Aktivieren von Windows 10-Clients

  • Artikel

Nach dem Konfigurieren des Schlüsselverwaltungsdiensts (Key Management Service, KMS) oder der Aktivierung über Active Directory in Ihrem Netzwerk ist das Aktivieren eines Windows 10-Clients ein Kinderspiel. Wenn der Computer mit einem Generic Volume License Key (GVLK) konfiguriert wurde, muss weder die IT noch der Benutzer eine Aktion vornehmen. Darauf können Sie sich verlassen.

Enterprise-Editionsimages und Installationsmedien sollten bereits mit dem GVLK konfiguriert worden sein. Beim Starten des Clientcomputers prüft der Lizenzierungsdienst die aktuelle Lizenzierungsbedingung auf dem Computer. Wenn die Aktivierung oder eine erneute Aktivierung erforderlich ist, geschieht Folgendes:

  1. Wenn der Computer Mitglied einer Domäne ist, wird ein Domänencontroller hinsichtlich eines Volumenaktivierungsobjekts abgefragt. Wenn die Aktivierung über Active Directory konfiguriert wurde, gibt der Domänencontroller das Objekt zurück. Wenn das Objekt mit der Edition der installierten Software übereinstimmt und der Computer über einen übereinstimmenden GVLK verfügt, wird der Computer aktiviert (oder erneut aktiviert), und er muss für die nächsten 180 Tage nicht erneut aktiviert werden, auch wenn das Betriebssystem versucht, die erneute Aktivierung in kürzeren, regelmäßigen Intervallen vorzunehmen.

  2. Wenn der Computer kein Mitglied einer Domäne ist oder das Volumenaktivierungsobjekt nicht verfügbar ist, stellt der Computer eine DNS-Abfrage aus, um zu versuchen, einen KMS-Server zu finden. Wenn ein KMS-Server kontaktiert werden kann, erfolgt die Aktivierung, wenn der KMS über einen Schlüssel verfügt, der mit dem GVLK des Computers übereinstimmt.

  3. Der Computer versucht, die Aktivierung für Microsoft-Server vorzunehmen, wenn er mit einem MAK konfiguriert wurde.

Wenn sich der Client nicht selbst erfolgreich aktivieren kann, wird er dies regelmäßig erneut versuchen. Die Häufigkeit der Wiederholungsversuche hängt vom aktuellen Lizenzierungsstatus und davon ab, ob der Clientcomputer in der Vergangenheit erfolgreich aktiviert wurde. Wenn der Clientcomputer beispielsweise anhand der Aktivierung über Active Directory aktiviert wurde, versucht er bei jedem Neustart regelmäßig den Domänencontroller zu kontaktieren.

Funktionsweise des Schlüsselverwaltungsdiensts (Key Management Service, KMS)

KMS verwendet eine Client-Server-Topologie. KMS-Clientcomputer können mithilfe von DNS oder einer statischen Konfiguration KMS-Hostcomputer ermitteln. KMS-Clients kontaktieren den KMS-Host mithilfe von über TCP/IP übertragenen RPCs.

KMS-Aktivierungsschwellenwerte

Sie können physische und virtuelle Computer aktivieren, indem Sie einen KMS-Host kontaktieren. Um sich für die KMS-Aktivierung zu qualifizieren, muss eine Mindestanzahl an Qualifizierungscomputern (der sog. Aktivierungsschwellenwert) vorliegen. KMS-Clients werden nur aktiviert, nachdem dieser Schwellenwert erreicht wurde. Jeder KMS-Host zählt die Anzahl der Computer, die die Aktivierung angefordert haben, bis der Schwellenwert erreicht ist.

Ein KMS-Host antwortet auf jede gültige Aktivierungsanforderung von einem KMS-Client mit der Anzahl, wie viele Computer bereits den KMS-Host für die Aktivierung kontaktiert haben. Clientcomputer, die eine Anzahl empfangen, die unter dem Aktivierungsschwellenwert liegt, werden nicht aktiviert. Wenn beispielsweise auf den ersten zwei Computern, die den KMS-Host kontaktieren, Windows 10 ausgeführt wird, empfängt der erste eine Aktivierungsanzahl von 1, und der zweite empfängt eine Aktivierungsanzahl von 2. Wenn der nächste Computer ein virtueller Computer auf einem Computer unter Windows 10 ist, empfängt er eine Aktivierungsanzahl von 3 usw. Keiner dieser Computer wird aktiviert, da Computer unter Windows 10 wie bei anderen Client-Betriebssystemversionen eine Aktivierungsanzahl von mindestens 25 empfangen müssen.

Wenn KMS-Clients darauf warten, dass der KMS den Aktivierungsschwellenwert erreicht, stellen sie alle zwei Stunden eine Verbindung zum KMS-Host her, um die aktuelle Aktivierungsanzahl abzurufen. Sie werden aktiviert, nachdem der Schwellenwert erreicht wurde.

