Activer les clients exécutant Windows

• S’applique à:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Astuce

Vous recherchez des informations sur l’activation commerciale ?

• Activez Windows.
• Activation du produit pour Windows.

Une fois que le service de gestion de clés (KMS) ou l’activation basée sur Active Directory est configurée dans un réseau, il est facile d’activer un client exécutant Windows. Si l’ordinateur est configuré avec une clé de licence en volume générique (GVLK), le service informatique ou l’utilisateur n’a pas besoin d’effectuer d’action. Cela marche, tout simplement !

Les images et le média d’installation de l’édition Entreprise doivent déjà être configurés à l’aide de la clé GVLK. Au démarrage de l’ordinateur client, le service de gestion de licences examine l'état de licence actuel de l’ordinateur.

Si une activation ou une réactivation est nécessaire, la séquence suivante se produit :

1. Si l’ordinateur est membre d’un domaine, il demande à un contrôleur de domaine un objet d’activation en volume. Si l’activation basée sur Active Directory est configurée, le contrôleur de domaine renvoie l’objet. Si l’objet répond aux exigences suivantes :

   • Correspond à l’édition du logiciel installé
   • A un GVLK correspondant

puis l’ordinateur est activé (ou réactivé). L’ordinateur n’a pas besoin de s’activer à nouveau pendant 180 jours, bien que le système d’exploitation tente une réactivation à intervalles plus courts et réguliers.

1. Si l’ordinateur n’est pas membre d’un domaine ou si l’objet d’activation en volume n’est pas disponible, l’ordinateur émet une requête DNS pour tenter de localiser un serveur KMS. Si un serveur KMS peut être contacté, l’activation se produit si le kmS a une clé qui correspond au GVLK de l’ordinateur.

2. L’ordinateur tente de s’activer sur les serveurs Microsoft s’il est configuré avec une clé MAK.

Si le client n’est pas en mesure de s’activer correctement, il réessaye régulièrement. La fréquence des nouvelles tentatives dépend de l’état actuel de la licence et de la réussite de l’activation de l’ordinateur client dans le passé. Par exemple, si l’ordinateur client a précédemment utilisé l’activation basée sur Active Directory pour l’activer, il tente régulièrement de contacter le contrôleur de domaine à chaque redémarrage.

Fonctionnement du service KMS

KMS utilise une topologie client-serveur. Les ordinateurs clients KMS peuvent localiser des ordinateurs hôtes KMS à l’aide de DNS ou d’une configuration statique. Les clients KMS contactent l’hôte KMS en utilisant des appels de procédure distante via TCP/IP.

Seuils de l’activation du service KMS

Les ordinateurs physiques et les machines virtuelles peuvent s’activer en contactant un hôte KMS. Pour être éligible à l’activation KMS, il doit y avoir un nombre minimal d’ordinateurs éligibles. Ce minimum est appelé seuil d’activation. Les clients KMS ne seront activés qu’une fois ce seuil atteint. Chaque hôte KMS compte le nombre d’ordinateurs qui ont demandé l’activation jusqu’à ce que le seuil soit atteint.

Un hôte KMS répond à chaque demande d’activation valide d’un client KMS avec le décompte du nombre d’ordinateurs ayant déjà contacté l’hôte KMS pour l’activation. Les ordinateurs clients qui reçoivent un nombre inférieur au seuil d’activation ne sont pas activés. Par exemple, si les deux premiers ordinateurs qui contactent l’hôte KMS exécutent une version actuellement prise en charge du client Windows, le premier reçoit un nombre d’activation de 1 et le second reçoit un nombre d’activations de 2. Si l’ordinateur suivant est une machine virtuelle exécutant une version actuellement prise en charge du client Windows, il reçoit un nombre d’activations de 3, et ainsi de suite. Aucun de ces ordinateurs n’est activé, car un nombre d’activations de 25 ou plus doit être atteint.

Lorsque les clients KMS attendent que le kmS atteigne le seuil d’activation, ils se connectent à l’hôte KMS toutes les deux heures pour obtenir le nombre d’activations actuel. Ils sont activés une fois le seuil atteint.

