Remplacer un hôte KMS

Cet article décrit les étapes et les meilleures pratiques pour migrer le rôle hôte KMS (Key Management Services) vers un nouveau serveur. La migration de l’hôte KMS est souvent nécessaire lorsque le système d’exploitation de l’hôte existant approche de sa fin de prise en charge. Il peut également être nécessaire en raison de modifications opérationnelles ou organisationnelles qui imposent de déplacer le rôle vers un autre serveur. Les instructions de ce guide fournissent un processus de migration fluide tout en conservant des services d’activation ininterrompus pour les clients Microsoft Windows et Microsoft Office. Aucune migration de données n’est nécessaire pendant ce processus, car l’hôte KMS ne s’appuie sur aucune base de données ou sauvegarde.

Avant de poursuivre vos tâches d’installation et de licence, passez en revue les détails suivants concernant votre nouvel hôte KMS :

• Vérifiez que vous avez accès à votre nouvelle clé de licence en volume spécifique au client (CSVLK). Votre fichier CSVLK est également appelé clé hôte KMS pour le système d’exploitation Microsoft Windows et Microsoft Office, qui sont obtenus via le Centre d’administration Microsoft 365. Le fichier CSVLK a une limite d’activation prédéfinie. Si vous rencontrez une erreur indiquant que vous avez dépassé la limite d’activation, vous pouvez réinitialiser la clé par requête. Pour en savoir plus, consultez Rechercher et utiliser des clés de produit pour la gestion des licences en volume.

• Si vous ne parvenez pas à trouver votre fichier CSVLK, contactez le support technique pour obtenir de l’aide sur les licences.

Prerequisites

• Le rôle Services d’activation en volume doit être installé sur l’appareil qui joue le rôle de nouvel hôte KMS. Pour en savoir plus, consultez Installer ou désinstaller des rôles, services de rôle ou fonctionnalités.

  Vous pouvez également exécuter la commande PowerShell suivante :

  Install-WindowsFeature -Name VolumeActivation -IncludeManagementTools
  

• Vous devez être membre des groupes suivants :

  • Administrators
  • Administrateurs de domaine
  • Administrateurs d’entreprise

• Le fichier CSVLK doit être valide et accessible à partir du portail de licences de votre organisation ou du Centre d’administration Microsoft 365. Vérifiez que vous disposez du fichier CSVLK approprié pour les produits que vous activez, tels que :

  • Microsoft Windows OS CSVLK
  • Microsoft Office CSVLK

• Votre système d’exploitation doit disposer des dernières mises à jour Windows installées avant de configurer votre appareil en tant qu’hôte KMS. Pour en savoir plus, consultez les mises à jour requises de l’hôte KMS.

Vérifier les hôtes KMS existants

Avant de migrer vers un nouvel hôte KMS, il est recommandé d’inventorier votre environnement pour identifier tous les hôtes KMS existants. Cela permet de s’assurer qu’il n’existe pas d’hôtes KMS non autorisés ou inutiles présents. Les hôtes KMS non approuvés peuvent apparaître si un fichier CSVLK a été utilisé pour activer un appareil qui ne doit pas servir d’hôte KMS. Seuls les serveurs autorisés doivent être activés avec un fichier CSVLK et configurés en tant qu’hôtes KMS. L’exécution de ces actions peut être effectuée dans une invite de commandes avec élévation de privilèges ou dans une fenêtre PowerShell.

Récupérer un hôte KMS

Invite de commandes

Pour récupérer les hôtes KMS par le système DNS (Domain Name System), exécutez la commande suivante :

nslookup -type=srv _vlmcs._tcp

Pour récupérer les hôtes KMS par le nom de domaine complet (FQDN), exécutez la commande suivante :

nslookup -type=SRV _vlmcs._tcp.mydomain.com

Pour récupérer des hôtes KMS par un serveur DNS spécifique, par exemple 8.8.8.8, exécutez la commande suivante :

nslookup -type=SRV _vlmcs._tcp.mydomain.com 8.8.8.8

PowerShell

Pour récupérer les hôtes KMS par le DNS, exécutez la commande suivante :

