Attivare client che eseguono Windows 10

  • Articolo

Dopo la configurazione del servizio di gestione delle chiavi (KMS, Key Management Service) o dell'attivazione basata su Active Directory nella rete, l'attivazione di client che eseguono Windows 10 è facile. Se il computer è configurato con un codice Product Key generico, né il reparto IT né l'utente devono eseguire alcuna azione. L'attivazione avviene automaticamente.

Le immagini e i supporti della Enterprise Edition dovrebbero essere già configurati con un codice Product Key generico. All'avvio del computer client, il servizio di gestione licenze esamina la situazione corrente delle licenze del computer. Se è necessaria un'attivazione o una riattivazione, si verifica la situazione seguente:

  1. Se il computer è membro di un dominio, richiede un oggetto attivazione contratto multilicenza a un controller di dominio. Se è configurata l'attivazione basata su Active Directory, il controller di dominio restituisce l'oggetto. Se l'oggetto corrisponde all'edizione del software installato e il computer dispone di un codice Product Key generico corrispondente, il computer viene attivato (o riattivato) e non dovrà essere riattivato per 180 giorni, anche se il sistema operativo tenterà la riattivazione a intervalli regolari molto più brevi.

  2. Se il computer non è membro di un dominio o se l'oggetto attivazione contratto multilicenza non è disponibile, il computer invia una query DNS per tentare di individuare un server KMS. Se il computer riesce a contattare un server KMS e il servizio di gestione delle chiavi dispone di una chiave corrispondente al codice Product Key generico del computer, l'attivazione ha luogo.

  3. Se il computer è configurato con un codice ad attivazione multipla, tenterà l'attivazione con un server Microsoft.

Se il client non è in grado di eseguire l'attivazione, tenterà di nuovo a intervalli regolari. La frequenza dei tentativi di accesso dipende dallo stato corrente della licenza e dal fatto che il client sia stato attivato correttamente in precedenza o meno. Ad esempio, se in precedenza il client è stato attivato tramite attivazione basata su Active Directory, proverà a contattare il controller di dominio a ogni riavvio.

Come funziona il servizio di gestione delle chiavi

Il servizio di gestione delle chiavi usa una topologia client-server. I computer client del servizio di gestione delle chiavi possono individuare i computer host KMS tramite una configurazione DNS o una configurazione statica. I client KMS contattano l'host KMS tramite RPC su TCP/IP.

Soglie di attivazione del servizio di gestione delle chiavi

È possibile attivare computer fisici e macchine virtuali contattando un host KMS. Per qualificarsi per l'attivazione KMS, è necessario un numero minimo di computer qualificati. Tale numero è detto soglia di attivazione. I client KMS vengono attivati solo dopo che questa soglia è stata raggiunta. Ciascun host KMS conta il numero di computer che hanno richiesto l'attivazione finché non viene raggiunta la soglia.

Un host KMS risponde a ogni richiesta di attivazione valida proveniente da un client KMS con il numero dei computer che hanno già contattato l'host KMS per l'attivazione. I computer client che ricevono un numero inferiore alla soglia di attivazione non vengono attivati. Ad esempio, se i primi due computer che contattano l'host KMS eseguono Windows 10, il primo riceve un conteggio di attivazione pari a 1 e il secondo riceve un conteggio di attivazione pari a 2. Se il computer successivo è una macchina virtuale in un computer che esegue Windows 10, riceve un conteggio di attivazione pari a 3 e così via. Nessuno di questi computer viene attivato, poiché i computer che eseguono Windows 10, come per le altre versioni del sistema operativo client, devono ricevere un conteggio di attivazione pari ad almeno 25.

Quando sono in attesa che il servizio di gestione delle chiavi raggiunga la soglia di attivazione, i client KMS si connettono all'host KMS ogni due ore per ottenere il conteggio di attivazione corrente. Verranno attivati quando verrà raggiunta la soglia.

