エクスポート (0) 印刷
すべて展開

ボリューム アクティベーション 2.0 計画ガイド

対象製品 :

Windows Vista® および Windows Server® 2008

Microsoft Corporation

発行 : 2008 年 3 月

概要

ボリューム アクティベーションは、ボリューム ライセンスを購入されたお客様のライセンス認証手続きを自動化および管理することを目的としています。このドキュメントは、組織でマイクロソフト ボリューム ライセンスを購入し、ボリューム アクティベーション 2.0 の展開を計画する必要がある、IT インフラストラクチャの実装者を対象としています。

目次

はじめに
ボリューム アクティベーションに関する計画の手順
利用可能なライセンス認証モデルの確認
  キー管理サービス (KMS)
    最低限必要なコンピュータの台数
    KMS のしくみ
    KMS の展開計画
  マルチ ライセンス認証キー (MAK)
    Volume Activation Management Tool (VAMT)
    MAK アーキテクチャ
クライアント接続の評価
  ライセンス認証のシナリオ
    コア ネットワーク
    分離されたネットワーク
    接続されていない個々のコンピュータ
    テスト ラボまたは開発ラボ
ライセンス認証方法へのシステムの割り当て
必要なプロダクト キーの判断
監視とレポートに関する要件の判断
  Windows Management Instrumentation (WMI)
  System Management Server (SMS) および System Center Configuration Manager (SCCM)
  イベント ログ
  KMS 管理パック
  Volume Activation Management Tool (VAMT)
付録 1: ライセンス認証時にマイクロソフトに送信される情報
付録 2: ライセンスの状態
  ライセンスされている
  猶予期間
  正規
  通知
  ライセンスされていない/機能制限モード (RFM)

はじめに

ボリューム アクティベーション 2.0 (VA 2.0) は、IT プロフェッショナルが、マイクロソフト ボリューム ライセンス プログラムに基づいてライセンスされた Windows Vista® および Windows Server® 2008 のライセンス認証手続きを自動化および管理するのに役立つソリューションです。このガイドでは、VA 2.0 の展開を計画する際に役立つ情報を提供します。また、ライセンス認証を計画する手順と、VA 2.0 のシナリオについても説明します。

VA 2.0 の概要については、『ボリューム アクティベーション 2.0 概要ガイド』を参照してください。VA 2.0 に関するガイド一式は、http://go.microsoft.com/fwlink/?LinkID=75674 からダウンロードできます。

ボリューム アクティベーションに関する計画の手順

VA 2.0 の展開は、主に 5 つの手順に分けることができます。該当する各セクションで、これらの手順について詳しく説明します。VA 2.0 の展開を計画するには、以下の手順を完了する必要があります。

  1. 利用可能なライセンス認証方法の確認

  2. クライアント接続の評価

  3. ライセンス認証方法の割り当て

  4. 必要なプロダクト キーの判断

  5. 監視とレポートに関する要件の判断

利用可能なライセンス認証モデルの確認

ボリューム アクティベーション2.0では、ライセンス認証を行うための 2 種類の方法が提供されています。選択する方法は、組織の規模、ネットワーク インフラストラクチャ、接続、およびセキュリティ要件によって異なります。ライセンス認証の方法は、1 つのみ選択することも、両方選択することもできます。

キー管理サービス (KMS)

KMS では、ローカル ネットワーク上でオペレーティング システムのライセンス認証が行われるため、個々のコンピュータをマイクロソフトに接続する必要がなくなります。

この目的で、KMS はクライアント/サーバー方式を使用して実装されます。KMS クライアントは、KMS ホストと呼ばれる KMS サーバーに接続してライセンス認証を行います。KMS ホストはローカル ネットワーク上に配置されます。

最低限必要なコンピュータの台数

KMS モデルを使用したライセンス認証を計画するには、KMS に最低限必要な台数のコンピュータがネットワーク上に存在することを確認し、ネットワーク上のコンピュータ数が KMS ホストによってどのように追跡されるかを理解する必要があります。

KMS ライセンス認証のしきい値

KMS では物理コンピュータと仮想コンピュータのライセンス認証を行うことができますが、KMS ライセンス認証を行うには、ネットワーク上のコンピュータ数が、ライセンス認証のしきい値と呼ばれる、最低限必要な物理コンピュータ数に達している必要があります。このしきい値に達しない限り、KMS クライアントのライセンス認証は行われません。KMS ホストは、ライセンス認証のしきい値に達しているかどうかを確認するために、ライセンス認証を要求しているネットワーク上の物理コンピュータ数をカウントします。ライセンス認証要求のカウントは、Windows Vista と Windows Server 2008 の両方のコンピュータのカウントを合わせた数です。ただし、これらのオペレーティング システムは、それぞれのしきい値に達した時点でライセンス認証を開始します。Windows Server 2008 KMS クライアントのしきい値は、物理コンピュータ 5 台です。Windows Vista KMS クライアントのしきい値は、物理コンピュータ 25 台です。仮想コンピュータはライセンス認証カウントに加算されませんが、物理コンピュータのしきい値に達した後、KMS によって、それらのコンピュータのライセンス認証が行われます。

KMS ホストは、KMS クライアントから送信される、それぞれの有効なライセンス認証要求に応答します。応答の際、ライセンス認証を行うために KMS ホストに接続した物理コンピュータ数を返します。クライアントがライセンス認証のしきい値を下回るカウントを受け取った場合、そのクライアントのライセンス認証は行われません。たとえば、KMS ホストにアクセスする最初の 2 台のコンピュータが、Windows Vista がインストールされている物理コンピュータである場合は、1 台目のコンピュータがライセンス認証カウント 1 を受け取り、2 台目のコンピュータがライセンス認証カウント 2 を受け取ります。次のコンピュータが、Windows Vista がインストールされている仮想コンピュータである場合は、ライセンス認証カウント 2 を受け取ります。これは、物理コンピュータが KMS ホストにアクセスした場合のみ、ライセンス認証カウントが増加するためです。Windows Vista コンピュータのライセンス認証を行うには、ライセンス認証カウントが 25 以上になっている必要があるため、これらのシステムのライセンス認証は行われません。ライセンス認証カウントがしきい値に達していないためにライセンス認証が行われないクライアントは、既定で 2 時間ごとに KMS ホストに接続して、新しいカウントを受け取ります。

