Partilhar via


Planejar ativação de volume

Dica

Está à procura de informações sobre a ativação a retalho?

A ativação do produto é o processo de validação de software com o fabricante depois de ser instalado num computador específico. A ativação confirma que o produto é genuíno e não é uma cópia fraudulenta. A ativação também confirma que a chave de produto ou o número de série é válido e não está comprometido ou revogado. A ativação também estabelece um link ou relacionamento entre a chave do produto (Product Key) e a instalação específica.

Durante o processo de ativação, as informações sobre a instalação específica são examinadas. Para ativações online, estas informações são enviadas para um servidor da Microsoft. Estas informações podem incluir a versão do software, a chave de produto, o endereço IP do computador e informações sobre o dispositivo. Os métodos de ativação que a Microsoft utiliza foram concebidos para ajudar a proteger a privacidade dos utilizadores e não podem ser utilizados para controlar o computador ou o utilizador. Os dados coletados confirmam que o software é uma cópia legalmente licenciada, e esses dados são usados para realizar análises estatísticas. A Microsoft não utiliza estas informações para identificar ou contactar o utilizador ou a organização.

Observação

O endereço IP é utilizado apenas para verificar a localização do pedido, uma vez que algumas edições do Windows (como edições "Starter") só podem ser ativadas em determinados mercados de destino geográfico.

Canais de distribuição e ativação

Em geral, o software da Microsoft é obtido por meio de três canais principais: varejo, fabricante de equipamento original (OEM) e contratos de licenciamento por volume. Métodos de ativação diferentes estão disponíveis por meio de cada canal. Como as empresas são livres para obter o software por meio de vários canais (por exemplo, comprar alguns no varejo e outros por meio de um programa de licenciamento por volume), a maioria das organizações opta por usar uma combinação de métodos de ativação.

Ativações comerciais

Para ativação de revenda, cada cópia comprada inclui uma chave de produto exclusiva, muitas vezes referida como uma chave de revenda. O usuário insere essa chave durante a instalação do produto. O computador usa essa chave comercial para concluir a ativação após a instalação ser concluída. A maioria das ativações é realizada online, mas a ativação por telefone também está disponível.

Também existem outros cenários de distribuição. Os cartões de chave de produto estão disponíveis para ativar produtos pré-instalados ou transferidos. Programas como Windows Anytime Upgrade e Get Genuine permitem que os usuários adquiram chaves legais separadamente do software. Estas chaves distribuídas eletronicamente podem ser fornecidas com suportes de dados que contêm software, podem vir como um envio de software ou podem ser fornecidas num cartão impresso ou numa cópia eletrónica. Os produtos são ativados da mesma maneira com qualquer uma dessas chaves comerciais.

Fabricante de equipamento original

A maioria dos fabricantes de equipamento original (OEMs) vende sistemas que incluem uma compilação padrão do sistema operacional Windows. O fornecedor de hardware ativa o Windows ao associar o sistema operativo ao firmware/BIOS do computador. Esta ativação ocorre antes de o computador ser enviado para o cliente e não são necessárias ações adicionais.

A ativação do OEM é válida desde que o cliente use a imagem fornecida pelo OEM no sistema. A ativação do OEM está disponível somente para computadores que são adquiridos por meio de canais OEM e têm o sistema operacional Windows pré-instalado.

Licenciamento por volume

O licenciamento por volume oferece programas personalizados de acordo com o tamanho e a preferência de compra da organização. Para se tornar um cliente de licenciamento em volume, a organização tem de configurar um contrato de licenciamento em volume com a Microsoft. Existe um mal-entendido comum sobre a aquisição de licenças para um novo computador através do licenciamento em volume. Há duas maneiras legais de adquirir uma licença de cliente Windows completa para um novo computador:

  • Ter a licença pré-instalada por meio do OEM.
  • Comprar um produto comercial com o pacote completo.