Nel nostro esempio, se il computer successivo che contatta l'host KMS esegue Windows Server 2012 R2, riceve un conteggio di attivazione pari a 4, perché i conteggi di attivazione sono cumulativi. Se un computer che esegue Windows Server 2012 R2 riceve un conteggio di attivazione pari almeno a 5, viene attivato. Se un computer che esegue Windows 10 riceve un conteggio di attivazione pari almeno a 25, viene attivato.

Cache del conteggio di attivazione

Per monitorare la soglia di attivazione, l'host KMS tiene traccia dei client KMS che richiedono l'attivazione. L'host KMS assegna a ogni client KMS un ID client e lo salva in una tabella con gli ID degli altri client. Per impostazione predefinita, le richieste di attivazione rimangono nella tabella fino a un massimo di 30 giorni. Quando un client rinnova l'attivazione, l'ID client memorizzato nella cache viene rimosso dalla tabella, viene creato un nuovo record e il periodo di 30 giorni riprende da capo. Se un computer client KMS non rinnova l'attivazione entro 30 giorni, l'host KMS rimuove l'ID client corrispondente dalla tabella e riduce il conteggio di attivazione di una unità.

L'host KMS, tuttavia, memorizza solo due volte il numero di ID client necessari per raggiungere la soglia di attivazione. Pertanto, solo i 50 ID client più recenti vengono mantenuti nella tabella e un client ID può essere rimosso molto prima di 30 giorni.

Le dimensioni totali della cache sono determinate dal tipo di computer client che sta tentando l'attivazione. Se un host KMS riceve richieste di attivazione solo da server, la cache manterrà solo 10 ID client (il doppio dei 5 necessari). Se un computer client che esegue Windows 10 contatta lo stesso host KMS, il servizio aumenta le dimensioni della cache a 50, in modo da avere spazio sufficiente per la soglia superiore. Il servizio di gestione delle chiavi non riduce mai le dimensioni della cache.

Connettività del servizio di gestione delle chiavi

L'attivazione KMS richiede la connettività TCP/IP. Per impostazione predefinita, per pubblicare e trovare il servizio di gestione delle chiavi i client e gli host KMS usano DNS. È possibile usare le impostazioni predefinite, che richiedono poca o nessuna attività amministrativa, o configurare manualmente gli host e i client KMS in base ai requisiti di sicurezza e configurazione della rete.

Rinnovo dell'attivazione del servizio di gestione delle chiavi

Le attivazioni KMS sono valide per 180 giorni (il cosiddetto intervallo di validità dell'attivazione). Per rimanere attivati, i computer client KMS devono rinnovare l'attivazione connettendosi all'host KMS almeno una volta ogni 180 giorni. Per impostazione predefinita, i computer client KMS tentano di rinnovare l'attivazione ogni 7 giorni. Se l'attivazione KMS non riesce, il computer client ritenta ogni due ore. Dopo il rinnovo dell'attivazione di un computer client, l'intervallo di validità di attivazione riprende da capo.

Pubblicazione del servizio di gestione delle chiavi

Il servizio di gestione delle chiavi usa record di risorse (SRV) del servizio in DNS per archiviare e comunicare le posizioni degli host KMS. Gli host KMS usano il protocollo di aggiornamento dinamico DNS, se disponibile, per pubblicare i record di risorse (SRV) del servizio KMS. Se non è disponibile un aggiornamento dinamico o l'host KMS non dispone dei diritti per pubblicare i record di risorse, i record DNS devono essere pubblicati manualmente o è necessario configurare i computer client per la connessione a host KMS specifici.

Individuazione da parte dei client del servizio di gestione delle chiavi

Per impostazione predefinita, i computer client KMS richiedono informazioni KMS tramite query DNS. La prima volta che un computer client KMS esegue una query DNS per informazioni KMS, sceglie a caso un host KMS dall'elenco di record di risorse (SRV) del servizio restituito da DNS. L'indirizzo di un server DNS che contiene i record di risorse (SRV) del servizio può essere elencato come voce con suffisso nei computer client KMS. Questo consente a un server DNS di annunciare i record di risorse (SRV) del servizio per il servizio di gestione delle chiavi, e consente ai computer client KMS con altri server DNS primari di trovare il server DNS dell'annuncio.