KMS ホストにアクセスする次のコンピュータが、Windows Server 2008 がインストールされている物理コンピュータである場合は、ライセンス認証カウント 3 を受け取ります。これは、Windows Server 2008 コンピュータと Windows Vista コンピュータの両方のカウントを合わせた数が、ライセンス認証カウントになるためです。Windows Server 2008 コンピュータ (物理コンピュータまたは仮想コンピュータ) が 5 以上のライセンス認証カウントを受け取った場合、そのコンピュータのライセンス認証が行われます。また、Windows Vista コンピュータ (物理コンピュータまたは仮想コンピュータ) が 25 以上のライセンス認証カウントを受け取った場合、そのコンピュータのライセンス認証が行われます。

ライセンス認証カウントのキャッシュ

KMS ホストは、ライセンス認証のしきい値を追跡するために、ライセンス認証を要求する KMS クライアントを追跡します。KMS ホストに接続する各 KMS クライアントには一意のクライアント ID (CMID) が割り当てられ、この ID は KMS ホストのテーブルに保存されます。各ライセンス認証要求は、30 日間テーブルに保存されます。クライアントのライセンスが更新されると、キャッシュされた CMID がテーブルから削除された後、新しいレコードが作成され、新たに 30 日間テーブルに保存されます。KMS クライアントが 30 日以内にライセンスを更新しなかった場合、対応する CMID がテーブルから削除され、ライセンス認証カウントが 1 減少します。

KMS ホストは、KMS クライアントが発行するライセンス認証要求の 2 倍の数の CMID をキャッシュします。たとえば、Windows Vista クライアントが存在するネットワークでは、KMS ライセンス認証のしきい値は 25 です。この KMS ホストは、最新の 50 回のライセンス認証で割り当てた CMID をキャッシュします。Windows Server 2008 の場合、KMS ライセンス認証のしきい値は 5 です。Windows Server 2008 KMS クライアントのみが接続する KMS ホストは、最新の 10 個の CMID をキャッシュします。後から Windows Vista クライアントがこの KMS ホストに接続した場合、ライセンス認証カウントが高い方の要件に合わせて、キャッシュされる CMID の数は 50 個に増加します。

KMS のしくみ

KMS ライセンス認証を行うには、TCP/IP 接続が必要です。既定では、KMS ホストと KMS クライアントは、DNS を使用して KMS サービスを発行および使用するように構成されます。ネットワーク構成とセキュリティ要件に応じて、管理作業をほとんど必要としないこの既定の設定を使用するか、KMS ホストと KMS クライアントを手動で構成することができます。

KMS ライセンス認証の更新

KMS ライセンス認証は 180 日間有効です。この期間をライセンス認証の有効期間と呼びます。KMS クライアントは、ライセンス認証済みの状態を維持するために、少なくとも 180 日に 1 回 KMS ホストに接続して、ライセンスを更新する必要があります。既定では、KMS クライアント コンピュータは 7 日に 1 回ライセンスの更新を試行します。クライアントのライセンスが更新されると、再び180日間のライセンス認証の有効期間が与えられます。

KMS サービスの発行

KMS サービスは、DNS のサービス (SRV) リソース レコード (RR) を使用して、KMS ホストの場所を保存および送信します。既定では、KMS ホストは動的 DNS (DDNS) を使用して、KMS クライアントが KMS ホストに接続するために必要な情報を自動的に発行します。

KMS サービスのクライアント検出

既定では、KMS クライアントは DNS サーバーに KMS サービスの情報を照会します。KMS クライアントは、初めて DNS サーバーに KMS サービスの情報を照会するときに、DNS から返された SRV リソース レコードの一覧から KMS ホストをランダムに選択します。選択された KMS ホストが応答しない場合、KMS クライアント コンピュータはその KMS ホストを SRV リソース レコードの一覧から削除し、別の KMS をランダムに選択します。KMS ホストが応答した後、KMS クライアント コンピュータはその KMS ホストの名前をキャッシュし、次回ライセンス認証や更新を試行するときに、この KMS ホスト名を使用します。キャッシュした KMS ホストが次回の更新時に応答しなかった場合、KMS クライアント コンピュータは DNS サーバーに接続し、KMS SRV レコードの一覧から新しい KMS ホストを検出します。

クライアント コンピュータは、匿名の RPC (Remote Procedure Call) over TCP 接続を使用して KMS ホストに接続し、ライセンス認証を行います。既定では、この接続にはポート 1688 が使用されます。この接続は匿名で行われます。クライアント コンピュータは KMS ホストとの TCP セッションを確立した後、1 つの要求パケットを送信します。KMS ホストはこの要求に応答し、その際にライセンス認証カウントを返します。カウントが対象のオペレーティング システムのライセンス認証のしきい値に達しているか上回っている場合は、クライアントのライセンス認証が行われ、セッションが終了します。更新要求が発行された場合も同じ処理が行われます。

KMS の展開計画

KMS サービスに専用のサーバーは必要なく、他のサービスとホストを共有できます。KMS ホストは、Windows Server 2008、Windows Vista、または Windows Server 2003 を実行する物理システムや仮想システムで実行できますが、Windows Vista を実行する KMS ホストでライセンス認証を行うことができるのは、Windows Vista KMS クライアントのみです。1 台の KMS ホストでサポートできる KMS クライアント数は制限されていませんが、フェールオーバーを実装する場合は、最低でも 2 台の KMS ホストを使用することをお勧めします。ほとんどの組織は、インフラストラクチャ全体を 2 台の KMS ホストのみで運用できます。

:   KMS は、Windows Server 2008 と Windows Vista には付属していますが、Windows Server 2003 には付属していません。Windows Server 2003 で KMS をホストする場合は、Windows Server 2003 用 KMS をダウンロードしてインストールする必要があります。Windows Server 2003 用 KMS は、http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=81d1cb89-13bd-4250-b624-2f8c57a1ae7b からダウンロードできます (いくつかの言語向けのバージョンが提供されています)。64 ビット バージョンは、http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=03fe69b2-6244-471c-80d2-b4171fb1d7a5 からダウンロードできます。

