Активация клиентов под управлением Windows
Совет
Ищете сведения об активации розничной торговли?
После настройки службы управления ключами (KMS) или активации на основе Active Directory в сети активировать клиент под управлением Windows будет легко. Если на компьютере настроен универсальный ключ корпоративной лицензии (GVLK), ИТ-службе или пользователю не нужно предпринимать никаких действий. Все будет работать без каких-либо настроек.
Образы и установочный носитель для корпоративного выпуска уже должны быть настроены с помощью ключа GVLK. При запуске клиентского компьютера служба лицензирования проверяет текущее состояние лицензирования компьютера.
Если требуется активация или повторная активация, выполняется следующая последовательность действий.
Если компьютер является членом домена, он запрашивает у контроллера домена объект активации корпоративных лицензий. Если настроена активация с помощью Active Directory, контроллер домена возвращает объект. Если объект соответствует следующим требованиям:
- Соответствует выпуску установленного программного обеспечения
- Имеет соответствующий GVLK
затем компьютер активируется (или активируется повторно). Компьютер не требуется снова активировать в течение 180 дней, хотя операционная система пытается повторно активировать с более короткими регулярными интервалами.
Если компьютер не является членом домена или объект активации корпоративных лицензий недоступен, компьютер отправляет ЗАПРОС DNS, чтобы попытаться найти сервер KMS. Если можно связаться с сервером KMS, активация происходит, если KMS имеет ключ, соответствующий GVLK компьютера.
Компьютер пытается активировать на серверах Майкрософт, если он настроен с помощью MAK.
Если клиент не может успешно активировать себя, он периодически пытается повторить попытку. Частота повторных попыток зависит от текущего состояния лицензирования и от того, был ли клиентский компьютер успешно активирован в прошлом. Например, если клиентский компьютер ранее использовал активацию на основе Active Directory для активации, он периодически пытается связаться с контроллером домена при каждой перезагрузке.
Принципы работы службы управления ключами
KMS использует топологию клиент-сервер. Клиентские компьютеры KMS могут находить главные компьютеры KMS при помощи DNS или статической конфигурации. Клиенты KMS связываются с узлом KMS, используя удаленные вызовы процедур (RPC) по TCP/IP.
Порог активаций с использованием службы управления ключами
Физические компьютеры и виртуальные машины можно активировать, связавшись с узлом KMS. Чтобы получить право на активацию KMS, должно быть минимальное количество соответствующих компьютеров. Это минимальное значение называется пороговым значением активации. Клиенты KMS будут активированы только после выполнения этого порогового значения. Каждый узел KMS подсчитывает количество компьютеров, запрашивающих активацию до тех пор, пока не будет достигнуто пороговое значение.
В ответ на каждый действительный запрос активации от клиента KMS узел KMS сообщает число компьютеров, которые уже обратились к нему за активацией. Клиентские компьютеры, получающие число ниже порогового значения активации, не активируются. Например, если первые два компьютера, которые обращаются к узлу KMS, работают под управлением поддерживаемой в настоящее время версии клиента Windows, первый получает количество активаций 1, а второй — число активаций 2. Если следующий компьютер является виртуальной машиной под управлением поддерживаемой в настоящее время версии клиента Windows, она получает количество активаций 3 и т. д. Ни один из этих компьютеров не активируется, так как должно быть достигнуто число активаций, равных 25 или более.
Когда клиенты KMS ожидают достижения KMS порогового значения активации, они подключаются к узлу KMS каждые два часа, чтобы получить текущее количество активаций. Они активируются при достижении порогового значения.
В нашем примере, если следующий компьютер, который обращается к узлу KMS, работает под управлением поддерживаемой в настоящее время версии Windows Server, он получает количество активаций, равное 4, так как количество активаций является накопительным. Если компьютер под управлением поддерживаемой в настоящее время версии Windows Server получает число активаций, равное 5 или более, он активируется. Если компьютер под управлением поддерживаемой в настоящее время версии клиента Windows получает число активаций 25 или более, он активируется.
Кэш счетчика активаций
Для отслеживания порога активации узел KMS ведет учет клиентов KMS, запрашивающих активацию. Узел KMS присваивает каждому клиенту KMS идентификатор и сохраняет его в таблице. По умолчанию каждый запрос на активацию хранится в таблице до 30 дней. Когда клиент возобновляет активацию, кэшированный идентификатор клиента удаляется из таблицы, создается новая запись, и 30-дневный период начинается снова. Если клиентский компьютер KMS не продлевает активацию в течение 30 дней, узел KMS удаляет соответствующий идентификатор клиента из таблицы и уменьшает количество активаций на один.
