规划批量激活
产品激活是在特定计算机上安装软件后与制造商验证该软件的过程。激活确认产品为正版(而不是欺骗性副本),并且产品密钥或序列号有效,并未泄露或吊销。激活还将建立产品密钥与特定安装之间的链接或关系。
在激活过程中,将检查有关特定安装的信息。对于联机激活,此信息将发送到 Microsoft 的服务器中。此信息可能包括软件版本、产品密钥、计算机的 IP 地址以及有关设备的信息。Microsoft 使用的激活方法旨在帮助保护用户隐私,这些方法并不能用于跟踪计算机或用户。收集的数据可确认软件是否为合法授权的副本,并且此数据可用于统计分析。Microsoft 不使用此信息来识别或联系用户或组织。
注意
IP 地址仅用于验证请求的位置,因为某些版本的 Windows(例如“简易版”版本)只能在某些地理目标市场内激活。
分发渠道和激活
通常情况下,通过三种主要渠道获取 Microsoft 软件:零售、原始设备制造商 (OEM) 和批量许可协议。可通过每种渠道提供不同的激活方法。由于组织可以随意地通过多种渠道获取软件(例如,以零售方式购买一些软件,通过批量许可计划获取其他软件),大多数组织选择将激活方法结合使用。
零售激活
零售激活方法并未在多个版本的 Windows 和 Windows Server 中发生变化。每个已购买副本都附带一个唯一的产品密钥(通常称为零售密钥)。用户在产品安装过程中输入此密钥。安装完成后,计算机使用此零售密钥完成激活。大多数激活都在联机状态下执行,但也提供电话激活。
最近,零售密钥已扩展到新的分配方案。产品密钥卡可用于激活已预安装或已下载的产品。Windows Anytime Upgrade 和 Get Genuine 等程序允许用户获取独立于软件的法律密钥。这些以电子方式分配的密钥可能附带包含软件的媒体,它们可以作为软件交付来提供,或者通过印刷卡片或电子副本提供。使用其中任一零售密钥激活产品的方法均相同。
原始设备制造商
大多数原始设备制造商 (OEM) 销售的系统都包含标准版本的 Windows 操作系统。硬件供应商通过将操作系统与计算机的固件 (BIOS) 相关联来激活 Windows。此操作在向客户交付计算机之前执行,并且无需任何其他操作。
只要客户在系统上使用 OEM 提供的映像,OEM 激活即为有效。OEM 激活仅适用于通过 OEM 渠道购买并已预安装 Windows 操作系统的计算机。
批量许可
批量许可提供了根据组织大小和购买意向定制的自定义程序。若要成为批量许可客户,组织必须与 Microsoft 建立批量许可协议。常见的误解是通过批量许可为新计算机获取许可证。有两种合法的方式为新计算机获取完整的 Windows 客户端许可证:
具有通过 OEM 预安装的许可证。
购买完全打包的零售产品。
通过批量许可计划(例如 Open License、Select License 和 Enterprise Agreements)提供的许可证仅包含 Windows 客户端操作系统的升级。执行通过批量许可获取的升级权限之前,运行 Windows 10、Windows 8.1 专业版、Windows 8 专业版、Windows 7 专业版(或旗舰版),或 Windows XP 专业版的每台计算机都需要现有具有零售或 OEM 操作系统许可证。
批量许可也可通过某些订阅或会员计划(例如 Microsoft 合作伙伴网络和 MSDN)提供。这些批量许可可能包含特定的限制,或针对适用于批量许可的一般条款的其他更改。
注意
某些版本的操作系统(例如 Windows 10 企业版)以及某些版本的应用程序软件只能通过批量许可协议或订阅提供。
激活模型
对于用户或 IT 部门,关于如何激活通过零售或 OEM 渠道获取的产品,并不存在任何重要的抉择。OEM 在工厂执行激活,用户或 IT 部门无需执行任何激活步骤。
对于零售产品,在本指南稍后部分中介绍的批量激活管理工具 (VAMT) 可帮助你跟踪和管理密钥。对于每个零售产品的激活,都可以选择以下方式:
联机激活
电话激活
VAMT 代理激活
