Linee guida per la risoluzione dei problemi del servizio di gestione delle chiavi

I clienti aziendali configurano il servizio di gestione delle chiavi (KMS) come parte del processo di distribuzione, perché consente loro di usare un processo semplice e semplice per attivare Windows nei propri ambienti. In genere, dopo aver configurato l'host del Servizio di gestione delle chiavi, i client del Servizio di gestione delle chiavi si connettono automaticamente all'host e si attivano autonomamente. Tuttavia, a volte il processo non funziona come previsto. Questo articolo illustra come risolvere eventuali problemi che potrebbero verificarsi.

Per ulteriori informazioni sulle entrate del registro eventi e sullo script slmgr.vbs, consultare il Riferimento tecnico per l'attivazione dei volumi.

Dove iniziare la risoluzione dei problemi di KMS

Iniziamo con un breve riepilogo su come funziona l'attivazione KMS. KMS è un modello client-server che presenta alcune analogie con il Dynamic Host Configuration Protocol (DHCP). Tuttavia, invece di distribuire indirizzi IP ai client su richiesta, KMS abilita l'attivazione del prodotto. KMS è anche un modello di attivazione continua, in cui i clienti tentano di riattivare a intervalli regolari. Esistono due ruoli: l'host del Servizio di gestione delle chiavi e il client del Servizio di gestione delle chiavi.

• L'host KMS esegue il servizio di attivazione e abilita l'attivazione nel contesto. Per configurare un host del Servizio di gestione delle chiavi, è necessario installare la chiave del Servizio di gestione delle chiavi dal Volume License Service Center (VLSC) e quindi attivare il servizio.
• Il client KMS è il sistema operativo Windows distribuito nell'ambiente e deve essere attivato. I client KMS possono eseguire qualsiasi edizione di Windows che utilizza l'attivazione dei volumi. I client del Servizio di gestione delle chiavi sono dotati di una chiave preinstallata, denominata Generic Volume License Key (GVLK) o KMS Client Setup Key. La presenza del GVLK è ciò che rende un sistema un client del Servizio di gestione delle chiavi. I client KMS usano record SRV DNS (Domain Name System) (_vlmcs._tcp) per identificare l'host KMS. Successivamente, i client tentano automaticamente di individuare e usare questo servizio per attivarsi. Durante il periodo di grazia iniziale di 30 giorni, tentano di attivarsi ogni due ore. Dopo aver attivato i client del Servizio di gestione delle chiavi, tentano di rinnovare l'attivazione ogni sette giorni.

Dal punto di vista della risoluzione dei problemi, potrebbe essere necessario esaminare sia il lato host che il lato client per capire perché si verifica un problema.

Risoluzione dei problemi sull'host KMS

Quando si esamina il KMS host durante la risoluzione dei problemi, dovrai considerare due aree:

• Controllare lo stato del servizio di licenze software host usando il comando slmgr.vbs in un prompt della riga di comando.
• Controllare il Visualizzatore eventi per gli eventi correlati alle licenze o all'attivazione.

Slmgr.vbs e il servizio licenze software

È possibile utilizzare lo strumento a riga di comando slmgr.vbs e il Visualizzatore eventi per risolvere i problemi di attivazione sui client KMS. Per visualizzare l'output dettagliato del servizio Licenze software, aprire una finestra del prompt dei comandi con privilegi elevati o una finestra di PowerShell ed eseguire slmgr.vbs /dlv. Lo screenshot seguente mostra i risultati di questo comando rispettivamente per il client del Servizio di gestione delle chiavi e l'host del Servizio di gestione delle chiavi:

Client del Servizio di gestione delle chiavi

Una schermata dell'output per il comando SLMGR per il client KMS. Ci sono etichette che illustrano il significato di ciascuna variabile.

Ecco alcune variabili a cui prestare attenzione nell'output durante la risoluzione dei problemi:

• Le informazioni sulla versione si trova nella parte superiore dell'output slmgr.vbs /dlv . Le informazioni sulla versione sono utili per determinare se il servizio è up-to-date. Assicurarsi che tutto sia aggiornato è importante perché il servizio KMS supporta diverse chiavi host KMS. È possibile usare questi dati per valutare se la versione attualmente in uso supporta la chiave host del Servizio di gestione delle chiavi che si sta tentando di installare. Per altre informazioni sugli aggiornamenti, vedere Aggiornamento disponibile per Windows Vista e per Windows Server 2008 per estendere il supporto dell'attivazione del Servizio di gestione delle chiavi per Windows 7 e per Windows Server 2008 R2.

