Планирование активации корпоративных лицензий

Относится к:

  • Windows 10
  • Windows 8.1
  • Windows 8
  • Windows 7
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

Совет

Вы ищете сведения об активации розничной торговли?

Активация продукта — это проверка программного обеспечения у изготовителя после того, как оно было установлено на конкретном компьютере. Активация подтверждает, что продукт является подлинным, а не мошеннической копией, и что ключ продукта или серийный номер действительны и не был скомпрометирован или отозван. Активация также устанавливает связь между ключом продукта и конкретной установкой.

Во время активации анализируются сведения о конкретной установке. Для активации через Интернет эти сведения отправляются на сервер корпорации Майкрософт. Они могут включать версию ПО, ключ продукта, IP-адрес компьютера и информацию об устройстве. Методы активации, используемые корпорацией Майкрософт, предназначены для защиты конфиденциальности пользователей и не могут использоваться для отслеживания компьютера или пользователя. Собранные данные подтверждают, что ПО является законно лицензированной копией, и используются для статистического анализа. Корпорация Майкрософт не использует эти сведения для идентификации или связи с пользователем или организацией.

Примечание.

IP-адрес используется только для проверки расположения запроса, так как некоторые выпуски Windows (например, "Начальный") можно активировать только на определенных географических целевых рынках.

Каналы распространения и активация

Обычно ПО Майкрософт распространяется по трем основным каналам: в розницу, через изготовителей оборудования (OEM) и в рамках соглашений корпоративного лицензирования. Для каждого канала доступны свои методы активации. Поскольку организации могут приобретать ПО по нескольким каналам одновременно (например, покупать одни продукты в розницу, а другие — по программе корпоративного лицензирования), большинство организаций предпочитают использовать сочетание нескольких методов активации.

Розничная активация

Метод активации розничной торговли не изменился в нескольких версиях Windows и Windows Server. Для каждой приобретенной копии предоставляется один уникальный ключ продукта (его часто называют розничным ключом). Пользователь вводит этот ключ во время установки продукта. Компьютер использует розничный ключ для выполнения активации после окончания установки. В большинстве случаев активация осуществляется через Интернет, но возможна также активация по телефону. Недавно область применения розничных ключей была расширена: теперь они также используются для ряда новых сценариев распространения. Для активации продуктов, которые были предустановлены или загружены ранее, доступны карточки с ключом продукта. Такие программы, как программа обновления Windows Anytime Upgrade и Get Genuine, позволяют пользователям приобретать легальные ключи отдельно от ПО. Эти ключи распространяются в электронном виде и могут поставляться в комплекте с носителем, содержащим ПО, как часть пакета ПО, в виде печатной карточки или электронной копии. Активация продуктов с этими ключами в любом формате осуществляется одинаково.

Изготовители оборудования

Большинство изготовителей оборудования (OEM) продают системы, включающие стандартную сборку операционной системы Windows. Поставщик оборудования активирует Windows, связывая операционную систему с встроенным ПО или BIOS компьютера. Эта активация происходит до отправки компьютера клиенту, и никаких дополнительных действий не требуется.

Активация OEM действительна при условии, что клиент использует образ системы, предоставленный изготовителем оборудования. Активация OEM доступна только для компьютеров, которые приобретаются через OEM-каналы и содержат предустановленную операционную систему Windows.

Корпоративное лицензирование

Для корпоративного лицензирования предлагаются индивидуальные программы, соответствующие размеру и покупательским предпочтениям организации. Чтобы стать клиентом корпоративного лицензирования, организация должна настроить соглашение о корпоративном лицензировании с корпорацией Майкрософт. Существует распространенное недоразумение при получении лицензий на новый компьютер с помощью корпоративного лицензирования. Есть два законных способа приобрести полную клиентскую лицензию Windows для нового компьютера.