DNS サーバーの構成計画

既定で提供される KMS の自動発行機能には、DDNS と SRV レコードのサポートが必要です。SRV レコード (RFC 2782 準拠) と動的更新 (RFC 2136 準拠) がサポートされている DNS サーバーでは、KMS クライアントの既定の動作と KMS SRV RR の発行がサポートされます。Berkeley Internet Domain Name (BIND) のバージョン 8.x および 9.x では、SRV レコードと DDNS の両方がサポートされています。

DDNS サーバーで SRV、A、および AAAA リソース レコードを作成および更新するのに必要な資格情報が KMS ホストに提供されるように KMS ホストを構成するか、これらのレコードを手動で作成する必要があります。KMS ホストに必要な資格情報を提供するには、Active Directory® にセキュリティ グループを作成し、そのグループにすべての KMS ホストを追加する方法をお勧めします。また、Microsoft® DNS サーバーで、KMS SRV レコードが含まれる各 DNS ドメインの _VLMCS._TCP レコードを完全に制御する権限がこのセキュリティ グループに与えられるようにします。

1 台目の KMS ホストのライセンス認証

ネットワーク上の KMS ホストに KMS キーをインストールし、マイクロソフトに連絡してライセンス認証を行う必要があります。KMS キーをインストールすると、KMS ホストのキー管理サービスが有効になります。インストール後、電話またはオンラインでライセンス認証を完了します。KMS ライセンス認証で使用される KMS キーは KMS ホストのみにインストールされ、個々の KMS クライアントにはインストールされません。初回のライセンス認証以降、KMS ホストからマイクロソフトに情報が送信されることはありません。

2 台目以降の KMS ホストのライセンス認証

1 台目の KMS ホストのライセンス認証を行った後、1 台目の KMS ホストで使用した KMS キーを使用して、ネットワーク上の KMS ホストのライセンス認証をさらに 5 台まで行うことができます。また、KMS ホストのライセンス認証を行った後、管理者は同じキーを使用して、さらに 9 回まで同じホストの再ライセンス認証を行うことができます。

組織で 7 台以上の KMS ホストが必要な場合は、組織の KMS キーのライセンス認証を追加で要求できます。たとえば、1 つのボリューム ライセンス契約に基づいて運用されている、物理的に独立した場所が 10 か所あり、それぞれの場所に 1 台のローカル KMS ホストが必要であるとします。この例外的なライセンス認証を要求するには、ライセンス認証コール センターに問い合わせる必要があります。詳細については、ボリューム ライセンス Web サイト (http://www.microsoft.com/japan/licensing/default.mspx) を参照してください。

KMS クライアントの計画

Windows Vista と Windows Server 2008 のボリューム ライセンス エディションを実行しているコンピュータは、既定で KMS クライアントとして機能するため、追加で構成作業を行う必要はありません。KMS クライアントは、DNS に SRV レコードを照会して、KMS サービスを発行する KMS ホストを自動的に検出できます。ネットワーク環境で SRV レコードが使用されていない場合、管理者は特定の KMS ホストを使用するように KMS クライアントを手動で構成できます。KMS クライアントを手動で構成するための手順については、『ボリューム アクティベーション 2.0 展開ガイド』を参照してください。

マルチ ライセンス認証キー (MAK)

MAK は、マイクロソフトによってホストされているライセンス認証サービスを使用した個別または一括ライセンス認証で使用されます。各 MAK キーで行うことができるライセンス認証の回数は、あらかじめ決められています。この回数はボリューム ライセンス契約に基づいており、組織の正確なライセンス数とは一致しません。マイクロソフトによってホストされているライセンス認証サービスを使用して MAK ライセンス認証を行うたびに、この制限回数までライセンス認証の回数がカウントされます。

MAK を使用してコンピュータのライセンス認証を行う方法は 2 種類あります。これらは、MAK 非依存ライセンス認証と MAK プロキシ ライセンス認証です。MAK 非依存ライセンス認証では、各コンピュータが個別にマイクロソフトに接続し、インターネット経由または電話でライセンス認証を行う必要があります。MAK プロキシ ライセンス認証では、マイクロソフトに 1 回接続するだけで、複数のコンピュータのライセンス認証を一括で要求することができます。MAK プロキシ ライセンス認証は、Volume Activation Management Tool (ボリューム ライセンス認証管理ツール、VAMT) を使用して構成します。

MAK は個々のコンピュータで使用することも、イメージで使用することもできます。イメージで使用する場合、マイクロソフトの展開ソリューションを使用してそのイメージを一括で複製したり、ダウンロード用に提供したりできます。また、最初は KMS ライセンス認証を使用するように構成されたコンピュータでも、そのコンピュータのライセンス認証の猶予期間や有効期間がもうすぐ終了するか、実際に終了した場合、そのコンピュータで MAK を使用できます。

コンピュータが企業ネットワークにまったくまたはほとんど接続しない場合、およびライセンス認証を必要とする物理コンピュータ数が KMS ライセンス認証のしきい値に達していない場合は、MAK の使用をお勧めします。MAK 非依存ライセンス認証は、企業ネットワークに接続できない組織内のコンピュータに最適です。MAK プロキシ ライセンス認証は、実装しているセキュリティが原因でインターネットや企業ネットワークへの直接的な接続が制限される環境に適しています。また、インターネットや企業ネットワークに直接接続できない開発ラボとテスト ラボにも適しています。

Volume Activation Management Tool (VAMT)

VAMT は複数のシステムからライセンス認証要求を収集し、それらの要求を一括でマイクロソフトに送信するスタンドアロン アプリケーションです。VAMT では、Active Directory (AD)、ワークグループ名、IP アドレス、またはコンピュータ名を使用して、ライセンス認証を行うコンピュータのグループを指定できます。VAMT はライセンス認証確認コードを受け取った後、ライセンス認証を要求したシステムにそれらのコードを返します。また、確認コードはローカルに格納されるため、以前ライセンス認証を行ったシステムの再イメージングを行った場合、その後マイクロソフトに連絡しなくても再ライセンス認証を行うことができます。VAMT と、VAMT に関する規範的なガイダンスは、http://go.microsoft.com/fwlink/?LinkID=77533  (英語) からダウンロードできます。