• Il nome indica quale edizione di Windows è in esecuzione nel sistema host del Servizio di gestione delle chiavi. È possibile usare queste informazioni per risolvere i problemi che comportano l'aggiunta o la modifica della chiave host del Servizio di gestione delle chiavi. Ad esempio, è possibile usare queste informazioni per verificare se l'edizione del sistema operativo supporta la chiave che si sta tentando di usare.

• La descrizione mostra la chiave attualmente installata. Usare questo campo per verificare se la chiave che ha attivato per prima il servizio era quella corretta per i client KMS distribuiti.

• Lo stato della licenza mostra lo stato del sistema host del Servizio di gestione delle chiavi. Il valore deve essere Licensed. Qualsiasi altro valore indica che è necessario riattivare l'host.

• Il conteggio corrente visualizza un conteggio compreso tra 0 e 50. Il conteggio è cumulativo tra i sistemi operativi e indica il numero di sistemi validi che hanno tentato di attivarsi entro un periodo di 30 giorni .

  Se il conteggio è 0, il servizio è stato attivato di recente o nessun client valido è connesso all'host del Servizio di gestione delle chiavi.

  Il conteggio non aumenta oltre 50, indipendentemente dal numero di sistemi validi presenti nell'ambiente. Il contatore viene impostato per memorizzare nella cache solo due volte il massimo dei criteri di licenza restituiti da un client KMS. Il criterio massimo impostato dal sistema operativo client Windows richiede un conteggio di 25 o superiore dall'host del Servizio di gestione delle chiavi per attivarsi. Di conseguenza, il conteggio più alto che il KMS host può avere è 50 oppure 2 x 25, che è anch'esso 50. Negli ambienti che contengono solo i client del Servizio di gestione delle chiavi di Windows Server, il conteggio massimo per l'host del Servizio di gestione delle chiavi è 10. Questo limite è dovuto al fatto che la soglia per le edizioni di Windows Server è 5 (2 x 5 o 10).

  Un problema comune correlato al conteggio si verifica quando l'ambiente ha un host del Servizio di gestione delle chiavi attivato e un numero sufficiente di client, ma il conteggio non aumenta oltre uno. Quando si verifica questo problema, significa che l'immagine client distribuita non è stata configurata correttamente, quindi i sistemi non hanno ID computer client univoci (CMID). Per altre informazioni, vedere gli articoli seguenti:

  • Il conteggio corrente del KMS non aumenta quando si aggiungono nuovi computer client basati su Windows Vista o Windows 7 alla rete.

  • Il conteggio dei client dell'host KMS non aumenta a causa di CMID duplicati.

  Un altro motivo per cui il conteggio potrebbe non aumentare è che nell'ambiente sono presenti troppi host KMS e il conteggio viene suddiviso su tutti.

• In ascolto sulla porta. La comunicazione con KMS usa RPC anonime. Per impostazione predefinita, i client usano la porta TCP 1688 per connettersi all'host del Servizio di gestione delle chiavi. Assicurarsi che questa porta sia aperta tra i client KMS e l'host KMS. È possibile modificare o configurare la porta nell'host del Servizio di gestione delle chiavi. Durante la comunicazione, l'host KMS invia la designazione della porta ai client KMS. Se si modifica la porta in un client KMS (Servizio di gestione delle chiavi), la designazione della porta viene sovrascritta quando il client contatta l'host.

Spesso viene chiesto informazioni sulla sezione delle richieste cumulative dell'output slmgr.vbs /dlv . In genere, questi dati non sono utili per la risoluzione dei problemi. L'host del Servizio di gestione delle chiavi mantiene un record continuo dello stato di ogni client del Servizio di gestione delle chiavi che tenta di attivare o riattivare. Le richieste non riuscite indicano che l'host KMS non supporta certi client KMS. Ad esempio, se un client del Servizio di gestione delle chiavi di Windows 7 tenta di attivarsi su un host del Servizio di gestione delle chiavi attivato tramite una chiave del Servizio di gestione delle chiavi di Windows Vista, l'attivazione ha esito negativo.

