Azure で Windows 仮想マシンのライセンス認証が機能しなくなりました
この記事では、Windows Azure での Microsoft Windows 仮想マシン (VM) ライセンス認証の問題を引き起こす Key Management Services (KMS) IP アドレスに加えられた重要な変更について説明します。 これらの変更は、KMS IP アドレスを許可するようにカスタム ルートまたはファイアウォール規則を構成し、以前に Windows VM を正常にアクティブ化できた Azure Global クラウド ユーザーに影響します。
概要
影響を受けるユーザー
2022 年 7 月、Azure の更新プログラムで、2 つの新しい KMS IP アドレス 20.118.99.224
と 、 40.83.235.53
が 一般公開されました。Azure Global クラウドの新しい KMS DNS。 Azure 上のほとんどの Windows VM ユーザーは影響を受けません。 ただし、過去にトラブルシューティング ガイド (次の記事など) に従って、Windows VM が KMS IP アドレスに到達できるようにするカスタム ルートまたはファイアウォール規則を構成した場合は、これら 2 つの新しい KMS IP アドレスを含めるアクションを実行する必要があります。
2022 年 10 月 3 日までにこれらのアクションを実行しなかった場合、Windows VM は、ライセンス認証のために Windows ライセンス サーバーにアクセスできないという警告の報告を開始しました。
影響を受ける方法
2022 年 7 月の Azure 更新プログラムにより、Azure Global クラウドのほとんどの Windows VM は、Windows ライセンス認証に新しい azkms.core.windows.net
ドメイン名を使用するようになりました。 新しい azkms.core.windows.net
アドレスは、最初は既存の Windows ライセンス認証ドメイン名 を指し示 kms.core.windows.net
しました。 2022 年 10 月 3 日以降、 azkms.core.windows.net
2 つの新しい IP アドレスを指す再構成が行われました。 この変更の影響は次のとおりです。
この記事に従った場合 | この効果が表示されます |
---|---|
強制トンネリングを使用したライセンス認証の問題 | カスタム ルートに 2 つの新しい KMS IP アドレスを含めるアクションを実行しなかった場合、Windows VM は Windows ライセンス認証のために新しい KMS サーバーに接続できません。 |
Azure Firewall を使用して、Azure Virtual Desktop の展開を保護する | ファイアウォール規則に 2 つの新しい KMS IP アドレスを含めるアクションを実行しなかった場合、Windows VM は Windows ライセンス認証のために新しい KMS サーバーに接続できません。 |
KMS ライセンス認証計画の運用要件で説明されているように、KMS ライセンス認証は 180 日間 (アクティブ化の有効期間とも呼ばれます) の期間有効です。 アクティブ化を維持するには、KMS クライアントは、180 日ごとに少なくとも 1 回 KMS ホストに接続してアクティブ化を更新する必要があります。 既定では、KMS クライアント コンピューターは 7 日ごとにライセンス認証を更新しようとします。 クライアントのアクティブ化が更新されると、アクティブ化の有効期間が再び開始されます。
KMS ライセンス認証の有効期間内でも、Windows VM の全機能にアクセスできます。 この 180 日間のアクティブ化の問題を修正する必要があります。
タイムライン
2022 年 10 月 3 日以降、2023 年 3 月 1 日より前、Azure のほとんどの (ただし、すべてではない) Windows VM は、Windows ライセンス認証の新しい KMS IP アドレスと
40.83.235.53
、20.118.99.224
に依存していました。 ドメイン名は、azkms.core.windows.net
これら 2 つの IP アドレスを指します。2023 年 3 月 1 日以降、Azure 内のすべての Windows VM は、新しい KMS IP アドレス
20.118.99.224
と40.83.235.53
Windows ライセンス認証に依存しています。 ドメイン名はkms.core.windows.net
、これらの新しい IP アドレスの最初 (20.118.99.224
) を指すようになりました。
前提条件
現象
Windows ライセンス認証のために KMS サーバーに正常に接続できない場合、Azure の Windows VM は次のような警告を報告します。
organizationのライセンス認証サーバーに接続できないため、このデバイスで Windows をライセンス認証することはできません。 organizationのネットワークに接続していることを確認し、もう一度やり直してください。 アクティブ化に関する問題が引き続き発生する場合は、organizationのサポート担当者にお問い合わせください。 エラー コード: 0xC004F074。
トラブルシューティング チェックリスト
IP アドレス 20.118.99.224 および 40.83.235.53 への接続を確認する
KMS IP アドレス 20.118.99.224
と 40.83.235.53
Windows VM から正常に接続できる場合は、この問題を心配する必要はありません。
新しい KMS IP アドレスへの接続をチェックするには、次の手順に従います。
Windows VM にリモートでサインインします。
PowerShell を開きます。
次の Test-NetConnection コマンドレット呼び出しを実行して、新しい KMS IP アドレスへの接続を確認します。
Test-NetConnection azkms.core.windows.net -Port 1688 Test-NetConnection 20.118.99.224 -Port 1688 Test-NetConnection 40.83.235.53 -Port 1688
接続が成功した場合、これ以上のアクションは必要ありません。 1 つ以上の接続が失敗した場合は、次のセクションを確認して、Windows VM のライセンス認証エラーの特定の原因を特定します。
原因 1: カスタム ルートが KMS サーバーに到達できない
Windows のアクティブ化の手順に従って 、強制トンネリング シナリオで失敗 し、Azure KMS サーバーに接続するようにカスタム ルートを構成しました。 ただし、KMS IP アドレスが変更されたため、カスタム ルートは KMS サーバーに接続できなくなります。
解決策 1: 新しい KMS IP アドレスをカスタム ルートに追加する
強制トンネリング シナリオに関する記事の「Windows ライセンス認証に失敗する」の更新された手順に従って、KMS IP アドレス20.118.99.224
と40.83.235.53
ポート 1688 をカスタム ルートに追加します。
原因 2: ファイアウォールが KMS サーバーへのアクセスをブロックしている
以前は、「Azure Firewallを使用して Azure Virtual Desktop デプロイを保護してファイアウォールの送信ネットワーク規則を作成する」の手順に従いました。 このネットワーク 規則により、Windows VM が Azure KMS サーバーに接続することができました。 ただし、KMS IP アドレスが変更されたため、その規則は正しい KMS IP アドレスへのアクセスを提供しなくなりました。
解決策 2: ファイアウォール規則の例外として新しい KMS IP アドレスを追加する
KMS IP アドレス 20.118.99.224
と 40.83.235.53
ポート 1688 でファイアウォール経由の送信アクセスが許可されるように、ネットワーク規則を変更します。
関連情報
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示