MAK アーキテクチャ

MAK 非依存ライセンス認証では、クライアント コンピュータに MAK プロダクト キーをインストールし、インターネット経由でマイクロソフトのサーバーにアクセスしてライセンス認証を行うようそのコンピュータのユーザーに指示します。MAK プロキシ ライセンス認証では、VAMT がクライアント コンピュータに MAK プロダクト キーをインストールし、対象のコンピュータからインストール ID (IID) を取得します。その後、クライアントに代わってマイクロソフトに IID を送信し、確認 ID (CID) を取得します。CID を取得したら、その CID をインストールしてクライアントのライセンス認証を行います。

クライアント接続の評価

VA 2.0 で使用できる方法は、それぞれ特定のネットワーク構成に適しています。組織に最適なライセンス認証方法を選択するには、ネットワーク環境を評価して、さまざまなコンピュータ グループがどのような方法でネットワークに接続しているかを確認する必要があります。特に確認する必要があるのは、企業ネットワークへの接続、インターネット アクセス、および企業ネットワークに定期的に接続するコンピュータ数です。ほとんどの中規模から大規模の組織では、クライアント接続に関するさまざまなニーズが存在するため、複数のライセンス認証方法を組み合わせて使用します。 

コンピュータが組織のコア ネットワークに常時接続されている場合、またはオフサイトのコンピュータのように定期的に接続する場合は、KMS をライセンス認証方法として使用することをお勧めします。コンピュータがオフサイトに配置されており、接続が制限されている場合、またはセキュリティの制限によってコア ネットワークに接続できない場合は、MAK をライセンス認証方法として使用することをお勧めします。 

 1 は、一般的なネットワークの構成と、それぞれのネットワークの種類に対して推奨されるベスト プラクティスを示しています。各ソリューションは、物理コンピュータ数とライセンス認証クライアントのネットワーク接続を考慮しています。 

表 1: VA 2.0 の計画に関するネットワーク インフラストラクチャ別の考慮事項

 

 

推奨事項

考慮事項

ネットワーク インフラストラクチャ

コア ネットワーク

接続が安定した LAN

最も一般的な
シナリオ

物理コンピュータ数が KMS ライセンス認証のしきい値を超える場合、使用する KMS ホスト数は次のようになります。

  •     小規模の組織 (コンピュータ数が 100 台未満) では 1 台

  •     中規模の組織 (コンピュータ数が 100 台を超える) では 1 台以上

  •     大企業では 2 台以上

  • 物理コンピュータ数が KMS ライセンス認証のしきい値以下である場合、次のライセンス認証方法を使用します。

  •     MAK (電話またはインター
    ネット)

  •     MAK プロキシ

  • KMS ホストの数は最小限に抑えるようにします。

  • 各 KMS ホストに接続する物理コンピュータの数が常に KMS ライセンス認証のしきい値を超えるようにする必要があります。

  • KMS ホストは自律的に動作しています。

  • KMS ホストのライセンス認証は、電話またはインターネットを使用して行います。

 

分離されたネットワーク

支社/高度なセキュリティで保護されたネットワーク セグメント/境界ネットワーク

接続が安定した、ゾーンに分割されている LAN

ファイアウォールのポートを KMS クライアントと KMS ホストとの間で開くことができる場合、次の方法を使用します。

  •     コア ネットワーク環境の KMS ホストを使用する

  • ポリシーによりファイアウォールを変更できない場合、次のライセンス認証方法を使用します。

  •     MAK (電話またはインター
    ネット)

  •     MAK プロキシ

  • ファイアウォールの構成。

    • クライアントによって開始される RPC over TCP (TCP ポート 1688) セッション。

  • ファイアウォールの規則の
    変更管理。

 

テスト ラボまたは開発ラボ

分離された
ネットワーク

物理コンピュータ数が KMS ライセンス認証のしきい値を超える場合、使用する KMS ホスト数は次のようになります。

  • (分離されたネットワーク
    ごとに) 1 台

  • 物理コンピュータ数が KMS ライセンス認証のしきい値以下である場合、次のライセンス認証方法を使用します。

  • ライセンス認証を行わない (猶予期間のリセット)

  • MAK (電話)

  • 手動で実行する MAK
    プロキシ ライセンス認証

  • 構成の変更。

    • システム数の制限。

    • 仮想コンピュータ。

    • KMS ホストおよび電話による MAK ライセンス認証、手動で実行する MAK プロキシ
      ライセンス認証。

 

接続されて
いない個々の
コンピュータ

インターネットやコア ネットワークに接続されて
いない

定期的にコア
ネットワークに接続するか、仮想プライベート ネットワーク (VPN) 経由で接続する
ローミング
コンピュータ

クライアントが定期的にコア ネットワークに接続する場合、次の方法を使用します。

  • コア ネットワーク環境の KMS ホストを使用する

  • クライアントがコア ネットワークに接続しないか、インターネットにアクセスできない場合、次のライセンス認証方法を使用します。

  • MAK (電話)

  • コンピュータが属しているネットワークからコア ネットワークに接続できない場合、次の方法を使用します。

  • 物理コンピュータ数が KMS ライセンス認証のしきい値を超える場合、使用する KMS ホスト数は次のようになります。
    - 小規模の組織では 1 台
    - 中規模の組織では 1 台以上
    - 企業では 2 台以上

  • 物理コンピュータ数が KMS ライセンス認証のしきい値以下である場合、MAK 非依存ライセンス認証を使用するか、MAK プロキシ ライセンス認証を手動で実行します。

制限された環境、または他のネットワークに接続できない
ネットワーク。

KMS ホストのライセンス認証を行い、非接続ネットワークに移動することができます。

KMS ホストおよび電話による MAK ライセンス認証、手動で実行する MAK プロキシ
ライセンス認証。

ライセンス認証のシナリオ

ここでは、複数のライセンス認証方法を必要とする、さまざまなネットワークで構成された企業環境で使用される VA 2.0 ソリューションの例を示します。シナリオごとに、推奨されるライセンス認証ソリューションがありますが、環境内のインフラストラクチャやポリシーの要件によっては、他のソリューションが適している場合もあります。