Dans notre exemple, si l’ordinateur suivant qui contacte l’hôte KMS exécute une version actuellement prise en charge de Windows Server, il reçoit un nombre d’activations de 4, car les nombres d’activations sont cumulés. Si un ordinateur exécutant une version de Windows Server actuellement prise en charge reçoit un nombre d’activations de 5 ou plus, il est activé. Si un ordinateur exécutant une version actuellement prise en charge du client Windows reçoit un nombre d’activations de 25 ou plus, il est activé.

Cache des nombres d’activations

Pour suivre le seuil d’activation, l’hôte KMS conserve un enregistrement des clients KMS qui demandent une activation. L’hôte KMS donne à chaque client KMS un ID client, puis il enregistre chaque ID client dans une table. Par défaut, chaque demande d’activation est conservée dans la table pendant 30 jours au plus. Lorsqu’un client renouvelle son activation, l’ID client mis en cache est supprimé de la table, un enregistrement est créé et la période de 30 jours recommence. Si un ordinateur client KMS ne renouvelle pas son activation dans les 30 jours, l’hôte KMS supprime l’ID client correspondant de la table et réduit le nombre d’activations d’un.

Toutefois, l’hôte KMS ne met en cache que deux fois le nombre d’ID clients requis pour atteindre le seuil d’activation. Par conséquent, seuls les 50 ID de client les plus récents sont conservés dans la table, et un ID client peut être supprimé plus tôt que 30 jours.

Le type d’ordinateur client qui tente d’activer définit la taille totale du cache. Par exemple, si un hôte KMS reçoit des demandes d’activation uniquement de serveurs, le cache ne contient que 10 ID de client, soit le double du seuil requis de 5. Toutefois, si un ordinateur client exécutant le client Windows contacte cet hôte KMS, KMS augmente la taille du cache à 50 pour prendre en charge le seuil supérieur. Le service KMS ne réduit jamais la taille du cache.

Connectivité du service KMS

L’activation KMS nécessite une connectivité TCP/IP. Par défaut, les hôtes et les clients KMS utilisent DNS pour publier et rechercher le service KMS. Les paramètres par défaut peuvent être utilisés, qui nécessitent peu ou pas d’action administrative. Toutefois, les hôtes KMS et les ordinateurs clients peuvent être configurés manuellement en fonction des exigences de configuration réseau et de sécurité.

Renouvellement de l’activation du service KMS

Les activations KMS sont valides pendant 180 jours (intervalle de validité de l’activation). Pour rester activés, les ordinateurs clients KMS doivent renouveler leur activation en se connectant à l’hôte KMS au moins une fois tous les 180 jours. Par défaut, les ordinateurs clients KMS tentent de renouveler leur activation tous les sept jours. En cas d’échec de l’activation KMS, l’ordinateur client la renouvelle toutes les deux heures. Une fois l’activation d’un ordinateur client renouvelée, l’intervalle de validité de l’activation recommence.

Publication du service KMS

Le service KMS utilise les enregistrements de ressource de service (SRC) dans DNS pour stocker et communiquer les emplacements des hôtes KMS. Les hôtes KMS utilisent le protocole de mise à jour DNS dynamique, s’il est disponible, pour publier les enregistrements SRC du service KMS. Si la mise à jour dynamique n’est pas disponible ou si l’hôte KMS ne dispose pas des droits de publication des enregistrements de ressources, l’une des actions suivantes doit être effectuée :

• Les enregistrements DNS doivent être publiés manuellement.
• Les ordinateurs clients doivent être configurés pour se connecter à des hôtes KMS spécifiques.