  • Предустановите лицензию через oem

  • Приобретение полностью упаковаемого розничного продукта

Лицензии, предоставляемые по программам корпоративного лицензирования, например по соглашениям Open License, Select License и Enterprise, включают только обновления для клиентских версий ОС Windows. Для использования прав на обновление, полученных по программам корпоративного лицензирования, необходимо уже иметь розничную или OEM-лицензию на операционную систему для каждого компьютера с Windows 10, Windows 8.1 Профессиональная, Windows 8 Профессиональная, Windows 7 Профессиональная, Windows 7 Максимальная или Windows XP Professional. Корпоративное лицензирование также предлагается по некоторым программам подписки и членским программам, например Microsoft Partner Network и MSDN. Эти корпоративные лицензии могут включать особые ограничения и другие изменения общих условий, относящиеся к корпоративному лицензированию.

Примечание

Некоторые выпуски операционной системы (например, Windows 10 Корпоративная) и прикладного ПО доступны только в рамках соглашений корпоративного лицензирования или по подписке.

Модели активации

Пользователи и ИТ-отделы в основном не могут выбирать, каким образом активировать продукты, приобретенные по розничным или OEM-каналам. Изготовитель оборудования выполняет активацию на заводе, и пользователю или ИТ-отделу ничего не нужно делать для активации.

При покупке продукта в розницу для отслеживания и контроля ключей можно использовать средство управления активацией корпоративных лицензий (VAMT), о котором пойдет речь далее в этом руководстве. Для каждой розничной активации можно выбрать один из следующих вариантов.

  • Активация через Интернет

  • Активация по телефону

  • Прокси-активация с помощью VAMT

Активация по телефону в основном используется в ситуациях, когда компьютер изолирован от всех сетей. Прокси-активация с помощью VAMT (с розничными ключами) иногда используется в тех случаях, когда ИТ-отдел хочет выполнять розничные активации централизованно или когда компьютер с розничной версией операционной системы изолирован от Интернета, но подключен к локальной сети. Однако для продуктов с корпоративным лицензированием необходимо определить наилучший метод или сочетание методов для конкретной среды. Для Windows 10 Профессиональная и Корпоративная на выбор предлагается три модели:

  • Ключи MAK

  • KMS

  • Активация с помощью Active Directory

Примечание

Активация на основе маркеров доступна в определенных ситуациях, когда утвержденные клиенты полагаются на инфраструктуру открытых ключей в изолированной среде с высоким уровнем безопасности. За дополнительной информацией обращайтесь в службу технической поддержки учетных записей Майкрософт или к своему представителю отдела обслуживания. Вариант "Активация на основе маркеров" доступен для выпусков Windows 10 Корпоративная с долгосрочным обслуживанием (версии 1507 и 1607).

Ключ многократной активации

Ключ многократной активации (MAK) обычно используется в небольших или средних организациях с соглашением о корпоративном лицензировании, но они не соответствуют требованиям к эксплуатации KMS или предпочитают более простой подход. MAK также позволяет постоянно активировать компьютеры, которые изолированы от KMS или являются частью изолированной сети, в которой недостаточно компьютеров для использования KMS.

Чтобы использовать ключ MAK, он должен быть установлен на активируемых компьютерах. Ключ MAK используется для однократной активации при помощи размещенных в Интернете служб активации Майкрософт, по телефону или путем прокси-активации с помощью VAMT. В упрощенном представлении ключ MAK аналогичен розничному ключу, за исключением того, что MAK можно применять для активации нескольких компьютеров. Каждый ключ MAK можно использовать строго определенное число раз. VAMT может помочь отслеживать количество активаций, выполненных с каждым ключом, и количество оставшихся.

Организации могут загрузить ключи MAK и KMS с веб-сайта Microsoft Volume Licensing Service Center. Для каждого ключа MAK установлено определенное число активаций, основанное на проценте от количества лицензий, приобретенных организацией. Однако вы можете увеличить количество активаций, доступных с вашим ключом MAK, обратившись в Майкрософт.

Служба управления ключами

С помощью службы управления ключами (KMS) ИТ-специалисты могут проводить активации в локальной сети, так что отдельным компьютерам больше не нужно будет подключаться к серверам Майкрософт для активации продуктов. KMS — это упрощенная служба, которая не требует выделенной системы и может быть легко размещена в системе, предоставляющей другие службы.