コア ネットワーク

集中管理された KMS ソリューションは、コア ネットワーク上のコンピュータに推奨されるライセンス認証方法です。このソリューションは、接続が安定しており、インターネットにも接続できる複数のネットワーク セグメント上のコンピュータで構成されるネットワークを対象としています。図 1 のコア ネットワークには、KMS ホストが存在します。KMS ホストはDDNS を使用して KMS サービスを発行します。KMS クライアントは、DNS  KMS SRV レコードを照会し、いずれかの KMS ホストに接続した後、それぞれのライセンス認証を行います。KMS ホストのライセンス認証は、インターネット経由で直接行われます。 

図 1: コア ネットワークのシナリオ
Cc303276.Cc303276_Volume_Activation_20_Planning_Guide-New_image001(ja-jp,TechNet.10).jpg

:   KMS ホストは仮想コンピュータにもインストールできます。この場合、別の物理コンピュータに移行する可能性が低い仮想コンピュータを選択する必要があります。KMS ホストがインストールされた仮想コンピュータを別の物理コンピュータに移行した場合、基盤となるハードウェアの変更がオペレーティング システムによって検出されるため、マイクロソフトに連絡して KMS ホストの再ライセンス認証を行う必要があります。

分離されたネットワーク

多くの組織には、複数のセキュリティ ゾーンに分割されたネットワークがあります。重要な情報が格納されていることを理由に分離された、高度なセキュリティで保護されたゾーンを含むネットワークもあれば、物理的に離れていることを理由にコア ネットワークから分離されたネットワークもあります。 

高度なセキュリティで保護されたゾーン

高度なセキュリティで保護されたゾーンは、ネットワーク内で、他のネットワークとの通信を制限するファイアウォールによって分離された部分です。高度なセキュリティで保護されたゾーン内のコンピュータがコア ネットワークにアクセスできる場合、コア ネットワーク内の KMS ホストを使用して、それらのコンピュータのライセンス認証を行うことができます。この場合、高度なセキュリティで保護されたネットワーク内のクライアント コンピュータ数が、KMS ライセンス認証のしきい値に達している必要はありません。この構成を使用する場合、高度なセキュリティで保護されたゾーンからのデータの送信と、RPC 応答データの受信が TCP ポート 1688 で許可されるように、ファイアウォールが構成されている必要があります。ファイアウォールの例外の変更が承認されず、高度なセキュリティで保護されたゾーンの物理コンピュータ数が KMS ライセンス認証のしきい値に達している場合、高度なセキュリティで保護されたゾーンにローカル KMS ホストを追加できます。

2 は、企業のセキュリティ ポリシーによって、高度なセキュリティで保護されたゾーンとコア ネットワーク内のコンピュータとの間のトラフィックが許可されていない環境を示しています。高度なセキュリティで保護されたゾーンのコンピュータ数は KMS ライセンス認証のしきい値に達しているため、このゾーンにはローカル KMS ホストが存在します。KMS ホスト自体のライセンス認証は電話で行います。

図 2: 高度なセキュリティで保護されたネットワークのシナリオ
Cc303276.Cc303276_Volume_Activation_20_Planning_Guide-New_image002(ja-jp,TechNet.10).jpg

高度なセキュリティで保護されたゾーンに存在するコンピュータが数台のみであり、KMS の使用が適切でない場合は、MAK 非依存ライセンス認証の使用をお勧めします。電話でマイクロソフトに連絡し、各コンピュータのライセンス認証を個別に行うことができます。 

このシナリオでは、VAMT による MAK プロキシ ライセンス認証も使用できます。高度なセキュリティで保護されたゾーン内のコンピュータはインターネットにアクセスできないため、VAMT  Active Directory、コンピュータ名、IP アドレス、ワークグループのメンバシップなどを使用して、これらのコンピュータを検出します。VAMT は、WMI を使用して MAK プロダクト キーと CID をインストールし、MAK クライアントの状態を取得します。このトラフィックはファイアウォールを通過できないため、高度なセキュリティで保護されたゾーンにローカル VAMT ホストを配置する必要があります。

支社の場所

 3 は、3 つの支社のクライアント コンピュータをサポートする企業ネットワークを示しています。サイト A では、クライアント コンピュータの台数が 25 台を超えており、コア ネットワークへのセキュリティで保護された TCP/IP 接続が確立されていないため、ローカル KMS ホストを使用して KMS ライセンス認証を行います。サイト B ではWindows Vista KMS クライアント コンピュータの台数が 25 台を超えておらず、コア ネットワークへのセキュリティで保護された接続が確立されていないため、MAK ライセンス認証を使用します。サイト C では、プライベート WAN を経由した、コア ネットワークへのセキュリティで保護された接続が確立されており、コア ネットワークの KMS クライアントによって、コンピュータの台数がライセンス認証のしきい値に達するため、KMS を使用します。

図 3: 支社のシナリオ
Cc303276.Cc303276_Volume_Activation_20_Planning_Guide-New_image003(ja-jp,TechNet.10).jpg

接続されていない個々のコンピュータ

組織に属するユーザーは、遠隔地に勤務していたり、さまざまな場所に出張したりすることがあります。このシナリオは、営業担当者のコンピュータや、支社以外のオフサイトの場所にある他のユーザーのコンピュータなど、移動することが多いクライアントに該当します。また、コア ネットワークにまったくまたはほとんど接続しない遠隔地の支社も、このシナリオに該当します。

接続されていないコンピュータは、コア ネットワークに接続する頻度に応じて KMS または MAK を使用できます。 

コンピュータが直接または VPN 経由で 180 日に 1 回以上コア ネットワークに接続し、コア ネットワークで KMS ライセンス認証を使用している場合は、KMS ライセンス認証を使用します。

コンピュータがコア ネットワークにまったくまたはほとんど接続しない場合は、電話またはインターネットによる MAK 非依存ライセンス認証を使用します。図 4 は、インターネットと電話による MAK 非依存ライセンス認証を使用する、接続されていないクライアントを示しています。

図 4: 接続されていないコンピュータのシナリオ
Cc303276.Cc303276_Volume_Activation_20_Planning_Guide-New_image004(ja-jp,TechNet.10).jpg