Découverte du service KMS par le client

Par défaut, les ordinateurs clients KMS interrogent DNS pour obtenir des informations sur le service KMS. La première fois qu’un ordinateur client KMS interroge DNS pour obtenir des informations sur le service KMS, il choisit de façon aléatoire un hôte KMS dans la liste des enregistrements SRC retournés par DNS. L’adresse d’un serveur DNS qui contient les enregistrements de ressources de service (SRV) peut être répertoriée en tant qu’entrée avec suffixe sur les ordinateurs clients KMS. Cette fonctionnalité permet à un serveur DNS de publier les enregistrements de ressources de service (SRV) pour KMS, et aux ordinateurs clients KMS avec d’autres serveurs DNS principaux de les trouver.

Des paramètres de priorité et de pondération peuvent être ajoutés à la valeur de Registre DnsDomainPublishList pour le service KMS. L’établissement de regroupements et de pondérations de priorité d’hôte KMS au sein de chaque groupe permet de spécifier l’hôte KMS que les ordinateurs clients doivent essayer en premier et équilibre le trafic entre plusieurs hôtes KMS. Toutes les versions actuellement prises en charge de Windows et De Windows Server fournissent ces paramètres de priorité et de poids.

Si l’hôte KMS sélectionné par un ordinateur client ne répond pas, l’ordinateur client KMS supprime cet hôte KMS de sa liste de ressources de service (SRV) et sélectionne de manière aléatoire un autre hôte KMS dans la liste. Si un hôte KMS répond, l’ordinateur client KMS met en cache le nom de cet hôte KMS et l’utilise pour les tentatives ultérieures d’activation et de renouvellement. Si l’hôte KMS mis en cache ne répond pas lors d’un renouvellement ultérieur, l’ordinateur client KMS découvre un nouvel hôte KMS en interrogeant DNS pour les enregistrements de ressources du service KMS (SRV).

Par défaut, les ordinateurs clients se connectent à l’hôte KMS pour l’activation à l’aide de RPC anonymes via le port TCP 1688, bien que le port par défaut puisse être modifié. Une fois qu’un ordinateur client a établi une session TCP avec l’hôte KMS, l’ordinateur client envoie un paquet de requête unique. L’hôte KMS répond avec le nombre d’activations. Si le nombre atteint ou dépasse le seuil d’activation, l’ordinateur client est activé et la session est fermée. L’ordinateur client KMS utilise ce même processus pour les demandes de renouvellement. 250 octets sont utilisés pour chaque communication.

Configuration de serveurs DNS

La fonctionnalité de publication automatique par défaut du service KMS nécessite l’enregistrement SRC et la prise en charge du protocole de mise à jour DNS dynamique. Le comportement par défaut de l’ordinateur client KMS et la publication d’enregistrements de ressources du service KMS (SRV) sont pris en charge sur :

• Un serveur DNS qui exécute un logiciel Microsoft.
• Serveur DNS qui prend en charge les enregistrements de ressources de service (SRV) (par Internet Engineering Task Force [IETF] Request for Comments [RFC] 2782) et les mises à jour dynamiques (selon la RFC 2136 de l’IETF).

Par exemple, les versions 8.x et 9.x de BIND (Berkeley Internet Name Domain) prennent en charge les enregistrements SRC et la mise à jour dynamique. L’hôte KMS doit être configuré pour disposer des informations d’identification nécessaires pour créer et mettre à jour les enregistrements de ressource suivants sur les serveurs DNS : service (SRV), hôte IPv4 (A) et hôte IPv6 (AAAA), faute de quoi les enregistrements doivent être créés manuellement. La solution recommandée pour donner à l’hôte KMS les informations d’identification nécessaires consiste à créer un groupe de sécurité dans AD DS, puis à y ajouter tous les hôtes KMS. Sur un serveur DNS exécutant un logiciel Microsoft, assurez-vous que ce groupe de sécurité dispose d’un contrôle total sur l’enregistrement _VLMCS._TCP. Cette exigence doit se produire dans chaque domaine DNS qui contient les enregistrements de ressources du service KMS (SRV).

Activation du premier hôte KMS

Les hôtes KMS du réseau doivent installer une clé KMS, puis être activés auprès de Microsoft. L’installation d’une clé KMS active le service KMS sur l’hôte KMS. Après avoir installé la clé KMS, terminez l’activation de l’hôte KMS par téléphone ou en ligne. Au-delà de cette activation initiale, un hôte KMS ne communique aucune information à Microsoft. Les clés KMS sont installées uniquement sur les hôtes KMS, jamais sur des ordinateurs clients KMS individuels.