电话激活主要用于一台计算机与所有网络都隔离的情况。VAMT 代理激活(使用零售密钥)有时用于当 IT 部门希望集中零售激活或具有操作系统零售版本的计算机与 Internet 隔离但连接到 LAN 的情况。但是,对于批量许可产品,你必须确定要在你的环境中使用的最佳方法或多种方法的组合。对于 Windows 10 专业版和企业版,你可以在以下三种模型中进行选择:
MAK
KMS
基于 Active Directory 的激活
注意
基于令牌的激活,这一专用方法适用于核准客户在完全独立并且通常高度安全的环境中依赖于公钥基础结构的特定情况。有关详细信息,请联系你的 Microsoft 帐户团队或服务代表。
多次激活密钥
多次激活密钥 (MAK) 通常用于小型或中型组织,它们具有批量许可协议,但不符合运行 KMS 的要求,或者它们希望使用较为简单的方法。MAK 还允许永久激活与 KMS 隔离或者属于隔离网络(没有足够的计算机可以使用 KMS)的计算机。
若要使用 MAK,要激活的计算机必须安装 MAK。MAK 用于借助 Microsoft 联机托管的激活服务通过电话或通过使用 VAMT 代理激活执行的一次性激活。
简单地说,MAK 的行为类似于零售密钥,只不过 MAK 可用于激活多台计算机。每个 MAK 都可以使用特定次数。VAMT 可帮助跟踪每个密钥已执行激活的次数以及剩余次数。
组织可以从批量许可服务中心网站下载 MAK 和 KMS 密钥。每个 MAK 都有预设的激活数量,基于组织所购买许可总数的百分比;但是,你可以通过致电 Microsoft 来增加 MAK 的可用激活数量。
密钥管理服务
使用密钥管理服务 (KMS),IT 专业人员可以在本地网络完成激活,而无需将个别计算机连接到 Microsoft 进行产品激活。KMS 是不需要专用系统的轻型服务,可以轻易地将其联合托管在提供其他服务的系统上。
批量版本的 Windows 10 和 Windows Server 2012 R2(除了自 Windows Vista 和 Windows Server 2008 起的操作系统版本的批量版本)将自动连接到托管 KMS 的系统以请求激活。用户无需执行任何操作。
KMS 在网络环境中需要最少数量的计算机(物理计算机或虚拟机)。组织必须至少包含五台计算机来激活 Windows Server 2012 R2,至少 25 台计算机来激活运行 Windows 10 的客户端计算机。这些最小值称为激活阈值。
计划使用 KMS 包括选择 KMS 主机的最佳位置以及需要具有多少个 KMS 主机。一个 KMS 主机可以处理大量激活,但组织通常会部署两个 KMS 主机以确保可用性。将很少使用两个以上的 KMS 主机。KMS 可以托管在客户端计算机或服务器上,并且可以运行在较旧版本的操作系统中(如果采取了正确的配置步骤)。将在本指南的稍后部分中讨论如何设置 KMS。
基于 Active Directory 的激活
基于 Active Directory 的激活是一种最新的批量激活类型,它在 Windows 8 中引入。在很多方面,基于 Active Directory 的激活都类似于使用 KMS 激活,但已激活的计算机不再需要保持与 KMS 主机的周期性连接。运行 Windows 10、Windows 8.1、Windows 8、Windows Server 2012 R2 或 Windows Server 2012 R2 且已加入域的计算机改为查询 AD DS 是否存在存储于域中的批量激活对象。操作系统将检查激活对象中包含的数字签名,然后激活设备。
基于 Active Directory 的激活允许企业通过连接到域激活计算机。许多公司在远程位置或分支机构都具有计算机,这些位置不可能连接到 KMS,或无法达到 KMS 激活阈值。使用基于 Active Directory 的激活(而非使用 MAK),提供了一种方法来激活运行 Windows 10、Windows 8.1、Windows 8、Windows Server 2012 R2 或 Windows Server 2012 R2 的计算机,只要计算机可以连接公司的域即可。基于 Active Directory 的激活提供了可在任何已具有域的位置扩展批量激活服务的优势。