Однако узел KMS только дважды кэширует число идентификаторов клиентов, которые требуются для достижения порога активации. Таким образом, в таблице хранятся только 50 последних идентификаторов клиентов, и идентификатор клиента может быть удален раньше, чем через 30 дней.
Тип клиентского компьютера, который пытается активировать, задает общий размер кэша. Например, если узел KMS получает запросы на активацию только от серверов, кэш содержит только 10 идентификаторов клиентов, что в два раза превышает требуемое пороговое значение 5. Однако если клиентский компьютер под управлением клиента Windows обращается к узлу KMS, KMS увеличивает размер кэша до 50, чтобы обеспечить более высокое пороговое значение. KMS никогда не уменьшает размер кэша.
Подключение службы управления ключами
Для активации с помощью KMS требуется подключение TCP/IP. По умолчанию узлы и клиенты KMS используют DNS для публикации и поиска KMS. Можно использовать параметры по умолчанию, которые не требуют практически никаких административных действий. Однако узлы KMS и клиентские компьютеры можно настроить вручную на основе конфигурации сети и требований безопасности.
Продление активации с помощью службы управления ключами
Активации с помощью KMS действуют в течение 180 дней (срок действия активации). Чтобы оставаться активированными, клиентские компьютеры KMS должны продлевать активацию, подключаясь к узлу KMS не реже одного раза в 180 дней. По умолчанию клиентские компьютеры KMS пытаются возобновлять активацию каждые семь дней. Если активировать лицензию с помощью KMS не удается, клиентский компьютер повторяет попытки каждые два часа. После возобновления активации клиентского компьютера интервал действия активации начинается снова.
Публикация службы управления ключами
KMS использует записи расположения службы (SRV) в DNS для хранения расположений узлов KMS и связи с ними. Узлы KMS используют протокол динамических обновлений DNS (если он доступен) для публикации записей SRV службы KMS. Если динамическое обновление недоступно или узел KMS не имеет прав на публикацию записей ресурсов, необходимо выполнить одно из следующих действий:
- Записи DNS должны быть опубликованы вручную.
- Клиентские компьютеры должны быть настроены для подключения к определенным узлам KMS.
Обнаружение клиентом службы управления ключами
По умолчанию клиентские компьютеры KMS запрашивают информацию о KMS в DNS. Когда клиентский компьютер KMS впервые запрашивает информацию о KMS, он выбирает узел KMS случайным образом из списка записей расположения службы (SRV), возвращаемого DNS. Адрес DNS-сервера, содержащего записи ресурсов службы (SRV), можно указать в качестве суффикса на клиентских компьютерах KMS. Эта функция позволяет одному DNS-серверу объявлять записи ресурсов службы (SRV) для KMS и клиентские компьютеры KMS с другими основными DNS-серверами, чтобы найти их.
Можно добавить параметры приоритета и веса в значение реестра DnsDomainPublishList для KMS. Установка групп приоритетов узлов KMS и взвешивания в каждой группе позволяет указать, какой узел KMS следует попробовать клиентским компьютерам в первую очередь, и балансирует трафик между несколькими узлами KMS. Все поддерживаемые в настоящее время версии Windows и Windows Server предоставляют эти параметры приоритета и веса.
Если узел KMS, выбираемый клиентским компьютером, не отвечает, клиентский компьютер KMS удаляет этот узел KMS из списка ресурсов службы (SRV) и случайным образом выбирает другой узел KMS из списка. Когда узел KMS отвечает, клиентский компьютер KMS кэширует его имя и использует его для последующих попыток активации и продления. Если кэшированный узел KMS не отвечает на последующее продление, клиентский компьютер KMS обнаруживает новый узел KMS, запрашивая DNS для записей ресурсов службы KMS (SRV).
По умолчанию клиентские компьютеры подключаются к узлу KMS для активации с помощью анонимных RPC через TCP-порт 1688, хотя порт по умолчанию можно изменить. После того как клиентский компьютер устанавливает сеанс TCP с узлом KMS, клиентский компьютер отправляет один пакет запроса. Узел KMS в ответ передает значение счетчика активаций. Если счетчик соответствует порогу активации или превышает его, клиентский компьютер активируется, а сеанс закрывается. Клиентский компьютер KMS использует ту же процедуру для запросов продления. При этом в каждом направлении передается 250 байтов.
Конфигурация DNS-сервера
Для функции автоматической публикации KMS по умолчанию требуются запись расположения службы (SRV) и поддержка протокола динамических обновлений DNS. Поведение клиентского компьютера KMS по умолчанию и публикация записей ресурсов службы KMS (SRV) поддерживаются в следующих средах:
- DNS-сервер под управлением программного обеспечения Майкрософт.