テスト ラボまたは開発ラボ

ラボ環境では、コンピュータの再構成が頻繁に行われるため、通常は多くの仮想コンピュータを使用します。まず、テスト ラボと開発ラボのコンピュータのライセンス認証を行う必要があるかどうかを判断します。Windows Vista コンピュータの場合、ライセンス認証を行うことなく、30 日間という最初の猶予期間を 3 回リセットできます。Windows Vista Enterprise Edition を使用している場合は、この猶予期間を 5 回リセットできます。Windows Server 2008 コンピュータの最初の猶予期間は 60 日で、3 回リセットできます。頻繁に (Windows Vista は 120 日以内、Windows Vista Enterprise Edition は 180 日以内、Windows Server2008 は 240 日以内) ラボのコンピュータを再構築する場合、ラボのコンピュータのライセンス認証を行う必要はありません。

ライセンス認証を行う必要がある場合、ラボ環境では KMS または MAK ライセンス認証を使用します。コンピュータが KMS ライセンス認証を使用しているコア ネットワークに接続できる場合は、KMS を使用します。ラボ環境内の物理コンピュータ数が KMS ライセンス認証のしきい値に達している場合は、ローカル KMS ホストを展開します。 

コンピュータが入れ替わることが多く、物理 KMS クライアント数が少ないラボ環境では、KMS ライセンス認証カウントを監視して、KMS ホストにキャッシュされた CMID が一定数を超えている状態を維持することが重要です。KMS ホストは、物理コンピュータから受け取ったライセンス認証要求を 30 日間キャッシュします。CMID がライセンス認証に与える影響の詳細については、このドキュメントの「最低限必要なコンピュータの台数」を参照してください。ラボ環境でライセンス認証を行う必要があっても、KMS ライセンス認証の条件を満たしていない場合は、電話 (可能な場合はインターネット) による MAK 非依存ライセンス認証を使用します。 

このシナリオでは、VAMT による MAK プロキシ ライセンス認証も使用できます。外部に接続できないラボ環境内でローカルに VAMT をインストールする場合は、VAMT を手動で更新する必要があります。VAMT は、分離されたラボ ネットワークだけでなく、インターネットにアクセスできるネットワークにもインストールする必要があります。分離されたラボ環境内の VAMT は、検出の実行、状態の取得、MAK プロダクト キーのインストール、およびラボ環境内に配置されている各コンピュータの IID の取得を行います。この情報を VAMT からエクスポートしてリムーバブル メディアに保存した後、VAMT を実行しており、インターネットにアクセスできるコンピュータに、そのファイルをインポートできます。その後、VAMT はマイクロソフトに IID を送信し、ライセンス認証の完了に必要な、対応する CID を取得します。このデータをリムーバブル メディアにエクスポートした後、分離されたラボ環境にデータを移動して CID をインポートし、VAMT を使用してライセンス認証を完了できます。

ライセンス認証方法へのシステムの割り当て

推奨されるライセンス認証シナリオを評価した後、ボリューム アクティベーションを使用するコンピュータをライセンス認証方法に割り当てます。この作業の目的は、ライセンス認証方法にすべてのコンピュータを関連付けることです。表 2 の簡単なワークシートを使用して、すべてのコンピュータをライセンス認証方法に割り当てることができます。このワークシートへの記入が完了したら、KMS を使用するすべてのコンピュータが、KMS ライセンス認証のしきい値に達しているネットワーク内に存在することを確認します。

2: ライセンス認証方法への割り当て用ワークシート

基準

ライセンス
認証方法

コンピュータ数

ライセンス認証を行うコンピュータの合計数

 

KMS ライセンス認証のしきい値に達している、180 日に 1 回以上 (直接または VPN 経由で) ネットワークに接続するコンピュータ数

KMS

 

180 日間 1 回もネットワークに接続しないコンピュータ数

MAK

 

KMS ライセンス認証のしきい値に達している、分離されたネットワーク内のコンピュータ数

KMS

 

KMS ライセンス認証のしきい値に達していない、分離されたネットワーク内のコンピュータ数

MAK

 

ライセンス認証を行わないテスト ラボまたは開発ラボ内のコンピュータ数

なし

 

残りのコンピュータ数は 0 になる必要があります。

 

必要なプロダクト キーの判断

Windows Vista  Windows Server 2008 には、さまざまなエディションがあります。ボリューム アクティベーションのしくみと組織に必要なプロダクト キーの数を容易に把握できるように、マイクロソフトはプロダクト キー グループを作成し、これらのオペレーティング システムのボリューム エディションに適用しました。KMS と MAK のプロダクト キーは、どちらもオペレーティング システムの各エディションではなくプロダクト キー グループに適用されますが、その適用方法が KMS と MAK では異なります。 

MAK ライセンス認証では、プロダクト キー グループを個別のグループとして使用します。MAK ライセンス認証のプロダクト キーは 1 つのプロダクト キー グループに直接関連付けられており、その特定のプロダクト キー グループに含まれる Windows® エディションのライセンス認証のみを行うことができます。KMS の場合、プロダクト キーの適用範囲はプロダクト キー グループの階層によって決まります。図 5 は、KMS でプロダクト キー グループの階層がどのように扱われるかを示しています。階層内の 1 つ目のグループは、最も包括的でないクライアント ボリューム ライセンス プロダクト キー グループです。サーバー グループ C は、KMS 階層内の最も包括的なグループです。KMS キーでは、同じプロダクト キー グループに属する Windows エディションと、プロダクト キー階層ピラミッドの上位に位置する Windows エディションのライセンス認証を行うことができます。

Cc303276.Cc303276_Volume_Activation_20_Planning_Guide-New_image005(ja-jp,TechNet.10).jpg

図 5: プロダクト キー グループ

たとえば、KMS を使用して Windows Server 2008 Datacenter のライセンス認証を行うボリューム ライセンスを購入し、サーバー グループ C の KMS キーを使用する必要があるとします。サーバー グループ C は最も包括的なプロダクト キー グループであるため、サーバー グループ C  KMS キーを使用して、他のすべてのプロダクト キー グループに属する Windows Server 2008  Windows Vista のボリューム エディションのライセンス認証を行うことができます。サーバー グループ B の KMS キーも所有している場合、そのキーを使用して、サーバー グループ B に属する製品だけでなく、クライアント ボリューム ライセンス グループに属する製品のライセンス認証も行うことができます。この機能は自動的に適用されるため、エンド ユーザーや VA 2.0 の管理者が追加で操作を行う必要はありません。 