As licenças que são fornecidas por meio de programas de licenciamento por volume, como contratos Open License, Select License e Enterprise, cobrem apenas atualizações para sistemas de operacionais cliente Windows. Antes de os direitos de atualização obtidos através do licenciamento em volume poderem ser exercidos, é necessária uma licença de revenda ou de sistema operativo OEM existente para cada computador com versões atualmente suportadas do Windows.

O licenciamento em volume também está disponível através de determinados programas de subscrição ou associação, como o Microsoft Partner Network e o Visual Studio Codespace. Estas licenças de volume podem conter restrições específicas ou outras alterações aos termos gerais aplicáveis ao licenciamento em volume.

Observação

Algumas edições do sistema operativo, como o Windows Enterprise, e algumas edições de software de aplicação estão disponíveis apenas através de contratos de licenciamento em volume ou subscrições.

Modelos de ativação

Para um usuário ou departamento de TI, não há opções significativas sobre como ativar produtos adquiridos por meio de canais de varejo ou OEM. O OEM efetua a ativação na fábrica e o utilizador ou o departamento de TI não precisa de efetuar quaisquer passos de ativação.

Com um produto de retalho, a Ferramenta de Gestão de Ativação em Volume (VAMT), que é abordada mais adiante neste guia, ajuda a controlar e gerir chaves. Para cada ativação de revenda, podem ser escolhidas as seguintes opções:

  • Ativação online.
  • Ativação por telefone.
  • Ativação do proxy VAMT.

A ativação por telefone é usada principalmente em situações em que um computador é isolado de todas as redes. Por vezes, a ativação de proxy VAMT com chaves de revenda é utilizada quando um departamento de TI quer centralizar as ativações de revenda. A VAMT também pode ser utilizada quando um computador com uma versão de revenda do sistema operativo está isolado da Internet, mas ligado à LAN. No entanto, para produtos licenciados em volume, o melhor método ou combinação de métodos tem de ser determinado a utilizar no ambiente. Para as versões atualmente suportadas do Windows Pro e Enterprise, pode escolher um dos três modelos seguintes:

  • Várias Chaves de Ativação (MAK).
  • KM.
  • Ativação baseada no Active Directory.

Observação

A ativação baseada em tokens para Windows Enterprise (incluindo LTSC) e Windows Server está disponível para situações específicas quando os clientes aprovados dependem de uma infraestrutura de chave pública num ambiente isolado e de alta segurança. Para obter mais informações, contacte a Equipa da Conta Microsoft ou o representante do serviço.

Chave de ativação múltipla

Normalmente, uma Chave de Ativação Múltipla (MAK) é utilizada em pequenas ou médias organizações que têm um contrato de licenciamento em volume, mas não cumprem os requisitos para operar um KMS. A MAK também pode ser utilizada se preferir uma abordagem mais simples. Uma MAK também permite a ativação permanente de:

  • Computadores isolados do KMS.
  • Computadores que fazem parte de uma rede isolada que não tem computadores suficientes para utilizar o KMS.

Para usar uma MAK, os computadores a serem ativados devem ter uma MAK instalada. A MAK é usada para ativação única com os serviços de ativação hospedados online da Microsoft, por telefone ou usando a ativação de proxy com a VAMT.

Em termos mais simples, uma MAK atua como uma chave comercial, exceto que uma MAK é válida para ativar vários computadores. Cada MAK pode ser usada um número específico de vezes. A VAMT pode ajudar a controlar o número de ativações executadas com cada chave e quantas ativações permanecem.

As organizações podem baixar chaves MAK e KMS do site do Centro de serviço de licenciamento por volume. Cada MAK tem um número predefinido de ativações, que se baseiam numa percentagem da contagem de licenças compradas pela organização. No entanto, o número de ativações disponíveis pode ser aumentado com a MAK ao chamar a Microsoft.

Serviço de Gerenciamento de Chaves

Com o Serviço de Gerenciamento de Chaves (KMS), os profissionais de TI podem concluir ativações na rede local, eliminando a necessidade de os computadores individuais se conectarem à Microsoft para ativação do produto. O KMS é um serviço simples que não requer um sistema dedicado e pode ser facilmente alojado num sistema que fornece outros serviços.

