L’activation des machines virtuelles Windows ne fonctionne plus dans Azure

Cet article décrit les modifications importantes apportées aux adresses IP KMS (Key Management Services) qui provoquent des problèmes pour l’activation de machines virtuelles Microsoft Windows dans Windows Azure. Ces modifications affectent les utilisateurs du cloud Global Azure qui ont configuré des itinéraires personnalisés ou des règles de pare-feu pour autoriser les adresses IP KMS et qui étaient auparavant en mesure d’activer correctement des machines virtuelles Windows.

Vue d’ensemble

Qui est affecté

En juillet 2022, nous avons annoncé dans une mise à jour Azure que deux nouvelles adresses IP KMS, et 40.83.235.53, 20.118.99.224 sont désormais en disponibilité générale : Nouveau DNS KMS dans le cloud global Azure. La plupart des utilisateurs de machines virtuelles Windows sur Azure ne sont pas affectés. Toutefois, vous devez prendre des mesures pour inclure ces deux nouvelles adresses IP KMS si, dans le passé, vous avez suivi les guides de résolution des problèmes (tels que les articles suivants) pour configurer des routes personnalisées ou des règles de pare-feu qui permettent aux machines virtuelles Windows d’atteindre l’adresse IP KMS :

• L’activation de Windows échoue dans un scénario de tunneling forcé

• Résoudre des problèmes liés à l’activation de machines virtuelles Windows Azure

• Utiliser le Pare-feu Azure pour protéger les déploiements Azure Virtual Desktop

Si vous n’avez pas pris ces mesures avant le 3 octobre 2022, vos machines virtuelles Windows ont commencé à signaler des avertissements concernant l’échec d’atteindre les serveurs de licences Windows pour l’activation.

Comment vous êtes affecté

En raison de la mise à jour Azure de juillet 2022, la plupart des machines virtuelles Windows dans le cloud global Azure s’appuient désormais sur le nouveau azkms.core.windows.net nom de domaine pour l’activation de Windows. La nouvelle azkms.core.windows.net adresse pointait initialement vers le nom de domaine d’activation Windows existant, kms.core.windows.net. Après le 3 octobre 2022, azkms.core.windows.net a été reconfiguré pour pointer vers les deux nouvelles adresses IP. Cette modification a eu les effets suivants :

Si vous avez suivi cet article	Vous voyez cet effet
L’activation de Windows échoue dans un scénario de tunneling forcé	Si vous n’avez pas pris de mesures pour inclure les deux nouvelles adresses IP KMS dans des itinéraires personnalisés, vos machines virtuelles Windows ne peuvent pas se connecter au nouveau serveur KMS pour l’activation de Windows.
Utiliser le Pare-feu Azure pour protéger les déploiements Azure Virtual Desktop	Si vous n’avez pas pris de mesures pour inclure les deux nouvelles adresses IP KMS dans les règles de pare-feu, vos machines virtuelles Windows ne peuvent pas se connecter au nouveau serveur KMS pour l’activation de Windows.

Comme expliqué dans les exigences opérationnelles pour la planification de l’activation KMS, les activations KMS sont valides pour une période de 180 jours (également appelée intervalle de validité de l’activation). Pour rester activés, les clients KMS doivent renouveler leur activation en se connectant à l’hôte KMS au moins une fois tous les 180 jours. Par défaut, les ordinateurs clients KMS tentent de renouveler leur activation tous les sept jours. Une fois l’activation d’un client renouvelée, l’intervalle de validité de l’activation recommence.

Dans l’intervalle de validité de l’activation KMS, vous pouvez toujours accéder à toutes les fonctionnalités de la machine virtuelle Windows. Vous devez résoudre les problèmes d’activation pendant cette période de 180 jours.

Chronologie

• Après le 3 octobre 2022, mais avant le 1er mars 2023, la plupart (mais pas toutes) les machines virtuelles Windows dans Azure s’appuyaient sur les nouvelles adresses IP KMS et 20.118.99.22440.83.235.53, pour l’activation de Windows. Le azkms.core.windows.net nom de domaine pointe vers ces deux adresses IP.