Activation des hôtes KMS suivants

Il est possible d’installer chaque clé KMS sur six hôtes KMS au plus. Il peut s’agir d’ordinateurs physiques ou virtuels. Une fois qu’un hôte KMS est activé, le même hôte peut être réactivé jusqu’à neuf fois avec la même clé. Si le organization a besoin de plus de six hôtes KMS, des activations supplémentaires peuvent être demandées pour la clé KMS d’un organization en appelant un Centre d’activation des licences en volume Microsoft pour demander une exception.

Fonctionnement d’une clé d’activation multiple (MAK)

Une clé MAK est utilisée pour l’activation unique avec les services d’activation hébergés de Microsoft. Chaque clé MAK possède un nombre prédéterminé d’activations autorisées. Ce nombre est basé sur les contrats de licence en volume et il peut ne pas correspondre au nombre exact de licences de l’organization. Chaque activation utilisant une clé MAK auprès du service d’activation hébergé de Microsoft est décomptée de la limite du nombre d’activations.

Les ordinateurs peuvent être activés à l’aide d’une clé MAK de deux manières :

• Activation indépendante d’une clé MAK. Chaque ordinateur se connecte indépendamment et est activé auprès de Microsoft via Internet ou par téléphone. L’activation indépendante mak est mieux adaptée aux ordinateurs d’un organization qui ne maintiennent pas de connexion au réseau d’entreprise. La figure 16 illustre ce type d’activation.

  

  Figure 16. Activation indépendante d’une clé MAK

• Activation par proxy MAK. L’activation par proxy MAK permet une demande d’activation centralisée pour le compte de plusieurs ordinateurs disposant d’une connexion à Microsoft. L’activation du proxy MAK peut être configurée à l’aide de l’outil VAMT. L’activation par proxy MAK convient aux environnements dans lesquels des problèmes de sécurité limitent l’accès direct à Internet ou au réseau d’entreprise. Il est également adapté aux laboratoires de développement et de test qui ne disposent pas de cette connectivité. La figure 17 illustre ce type d’activation avec l’outil Gestion de l’activation en volume.

  

  Figure 17. Activation par proxy MAK avec l’outil Gestion de l’activation en volume

La clé MAK est recommandée pour :

• Ordinateurs qui se connectent rarement ou jamais au réseau d’entreprise.
• Environnements dans lesquels le nombre d’ordinateurs qui nécessitent une activation ne répond pas au seuil d’activation KMS.

La clé MAK peut être utilisée pour des ordinateurs individuels ou avec une image qui peut être dupliquée ou installée à l’aide des solutions de déploiement Microsoft. La clé MAK peut également être utilisée sur un ordinateur qui a été initialement configuré pour utiliser l’activation KMS. Le passage de KMS à une clé MAK est utile pour déplacer un ordinateur du réseau principal vers un environnement déconnecté.

Architecture et activation de clé d’activation multiple (MAK)

Une activation indépendante d’une clé MAK installe une clé de produit MAK sur un ordinateur client. Cette clé indique à l’ordinateur de s’activer auprès des serveurs Microsoft via Internet.

Dans l’activation du proxy MAK, l’outil VAMT :

• Installe une clé de produit MAK sur un ordinateur client.
• Obtient l’ID d’installation de l’ordinateur cible.
• Envoie l’ID d’installation à Microsoft au nom du client.
• Obtient un ID de confirmation.

L’outil active ensuite l’ordinateur client en installant l’ID de confirmation.

Activation en tant qu’utilisateur standard

Les versions actuellement prises en charge de Windows ne nécessitent pas de privilèges d’administrateur pour l’activation. Toutefois, un compte d’administrateur est toujours nécessaire pour d’autres tâches d’activation ou de licence, telles que « réarmer ».

Contenu associé

• Activation en volume pour Windows.