires [RFC] 2782) et les mises à jour dynamiques (par RFC 2136 de l’IETF). Par exemple, les versions 8.x et 9.x de BIND (Berkeley Internet Name Domain) prennent en charge les enregistrements SRC et la mise à jour dynamique.

L’hôte KMS doit être configuré pour disposer des informations d’identification nécessaires pour créer et mettre à jour les enregistrements de ressource suivants sur les serveurs DNS : service (SRV), hôte IPv4 (A) et hôte IPv6 (AAAA), faute de quoi les enregistrements doivent être créés manuellement. La solution recommandée pour donner à l’hôte KMS les informations d’identification nécessaires consiste à créer un groupe de sécurité dans AD DS, puis à y ajouter tous les hôtes KMS. Sur un serveur DNS qui exécute des logiciels Microsoft, assurez-vous que ce groupe de sécurité est doté d’un contrôle total sur l’enregistrement _VLMCS._TCP dans chaque domaine DNS contenant les enregistrements SRC du service KMS.

Activation du premier hôte KMS

Les hôtes KMS du réseau doivent installer une clé KMS, puis être activés auprès de Microsoft. L’installation d’une clé KMS active le service KMS sur l’hôte KMS. Après avoir installé la clé KMS, terminez l’activation de l’hôte KMS par téléphone ou en ligne. À l’issue de cette activation initiale, un hôte KMS ne communique aucune information à Microsoft. Les clés KMS sont installées uniquement sur les hôtes KMS, jamais sur des ordinateurs clients KMS individuels.

Activation des hôtes KMS suivants

Il est possible d’installer chaque clé KMS sur six hôtes KMS au plus. Il peut s’agir d’ordinateurs physiques ou virtuels. Après l’activation d’un hôte KMS, ce même hôte peut être réactivé jusqu’à neuf fois avec la même clé. Si l’organisation a besoin de plus de six hôtes KMS, vous pouvez demander des activations supplémentaires pour sa clé KMS en appelant un Centre d’activation des licences en volume Microsoft pour demander une exception.

Fonctionnement d’une clé d’activation multiple (MAK)

Une clé MAK est utilisée pour une activation unique auprès des services d’activation hébergés de Microsoft. Chaque clé MAK possède un nombre prédéterminé d’activations autorisées. Ce nombre est basé sur les contrats de licence en volume, et il peut ne pas correspondre au nombre de licences exact de l’organisation. Chaque activation utilisant une clé MAK auprès du service d’activation hébergé de Microsoft est décomptée de la limite du nombre d’activations.

Vous pouvez activer les ordinateurs à l’aide d’une clé MAK de deux façons :

  • Activation indépendante d’une clé MAK. Chaque ordinateur se connecte indépendamment et est activé auprès de Microsoft via Internet ou par téléphone. Une activation indépendante d’une clé MAK est idéale pour les ordinateurs d’une organisation, qui ne conservent pas de connexion avec le réseau d’entreprise. La figure 16 illustre ce type d’activation.

    Activation indépendante d’une clé MAK

    Figure 16. Activation indépendante d’une clé MAK

  • Activation par proxy MAK. L’activation par proxy MAK permet une demande d’activation centralisée pour le compte de plusieurs ordinateurs disposant d’une connexion à Microsoft. Vous configurez une activation par proxy MAK à l’aide de l’outil Gestion de l’activation en volume. L’activation par proxy MAK convient aux environnements dans lesquels des problèmes de sécurité limitent l’accès direct à Internet ou au réseau d’entreprise. Elle est également adaptée aux laboratoires de développement et de test qui ne possèdent pas cette connectivité. La figure 17 illustre ce type d’activation avec l’outil Gestion de l’activation en volume.

    Activation par proxy MAK

    Figure 17. Activation par proxy MAK avec l’outil Gestion de l’activation en volume

Une clé MAK est recommandée pour les ordinateurs qui ne se connectent que rarement ou jamais au réseau d’entreprise, et pour les environnements dans lesquels le nombre d’ordinateurs qui nécessitent une activation n’atteint pas le seuil d’activation KMS.

Vous pouvez utiliser une clé MAK pour des ordinateurs individuels ou avec une image pouvant être dupliquée ou installée à l’aide des solutions de déploiement de Microsoft. Vous pouvez également utiliser une clé MAK sur un ordinateur qui a été initialement configuré pour utiliser une activation KMS. Cela est particulièrement utile pour déplacer un ordinateur du réseau principal vers un environnement déconnecté.

Architecture et activation d’une clé MAK

Une activation indépendante d’une clé MAK installe une clé de produit MAK sur un ordinateur client. Cette clé indique à l’ordinateur de s’activer auprès des serveurs Microsoft via Internet.

Dans une activation par proxy MAK, l’outil Gestion de l’activation en volume installe une clé de produit MAK sur un ordinateur client, obtient l’ID d’installation de l’ordinateur cible, envoie cet ID d’installation à Microsoft pour le compte du client et obtient un ID de confirmation. L’outil active ensuite l’ordinateur client en installant l’ID de confirmation.

Activation en tant qu’utilisateur standard

Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Server 2012 R2, Windows Server 2012 et Windows Server 2008 R2 ne requièrent pas de privilèges d’administrateur pour l’activation, mais ce changement n’autorise pas les comptes d’utilisateurs standard à supprimer les ordinateurs exécutant Windows 7 ou Windows Server 2008 R2 de l’état activé. Un compte Administrateur est toujours nécessaire pour les autres tâches associées à l’activation ou à la licence, telles que le « réarmement ».

Voir aussi