4 つの各プロダクト キー グループに属する Windows エディションを示す最新の一覧については、http://go.microsoft.com/fwlink/?LinkID=75674  を参照してください。

監視とレポートに関する要件の判断

組織で VA 2.0 を使用する場合、プロダクト キーの使用状況、およびライセンス認証を行うコンピュータのライセンスの状態を追跡する必要があります。ボリューム ライセンスを購入した場合、VLSC Web ページ (http://go.microsoft.com/fwlink/?LinkId=107544) を利用できます。この Web サイトにログオンして、KMS キーの情報や、MAK キーを使用して行うことができるライセンス認証の残り回数をいつでも確認できます。 

他にも、ボリューム ライセンスを購入されたお客様がライセンス認証やプロダクト キーの使用を管理するのに役立つツールがいくつか提供されています。ここでは、それらのツールと、各ツールをどのように役立てることができるかについて説明します。

Windows Management Instrumentation (WMI)

WMI を使用すると、ライセンス認証時に収集されるデータにアクセスできます。提供されているいくつかのツールは、WMI を使用してボリューム アクティベーションのデータにアクセスします。製品のライセンス認証に関する WMI メソッド、プロパティ、レジストリ キー、イベント ID の一覧については、『ボリューム アクティベーション 2.0 運用ガイド』の付録 1 を参照してください。

System Management Server (SMS) および System Center Configuration Manager (SCCM)

MAK と KMS のどちらを使用する場合でも、Systems Management Server (SMS) 2003 Service Pack 3 (SP3) または System Center Configuration Manager (SCCM) 2007 を使用して、組織のコンピュータのライセンスの状態を監視できます。ライセンスの状態の詳細については、このガイドの「付録 2: ライセンスの状態」を参照してください。

SMS 2003 SP3  SCCM 2007 は、組み込みの資産インテリジェンス レポートと WMI を使用して、Windows Vista コンピュータと Windows Server 2008 コンピュータのライセンス認証に関する詳細なレポートを生成します。この情報は、組織でソフトウェア資産管理の一環としてライセンスの追跡とレポートの作成を行う際に、その基盤として役立ちます。 

イベント ログ

KMS サービスは、KMS クライアントと KMS ホストのアプリケーション ログにすべての操作を記録します。KMS クライアントは、Microsoft-Windows-Security-Licensing-SLC イベント番号 12288  12289 を使用して、KMS クライアントのローカル アプリケーション ログにライセンス認証の要求、更新、および応答を記録します。KMS ホストは、KMS クライアントから要求を受信するたびに、個別のエントリを SLC イベント番号 12290 として記録します。これらのエントリは、"アプリケーションとサービス ログ\Key Management Service" のログに保存されます。各 KMS ホストは、ライセンス認証用の個別のログを保持しています。KMS ホスト間でログのレプリケーションは行われません。

KMS 管理パック

KMS のイベント ログは、手動でアーカイブおよび確認できますが、System Center Operations Manager 2005 がインストールされている場合は、Microsoft Key Management Service (KMS) MOM 2005 Management Pack を使用できます。この KMS 管理パックは、WMI を使用して、Windows Vista コンピュータと Windows Server 2008 コンピュータのライセンス認証に関する詳細なレポートを生成します。この管理パックと付属のガイドをダウンロードするには、System Center Operations Manager の製品カタログ (http://go.microsoft.com/fwlink/?LinkID=110332、英語) を参照してください。

Volume Activation Management Tool (VAMT)

 MAK キーで行うことができるライセンス認証の回数は、組織のボリューム ライセンス契約に基づいてあらかじめ決められています。マイクロソフトによってホストされているライセンス認証サービスを使用してライセンス認証を行うたびに、MAK ライセンス認証の残り回数が 1 回ずつ減少します。MAK を実装する場合は、組織で MAK ライセンス認証の残り回数をどのように監視するかを検討する必要があります。 

MAK 非依存ライセンス認証と MAK プロキシ ライセンス認証のどちらを使用する場合でも、VAMT を使用して MAK ライセンス認証の残り回数を監視できます。VAMT は、Windows XP、Windows Server 2003、または Windows Vista で実行できるスタンドアロン アプリケーションです。VAMT は、MAK ライセンス認証を使用するすべてのシステムのライセンスの状態に関するレポートを作成し、MAK ライセンス認証カウントを追跡します。 

付録 1: ライセンス認証時にマイクロソフトに送信される情報

マイクロソフトは、ライセンス認証時に収集された情報を使用して、ソフトウェアのコピーがライセンス認証を受けていることを確認します。その後、収集された情報は統計分析のために集計されます。この情報を使用して、お客様個人を特定したり、お客様に連絡を差し上げたりすることはありません。ライセンス認証時に取得される情報、およびマイクロソフトがそのデータをどのように使用するかについては、Windows Vista のプライバシーに関する声明 (http://go.microsoft.com/fwlink/?LinkID=52526) を参照してください。

MAK ライセンス認証時と KMS ホスト ライセンス認証時には、以下の情報がマイクロソフトに送信されます。

  • プロダクト キー

  • オペレーティング システムのエディションと入手先の販売チャネル

  • 現在の日付

  • ライセンスおよびライセンス認証の状態

  • ハードウェア ID ハッシュ (リバース エンジニアリングを行うことができない一意でない数値)

  • 言語設定

  • IP アドレス (要求が発行された場所を確認する目的でのみ使用されます)

付録 2: ライセンスの状態

Windows Vista  Windows Server 2008 は、5 つのソフトウェア ライセンスの状態 (ライセンスされている、猶予期間、正規、通知、ライセンスされていない) のいずれかに当てはまります。これらの状態はシステムのライセンス認証の状態や正規状態を反映しており、この状態によってエンド ユーザーのエクスペリエンスが決まります。 

Windows システムのライセンスの状態は、ソフトウェア ライセンス アーキテクチャによって管理されます。このアーキテクチャには、Windows セキュリティの中核となる多くのテクノロジに基づいて構築されたポリシー エンジンが含まれています。このアーキテクチャは、コードとそれに関連するライセンスの状態を、改ざんやその他の悪意のある行為から保護するように設計されています。 