网络和连接性
现代企业网络中包含许多细微差别和相互联系。本节讨论如何评估可用于确定批量激活执行方式的网络和连接。
核心网络
核心网络属于网络的一部分,享用与基础结构服务器之间的稳定、高速、可靠的连接。在许多情况下,核心网络还会连接到 Internet,尽管这并不是在 KMS 服务器或 AD DS 已配置并处于活动状态后使用 KMS 或基于 Active Directory 的激活的要求。核心网络可能由多个网段组成。在许多公司,核心网络构成绝大多数企业网络。
在核心网络中,建议使用集中式的 KMS 解决方案。还可以使用基于 Active Directory 的激活,但在许多组织中,激活较旧的客户端计算机以及未加入域的计算机仍需要使用 KMS。某些管理员希望同时运行这两种解决方案,以实现最大灵活性,而其他用户为简单起见希望仅选择基于 KMS 的解决方案。如果组织中的所有客户端都运行 Windows 10、Windows 8.1 或 Windows 8,则作为唯一解决方案的基于 Active Directory 的激活可适用。
包含 KMS 主机的典型核心网络如图 1 所示。
.jpg "核心网络")
图 1.典型核心网络
隔离网络
在大型网络中,出于安全原因或由于地理位置或连接问题,将毫无疑问地隔离某些段。
出于安全原因隔离
有时称为高度安全区域的特定网段可能通过防火墙或完全从其他网络断开连接来隔离在核心网络之外。在隔离网络中激活计算机的最佳解决方案取决于组织中的就地安全策略。
如果隔离网络可以在 TCP 端口 1688 上使用出站请求来访问核心网络,并且允许接收远程过程调用 (RPC),则可以在核心网络中使用 KMS 执行激活,从而避免达到额外激活阈值的需求。
如果隔离网络完全加入公司林中,并且可以建立与域控制器的典型连接(例如使用轻型目录访问协议 (LDAP) 进行查询以及使用域名服务 (DNS) 进行名称解析),这将是一个很好的机会对 Windows 10、Windows 8.1、Windows 8、Windows Server 2012 R2 和 Windows Server 2012 R2 使用基于 Active Directory 的激活。
如果隔离网络无法与核心网络的 KMS 服务器通信,并且无法使用基于 Active Directory 的激活,你可以在隔离网络中设置一个 KMS 主机。此配置如图 2 所示。但是,如果隔离网络仅包含几台计算机,它将无法达到 KMS 激活阈值。在这种情况下,你可以使用 MAK 激活。
如果网络完全隔离,则推荐使用 MAK 独立激活,或许可以使用电话选项。但 VAMT 代理激活也可能适用。在将新计算机置于隔离网络之前,还可以在设置期间使用 MAK 激活这些计算机。
.jpg "KMS 主机隔离网络")
图 2.隔离网络中的新 KMS 主机
分支机构和远程网络
从采矿工作到海上航运,组织通常会具有几台无法轻易连接到核心网络或 Internet 的计算机。某些组织在较大且内部连接良好的分支机构具有网段,但与组织其余部分的 WAN 链接较慢且不可靠。在这些情况下,你具有多种选择:
基于 Active Directory 的激活。在客户端计算机运行 Windows 10 的任何站点中,支持基于 Active Directory 的激活,并且该站点可以通过加入域进行激活。
本地 KMS。如果某个站点具有 25 台以上的客户端计算机,它可以针对本地 KMS 服务器来激活。
远程(核心)KMS。如果远程站点已连接到现有 KMS (可能通过虚拟专用网络 (VPN) 连接到核心网络),则可以使用该 KMS。使用现有 KMS 意味着只需满足该服务器上的激活阈值即可。
MAK 激活。如果该站点仅具有几台计算机,并且未连接到现有 KMS 主机,则 MAK 激活是最佳选择。
断开连接的计算机