As edições de volume das versões atualmente suportadas do Windows e do Windows Server ligam-se automaticamente a um sistema que aloja o KMS para pedir a ativação. Nenhuma ação é necessária do usuário.

O KMS requer um número mínimo de computadores, computadores físicos ou máquinas virtuais, num ambiente de rede. A organização tem de ter, pelo menos, cinco computadores para ativar as versões atualmente suportadas do Windows Server e pelo menos 25 computadores para ativar computadores cliente com versões atualmente suportadas do cliente Windows. Esses mínimos são chamados de limites de ativação.

O planejamento para usar o KMS inclui selecionar o melhor local para o host KMS e quantos hosts KMS ter. Um anfitrião KMS pode processar um grande número de ativações, mas as organizações implementam frequentemente dois anfitriões KMS para garantir a disponibilidade. O KMS pode ser alojado num computador cliente ou num servidor. A configuração do KMS é abordada mais adiante neste guia.

Ativação baseada no Active Directory

A ativação baseada no Active Directory é semelhante à ativação através do KMS, mas o computador ativado não precisa de manter a conectividade periódica com o anfitrião KMS. Em vez disso, um computador associado a um domínio com versões atualmente suportadas do Windows ou do Windows Server consulta ADDS para um objeto de ativação em volume armazenado no domínio. O sistema operacional verifica as assinaturas digitais que estão contidas no objeto de ativação e, em seguida, ativa o dispositivo.

A ativação baseada no Active Directory permite que as empresas ativem computadores por meio de uma conexão com seu domínio. Muitas empresas têm computadores em localizações remotas ou de sucursais, onde é impraticável ligar a um KMS ou não atingiriam o limiar de ativação KMS. Em vez de utilizar a MAK, a ativação baseada no Active Directory fornece uma forma de ativar computadores com versões atualmente suportadas do Windows e do Windows Server, desde que os computadores possam contactar o domínio da empresa. A ativação baseada no Active Directory oferece a vantagem de expandir os serviços de ativação em volume em todos os locais onde já exista uma presença de domínio.

Rede e conectividade

Uma rede comercial moderna tem muitas nuances e interconexões. Esta secção examina a avaliação da rede da organização e as ligações que estão disponíveis para determinar como ocorrem as ativações em volume.

Rede principal

A rede principal da organização é essa parte da rede que goza de conectividade estável, de alta velocidade e fiável aos servidores de infraestrutura. Em muitos casos, a rede principal também está ligada à Internet. No entanto, a conectividade à Internet não é um requisito para utilizar a ativação baseada no KMS ou no Active Directory após o servidor KMS ou ADDS estar configurado e ativo. É provável que a rede principal da organização consista em muitos segmentos de rede. Em muitas organizações, a rede principal constitui a maior parte da rede empresarial.

Na rede principal, é recomendada uma solução KMS centralizada. A ativação baseada no Active Directory também pode ser utilizada, mas em muitas organizações, o KMS ainda pode ser necessário para computadores que não estão associados ao domínio. Alguns administradores preferem executar ambas as soluções para ter mais flexibilidade, enquanto outros preferem escolher apenas uma solução baseada no KMS para simplificar. A ativação baseada no Active Directory como a única solução é viável se todos os clientes da organização estiverem a executar versões suportadas atualmente do Windows.

Uma rede principal comum que inclui um host KMS é mostrada na Figura 1.

Rede principal típica.

Figura 1. Rede principal comum

Redes isoladas

Numa rede grande, alguns segmentos podem estar isolados, por motivos de segurança ou devido a problemas geográficos ou de conectividade.

Isolado para segurança

Um segmento de rede isolado da rede principal por uma firewall ou desligado de outras redes é por vezes denominado zona de alta segurança. A melhor solução para ativar computadores em uma rede isolada depende das políticas de segurança no lugar da organização.