Корпоративные выпуски Windows 10 и Windows Server 2012 R2 (в дополнение к корпоративным выпускам операционных систем начиная от Windows Vista и Windows Server 2008) автоматически подключаются к системе, в которой размещена служба KMS, для запроса активации. Никаких действий от пользователя не требуется.

Для работы KMS в сетевой среде должно присутствовать минимальное количество компьютеров (физических компьютеров или виртуальных машин). Организация должна иметь как минимум пять компьютеров для активации Windows Server 2012 R2 и как минимум 25 компьютеров для активации клиентских компьютеров, работающих под управлением Windows 10. Эти минимальные количества называются порогами активации.

Планирование использования KMS включает выбор оптимального расположения узла KMS и количества узлов KMS. Один узел KMS может обслуживать большое количество активаций, однако организации часто развертывают два узла KMS для обеспечения высокой доступности. В редких случаях используется более двух узлов KMS. Службу KMS можно разместить на клиентском компьютере или на сервере. Ее можно запускать на старых версиях операционной системы, выполнив соответствующие настройки. Настройка KMS описана далее в этом руководстве.

Активация с помощью Active Directory

Активация с помощью Active Directory — это новейший тип активации корпоративных лицензий, который впервые появился в Windows 8. Во многих отношениях активация на основе Active Directory аналогична активации с помощью KMS, но активированному компьютеру не нужно поддерживать периодическое подключение к узлу KMS. Вместо этого присоединенный к домену компьютер с Windows 10, Windows 8.1, Windows 8 или Windows Server 2012 R2 запрашивает в доменных службах Active Directory хранимый в домене объект активации корпоративных лицензий. Операционная система проверяет цифровые подписи, содержащиеся в объекте активации, а затем активирует устройство.

Активация с помощью Active Directory позволяет организациям активировать компьютеры через подключение к собственному домену. Многие компании имеют компьютеры в удаленных расположениях или филиалах, где нецелесообразно подключаться к KMS или не достигает порогового значения активации KMS. Вместо использования ключей MAK активация на основе Active Directory позволяет активировать компьютеры под управлением Windows 10, Windows 8.1, Windows 8, Windows Server 2012 R2 или Windows Server 2012 R2 при условии, что компьютеры могут связаться с доменом компании. Преимущество активации с помощью Active Directory заключается том, что службы активации корпоративных лицензий теперь могут работать во всех доменных областях.

Сеть и подключения

Современная корпоративная сеть характеризуется множеством нюансов и взаимосвязей. В этом разделе рассматривается оценка вашей сети и доступных подключений с целью определить, как будет осуществляться активация корпоративных лицензий.

Основная сеть

Основная сеть — это часть вашей сети, которая имеет устойчивые, высокоскоростные, надежные подключения к серверам инфраструктуры. Во многих случаях основная сеть также подключена к Интернету, хотя это не обязательно для использования активации на основе KMS или Active Directory после настройки и активности сервера KMS или AD DS. Основная сеть обычно состоит из множества сетевых сегментов. Во многих организациях основная сеть составляет большую часть бизнес-сети.

В основной сети рекомендуется централизованное решение KMS. Вы также можете использовать активацию на основе Active Directory, но во многих организациях KMS по-прежнему потребуется для активации старых клиентских компьютеров и компьютеров, которые не присоединены к домену. Некоторые администраторы предпочитают использовать оба решения, чтобы получить максимальную гибкость, другие же выбирают только решение на основе KMS для упрощения работы. Использовать активацию с помощью Active Directory в качестве единственного решения целесообразно в том случае, если все клиенты в вашей организации используют Windows 10, Windows 8.1 или Windows 8.

Типичная основная сеть, включающая узел KMS, показана на рис. 1.

Типичная базовая сеть.

Рисунок 1. Типичная основная сеть

Изолированные сети

В большой сети гарантируется, что некоторые сегменты будут изолированы либо по соображениям безопасности, либо из-за географических проблем или проблем с подключением.