ポリシー エンジンは、一連の暗号化された署名付きの XrML ライセンス ファイルからデータを取得します。XrML は業界標準の権利記述言語であり、多くの Windows コンポーネントで使用されています。ライセンス ファイルでは、インストールされた Windows エディションの権利と状態が定義されます。すべてのライセンス ファイル、またはポリシー エンジンによって使用されるその他のデータは、マイクロソフトの信頼性測定のルートをセキュリティで保護するために関連付けられたキーを使用して、デジタル署名または暗号化されます。 

ライセンスされている

システムのライセンス認証を行うと、インストールされたオペレーティング システムのすべての機能を使用できます。Windows エディションの機能は、ライセンス ファイルと、ライセンス認証手続きの結果として与えられる一連のポリシーまたは権利の組み合わせによって定義されます。個々の Windows コンポーネントは、ソフトウェア ライセンス API を呼び出して、どの権利が与えられたかを判断し、応答の内容に応じて機能を調整します。

猶予期間

Windows Vista または Windows Server 2008 オペレーティング システムをインストールすると、ライセンス認証を行う前でも、そのコンピュータではオペレーティング システムの機能がすべて提供されますが、それらの機能を使用できる時間は制限されています。つまり、それらの機能には猶予期間が設定されています。猶予期間の長さは、Windows Vista の場合は 30 日間、Windows Server 2008 の場合は 60 日間です。この最初の猶予期間中、システムのライセンス認証を行うよう通知するメッセージが定期的に表示されます。これらの通知はそれほど煩わしいものではなく、猶予期間の最初のうちは表示されませんが、猶予期間の終わりに近づくにつれて頻繁に表示されるようになります。

正規

正規状態はライセンス認証手続きには関連付けられていません。これは、オンラインの Windows Genuine Advantage (WGA) サービスによって判断される状態です。ユーザーが正規品のみで提供される機能のダウンロードまたは使用を試みると、要求を発行したコンピュータのオペレーティング システムが WGA 検証サービスによって検証されます。

オペレーティング システムの正規状態は、以下の 3 つのいずれかに当てはまります。

•    非正規  : 正規品でないことを示すチケットをシステムがオンライン検証サービスから取得したときの状態です。

•    ローカル正規 : システムが有効なチケットを取得していないときの状態です。

•    正規 : 正規品であることを示すマイクロソフトの署名済みチケットをシステムがオンライン検証サービスから取得したときの状態です。

正規状態は、Windows Vista にのみ適用されます。Windows Vista システムは、最初の猶予期間中は必ずローカル正規状態になります。システムは、オンラインの WGA サービスの検証によって非正規品と見なされた時点で非正規状態になり、非正規チケットを受け取ります。同様に、システムが非正規状態になった場合、正規チケットを受け取るには、WGA サービスの検証によって正規品と見なされる必要があります。

システムが正規品と見なされるようにするには、システムのライセンス認証を行う必要がありますが、ライセンス認証手続きを行っても、以前の非正規状態がリセットまたは消去されるわけではありません。そのため、ライセンス認証が行われた状態にシステムを復帰させ、すべての機能を使用できるようにするには、システムのライセンス認証を行った後、WGA サービスの検証を受ける必要があります。

通知

通知ベースのエクスペリエンスは、ログオンや使い慣れたデスクトップへのアクセスなど、システムの機能を維持しながら、Windows Vista の正規品と非正規品、およびライセンス認証が完了した Windows Vista と完了していない Windows Vista を区別することを目的としています。RFM は Windows Vista から削除され、通知ベースのエクスペリエンスに置き換えられました。この新しい通知が表示された場合、猶予期間中 (初回のライセンス認証が行われていないかハードウェアが変更されたとき) にシステムのライセンス認証が行われなかったか、システムが検証によって非正規品と見なされた可能性があります。通知状態のシステムは、ライセンス認証が行われた状態のシステムと同じように動作しますが、以下のような例外があります。

•    対話形式のログオン時に、システムのライセンス認証が行われていないことを示すダイアログ ボックスが表示されます。このダイアログ ボックスでは、プロダクト キーによるライセンス認証やオンライン検証など、実行できる操作の一覧も提供されます。このダイアログ ボックスが表示されると、ログオンするまで 15 秒から 2 分までの時間がかかります。対話形式以外のログオンは、この例外の影響を受けません。

•    デスクトップの背景が黒色に設定されます。

•    1 時間ごとに通知バルーンがタスク バーに表示され、ユーザーに状態が通知されます。背景を変更しても、通知バルーンが表示されると再び黒色に設定されます。

通知状態では、次の 3 つの機能も無効になります。

•    KMS ホストが KMS クライアントや他の KMS ホストのライセンス認証または更新を行うことができません。

•    Windows Update で、重要な更新プログラムのみがインストールされます。

•    正規品のみで使用できることが示されているプログラムをダウンロードできません。

システムを通知状態から復帰させるには、ライセンス認証を行う必要があります。

ライセンスされていない/機能制限モード (RFM)

Windows Vista (SP1 より前のバージョン) を実行しているシステムのライセンス認証が猶予期間内に行われなかった場合、そのシステムはライセンスされていない状態 (RFM 状態) に移行します。RFM は、Windows Vista の初期リリースを実行しているコンピュータに影響を与える可能性があります。Windows Vista SP1 と Windows Server 2008 は、ライセンスされていない状態 (RFM 状態) には移行しません。RFM 状態に移行しても、ユーザーは引き続き、Windows で提供されるほとんどの機能を使用できます。たとえば、ファイルへのアクセス、スクリプトの実行、WMI を使用したコンピュータの管理、プロダクト キーの変更、遠隔地からのライセンス認証、既定のブラウザ アクセスを使用したログオンなどを実行できます。ただし、個人用のデータやアプリケーションにアクセスしたり、それらをバックアップしたりする際に、セーフ モードでコンピュータを再起動することが必要になる場合があります。ユーザーのログオン セッションは 1 時間に限定されています。このセッションでは、[スタート] メニュー、タスク マネージャ、リモート デスクトップ、印刷サービスなどにアクセスできません。また、正規品のみで使用できる機能はすべて無効になっています。

計画ガイド ダウンロードする
この情報は役に立ちましたか。
(残り 1500 文字)
フィードバックをいただき、ありがとうございました
表示:
© 2014 Microsoft