Активация клиентов под управлением Windows 10
После настройки активации с помощью службы управления ключами (KMS) или Active Directory в сети вы легко активируете клиент с операционной системой Windows 10. Если компьютер настроен с общим ключом многократной установки (GVLK), то ни от ИТ-отдела, ни от пользователя не требуется никаких действий. Все работает само собой.
Образы и установочный носитель для корпоративного выпуска уже должны быть настроены с использованием GVLK. При запуске клиентского компьютера служба лицензирования проверяет текущее состояние лицензирования компьютера. Если требуется активация или повторная активация, выполняется следующая последовательность действий.
Если компьютер является членом домена, он запрашивает у контроллера домена объект активации корпоративных лицензий. Если настроена активация с помощью Active Directory, контроллер домена возвращает объект. Если объект соответствует выпуску установленного ПО и на компьютере есть соответствующий ключ GVLK, то компьютер активируется (или повторно активируется); повторная активация не потребуется в течение 180 дней, хотя операционная система будет регулярно предпринимать попытки повторной активации через гораздо более короткие интервалы времени.
Если компьютер не является членом домена или объект активации корпоративных лицензий недоступен, то компьютер отправит запрос DNS, чтобы попытаться найти сервер управления ключами. Если с сервером управления ключами можно связаться и в службе управления ключами есть ключ, соответствующий GVLK компьютера, то активация выполняется.
Компьютер пытается выполнить активацию на серверах Майкрософт, если он настроен с использованием ключа многократной активации (MAK).
Если клиенту не удается пройти активацию, он периодически повторяет попытку. Частота попыток зависит от текущего состояния лицензирования и от успеха активации клиентского компьютера в прошлом. Например, если клиентский компьютер уже активирован с помощью Active Directory, он периодически будет пытаться связаться с контроллером домена при каждом перезапуске.
Принципы работы службы управления ключами
KMS использует топологию "клиент-сервер". Клиентские компьютеры KMS могут находить главные компьютеры KMS при помощи DNS или статической конфигурации. Клиенты KMS связываются с узлом KMS, используя удаленные вызовы процедур (RPC) по TCP/IP.
Порог активаций с использованием службы управления ключами
Вы можете активировать физические компьютеры и виртуальные машины, связавшись с узлом KMS. Для активации с помощью KMS требуется минимальное количество соответствующих компьютеров (порог активации). Клиенты KMS будут активированы только после достижения этого порога. Каждый узел KMS подсчитывает число компьютеров, запросивших активацию, пока не будет достигнут порог.
В ответ на каждый действительный запрос активации от клиента KMS узел KMS сообщает число компьютеров, которые уже обратились к нему за активацией. Клиентские компьютеры, получившие значение счетчика ниже порога активации, не активируются. Например, если первые два компьютера, связавшиеся с узлом KMS, работают под управлением Windows 10, то первый получит значение счетчика активаций 1, а второй — 2. Если следующий компьютер является виртуальной машиной на компьютере, работающем под управлением Windows 10, он получит значение счетчика активаций 3 и т. д. Ни один из этих компьютеров не будет активирован, так как компьютеры под управлением Windows 10, как и прочие клиентские версии операционных систем, должны получить значение счетчика активаций не менее 25.
Пока клиенты KMS ожидают достижения порога активации, они связываются с узлом KMS каждые два часа для получения текущего значения счетчика. Они будут активированы при достижении порога.
Если в нашем примере следующий компьютер, обращающийся к узлу KMS, работает под управлением Windows Server 2012 R2, он получит значение счетчика активаций 4, поскольку значения счетчика суммируются. Если компьютер под управлением Windows Server 2012 R2 получает значение счетчика активаций 5 или больше, он активируется. Если компьютер под управлением Windows 10 получает значение счетчика активаций 25 или больше, он активируется.
Кэш счетчика активаций
Для отслеживания порога активации узел KMS ведет учет клиентов KMS, запрашивающих активацию. Узел KMS присваивает каждому клиенту KMS идентификатор и сохраняет его в таблице. По умолчанию каждый запрос активации сохраняется в таблице до 30 дней. Когда клиент продлевает свою активацию, помещенный в кэш идентификатор клиента удаляется из таблицы, создается новая запись и 30-дневный период начинается заново. Если клиентский компьютер KMS не продлевает свою активацию в течение 30 дней, узел KMS удаляет соответствующий идентификатор клиента из таблицы и уменьшает значение счетчика активаций на единицу.