Le righe Requests with License Status (Richieste con stato licenza ) descrivono tutti i possibili stati di licenza, passati e presenti. Dal punto di vista della risoluzione dei problemi, questi dati sono rilevanti solo se il conteggio non aumenta come previsto. In tal caso, dovresti vedere aumentare il numero di richieste non riuscite. Per risolvere questo problema, è necessario controllare il codice Product Key usato per attivare prima il sistema host del Servizio di gestione delle chiavi. Si noti anche che i valori cumulativi della richiesta vengono reimpostati solo se si reinstalla il sistema host KMS.

Host del Servizio di gestione delle chiavi

Ecco alcune variabili a cui prestare attenzione nell'output durante la risoluzione dei problemi:

• Il nome indica l'edizione di Windows usata dal sistema. È possibile usare questa variabile per verificare che la versione di Windows che si sta tentando di attivare sia compatibile con il Servizio di gestione delle chiavi.

• La descrizione mostra la chiave installata. Ad esempio, VOLUME_KMSCLIENT indica che il sistema ha installato la chiave di installazione client KMS, o GVLK, ovvero la configurazione predefinita per i supporti di licenza volume. Un sistema con un GVLK tenta automaticamente di attivarsi usando un host del Servizio di gestione delle chiavi. Se viene visualizzato un valore diverso, ad esempio MAK, è necessario reinstallare il codice GVLK per configurare questo sistema come client KMS. È possibile installare manualmente la chiave seguendo le istruzioni per eseguire slmgr.vbs /ipk <GVLK> nelle chiavi di configurazione del client KMS o seguire le indicazioni del Riferimento tecnico dello strumento di gestione dell'attivazione di licenze Volume (VAMT) per utilizzare invece il VAMT.

• Il codice Product Key parziale determina se la chiave di configurazione client del KMS corrisponde al sistema operativo usato dal client KMS. Per impostazione predefinita, la chiave corretta è presente nei sistemi costruiti usando supporti provenienti dal portale Volume License Service Center (VLSC). In alcuni casi, i clienti potrebbero usare l'attivazione MAK (Multiple Activation Key) fino a quando non sono presenti sistemi sufficienti nell'ambiente, per supportare l'attivazione del Servizio di Gestione delle Chiavi (KMS). È necessario installare la chiave di configurazione KMS su questi sistemi per eseguirne la transizione dal codice MAK a KMS. Usare VAMT per installare questa chiave e assicurarsi di usare la chiave corretta.

• Lo stato della licenza mostra lo stato del sistema client del Servizio di gestione delle chiavi. Per un sistema attivato dal Servizio di gestione delle chiavi, questo valore deve essere Concesso in licenza. Qualsiasi altro valore potrebbe indicare che si è verificato un problema. Ad esempio, se l'host del Servizio di gestione delle chiavi funziona correttamente e il client del Servizio di gestione delle chiavi non viene ancora attivato o bloccato in uno stato Grace , significa che qualcosa impedisce al client di raggiungere il sistema host. Questo blocco può essere un problema del firewall, un'interruzione della rete e così via.

• CMID deve essere univoco in ogni client KMS che l'host KMS può attivare. Il CMID viene usato dall'host del Servizio di gestione delle chiavi per tenere traccia delle richieste di attivazione da ogni client. Se più client hanno lo stesso CMID, può causare problemi con il rilevamento dell'attivazione e potenziali problemi di conformità delle licenze.

• Il nome della macchina KMS dal DNS mostra sia il nome di dominio completo (FQDN) dell'host KMS utilizzato dal client per l'attivazione che la porta TCP utilizzata per comunicare.

• La memorizzazione nella cache del KMS Host indica se la memorizzazione nella cache è abilitata o meno. La memorizzazione nella cache è in genere abilitata per impostazione predefinita. Quando si abilita la memorizzazione nella cache, il client del Servizio di gestione delle chiavi memorizza nella cache lo stesso host usato per l'attivazione e comunica direttamente con questo host anziché eseguire query sul DNS quando è il momento di riattivare. Se il client non riesce a contattare l'host del Servizio di gestione delle chiavi memorizzato nella cache, esegue una query dns per individuare un nuovo host del Servizio di gestione delle chiavi.