Resolve-DnsName -Name _vlmcs._tcp -Type SRV

Pour récupérer les hôtes KMS par leur nom de domaine complet, exécutez la commande suivante :

Resolve-DnsName -Name _vlmcs._tcp.mydomain.com -Type SRV

Pour récupérer des hôtes KMS par un serveur DNS spécifique, par exemple 8.8.8.8, exécutez la commande suivante :

Resolve-DnsName -Name _vlmcs._tcp.mydomain.com -Type SRV -Server 8.8.8.8

Si vous détectez des hôtes KMS non autorisés, vous pouvez les rétablir aux clients KMS en exécutant la commande suivante dans une fenêtre avec élévation de privilèges, puis redémarrer l’appareil. Remplacez la Clé de Licence en Volume Générique (GVLK) par votre propre GVLK :

slmgr.vbs /ipk <GVLK>

Vérifier l’activation du produit hôte KMS

Pour vérifier quels produits l’hôte KMS actuel active et vérifier que le nouvel hôte KMS active le même système d’exploitation Windows et les mêmes clients Microsoft Office, exécutez la commande suivante :

cscript %windir%\system32\slmgr.vbs /dlv All

cscript $env:windir\system32\slmgr.vbs /dlv All

Vérifiez la sortie pour déterminer si l’hôte KMS traite les demandes d’activation pour le système d’exploitation Windows, Microsoft Office ou les deux. Les clés de produit partielles affichées peuvent vous aider à faire correspondre ces clés hôtes KMS (CSVLK) à vos enregistrements. En outre, passez en revue le journal des événements de l’hôte KMS pour identifier les clients qui envoient des demandes d’activation à cet hôte KMS.

Préparer l’hôte KMS

Avant de configurer votre environnement en tant qu’hôte KMS, commencez par une nouvelle installation du système d’exploitation cible sur le nouveau serveur. Pour savoir comment installer votre système d’exploitation Windows Server, consultez Installer Windows Server à partir du support d’installation. Vérifiez que toutes les mises à jour du système d’exploitation et tous les correctifs de sécurité disponibles sont appliqués et redémarrés si nécessaire. Il existe deux options disponibles pour configurer votre hôte KMS.

Hôte KMS du système d’exploitation Windows

Après avoir préparé le système d’exploitation hôte, l’étape suivante consiste à la configurer pour servir d’hôte KMS. Consultez Créer un hôte d’activation KMS (Key Management Services).

Hôte KMS Microsoft Office

Si vous configurez un hôte KMS pour l’activation de Microsoft Office, d’autres considérations relatives aux conditions requises s’appliquent. Ce processus implique l’installation du pack de licences en volume approprié pour votre produit Microsoft Office, qui demande à son tour l’activation de la clé hôte KMS Microsoft Office. Pour plus d’informations, consultez Configurer un ordinateur hôte KMS pour activer les versions sous licence en volume d’Office. L’activation peut être effectuée via Internet ou manuellement via l’activation par téléphone.

Il est essentiel de passer en revue la configuration système requise spécifique à chaque pack de licences en volume Microsoft Office. Dans la page de téléchargement, développez Configuration système requise et passez en revue le système d’exploitation hôte pris en charge pour les versions suivantes :

• Pack de licences en volume Office LTSC 2024
• Pack de licences en volume Office LTSC 2021
• Pack de licences en volume Office 2019
• Pack de licences en volume Office 2016

Vérifier les paramètres du pare-feu

Avant de continuer sur la gestion d’un hôte KMS, vérifiez que l’exception de pare-feu est configurée pour le port 1688 afin d’accepter les demandes d’activation des clients KMS. En outre, le port 135 (RPC anonyme) doit également être configuré.