Se a rede isolada puder:

  • Aceder à rede principal com pedidos de saída na porta TCP 1688
  • Permitido receber chamadas de procedimento remoto (RPCs)

A ativação pode ser efetuada com o KMS na rede principal, evitando a necessidade de atingir limiares de ativação adicionais.

Se a rede isolada participar totalmente na floresta empresarial e puder fazer ligações típicas a controladores de domínio, tais como:

  • Utilizar o Protocolo LDAP (Lightweight Directory Access Protocol) para consultas
  • Utilizar o Serviço de Nomes de Domínio (DNS) para a resolução de nomes

em seguida, este cenário é uma boa oportunidade para utilizar a ativação baseada no Active Directory para versões atualmente suportadas do Windows e Windows Server.

Se a rede isolada não conseguir comunicar com o servidor KMS da rede principal e não puder utilizar a ativação baseada no Active Directory, pode ser configurado um anfitrião KMS na rede isolada. Essa configuração é mostrada na Figura 2. No entanto, se a rede isolada contiver apenas alguns computadores, não atingirá o limiar de ativação KMS. Nesse caso, os MAKs podem ser utilizados para ativação.

Se a rede estiver totalmente isolada, a ativação independente da MAK seria a escolha recomendada, talvez utilizando a opção de telefone, mas a ativação de proxy VAMT também poderá ser possível. Os MAKs também podem ser utilizados para ativar novos computadores durante a configuração, antes de serem colocados na rede isolada.

Novo anfitrião KMS numa rede isolada.

Figura 2. Novo host KMS em uma rede isolada

Sucursais e redes distantes

Desde operações mineiras a navios no mar, muitas vezes as organizações têm alguns computadores que não estão facilmente ligados à rede principal ou à Internet. Algumas organizações têm segmentos de rede em filiais que são grandes e bem conectados internamente, mas têm uma conexão WAN lenta ou não confiável com o resto da organização. Existem várias opções nestas situações:

  • Ativação baseada no Active Directory. Em qualquer site onde os computadores cliente estejam a executar versões suportadas atualmente do Windows, a ativação baseada no Active Directory é suportada e pode ser ativada ao associar o domínio.

  • KMS local. Se um local tiver 25 ou mais computadores cliente, ele poderá ativá-los usando um servidor KMS local.

  • KMS remoto (principal). Se o site remoto tiver conectividade a um KMS existente, talvez através de uma rede privada virtual (VPN) para a rede principal, esse KMS pode ser utilizado. Utilizar o KMS existente significa que o limiar de ativação só precisa de ser cumprido nesse servidor.

  • Ativação do MAK. Se o local tiver apenas alguns computadores e nenhuma conectividade com um host KMS existente, a ativação de MAK será a melhor opção.

Computadores desconectados

Alguns utilizadores podem estar em localizações remotas ou podem viajar para várias localizações. Esse cenário é comum para clientes móveis, como os computadores que são usados por vendedores ou outros usuários que trabalham fora do local, mas não em filiais. Esse cenário também pode se aplicar a filiais remotas que não tenham conexão com a rede principal. Esta sucursal pode ser considerada uma "rede isolada", onde o número de computadores é um. Os computadores desligados podem utilizar a ativação baseada no Active Directory, o KMS ou a MAK, dependendo da frequência com que os computadores se ligam à rede principal.

A ativação baseada no Active Directory pode ser utilizada em computadores quando cumprem as seguintes condições:

  • O computador está associado ao domínio.
  • O computador está a executar uma versão suportada atualmente do Windows ou do Windows Server.
  • O computador liga-se ao domínio pelo menos uma vez a cada 180 dias, diretamente ou através de uma VPN.

Caso contrário, para computadores que raramente ou nunca se ligam à rede, a ativação independente MAK deve ser utilizada através do telefone ou da Internet.