I parametri relativi a priorità e peso possono essere aggiunti al valore del Registro di sistema DnsDomainPublishList. Se si definiscono raggruppamenti di priorità di host KMS e si stabilisce il peso di questi ultimi all'interno di ciascun gruppo, è possibile specificare con quale host KMS i computer client devono effettuare il primo tentativo, equilibrando il traffico tra più host KMS. Solo Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Server 2012 R2, Windows Server 2012 e Windows Server 2008 R2 dispongono dei parametri di priorità e peso.

Se l'host KMS selezionato da un computer client non risponde, il computer client KMS rimuove tale host KMS dal proprio elenco di record di risorse (SRV) del servizio e seleziona casualmente un altro host KMS dall'elenco. Quando un host KMS risponde, il computer client KMS memorizza nella cache il nome dell'host KMS e lo usa per i tentativi di attivazione e di rinnovo successivi. Se l'host KMS memorizzato nella cache non risponde in occasione di un rinnovo successivo, il computer client KMS individua un nuovo host KMS tramite una query DNS per record di risorse (SRV) del servizio KMS.

Per impostazione predefinita, i computer client si connettono all'host KMS per l'attivazione mediante RPC anonime attraverso la porta TCP 1688. È possibile modificare la porta predefinita. Dopo aver stabilito una sessione TCP con l'host KMS, il computer client invia un unico pacchetto di richiesta. L'host KMS risponde con il conteggio di attivazione. Se il conteggio corrisponde alla soglia di attivazione per il sistema operativo o la supera, il client è attivato e la sessione si chiude. Il computer client KMS usa lo stesso procedimento per le richieste di rinnovo. Per la comunicazione in entrambi i sensi sono utilizzati 250 byte.

Configurazione del server DNS

La funzionalità predefinita di pubblicazione automatica KMS richiede il record di risorse (SRV) del servizio e il supporto per il protocollo di aggiornamento dinamico DNS. Il comportamento predefinito dei computer client KMS e la pubblicazione di record di risorse (SRV) del servizio KMS sono supportati dai server DNS che eseguono software Microsoft o da qualsiasi altro server DNS che supporta i record di risorse (SRV) del servizio (per IETF RFC 2782) e gli aggiornamenti dinamici (per IETF RFC 2136). Ad esempio, BIND versione 8.x e versione 9.x supporta i record di risorse (SRV) del servizio e l'aggiornamento dinamico.

L'host KMS deve essere configurato in modo che disponga delle credenziali necessarie per creare e aggiornare i record di risorse seguenti nei server DNS: servizio (SRV), host IPv4 (A) e host IPv6 (AAAA). In caso contrario, i record devono essere creati manualmente. La soluzione consigliata per fornire all'host KMS le credenziali necessarie è creare un gruppo di sicurezza in Servizi di dominio Active Directory e aggiungere al gruppo tutti gli host KMS. In un server DNS che esegue software Microsoft, verificare che questo gruppo di sicurezza disponga del controllo completo sul record _VLMCS._TCP in ogni dominio DNS che contiene i record di risorse (SRV) del servizio KMS.

Attivazione del primo host del servizio di gestione delle chiavi

Gli host KMS all'interno della rete devono installare un codice Product Key del servizio di gestione delle chiavi e quindi essere attivati con Microsoft. L'installazione di questo codice Product Key consente l'esecuzione del servizio di gestione delle chiavi nell'host KMS. Dopo aver installato il codice Product Key KMS, completare l'attivazione dell'host KMS online o telefonicamente. Oltre l'attivazione iniziale, un host KMS non comunica alcuna informazione a Microsoft. I codici Product Key KMS vengono installati solo su host KMS, mai su singoli computer client KMS.