- DNS-сервер, поддерживающий записи ресурсов служб (SRV) (по запросу примечаний [RFC] 2782) и динамические обновления (согласно IETF RFC 2136).
Например, Berkeley Internet Domain Name версий 8.x и 9.x поддерживает записи SRV и динамическое обновление. Узел KMS необходимо настроить таким образом, чтобы у него были учетные данные для создания и обновления следующих записей ресурсов на DNS-серверах: службы (SRV), узла IPv4 (A) и узла IPv6 (AAAA). Либо записи необходимо создать вручную. Чтобы предоставить узлу KMS необходимые учетные данные, рекомендуется создать группу безопасности в AD DS, а затем добавить все узлы KMS в эту группу. На DNS-сервере под управлением программного обеспечения Майкрософт убедитесь, что этой группе безопасности предоставлен полный контроль над записью _VLMCS._TCP. Это требование должно выполняться в каждом домене DNS, который содержит записи ресурсов службы KMS (SRV).
Активация первого узла службы управления ключами
Узлы KMS в сети должны установить ключ KMS и затем активироваться в Майкрософт. Установка ключа KMS включает службу KMS на узле KMS. После установки ключа KMS завершите активацию узла KMS по телефону или через Интернет. После этой начальной активации узел KMS не передает никаких сведений корпорации Майкрософт. Ключи KMS устанавливаются только на узлах KMS и никогда на отдельных клиентских компьютерах KMS.
Активация последующих узлов службы управления ключами
Каждый ключ KMS можно установить максимум на шести узлах KMS. Эти узлы могут быть физическими компьютерами или виртуальными машинами. После активации узла KMS один и тот же узел можно повторно активировать до девяти раз с одним и тем же ключом. Если организации требуется более шести узлов KMS, можно запросить дополнительные активации для ключа KMS организации, вызвав Центр активации корпоративного лицензирования Майкрософт для запроса исключения.
Принципы работы ключа многократной активации (MAK)
MAK используется для однократной активации с размещенными службами активации Майкрософт. Каждый MAK имеет предопределенное число разрешенных активаций. Это число основано на соглашениях о корпоративном лицензировании и может не соответствовать точному количеству лицензий организации. Каждая активация, использующая MAK с размещенной службой активации Майкрософт, учитывается при определении предела активаций.
Компьютеры можно активировать с помощью MAK двумя способами:
Независимая активация MAK. Каждый компьютер независимо от других подключается к серверам Майкрософт и активируется через Интернет или по телефону. Независимая активация MAK лучше всего подходит для компьютеров в организации, которые не поддерживают подключение к корпоративной сети. Схема независимой активации MAK показана на рисунке 16.
Рисунок 16. Независимая активация MAK
Прокси-активация MAK. В этом случае выполняется централизованный запрос активации от нескольких компьютеров посредством одного подключения к серверам Майкрософт. Активацию прокси-сервера MAK можно настроить с помощью VAMT. Прокси-активация MAK подходит для сред, в которых из соображений безопасности ограничен прямой доступ к Интернету или корпоративной сети. Он также подходит для лабораторий разработки и тестирования, в которые не хватает этого подключения. Прокси-активация MAK с помощью VAMT показана на рисунке 17.
Рисунок 17. Прокси-активация MAK с помощью VAMT
MAK рекомендуется для:
- Компьютеры, которые редко или никогда не подключаются к корпоративной сети.
- Среды, в которых количество компьютеров, требующих активации, не соответствует пороговому значению активации KMS.
MAK можно использовать для отдельных компьютеров или с образом, который можно дублировать или установить с помощью решений развертывания Майкрософт. MAK также можно использовать на компьютере, на который изначально была настроена активация KMS. Переключение с KMS на MAK полезно для перемещения компьютера из основной сети в отключенную среду.
Архитектура и активация ключа множественной активации (MAK)
При независимой активации MAK ключ продукта MAK устанавливается на клиентском компьютере. Ключ предписывает компьютеру выполнить самостоятельную активацию на серверах Майкрософт через Интернет.
В активации прокси-сервера MAK VAMT:
- Устанавливает ключ продукта MAK на клиентском компьютере.
- Получает идентификатор установки с целевого компьютера.
- Отправляет идентификатор установки в корпорацию Майкрософт от имени клиента.
- Получает идентификатор подтверждения.
Затем средство активирует клиентский компьютер, установив код подтверждения.
Активация от имени обычного пользователя
Для поддерживаемых в настоящее время версий Windows для активации не требуются права администратора. Однако учетная запись администратора по-прежнему требуется для других задач активации или лицензий, таких как "перезахоружить".