Изоляция из соображений безопасности

Определенный сетевой сегмент, иногда называемый зоной высокого уровня безопасности, может быть изолирован от основной сети брандмауэром или полностью отсоединен от других сетей. Оптимальный способ активации компьютеров в изолированной сети зависит от политик безопасности, действующих в организации.

Если изолированная сеть может получить доступ к основной сети с помощью исходящих запросов через TCP-порт 1688 и ей разрешено принимать удаленные вызовы процедур (RPC), вы можете выполнить активацию с помощью KMS в основной сети, тем самым избегая достижения дополнительных пороговых значений активации.

Если изолированная сеть полностью участвует в корпоративном лесу и может устанавливать обычные соединения с контроллерами домена, например, используя протокол LDAP для запросов и службу DNS для разрешения имен, то это хорошая возможность использовать активацию с помощью Active Directory для Windows 10, Windows 8.1, Windows 8 и Windows Server 2012 R2.

Если изолированная сеть не может взаимодействовать с сервером KMS основной сети и не может использовать активацию на основе Active Directory, можно настроить узел KMS в изолированной сети. Такая конфигурация показана на рис. 2. Однако если в изолированной сети мало компьютеров, она не достигнет необходимого для KMS порога активации. В этом случае можно провести активацию с помощью ключей MAK.

Если сеть полностью изолирована, рекомендуется проводить активацию без использования ключей MAK, например, по телефону. Однако также может быть возможной и прокси-активация с помощью VAMT. Вы также можете использовать ключи MAK для активации новых компьютеров во время установки, прежде чем они будут помещены в изолированную сеть.

Новый узел KMS в изолированной сети.

Рисунок 2. Новый узел KMS в изолированной сети

Филиалы и удаленные сети

От горнодобывающей промышленности до судов в море, организации часто имеют несколько компьютеров, которые не легко подключить к основной сети или Интернету. В филиалах некоторых организаций имеются крупные и тесно связанные друг с другом сетевые сегменты, однако их подключение к остальным корпоративным подразделениям осуществляется по медленным или ненадежным каналам глобальной сети. В таких случаях доступно несколько вариантов.

  • Активация с помощью Active Directory. На любом объекте с клиентскими компьютерами под управлением Windows 10 поддерживается активация с помощью Active Directory, осуществляемая путем присоединения к домену.

  • Локальный KMS-сервер. Если на объекте насчитывается не менее 25 клиентских компьютеров, можно провести активацию с помощью локального KMS-сервера.

  • Удаленный (основной) KMS-сервер. Если удаленный узел имеет связь с существующим KMS-сервером (например через VPN-подключение к основной сети), можно использовать этот KMS. При использовании существующего сервера KMS достаточно обеспечить порог активации только на этом сервере.

  • Активация с помощью MAK. Если на узле мало компьютеров и у него нет связи с существующим узлом KMS, оптимальным вариантом является активация с помощью MAK.

Неподключенные компьютеры

Некоторые пользователи работают удаленно или часто перемещаются. Это типичный сценарий для мобильных клиентов, например компьютеров торговых представителей или других пользователей, работающих удаленно, но не в филиалах. Данный сценарий также применим к удаленным филиалам, не имеющим подключения к основной сети. Вы можете считать этот филиал "изолированной сетью", где количество компьютеров равно одному. Отсоединенные от сети компьютеры могут использовать активацию с помощью Active Directory, KMS или MAK в зависимости от версии клиента и частоты подключения к основной сети.

Если компьютер присоединен к домену и работает под управлением Windows 10, Windows 8.1, Windows 8, Windows Server 2012 R2 или Windows Server 2012 R2 8, активацию с помощью Active Directory (напрямую или через VPN-подключение) можно использовать минимум один раз в 180 дней. Если компьютер подключается к сети с узлом KMS по крайней мере каждые 180 дней, но не поддерживает активацию на основе Active Directory, можно использовать активацию KMS. Для компьютеров, которые никогда не подключаются к сети или подключаются редко, используйте активацию без использования ключа MAK (по телефону или через Интернет).