• Après le 1er mars 2023, toutes les machines virtuelles Windows dans Azure s’appuient sur les nouvelles adresses 20.118.99.224 IP KMS et 40.83.235.53 pour l’activation de Windows. Le kms.core.windows.net nom de domaine pointe désormais vers la première de ces nouvelles adresses IP (20.118.99.224).

Configuration requise

• PowerShell

Symptômes

Si vous ne parvenez pas à vous connecter correctement à un serveur KMS pour l’activation de Windows, votre machine virtuelle Windows dans Azure signale des avertissements tels que les suivants :

Nous ne pouvons pas activer Windows sur cet appareil, car nous ne pouvons pas nous connecter au serveur d’activation de votre organization. Vérifiez que vous êtes connecté au réseau de votre organization, puis réessayez. Si vous continuez à rencontrer des problèmes d’activation, contactez la personne du support technique de votre organization. Code d’erreur : 0xC004F074.

Liste de pour la résolution des problèmes

Vérifier la connectivité aux adresses IP 20.118.99.224 et 40.83.235.53

Si vous pouvez vous connecter correctement aux adresses 20.118.99.224 IP KMS et 40.83.235.53 à partir de vos machines virtuelles Windows, vous n’avez pas à vous soucier de ce problème.

Pour case activée de connectivité aux nouvelles adresses IP KMS, procédez comme suit :

1. Connectez-vous à distance à votre machine virtuelle Windows.

2. Ouvrez PowerShell.

3. Exécutez les appels d’applet de commande Test-NetConnection suivants pour vérifier la connectivité aux nouvelles adresses IP KMS :

   Test-NetConnection azkms.core.windows.net -Port 1688
   Test-NetConnection 20.118.99.224 -Port 1688
   Test-NetConnection 40.83.235.53 -Port 1688
   

Si les connexions réussissent, aucune action supplémentaire n’est nécessaire. Si une ou plusieurs des connexions échouent, consultez les sections suivantes pour déterminer la cause spécifique de l’échec de l’activation de votre machine virtuelle Windows.

Cause 1 : Les itinéraires personnalisés ne peuvent pas atteindre le serveur KMS

Vous avez précédemment suivi les instructions de l’activation de Windows échoue dans le scénario de tunneling forcé pour configurer un itinéraire personnalisé pour se connecter au serveur Azure KMS. Toutefois, étant donné que les adresses IP KMS ont changé, l’itinéraire personnalisé ne peut plus se connecter au serveur KMS.

Solution 1 : Ajouter les nouvelles adresses IP KMS à l’itinéraire personnalisé

Ajoutez des adresses 20.118.99.224 IP KMS et 40.83.235.53 sur le port 1688 à votre itinéraire personnalisé en suivant les instructions mises à jour dans l’article Échec de l’activation de Windows dans le scénario de tunneling forcé .

Cause 2 : Le pare-feu bloque l’accès au serveur KMS

Vous avez précédemment suivi les instructions dans Utiliser Pare-feu Azure pour protéger les déploiements Azure Virtual Desktop afin de créer une règle de réseau sortant pour votre pare-feu. Cette règle de réseau permettait à votre machine virtuelle Windows de se connecter au serveur Azure KMS. Toutefois, étant donné que les adresses IP KMS ont changé, cette règle ne permet plus d’accéder aux adresses IP KMS correctes.

Solution 2 : Ajouter les nouvelles adresses IP KMS comme exceptions aux règles de pare-feu

Modifiez la règle de réseau afin que les adresses 20.118.99.224 IP KMS et 40.83.235.53 sur le port 1688 soient autorisées à accéder au trafic sortant via le pare-feu.

References

• Disponibilité générale : Nouveau DNS KMS dans le cloud Global Azure

• Exigences opérationnelles de planification de l’activation des services de gestion des clés (KMS)

• Résoudre des problèmes liés à l’activation de machines virtuelles Windows Azure

Contactez-nous pour obtenir de l’aide

Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.