Laboratórios de teste e desenvolvimento

Ambientes de laboratório normalmente têm grandes quantidades de máquinas virtuais, e os computadores físicos e máquinas virtuais em laboratórios são reconfigurados com frequência. Portanto, determine primeiro se os computadores nos laboratórios de teste e desenvolvimento requerem ativação. As edições atualmente suportadas do Windows que incluem licenciamento em volume funcionam normalmente, mesmo que não possam ser ativadas imediatamente.

Se as cópias de teste ou desenvolvimento do sistema operativo estiverem dentro do contrato de licença, os computadores de laboratório poderão não precisar de ser ativados se forem reconstruídos com frequência. Se os computadores de laboratório precisarem de ser ativados, trate o laboratório como uma rede isolada e utilize os métodos descritos anteriormente neste guia. Nos laboratórios que têm uma elevada rotatividade de computadores e alguns clientes KMS, a contagem de ativação KMS tem de ser monitorizada. O tempo que o KMS coloca em cache os pedidos de ativação poderá ter de ser ajustado. O valor padrão é 30 dias.

Mapear a rede para métodos de ativação

Ao avaliar a conectividade de rede e o número de computadores em cada site, as informações necessárias para determinar quais os métodos de ativação que funcionam melhor podem ser determinadas. Estas informações podem ser preenchidas na Tabela 1 para ajudar a determinar esta determinação.

Tabela 1. Critérios dos métodos de ativação

Critério Método de ativação
Número de computadores associados a um domínio que se ligarão a um controlador de domínio pelo menos a cada 180 dias. Os computadores podem ser móveis, semi-isolados ou localizados em uma filial ou rede principal. Ativação baseada no Active Directory
Número de computadores na rede principal que se ligarão, pelo menos, a cada 180 dias, diretamente ou através da VPN. A rede principal deve atender ao limite de ativação do KMS. KMS (central)
Número de computadores que não se ligam à rede pelo menos uma vez a cada 180 dias ou se nenhuma rede cumprir o limiar de ativação. MAK
Número de computadores em redes semi-isoladas que têm conectividade com o KMS na rede principal. KMS (central)
Número de computadores em redes isoladas onde o limiar de ativação KMS é atingido. KMS (local)
Número de computadores em redes isoladas onde o limiar de ativação KMS não é cumprido. MAK
Número de computadores em laboratórios de teste e desenvolvimento que não serão ativados. Nenhum
Número de computadores que não têm uma licença de volume de revenda. Comercial (online ou por telefone)
Número de computadores que não têm uma licença de volume OEM. OEM (na fábrica)
Número total de ativações por computador. Este total deve corresponder ao número total de computadores licenciados na organização.

Escolhendo e adquirindo chaves

Quando souber que chaves são necessárias, as chaves têm de ser obtidas. De modo geral, as chaves de licenciamento por volume são coletadas de duas maneiras:

Chaves host KMS

Um host KMS precisa de uma chave que ativa, ou autentica, o host KMS com a Microsoft. Esta chave é referida como a chave de anfitrião KMS, mas é formalmente conhecida como uma Chave de Licenciamento em Volume Específica do Cliente microsoft (CSVLK). Algumas documentação e referências à Internet utilizam o termo chave KMS, mas CSVLK é o nome adequado para as ferramentas de gestão e documentação atuais.

Um anfitrião KMS com uma versão atualmente suportada do Windows Server pode ativar os sistemas operativos cliente Windows Server e Windows. Também é necessária uma chave de anfitrião KMS para criar os objetos de ativação no ADDS, conforme descrito mais adiante neste guia. É necessária uma chave de anfitrião KMS para qualquer KMS configurado. Além disso, tem de ser determinado se a ativação baseada no Active Directory será utilizada.

Chaves de licenciamento por volume genéricas

Se os computadores estiverem ativados com a ativação baseada no KMS ou no Active Directory ao utilizar um suporte de dados de instalação personalizado ou uma imagem para instalar o Windows, instale uma chave de licença de volume genérica (GVLK) ao criar o suporte de dados ou imagem de instalação personalizada. O GVLK deve corresponder à edição do Windows que está a ser instalada.