Лаборатории тестирования и разработки

В лабораторных средах часто присутствует большое количество виртуальных компьютеров, причем конфигурация физических компьютеров и виртуальных компьютеров часто меняется. Поэтому сначала определите, требуется ли активация компьютеров в лабораториях тестирования и разработки. Выпуски Windows 10, включающие корпоративное лицензирование, будут работать в обычном режиме, даже если они не могут активироваться немедленно.

Если вы убедились, что тестовые или разрабатываемые копии операционной системы находятся в рамках лицензионного соглашения, возможно, вам не потребуется активировать компьютеры лаборатории, если они будут часто перестраиваться. Если требуется активировать компьютеры лаборатории, обработайте лабораторию как изолированную сеть и используйте методы, описанные выше в этом руководстве. В лабораториях с высокой текучестью компьютеров и несколькими клиентами KMS необходимо отслеживать количество активаций KMS. Может потребоваться настроить срок, на который KMS кэширует запросы активации. По умолчанию используется значение 30 дней.

Выбор подходящего метода активации для вашей сети

Теперь пришло время собрать части в рабочее решение. Оценив сетевое подключение, количество компьютеров на каждом сайте и версии операционной системы, используемые в вашей среде, вы собрали необходимые сведения, чтобы определить, какие методы активации будут работать лучше всего. Вы можете заполнить сведения в таблице 1, чтобы помочь вам определить это.

Таблица 1. Критерии для методов активации

Критерий Метод активации
Количество присоединенных к домену компьютеров, которые поддерживают активацию с помощью Active Directory (компьютеров с Windows 10, Windows 8.1, Windows 8 или Windows Server 2012 R2) и будут подключаться к контроллеру домена минимум раз в 180 дней. Компьютеры могут быть мобильными, полуизолированными либо располагаться в филиале или основной сети. Активация с помощью Active Directory
Количество компьютеров в основной сети, которые будут подключаться (напрямую или через VPN) минимум раз в 180 дней
Примечание
В основной сети должен быть достигнут порог активации через KMS.
KMS (централизованная)
Количество компьютеров, которые не подключаются к сети по крайней мере раз в 180 дней (или если ни один из сетей не соответствует порогу активации). MAK
Количество компьютеров в полуизолированных сетях с подключением к KMS в основной сети KMS (централизованная)
Количество компьютеров в изолированных сетях, где достигнут порог активации KMS KMS (локальная)
Количество компьютеров в изолированных сетях, на которых не достигнуто пороговое значение активации KMS MAK
Количество компьютеров в лабораториях тестирования и разработки, которые не будут активированы Нет
Количество компьютеров без корпоративной лицензии для розничной торговли Розничная (через Интернет или по телефону)
Количество компьютеров без корпоративной лицензии OEM OEM (на заводе)
Общее количество активаций компьютеров
Примечание
Эта итоговая сумма должна соответствовать общему числу лицензированных компьютеров в организации.

Выбор и приобретение ключей

Определив, какие ключи вам требуется, необходимо получить их. В целом получить ключи многократной установки можно двумя способами.

Ключи узла KMS

Для узла KMS требуется ключ, который активирует (проверяет подлинность) узла KMS в Майкрософт. Этот ключ называется ключом узла KMS, но формально он называется ключом корпоративной лицензии (CSVLK) для конкретного клиента Майкрософт . В большинстве документов и на веб-сайтах, относящихся к Windows версий до 8.1, используется термин "ключ KMS", но в текущей документации и средствах управления чаще используется термин CSVLK.

Узел KMS под управлением Windows Server 2012 R2, Windows Server 2012 или Windows Server 2008 R2 может активировать клиентские операционные системы и Windows Server, и Windows. Ключ узла KMS также требуется для создания объектов активации в доменных службах Active Directory, как описано далее в этом руководстве. Вам потребуется ключ узла KMS для всех kmS, которые вы хотите настроить, и если вы собираетесь использовать активацию на основе Active Directory.