某些用户可能位于远程位置或将前往多个位置。此方案常用于漫游客户端(例如销售人员使用的计算机,或在公司外但不在分支机构的其他用户所使用的计算机)。此方案也适用于未连接到核心网络的远程分支机构位置。你可以将其视为“隔离网络”,其中计算机的数量为一个。断开连接的计算机可以使用基于 Active Directory 的激活、KMS 或 MAK,具体取决于客户端版本以及计算机连接到核心网络的频率。
如果计算机已加入域并且运行的是 Windows 10、Windows 8.1、Windows 8、Windows Server 2012 R2 或 Windows Server 2012 R2 8,你可以每 180 天至少使用一次基于 Active Directory 的激活(直接使用或通过 VPN)。如果计算机至少每 180 天连接到包含 KMS 主机的网络,但它不支持基于 Active Directory 的激活,则可以使用 KMS 激活。另外,对于很少或从不连接到网络的计算机,请使用 MAK 独立激活(通过使用电话或 Internet)。
测试和开发实验室
实验室环境通常具有大量虚拟机和物理计算机,并且实验室中的虚拟机将频繁进行重新配置。因此,请先确定测试和开发实验室中的计算机是否需要激活。即使无法立即激活包含批量许可的 Windows 10 版本,它们仍可正常运行。
如果你已确保操作系统的测试或开发副本在许可协议范围内,则可能无需激活实验室计算机(如果它们将频繁进行重新生成)。如果需要激活实验室计算机,请将实验室视为隔离网络,并使用本指南之前所述的方法。
在具有更新率较高的计算机和少量 KMS 客户端的实验室中,你必须监控 KMS 激活次数。你可能需要调整 KMS 缓存激活请求的时间。默认值为 30 天。
将你的网络映射到激活方法
现在可以将各条件整合到工作解决方案中。通过评估网络连接性、每个站点具有的计算机数量以及在你的环境中使用的操作系统版本,你已收集要确定最适合你的激活方法所需的信息。你可以在表 1 中填写信息来帮助你做出此决定。
表 1.激活方法的条件
| 条件 | 激活方法 | 计算机数量 |
|---|---|---|
支持基于 Active Directory 的激活(运行 Windows 10、Windows 8.1、Windows 8、Windows Server 2012 R2 或 Windows Server 2012 R2 的计算机)并且将至少每 180 天连接到域控制器的已加入域的计算机数量。计算机可能处于移动、半隔离状态,或位于分支机构或核心网络。 |
基于 Active Directory 的激活 |
|
核心网络中至少每 180 天进行连接(直接或通过 VPN 连接)的计算机数量。 请注意:核心网络必须满足 KMS 激活阈值。 |
KMS(中心) |
|
不会至少每 180 天连接到网络一次(或者若无任何网络满足激活阈值时)的计算机数量 |
MAM |
|
半隔离网络中已连接到核心网络中的 KMS 的计算机数量 |
KMS(中心) |
|
已满足 KMS 激活阈值的半隔离网络中的计算机数量 |
KMS(本地) |
|
不满足 KMS 激活阈值的半隔离网络中的计算机数量 |
MAK |
|
测试和开发实验室中将不会进行激活的计算机数量 |
无 |
|
不具有零售批量许可的计算机数量 |
零售(联机或手机) |
|
不具有 OEM 批量许可的计算机数量 |
OEM(在工厂) |
|
计算机激活的总次数 注意:此总数应匹配组织中已授权计算机的总数。 |
选择并获取密钥
当你知道你需要哪些密钥时,你必须获取它们。通常来说,有两种方式收集批量许可密钥:
转到批量许可服务中心的产品密钥部分查找以下协议:Open、Open Value、Select、Enterprise 和 Services Provider License。
联系 Microsoft 激活中心。
KMS 主机密钥
KMS 主机需要一个密钥向 Microsoft 激活(或验证)该 KMS 主机。此密钥通常称为 KMS 主机密钥,但它的正式名称为 Microsoft 客户支持批量许可密钥 (CSVLK)。早于 Windows 8.1 的大多数文档和 Internet 参考都使用术语 KMS 密钥,但当前的文档和管理工具更常使用 CSVLK。