Attivazione degli host del servizio di gestione delle chiavi successivi

Ogni codice Product Key KMS può essere installato su un massimo di sei host KMS. Questi host possono essere computer fisici o virtuali. Dopo l'attivazione, un host KMS può essere riattivato fino a nove volte con lo stesso codice. Se all'organizzazione sono necessari più di sei host KMS, è possibile richiedere attivazioni aggiuntive per il codice Product Key dell'organizzazione chiamando un Microsoft Volume Licensing Activation Center per richiedere un'eccezione.

Come funziona un codice ad attivazione multipla

I codici ad attivazione multipla sono usati per l'attivazione unica con servizi di attivazione ospitati di Microsoft. Ogni codice ad attivazione multipla dispone di un determinato numero di attivazioni consentite. Questo numero si basa su contratti multilicenza e potrebbe non corrispondere al numero esatto di licenze dell'organizzazione. Ogni attivazione che utilizza un codice ad attivazione multipla con il servizio di attivazione ospitato Microsoft conta ai fini del raggiungimento del limite delle attivazioni.

È possibile attivare computer tramite un codice ad attivazione multipla in due modi:

  • Attivazione indipendente con codice ad attivazione Multipla. Ogni computer si connette e viene attivato con Microsoft in modo indipendente tramite Internet o telefonicamente. L'attivazione indipendente con codice ad attivazione multipla è adatta soprattutto ai computer all'interno dell'organizzazione non costantemente connessi alla rete aziendale. L'attivazione indipendente con codice ad attivazione multipla è illustrata nella figura 16.

    Attivazione indipendente con codice ad attivazione multipla

    Figura 16. Attivazione indipendente con codice ad attivazione multipla

  • Attivazione proxy con codice ad attivazione multipla. L'attivazione proxy con codice ad attivazione multipla consente una richiesta di attivazione centralizzata per conto di più computer con un'unica connessione a Microsoft. È possibile configurare l'attivazione proxy con codice ad attivazione multipla tramite VAMT. L'attivazione proxy con codice ad attivazione multipla è appropriata per gli ambienti in cui per problemi di sicurezza l'accesso diretto a Internet o alla rete aziendale è limitato. È inoltre adatta ai laboratori di sviluppo e test privi di questo tipo di connettività. L'attivazione proxy con codice ad attivazione multipla tramite VAMT è illustrata nella figura 17.

    Attivazione proxy con codice ad attivazione multipla

    Figura 17. Attivazione proxy con codice ad attivazione multipla tramite VAMT

Un codice ad attivazione multipla è consigliabile per i computer che si connettono raramente o non si connettono mai alla rete aziendale e per gli ambienti in cui il numero di computer che richiedono l'attivazione non raggiunge la soglia di attivazione KMS.

È possibile usare un codice ad attivazione multipla per computer singoli o immagini duplicabili o installabili tramite soluzioni di sviluppo Microsoft. È inoltre possibile usare un codice ad attivazione multipla per un computer originariamente configurato per l'uso dell'attivazione delle KMS. Questa caratteristica è utile se è necessario trasferire un computer dalla rete centrale a un ambiente disconnesso.

Architettura e attivazione dei codici ad attivazione multipla

L'attivazione indipendente con codice ad attivazione multipla consente di installare un codice ad attivazione multipla in un computer client. Il codice indica al computer di eseguire l'attivazione automatica con i server Microsoft tramite Internet.

Nell'attivazione proxy, VAMT installa un codice ad attivazione multipla in un computer client, ottiene l'ID di installazione dal computer di destinazione, invia l'ID di installazione a Microsoft per conto del client e ottiene un ID di conferma. Lo strumento quindi attiva il computer client installando l'ID di conferma.

Attivazione come utente standard

Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Server 2012 R2, Windows Server 2012 e Windows Server 2008 R2 non richiedono privilegi di amministratore per l'attivazione, ma questa modifica non consente agli account utente standard di annullare lo stato di attivazione dei computer che eseguono Windows 7 o Windows Server 2008 R2. Un account amministratore è ancora necessario per altre attività correlate all'attivazione o alle licenze, ad esempio per il ripristino.

Vedi anche