Однако узел KMS только дважды кэширует число идентификаторов клиентов, которые требуются для достижения порога активации. Поэтому в таблице сохраняются только 50 последних идентификаторов клиентов и идентификатор клиента может быть удален намного раньше, чем через 30 дней.
Общий размер кэша зависит от типа клиентского компьютера, который выполняет попытку активации. Если узел KMS получает запросы активации только от серверов, то в кэше будет храниться только 10 идентификаторов клиентов (вдвое больше необходимых 5). Если клиентский компьютер под управлением Windows 10 обращается к этому узлу KMS, то служба KMS увеличивает размер кэша до 50 в соответствии с повышенным порогом. KMS никогда не уменьшает размер кэша.
Подключение службы управления ключами
Для активации с помощью KMS требуется подключение TCP/IP. По умолчанию узлы и клиенты KMS используют DNS для публикации и поиска KMS. Можно использовать параметры по умолчанию, для которых требуется минимум административных операций. Узлы и клиентские компьютеры KMS можно также настроить вручную в соответствии с требованиями конфигурации и безопасности сети.
Продление активации с помощью службы управления ключами
Активации с помощью KMS действительны в течение 180 дней (срок действия активации). Чтобы оставаться активированными, клиентские компьютеры KMS должны продлевать активацию, подключаясь к узлу KMS не реже одного раза в 180 дней. По умолчанию клиентские компьютеры KMS пытаются продлевать свою активацию каждые 7 дней. Если активация с помощью KMS завершается ошибкой, клиентский компьютер повторяет попытку каждые два часа. После продления активации клиентского компьютера срок действия активации начинается заново.
Публикация службы управления ключами
KMS использует записи расположения службы (SRV) в DNS для хранения расположений узлов KMS и связи с ними. Узлы KMS используют протокол динамических обновлений DNS (если он доступен) для публикации записей SRV службы KMS. Если динамическое обновление недоступно или у узла KMS нет прав на публикацию записей ресурсов, то записи DNS необходимо опубликовать вручную или настроить клиентские компьютеры для подключения к определенным узлам KMS.
Обнаружение клиентом службы управления ключами
По умолчанию клиентские компьютеры KMS запрашивают информацию о KMS в DNS. Когда клиентский компьютер KMS впервые запрашивает информацию о KMS, он выбирает узел KMS случайным образом из списка записей расположения службы (SRV), возвращаемого DNS. Адрес DNS-сервера, содержащего записи SRV, может быть указан на клиентских компьютерах KMS в виде записи с суффиксом. Это позволяет одному DNS-серверу объявлять записи SRV для KMS, а клиентским компьютерам KMS с другими основными DNS-серверами — найти их.
Можно добавить параметры приоритета и веса в значение реестра DnsDomainPublishList для KMS. Назначая группы приоритетов и веса узлов KMS в каждой группе, можно указать узел KMS, к которому клиентские компьютеры должны обращаться в первую очередь, и сбалансировать трафик между несколькими узлами KMS. Эти параметры приоритета и веса поддерживаются только в Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Server 2012 R2, Windows Server 2012 и Windows Server 2008 R2.
Если узел KMS, выбранный клиентским компьютером, не отвечает, клиентский компьютер KMS удаляет этот узел из своего списка записей SRV и случайным образом выбирает другой узел KMS из списка. Когда узел KMS отвечает, клиентский компьютер KMS кэширует его имя и использует его для последующих попыток активации и продления. Если кэшированный узел KMS не отвечает при последующем продлении активации, клиентский компьютер KMS находит новый узел KMS, запрашивая записи SRV в DNS.
По умолчанию клиентские компьютеры подключаются к узлу KMS для активации, используя анонимные вызовы RPC через порт TCP 1688. (Вы можете изменить порт по умолчанию.) Установив сеанс TCP с узлом KMS, клиентский компьютер отправляет один пакет запроса. Узел KMS в ответ передает значение счетчика активаций. Если значение счетчика больше или равно порогу активации для данной операционной системы, клиентский компьютер активируется и сеанс завершается. Клиентский компьютер KMS использует ту же процедуру для запросов продления. При этом в каждом направлении передается 250 байт.
Конфигурация DNS-сервера
Для функции автоматической публикации KMS по умолчанию требуются запись расположения службы (SRV) и поддержка протокола динамических обновлений DNS. Поведение клиентского компьютера KMS по умолчанию и публикация записей SRV службы KMS поддерживаются на DNS-сервере, использующем ПО Майкрософт, или на любом другом DNS-сервере с поддержкой записей SRV (согласно RFC 2782 рабочей группы IETF) и динамических обновлений (согласно RFC 2136 IETF). Например, Berkeley Internet Domain Name версий 8.x и 9.x поддерживает записи SRV и динамическое обновление.