运行 Windows Server 2012 R2、Windows Server 2012 或 Windows Server 2008 R2 的 KMS 主机可以激活 Windows Server 和 Windows 客户端操作系统。在 AD DS 中创建激活对象也需要 KMS 主机密钥,如本指南稍后部分中所述。对于任何你想要设置的 KMS 以及当你打算使用基于 Active Directory 的激活时,你都需要 KMS 主机密钥。
通用批量许可密钥
当你为通过 KMS 或基于 Active Directory 的激活进行激活的客户端计算机创建安装介质或映象时,请为要创建的 Windows 版本安装通用批量许可密钥 (GVLK)。GVLK 也称为 KMS 客户端设置密钥。
来自 Microsoft 的面向 Windows 操作系统企业版本的安装介质可能已包含 GVLK。一个 GVLK 可用于每种安装类型。请注意,GLVK 将不会针对 Microsoft 激活服务器激活软件,而仅针对 KMS 或基于 Active Directory 的激活对象。换句话说,仅当可以找到有效的 KMS 主机密钥时 GVLK 才会有效。GVLK 是仅有的无需保密的产品密钥。
通常,你不需要手动输入 GVLK,除非计算机已使用 MAK 或零售密钥激活,然后它将转换为 KMS 激活或基于 Active Directory 的激活。如果你需要查找特定客户端版本的 GVLK,请参阅附录 A:KMS 客户端设置密钥。
多次激活密钥
你也将需要具有合适的可用激活次数的 MAK 密钥。你可以在批量许可服务中心网站或 VAMT 中查看 MAK 已使用了多少次。
选择 KMS 主机
KMS 不需要专用服务器。它可以与其他服务(例如 AD DS 域控制器和只读域控制器)联合托管。
KMS 主机可以在运行任何受支持的 Windows 操作系统的物理计算机或虚拟机上运行。运行 Windows Server 2012 R2、Windows Server 2012 或 Windows Server 2008 R2 的 KMS 主机可以激活任何支持批量激活的 Windows 客户端或服务器操作系统。运行 Windows 10 的 KMS 主机只能激活运行 Windows 10、Windows 8.1、Windows 8、Windows 7 或 Windows Vista 的计算机。
单个 KMS 主机可以支持无限数量的 KMS 客户端,但出于故障转移的目的,Microsoft 建议最少部署两个 KMS 主机。但是,随着更多的客户端通过基于 Active Directory 的激活进行激活,KMS 和 KMS 的冗余变得不再重要。大多数组织可以仅将两个 KMS 主机用于整个基础结构。
KMS 激活的流程如图 3 所示,并遵循以下顺序:
管理员使用 VAMT 控制台配置 KMS 主机并安装 KMS 主机密钥。
Microsoft 验证 KMS 主机密钥,然后 KMS 主机开始侦听请求。
KMS 主机更新 DNS 中的资源记录以使客户端能够找到 KMS 主机。(如果你的环境不支持 DNS 动态更新协议,则需手动添加 DNS 记录。)
通过 GVLK 配置的客户端使用 DNS 查找 KMS 主机。
客户端将一个数据包发送到 KMS 主机。
KMS 主机记录有关请求客户端的信息(通过使用客户端 ID)。客户端 ID 用于维持客户端的计数并检测同一计算机何时再次请求激活。客户端 ID 仅用于确定是否满足激活阈值。ID 不会永久存储或传输到 Microsoft。如果重新启动 KMS,客户端 ID 收集将再次启动。
如果 KMS 主机具有与 GVLK 中的产品匹配的 KMS 主机密钥,KMS 主机将向客户端发送回一个数据包。此数据包包含从该 KMS 主机请求激活的计算机数量的计数。
如果计数超过要激活的产品的激活阈值,则激活客户端。如果尚未满足激活阈值,客户端将会重试。
.jpg "KMS 激活流程")
图 3.KMS 激活流程