Os suportes de dados de instalação das edições Microsoft para Enterprise do sistema operativo Windows podem já conter o GVLK. Uma GVLK está disponível para cada tipo de instalação. O GVLK não ativa o software nos servidores de ativação da Microsoft, mas sim num objeto de ativação baseado no KMS ou no Active Directory. Por outras palavras, o GVLK não funciona, a menos que seja encontrada uma chave de anfitrião KMS válida. As GVLKs são as únicas chaves de produto que não precisam de ser mantidas confidenciais.

Normalmente, um GVLK não precisa de ser introduzido manualmente, a menos que um computador seja:

  • Ativado com uma MAK ou uma chave de revenda.
  • Ser convertido numa ativação KMS ou numa ativação baseada no Active Directory.

Se for necessário localizar o GVLK para uma edição de cliente específica, veja Key Management Services (KMS) client activation and product keys (Ativação do cliente e chaves de produto dos Serviços de Gestão de Chaves [KMS]).

Chaves de ativação múltipla

As chaves MAK com o número adequado de ativações disponíveis também são necessárias. O número de vezes que uma MAK foi utilizada pode ser visto no site do Centro de Serviços de Licenciamento em Volume ou na VAMT.

Selecionando um host KMS

O KMS não requer um servidor dedicado. Pode ser coalojado com outros serviços, como controladores de domínio ADDS e controladores de domínio só de leitura.

Os hosts KMS podem ser executados em computadores físicos ou máquinas virtuais que executam qualquer sistema operacional Windows compatível. Um anfitrião KMS que esteja a executar versões suportadas atualmente do Windows Server pode ativar qualquer cliente windows ou sistema operativo de servidor que suporte a ativação em volume. Um anfitrião KMS que esteja a executar uma versão atualmente suportada do cliente Windows só pode ativar computadores com uma versão atualmente suportada do cliente Windows.

Um único host KMS pode oferecer suporte a números ilimitados de clientes KMS, mas a Microsoft recomenda Implantar no mínimo de dois hosts KMS para fins de failover. No entanto, à medida que mais clientes são ativados através da ativação baseada no Active Directory, o KMS e a redundância do KMS podem não ser necessários. A maioria das organizações pode usar dois hosts KMS para toda sua infraestrutura.

O fluxo de ativação do KMS é mostrado na Figura 3 e segue esta sequência:

  1. O administrador usa o console da VAMT para configurar um host KMS e instalar uma chave host KMS.

  2. A Microsoft valida a chave host KMS, e o host KMS começa a ouvir as solicitações.

  3. O host KMS atualiza os registros de recurso no DNS para permitir que os clientes localizem o host KMS. A adição manual de registos DNS é necessária se o ambiente não suportar o protocolo de atualização dinâmica DNS.

  4. Um cliente configurado com uma GVLK usa o DNS para localizar o host KMS.

  5. O cliente envia um pacote para o host KMS.

  6. O host KMS registra as informações sobre o cliente solicitante (usando uma ID de cliente). IDs de cliente são usadas para manter a contagem de clientes e detectar quando o mesmo computador está solicitando a ativação novamente. A ID de cliente é usada apenas para determinar se os limites de ativação são atendidos. Os IDs não são armazenados permanentemente ou transmitidos à Microsoft. Se o KMS for reiniciado, a coleta de IDs de cliente começará novamente.

  7. Se o host KMS tiver uma chave host KMS que corresponda aos produtos na GVLK, o host KMS enviará um único pacote de volta para o cliente. Este pacote contém uma contagem do número de computadores que pediram a ativação deste anfitrião KMS.

  8. Se a contagem exceder o limite de ativação do produto que está sendo ativado, o cliente será ativado. Se o limiar de ativação não for atingido, o cliente tentará novamente.

Fluxo de ativação KMS.

Figura 3. Fluxo de ativação do KMS