GUI

1. Sélectionnez Démarrer, tapez wf.msc, puis sélectionnez-le pour ouvrir le Pare-feu Windows Defender avec Advanced Security.
2. Dans le volet gauche, sélectionnez Règles de trafic entrant.
3. Dans le volet droit, sélectionnez Nouvelle règle pour ouvrir l'Assistant des nouvelles règles entrantes.
4. Sous Type de règle, sélectionnez Port, puis sélectionnez Suivant.
5. Sous Protocole et ports, sélectionnez TCP, entrez 1688 dans le champ Ports locaux spécifiques , puis sélectionnez Suivant.
6. Sous Action, vérifiez que l’option Autoriser la connexion est sélectionnée, puis sélectionnez Suivant.
7. Sous Profil, Domaine, Privé et Public sont sélectionnés par défaut. Cliquez sur Suivant.
8. Sous Nom, indiquez le nom souhaité pour votre règle, par exemple « Hôte KMS », puis sélectionnez Terminer.

Répétez ces étapes pour configurer le port 135.

PowerShell

Exécutez la commande suivante dans une fenêtre PowerShell avec élévation de privilèges :

New-NetFirewallRule -DisplayName "KMS Host Activation" -Direction Inbound -Protocol TCP -LocalPort 1688 -Action Allow
New-NetFirewallRule -DisplayName "KMS Host RPC" -Direction Inbound -Protocol TCP -LocalPort 135 -Action Allow

Pour vérifier que le trafic est autorisé via le port 1688 ou 135, exécutez la commande suivante où les valeurs de ComputerName sont le nom de l’appareil ou l’adresse IP :

Test-NetConnection -ComputerName "MyDevice" -Port 1688

Lorsque la connexion réussit, l’entrée TcpTestSucceeded a la valeur True, tandis que si la connexion au port 1688 ne peut pas être établie (par exemple, si aucun service n’écoute ou en raison d’un pare-feu ou d’un problème réseau), TcpTestSucceeded a la valeur False.

Inscrire un hôte KMS

Après avoir configuré l’hôte KMS pour le système d’exploitation Windows et Microsoft Office, il peut s’inscrire automatiquement auprès du DNS si vos autorisations de domaine autorisent. Si l’inscription manuelle est requise, suivez les étapes de création manuelle d’enregistrements DNS.

Après avoir inscrit le nouvel hôte KMS dans DNS, vous pouvez supprimer l’ancien hôte KMS du DNS. Les appareils clients commencent à envoyer des demandes d’activation au nouvel hôte KMS, mais le nombre d’activations peut prendre un certain temps pour atteindre les seuils minimaux requis.

Note

• Seuil d’activation du client KMS : KMS nécessite au moins 25 demandes d’activation uniques du système d’exploitation client ou serveur pour commencer à activer le système d’exploitation client.
• Seuil d’activation du serveur KMS : KMS nécessite au moins 5 demandes d’activation uniques du serveur ou du système d’exploitation client pour commencer à activer le système d’exploitation du serveur.

Pour confirmer la réussite de la migration, passez en revue le journal des événements sur le nouvel hôte KMS (Observateur d'événements>Journal des applications et des services>Service de gestion des clés). Vous pouvez également exécuter la commande suivante et passer en revue la sortie :

slmgr.vbs /dlv

Une fois que les appareils clients envoient des demandes d’activation au nouvel hôte, vous pouvez supprimer en toute sécurité l’ancien hôte KMS du DNS.

Note

• Pour supprimer la fonctionnalité hôte KMS de l’ancien hôte KMS, installez votre GVLK et redémarrez votre appareil.
• La meilleure pratique consiste à arrêter complètement l’ancien hôte KMS pour s’assurer que les appareils clients passent au nouvel hôte KMS.
• Si un appareil a été configuré pour un hôte KMS spécifique à l’aide slmgr.vbs /skmsde , l’exécution slmgr.vbs /ckms efface cette configuration et permet aux appareils de détecter automatiquement le nouvel hôte KMS.

Résoudre les problèmes d’activation KMS

L’exécution de ces actions doit être effectuée dans une invite de commandes avec élévation de privilèges ou dans une fenêtre PowerShell. Pour résoudre d’autres problèmes, consultez Instructions pour résoudre les problèmes liés au service de gestion des clés (KMS).

Voir aussi

• Planification de l’activation KMS (Key Management Services)

• Options de Slmgr.vbs pour obtenir des informations sur l’activation en volume