キー管理サービス (KMS) ライセンス認証ホストを作成する方法

  • [アーティクル]

KMS には、Windows クライアントのライセンス認証にクライアント サーバー モデルが使用されています。これはローカル ネットワーク上のボリュームのライセンス認証のために使用されます。 KMS クライアントは、ライセンス認証を行うために、KMS ホストと呼ばれる KMS サーバーに接続します。 KMS ホストからライセンス認証できる KMS クライアントは、KMS ホストのライセンス認証に使用されたホスト キーによって変わります。 この記事では、KMS ホストを作成するために必要な手順について説明します。 KMS の詳細と初期計画の検討事項については、「キー管理サービス (KMS) ライセンス認証の計画」を参照してください。

前提条件

1 つの KMS ホストで無制限の数の KMS クライアントをサポートできます。 50 台を超えるクライアントがある場合は、KMS ホストが使用できなくなった場合に備えて 2 台以上の KMS ホストを用意することをお勧めします。 ほとんどの組織では、2 つの KMS ホストでインフラストラクチャ全体をサポートできます。

KMS ホストは、専用サーバーである必要はありません。KMS は、他のサービスと共存させることができます。 サポートされている Windows Server または Windows クライアント オペレーティング システムを実行している任意の物理システムまたは仮想システム上で KMS ホストを実行できます。

KMS ホストに使用する Windows のバージョンによって、KMS クライアントに対してライセンス認証できる Windows のバージョンが決まります。 ライセンス認証バージョンの表を参照して、環境に適したバージョンを判断してください。

KMS ホストの既定では、DNS の SRV リソース レコードが自動的に発行されます。 そのため、KMS クライアント上で構成することなく、KMS クライアントによって KMS ホストが自動的に検出され、ライセンス認証されます。 自動発行を無効にして、レコードを手動で作成することもできます。これは、DNS サービスが動的更新をサポートしていない場合の自動ライセンス認証のためにも必要です。

以下のものが必要になります。

  • Windows Server または Windows を実行しているコンピューター。 Windows Server オペレーティング システム上で動作する KMS ホストからは、サーバーとクライアントの両方のオペレーティング システムが動作するコンピューターをライセンス認証できます。一方、Windows クライアント オペレーティング システム上で動作する KMS ホストからは、クライアント オペレーティング システムが動作するコンピューターのみをライセンス認証できます。

  • 使用するユーザー アカウントは、KMS ホストの Administrators グループのメンバーである必要があります。

  • 組織の KMS ホスト キー。 このキーは、ボリューム ライセンス サービス センターの「プロダクト キー」セクションから入手できます。

KMS ホストのインストールと構成

  1. 管理特権の PowerShell セッションから次のコマンドを実行し、ボリューム ライセンス認証サービス ロールをインストールします。

    Install-WindowsFeature -Name VolumeActivation -IncludeManagementTools

  2. キー管理サービスでネットワーク トラフィックを受信できるように Windows ファイアウォールを構成します。 これは、任意のネットワーク プロファイル (既定)、またはドメイン、プライベート、パブリックのネットワーク プロファイルの組み合わせに対して許可できます。 KMS ホストの既定では、ポート 1688 で TCP を使用するように構成されています。 次の例では、ドメインとプライベートのネットワーク プロファイルに対してのみネットワーク トラフィックを許可するようにファイアウォール規則が構成されています。

    Set-NetFirewallRule -Name SPPSVC-In-TCP -Profile Domain,Private -Enabled True

  3. 以下を実行してボリューム ライセンス認証ツール ウィザードを起動します。

    vmw.exe

  4. 概要画面で [次へ] を選択します。 ライセンス認証の種類として [キー管理サービス (KMS)] を選択し、localhost を入力して、構成するローカル サーバーまたはサーバーのホスト名を構成します。

  5. [Install your KMS host key](KMS ホスト キーのインストール) を選択し、組織のプロダクト キーを入力してから、 [コミット] を選択します。

  6. プロダクト キーのインストールが完了したら、製品をライセンス認証する必要があります。 [次へ] をクリックします。

  7. ドロップダウン メニューからライセンス認証する製品を選択し、オンラインと電話のどちらでライセンス認証するかを選択します。 この例では、 [Activate online](オンラインでライセンス認証) を選択し、 [コミット] を選択しています。

  8. ライセンス認証が成功すると、KMS ホストの構成が表示されます。 これが目的の構成であれば、 [閉じる] を選択してウィザードを終了できます。 DNS レコードが作成され、KMS クライアントのライセンス認証を開始できるようになります。 手動で DNS レコードを作成する必要がある場合は、次のセクションを参照してください。 構成設定を変更する場合は、 [次へ] を選択します。

  9. 省略可能: 必要に応じて構成値を変更し、 [コミット] を選択します。

注意

これで KMS クライアントのライセンス認証を開始できますが、ネットワークには最小台数のコンピューター (ライセンス認証しきい値と呼ばれます) が必要です。 KMS ホストによって最近の接続数がカウントされるので、クライアントまたはサーバーが KMS ホストに接続すると、ホストによってそのマシン ID がカウントに追加され、応答で現在のカウント値が返されます。 カウント数が十分であれば、クライアントまたはサーバーがライセンス認証されます。 Windows クライアントは、カウントが 25 以上の場合にライセンス認証されます。 Windows Server とボリューム エディションの Microsoft Office 製品は、カウントが 5 以上の場合にライセンス認証されます。 KMS は、過去 30 日間の一意の接続のみをカウントし、直近 50 件のコンタクトだけを保存します。

DNS レコードを手動で作成する

DNS サービスが動的更新をサポートしていない場合、KMS ホストを公開するには、リソース レコードを手動で作成する必要があります。 DNS サービスに次の情報を使用して、KMS の DNS リソース レコードを手動で作成します (KMS のホスト構成で既定のポート番号を変更した場合は変更します)。

プロパティ
SRV
サービス/名前 _vlmcs
Protocol _tcp
Priority 0
Weight 0
ポート番号 1688
Hostname (ホスト名) KMS ホストの FQDN

また、DNS サービスが動的更新をサポートしていない場合は、失敗した DNS の発行イベントがイベント ログに収集されないように、すべての KMS ホストで発行を無効にする必要があります。

ヒント

手動で作成したリソース レコードは、すべてのレコードが競合を防ぐように保守されている限り、他のドメイン内で KMS ホストから自動的に発行されるリソース レコードと共存することができます。

DNS レコードの発行を無効にする

KMS ホストによる DNS レコードの発行を無効にするには:

  1. 以下を実行してボリューム ライセンス認証ツール ウィザードを起動します。

    vmw.exe

  2. 概要画面で [次へ] を選択します。 ライセンス認証の種類として [キー管理サービス (KMS)] を選択し、localhost を入力して、構成するローカル サーバーまたはサーバーのホスト名を構成します。

  3. [Skip to Configuration](構成までスキップ) を選択し、 [次へ] を選択します。

  4. DNS レコードの発行のチェック ボックスをオフにして [コミット] を選択します。