密鑰管理服務 (Key Management Services, KMS) 使用用戶端-伺服器模型來啟動 Windows 用戶端。 KMS 用於本地網路上的批量啟動。 KMS 用戶端會連線到 KMS 伺服器 (稱為 KMS 主機) 來啟用。 KMS 主機可以啟動的 KMS 用戶端取決於用於啟動 KMS 主機的主機密鑰。
本文將指導您完成創建 KMS 主機所需的步驟。 有關 KMS 和初始規劃注意事項的更多資訊,請參閱 金鑰管理服務 (KMS) 啟動計劃。
先決條件
單一 KMS 主機可以支援無數台 KMS 用戶端。 如果您有 50 台以上的用戶端,建議您至少配備兩個 KMS 主機,以免其中一個 KMS 主機突然無法使用。 大部分的組織最多只需要兩個 KMS 主機就可以運作整個基礎結構。
KMS 主機不需要是專用伺服器。 您可以在 KMS 主機上託管其他服務。 您可以在運行受支援的 Windows Server 或 Windows 用戶端作系統的任何物理或虛擬系統上運行 KMS 主機。
您用於 KMS 主機的 Windows 版本決定了您可以為 KMS 用戶端啟動的 Windows 版本。 有關確定哪個版本適合您的環境的説明,請參閱 啟動版本表。
默認情況下,KMS 主機在您的域名系統 (DNS) 中發佈服務 (SRV) 資源記錄。 因此,KMS 用戶端可以自動發現 KMS 主機並啟動,而無需在 KMS 用戶端上進行任何配置。 您可以關閉自動發佈並手動創建記錄。 如果 DNS 服務不支援動態更新,則需要執行這些步驟才能進行自動啟動。
要創建 KMS 主機,您需要滿足以下先決條件:
- 運行 Windows Server 或 Windows 的電腦。 在 Windows Server 上運行的 KMS 主機可以啟動同時運行伺服器和用戶端作系統的電腦。 不過,在 Windows 用戶端作業系統上執行的 KMS 主機只能啟動執行用戶端作業系統的電腦。
- 一個用戶帳戶,它是 KMS 主機上 Administrators 組的成員。
- 彼此相容的 KMS 和用戶端版本,以及可以託管 KMS 的 Windows 版本。 有關更多資訊,請參閱 密鑰管理服務 (KMS) 啟動計劃。
- 組織的 KMS 主機金鑰。 可以從 Microsoft 365 管理中心獲取此金鑰。 有關更多資訊,請參閱 查找和使用批量許可的產品密鑰。
- 訪問 Internet 以啟動 KMS 主機或執行電話啟動。
安裝和配置 KMS 主機
要安裝和配置 KMS 主機,請按照以下部分中的步驟作。
安裝批量啟動服務角色
要安裝批量啟動服務角色,請在提升的PowerShell工作階段中運行以下命令:
Install-WindowsFeature -Name VolumeActivation -IncludeManagementTools
設定 Windows 防火牆
配置 Windows 防火牆以允許 KMS 接收網路流量。 您可以允許任何網路設定檔(預設設定)或域、私有和公共網路配置檔的任意組合使用此流量。 默認情況下,KMS 主機配置為在埠 1688 上使用傳輸控制協定 (TCP)。
要將防火牆規則配置為僅允許 Domain (域) 和 Private (私有) 網路設定檔的網路流量,請運行以下命令:
Set-NetFirewallRule -Name SPPSVC-In-TCP -Profile Domain,Private -Enabled True
使用 Volume Activation Tools 嚮導配置主機
透過執行以下命令開啟 Volume Activation Tools 精靈:
vmw.exe在簡介頁面上,選擇 下一步。
對於激活類型,請選擇 Key Management Service (KMS) (金鑰管理服務 (KMS))。 對於伺服器,輸入 localhost 以設定本地伺服器。 如果要配置其他伺服器,請輸入其主機名。 選取 下一步。
選擇 Install your KMS host key (安裝 KMS 主機密鑰),輸入您組織的產品密鑰,然後選擇 Commit (提交)。
安裝產品金鑰后,選擇 下一步 啟動產品。
在 Select product (選擇產品) 下,選擇要啟動的產品,然後選擇啟動方法。 要連線啟動密鑰,請選擇 Activate online (連線啟動),然後選擇 Commit (提交)。 如果系統提示您確認啟動 KMS 主機,請選擇 Yes (是)。
完成設定
啟動成功完成後,將顯示 KMS 主機配置。
如果設定設定滿足您的要求:
- 選取 [關閉] 結束此精靈。 系統會創建 DNS 記錄,您可以開始 啟動 KMS 用戶端。
- 如果您需要手動創建 SRV 記錄來發佈 KMS 主機,請參閱本文後面的 手動創建 DNS 記錄 。
如果要變更設定設定:
- 選取 下一步。
- 根據您的要求更改配置值,然後選擇 Commit (提交)。
備註
您現在可以開始 啟動 KMS 用戶端。 但是,網路必須首先具有最小數量的計算機(稱為啟動閾值)。 KMS 主機會跟蹤最近的連接數。 當用戶端或伺服器聯繫 KMS 主機時,主機會記下電腦 ID,增加觸點計數,然後在其回應中返回當前計數。 如果計數足夠高,則啟動客戶端或伺服器:
- 如果計數為 25 個或更大,則啟動 Windows 用戶端。
- 如果計數為 5 或更大,則啟動 Microsoft Office 產品的 Windows Server 和卷版本。
在計數中,KMS 僅包含過去 30 天的唯一連接,並且僅存儲最近的 50 個連絡人。
手動創建 DNS 記錄
如果您的 DNS 服務不支援動態更新,則必須手動創建資源記錄才能發布 KMS 主機。 使用以下資訊使用 DNS 服務手動為 KMS 建立 DNS 資源記錄。 如果您更改 KMS 主機設定中的預設埠號,請同時調整用於資源記錄的埠號。
| 財產 | 價值 |
|---|---|
| 類型 | SRV |
| 服務/名稱 | _vlmcs |
| 協定 | _tcp |
| 優先順序 | 0 |
| 重量 | 0 |
| 連接埠號碼 | 1688 |
| 主機名稱 | <KMS 主機的 FQDN> |
如果您的 DNS 服務不支援動態更新,您還應該在所有 KMS 主機上禁用發佈。 有關說明,請參閱本文後面的 禁用 DNS 記錄發佈 。 通過禁用發佈,可以防止事件日誌收集失敗的 DNS 發佈事件。
小提示
手動創建的資源記錄也可以與 KMS 主機在其他域中自動發佈的資源記錄共存,只要保留所有記錄以防止衝突即可。
禁用 DNS 記錄的發佈
要禁用 KMS 主機發佈 DNS 記錄:
透過執行以下命令開啟 Volume Activation Tools 精靈:
vmw.exe在簡介頁面上,選擇 下一步。
對於激活類型,請選擇 Key Management Service (KMS) (金鑰管理服務 (KMS))。 對於伺服器,輸入 localhost 以設定本地伺服器。 如果要配置其他伺服器,請輸入其主機名。 選取 下一步。
選擇 Skip to Configuration(跳到 Configuration),然後選擇 Next(下一步)。
在 DNS Records (DNS 記錄) 旁邊,清除 Publish (發佈 ) 複選框,然後選擇 Commit (提交)。