ID evento KMS

Le sezioni seguenti descrivono gli eventi client con cui è necessario avere familiarità per risolvere i potenziali problemi in modo più efficiente. Quando un client del Servizio di gestione delle chiavi viene attivato o riattivato con successo, il client registra l'ID evento 12288 e l'ID evento 12289.

Client del Servizio di gestione delle chiavi

ID evento 12288:

La schermata seguente mostra un segmento di una voce ID evento 12288 dal registro eventi KMS.

Se viene visualizzato solo l'ID evento 12288 senza un ID evento corrispondente 12289, il client del Servizio di gestione delle chiavi non è riuscito a raggiungere l'host del Servizio di gestione delle chiavi, l'host del Servizio di gestione delle chiavi non ha risposto o il client non ha ricevuto la risposta dell'host. In questi casi, è necessario verificare che l'host del Servizio di gestione delle chiavi sia individuabile e che i client del Servizio di gestione delle chiavi possano contattarlo.

Le informazioni più rilevanti nell'ID evento 12288 sono i dati nel campo Info . Ad esempio, il campo Info mostra lo stato corrente del client e la porta FQDN e TCP usata dal client durante il tentativo di attivazione. È possibile usare il nome di dominio completo per risolvere gli scenari in cui il conteggio in un host del Servizio di gestione delle chiavi non aumenta. Ad esempio, se sono disponibili troppi host KMS per i client (sia sistemi legittimi che non supportati), il conteggio potrebbe essere distribuito su tutti loro.

Un'attivazione non riuscita non significa sempre che il client abbia l'ID evento 12288 e non 12289. Anche un'attivazione o una riattivazione non riuscita potrebbero avere entrambi gli eventi. In questo caso, è necessario esaminare il secondo evento per verificare il motivo dell'errore.

ID evento 12289:

L'istantanea seguente mostra un segmento di una voce ID evento 12289 dal log degli eventi del Servizio di gestione delle chiavi:

La sezione Info dell'ID evento 12289 fornisce le informazioni seguenti:

• Flag di attivazione, che indica se l'attivazione è riuscita (1) o non riuscita (0).

• Conteggio corrente nell'host KMS, che mostra il valore di conteggio nell'host KMS quando il client tenta di attivarsi. Se l'attivazione non riesce, il conteggio potrebbe essere insufficiente per questo sistema operativo client o che non sono presenti sistemi sufficienti nell'ambiente per compilare il conteggio.

Host del Servizio di gestione delle chiavi

ID evento 12290:

L'host del Servizio di gestione delle chiavi crea un log con etichetta ID evento 12290 quando un client del Servizio di gestione delle chiavi contatta l'host quando tenta di attivare. L'ID evento 12290 contiene informazioni che è possibile usare per determinare quale tipo di client ha contattato l'host e perché si è verificato un errore. Lo screenshot seguente mostra un segmento di ID evento 12290:

Screenshot del visualizzatore eventi che mostra l'ID evento KMS 12290 con etichette che spiegano cosa significa ogni valore.

I dettagli dell'evento includono le informazioni seguenti:

• Conteggio minimo necessario per l'attivazione, che indica che il conteggio dall'host del Servizio di gestione delle chiavi deve essere 5 per consentire all'attivazione del client. Questo significa che questo sistema operativo è un sistema operativo Windows Server, anche se questa variabile da sola non indica quale edizione usa il client. Se i client non si attivano, assicurati che il conteggio dell'host consenta l'attivazione del client.

• CMID, che è un valore univoco in ogni sistema. Se questo valore non è univoco, è perché l'immagine non è stata configurata correttamente per la distribuzione usando sysprep. Per altre informazioni sulla generalizzazione dei computer, vedere Sysprep (Generalize) un'installazione di Windows. Quando si verifica questo problema, il numero di host del Servizio di gestione delle chiavi non aumenta anche se nell'ambiente sono presenti client sufficienti.

• Stato della licenza e Scadenza dello stato, ovvero lo stato corrente della licenza del client. Questa variabile consente di stabilire se un client sta tentando di attivarsi per la prima volta o se sta tentando di riattivare. La voce dell'ora può anche indicare per quanto tempo il client rimane in tale stato se non viene modificato altro.