Универсальные ключи корпоративного лицензирования

При создании установочного носителя или образов для клиентских компьютеров, которые будут активированы с помощью KMS или активации на основе Active Directory, установите универсальный ключ корпоративной лицензии (GVLK) для создаваемого выпуска Windows. Ключи GVLK также называются ключами установки клиента KMS.

Установочный носитель от Майкрософт для корпоративных версий операционной системы Windows может уже содержать GVLK. Один ключ GVLK доступен для каждого типа установки. GLVK активирует программное обеспечение не на серверах активации Майкрософт, а на объекте активации на основе KMS или Active Directory. Иными словами, GVLK не работает, если не найден допустимый ключ узла KMS. GVLK — это единственные ключи продуктов, которые не нужно хранить в конфиденциальном режиме.

Как правило, вам не нужно вручную вводить GVLK, если компьютер не активирован с помощью ключа MAK или розничного ключа и он не преобразуется в активацию KMS или в активацию на основе Active Directory. Если вам нужно найти GVLK для определенного выпуска клиента, см. приложение A. Ключи настройки клиента KMS.

Ключи многократной активации

Вам также потребуются ключи MAK с соответствующим количеством доступных активаций. Узнать, сколько раз был использован ключ MAK, можно на веб-сайте Microsoft Volume Licensing Service Center или в средстве VAMT.

Выбор узла KMS

Для KMS не требуется выделенный сервер. Ее можно разместить совместно с другими службами, например с контроллерами доменных служб Active Directory и контроллерами домена только для чтения.

Узлы KMS могут работать на физических компьютерах или виртуальных машинах с любой поддерживаемой операционной системой Windows. Узел KMS, работающий под управлением Windows Server 2012 R2, Windows Server 2012 или Windows Server 2008 R2, может активировать любые клиентские или серверные операционные системы Windows, поддерживающие активацию на базе корпоративных лицензий. Узел KMS, работающий под управлением Windows 10, может активировать только компьютеры с Windows 10, Windows 8.1, Windows 8, Windows 7 или Windows Vista.

Один узел KMS поддерживает неограниченное число клиентов KMS, но Майкрософт рекомендует развертывать минимум два узла KMS для обеспечения отказоустойчивости. Однако по мере того, как все больше клиентов активируется с помощью Active Directory, KMS и резервирование KMS становятся менее важными. Большинство организаций могут использовать всего два узла KMS для всей инфраструктуры.

Активация с помощью KMS показана на рис. 3 и происходит следующим образом.

  1. Администратор настраивает узел KMS и устанавливает ключ узла KMS с использованием консоли VAMT.

  2. Майкрософт проверяет ключ узла KMS, и узел начинает ожидать запросы.

  3. Узел KMS обновляет записи ресурса в DNS, чтобы дать клиентам возможность найти узел KMS. (Добавление записей DNS вручную требуется, если ваша среда не поддерживает протокол динамического обновления DNS.)

  4. Клиент с установленным ключом GVLK использует DNS, чтобы обнаружить узел KMS.

  5. Клиент отправляет один пакет узлу KMS.

  6. Узел KMS записывает сведения о клиенте, отправившем запрос (с использованием идентификатора клиента). Идентификаторы клиентов используются для подсчета количества клиентов и определения случаев, когда один и тот же компьютер запрашивает активацию повторно. Идентификатор клиента применяется только для определения того, достигнуты ли пороги активации. Идентификаторы не хранятся постоянно и не передаются в корпорацию Майкрософт. В случае перезапуска KMS сбор идентификаторов клиентов начинается снова.

  7. Если ключ узла KMS соответствует продуктам в GVLK, узел KMS отправляет один пакет обратно клиенту. Этот пакет содержит число компьютеров, которые запросили активацию у этого узла KMS.

  8. Если данное количество превышает порог активации для активируемого продукта, то клиент активируется. Если порог активации еще не достигнут, клиент повторите попытку.

Поток активации KMS.

Рисунок 3. Процесс активации с помощью KMS