Узел KMS необходимо настроить таким образом, чтобы у него были учетные данные для создания и обновления следующих записей ресурсов на DNS-серверах: службы (SRV), узла IPv4 (A) и узла IPv6 (AAAA). Либо записи необходимо создать вручную. Чтобы предоставить узлу KMS необходимые учетные данные, рекомендуется создать группу безопасности в AD DS, а затем добавить все узлы KMS в эту группу. Убедитесь, что на DNS-сервере, использующем ПО Майкрософт, этой группе безопасности предоставлены полные права управления записью _VLMCS._TCP в каждом домене DNS, который будет содержать записи SRV службы KMS.
Активация первого узла службы управления ключами
Узлы KMS в сети должны установить ключ KMS и затем активироваться в Майкрософт. Установка ключа KMS включает службу KMS на узле KMS. После установки ключа KMS завершите активацию узла KMS по телефону или через Интернет. Помимо первоначальной активации, узел KMS не передает в Майкрософт никаких сведений. Ключи KMS устанавливаются только на узлах KMS и никогда на отдельных клиентских компьютерах KMS.
Активация последующих узлов службы управления ключами
Каждый ключ KMS можно установить максимум на шести узлах KMS. Эти узлы могут быть физическими компьютерами или виртуальными машинами. После активации узла KMS один и тот же узел можно повторно активировать до девяти раз с одним и тем же ключом. Если организации требуется больше шести узлов KMS, можно в виде исключения запросить дополнительные активации для корпоративного ключа KMS, позвонив в Центр активации корпоративных лицензий Майкрософт.
Принципы работы ключа многократной активации (MAK)
Ключ MAK используется для однократной активации с использованием размещенных служб активации Майкрософт. Каждый MAK имеет предопределенное число разрешенных активаций. Это число зависит от соглашений корпоративного лицензирования и не обязательно совпадает с числом лицензий в организации. Каждая активация, использующая MAK с размещенной службой активации Майкрософт, учитывается при определении предела активаций.
Вы можете активировать компьютеры с помощью MAK двумя способами:
Независимая активация MAK. Каждый компьютер независимо от других подключается к серверам Майкрософт и активируется через Интернет или по телефону. Независимая активация MAK подходит для тех компьютеров в организации, которые не подключены постоянно к корпоративной сети. Схема независимой активации MAK показана на рисунке 16.
.jpg "Независимая активация MAK")
Рисунок 16. Независимая активация MAK
Прокси-активация MAK. В этом случае выполняется централизованный запрос активации от нескольких компьютеров посредством одного подключения к серверам Майкрософт. Для настройки прокси-активации MAK используется средство управления активацией корпоративных лицензий (VAMT). Прокси-активация MAK подходит для сред, в которых из соображений безопасности ограничен прямой доступ к Интернету или корпоративной сети. Этот способ также подходит для лабораторий разработки и тестирования, не имеющих такого подключения. Прокси-активация MAK с помощью VAMT показана на рисунке 17.
.jpg "Прокси-активация MAK")
Рисунок 17. Прокси-активация MAK с помощью VAMT
MAK рекомендуется для компьютеров, которые редко или никогда не подключаются к корпоративной сети, и для сред, где число компьютеров, которым необходима активация, не достигает порога активации с помощью KMS.
Можно использовать MAK для отдельных компьютеров либо с образом, который можно скопировать или установить при помощи решений Майкрософт для развертывания. Можно также использовать MAK на компьютере, который изначально был настроен для активации с помощью KMS. Это полезно при перемещении компьютера из основной сети в автономную среду.
Архитектура ключа многократной активации и активация с его помощью
При независимой активации MAK ключ продукта MAK устанавливается на клиентском компьютере. Ключ предписывает компьютеру выполнить самостоятельную активацию на серверах Майкрософт через Интернет.
При прокси-активации MAK средство VAMT устанавливает ключ продукта MAK на клиентском компьютере, получает код установки с конечного компьютера, отправляет этот код в Майкрософт от имени клиента и получает код подтверждения. Затем средство активирует клиентский компьютер, установив код подтверждения.
Активация от имени обычного пользователя
В Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Server 2012 R2, Windows Server 2012 и Windows Server 2008 R2 для активации не требуются права администратора, но это изменение не позволяет обычным пользователям удалять компьютеры с Windows 7 или Windows Server 2008 R2 из списка активированных. Учетная запись администратора по-прежнему требуется для других задач, связанных с активацией или лицензированием, например для возврата к исходному состоянию активации.