Se si stanno risolvendo i problemi di un client e non è possibile trovare un ID evento corrispondente 12290 sull'host KMS, il client non si connette all'host KMS. I motivi per cui la voce ID evento 12290 è mancante possono includere:

• Viene rilevata un'interruzione della rete.

• L'host non sta risolvendo o non è registrato in DNS.

• Il firewall blocca TCP 1688.

  • La porta potrebbe anche essere bloccata in altre posizioni all'interno dell'ambiente, incluso nel sistema host del Servizio di gestione delle chiavi stesso. Per impostazione predefinita, l'host KMS presenta un'eccezione nel firewall per KMS, ma questa eccezione non viene abilitata automaticamente. Per aggiungere questa eccezione, eseguire il comando seguente in una finestra di PowerShell con privilegi elevati:

    New-NetFirewallRule -DisplayName "KMS Host Activation" -Direction Inbound -Protocol TCP -LocalPort 1688 -Action Allow
    New-NetFirewallRule -DisplayName "KMS Host RPC" -Direction Inbound -Protocol TCP -LocalPort 135 -Action Allow
    

• Il registro eventi è pieno.

ID evento 12293:

Un altro evento pertinente da cercare nel tuo host KMS è Event ID 12293. Questo evento indica che l'host non ha pubblicato i record necessari in DNS. Questo scenario può potenzialmente causare errori e assicurarsi che l'evento non sia presente dopo aver configurato l'host e prima di distribuire i client. Per altre informazioni sui problemi dns, vedere Procedure comuni per la risoluzione dei problemi relativi al Servizio di gestione delle chiavi e DNS.

Requisiti di rinnovo del client KMS

L'attivazione del Servizio di gestione delle chiavi opera su un modello di rinnovo, in cui ogni dispositivo client deve connettersi a un server host del Servizio di gestione delle chiavi almeno una volta ogni 180 giorni per mantenere l'attivazione. Per impostazione predefinita, i client del Servizio di gestione delle chiavi tentano di rinnovare l'attivazione ogni sette giorni. Quando il rinnovo ha esito positivo, il periodo di validità dell'attivazione viene reimpostato per altri 180 giorni.

Per qualsiasi motivo, se il requisito di rinnovo non viene soddisfatto, viene visualizzata una notifica toast 30 giorni prima della scadenza dei 180 giorni per il rinnovo. La notifica toast per il rinnovo viene visualizzata anche nel riquadro di attivazione.

Risolvere i problemi relativi ai requisiti di rinnovo del client KMS

• Questa notifica viene ricevuta solo se si usa un dispositivo gestito o di proprietà dell'azienda. Se non è corretto, ottenere una chiave retail da Microsoft Store.

• Se si usa un dispositivo di proprietà dell'azienda o gestito, rivolgersi all'amministratore IT. Ecco alcuni possibili motivi per cui potrebbe essere visualizzato questo messaggio:

  • L'host del Servizio di gestione delle chiavi viene rimosso: l'amministratore IT deve configurare la versione del client del Servizio di gestione delle chiavi con il server del Servizio di gestione delle chiavi. Fare riferimento a Activate using Key Management Service (Attiva tramite il servizio di gestione delle chiavi).

  • Ascolto su una porta diversa: la comunicazione con il KMS usa RPC anonima. Per impostazione predefinita, i client usano la porta TCP 1688 per connettersi all'host del Servizio di gestione delle chiavi. Assicurarsi che questa porta sia aperta tra i client KMS e l'host KMS. È possibile configurare la porta sull'host KMS tramite Windows Firewall con funzionalità avanzate.

  • Verificare la configurazione DNS: per impostazione predefinita, i client del Servizio di gestione delle chiavi usano il processo di individuazione automatica per eseguire query su DNS per un elenco di server. Per altre informazioni, vedere Linee guida per la risoluzione dei problemi di attivazione correlati a DNS.

Che cosa richiede il supporto?

Se le attivazioni non funzionano come previsto dopo la risoluzione dei problemi, è possibile contattare il supporto tecnico Microsoft per assistenza tecnica. Il tecnico del supporto richiede in genere le informazioni seguenti:

• slmgr.vbs /dlv output dai sistemi host e client KMS.
• Registri eventi sia dall'host del Servizio di gestione delle chiavi (log del servizio di gestione delle chiavi) che dai sistemi client del Servizio di gestione delle chiavi (log delle applicazioni).