Wenn in unserem Beispiel auf dem nächsten Computer, der den KMS-Host kontaktiert, Windows Server 2012 R2 ausgeführt wird, empfängt er eine Aktivierungsanzahl von 4, da Aktivierungsanzahlen kumulativ sind. Wenn ein Computer unter Windows Server 2012 R2 eine Aktivierungsanzahl von mindestens 5 empfängt, wird er aktiviert. Wenn ein Computer unter Windows 10 eine Aktivierungsanzahl von mindestens 25 empfängt, wird er aktiviert.

Cache für die Aktivierungsanzahl

Zum Nachverfolgen des Aktivierungsschwellenwerts speichert der KMS-Host einen Eintrag der die Aktivierung anfordernden KMS-Clients. Der KMS-Host weist jedem KMS-Client eine Client-ID-Bestimmung zu. Zudem speichert der KMS-Host jede Client-ID in einer Tabelle. Standardmäßig verbleibt jede Aktivierungsanforderung für bis zu 30 Tage in der Tabelle. Wenn ein Client seine Aktivierung verlängert, wird die zwischengespeicherte Client-ID aus der Tabelle entfernt. Zudem wird ein neuer Eintrag erstellt, und der 30-tägige Zeitraum beginnt erneut. Wenn ein KMS-Clientcomputer seine Aktivierung nicht innerhalb von 30 Tagen verlängert, entfernt der KMS-Host die entsprechende Client-ID aus der Tabelle und reduziert die Aktivierungsanzahl um 1.

Der KMS-Host nimmt jedoch nur eine zweimalige Zwischenspeicherung der Anzahl der Client-IDs vor, die zum Erreichen des Aktivierungsschwellenwerts erforderlich sind. Daher werden nur die 50 neuesten Client-IDs in der Tabelle beibehalten, und eine Client-ID sollte viel eher als nach 30 Tagen entfernt werden.

Die Gesamtgröße des Caches wird durch den Clientcomputertyp festgelegt, der versucht, die Aktivierung vorzunehmen. Wenn ein KMS-Host Aktivierungsanforderungen nur von Servern empfängt, hält der Cache nur 10 Client-IDs (zweimal die erforderlichen 5). Wenn ein Clientcomputer unter Windows 10 diesen KMS-Host kontaktiert, erhöht der KMS die Cachegröße auf 50, um den höheren Schwellenwert Rechnung zu tragen. Der KMS reduziert niemals die Cachegröße.

KMS-Konnektivität

Für die KMS-Aktivierung ist die TCP/IP-Konnektivität erforderlich. KMS-Hosts und Clients verwenden standardmäßig DNS zum Veröffentlichen und Suchen des KMS. Die standardmäßigen Einstellungen können verwendet werden, die nur wenige oder keine Verwaltungsaktionen erfordern. Alternativ können KMS-Host und Clientcomputer auf Grundlage von Netzwerkkonfigurations- und Sicherheitsanforderungen manuell konfiguriert werden.

KMS-Aktivierungsverlängerung

KMS-Aktivierungen sind für 180 Tage (im Rahmen des Aktivierungsgültigkeitszeitraums) gültig. Um aktiviert zu bleiben, müssen KMS-Clientcomputer ihre Aktivierung verlängern, indem sie mindestens einmal alle 180 Tage eine Verbindung mit dem KMS-Host herstellen. Standardmäßig versuchen KMS-Clientcomputer ihre Aktivierung alle 7 Tage zu verlängern. Wenn bei der KMS-Aktivierung Fehler auftreten, versucht der Clientcomputer, den Vorgang alle zwei Stunden erneut auszuführen. Nach der Aktivierungsverlängerung eines Clientcomputers beginnt der Aktivierungsgültigkeitszeitraum erneut.

Veröffentlichung des KMS

Der KMS verwendet Ressourceneinträge für Dienste (Service Resource Record, SRV) in DNS zum Speichern und Kommunizieren der Orte von KMS-Hosts. KMS-Hosts verwenden das dynamische DNS-Updateprotokoll, sofern dies verfügbar ist, um die KMS-Ressourceneinträge für Dienste zu veröffentlichen. Wenn das dynamische Update nicht verfügbar ist oder der KMS-Host nicht über die Rechte zum Veröffentlichen der Ressourceneinträge verfügt, müssen die DNS-Einträge manuell veröffentlicht werden, oder Sie müssen die Clientcomputer so konfigurieren, dass sie eine Verbindung zu bestimmten KMS-Hosts herstellen.

Clientermittlung des KMS

Standardmäßig fragen KMS-Clientcomputer DNS hinsichtlich KMS-Informationen ab. Wenn der KMS-Clientcomputer erstmals DNS hinsichtlich KMS-Informationen abfragt, wählt er standardmäßig einen KMS-Host aus der Liste der Ressourceneinträge für Dienste (SRV) aus, die von diesem DNS zurückgegeben werden. Die Adresse eines DNS-Servers, der die Ressourceneinträge für Dienste (SRV) enthält, kann als ein angehängter Eintrag auf KMS-Clientcomputern aufgelistet werden, wodurch ein DNS-Server die Ressourceneinträge für Dienste (SRV) für KMS ankündigen kann und KMS-Clientcomputer mit anderen primären DNS-Servern diese finden können.

Dem Registrierungswert „DnsDomainPublishList“ für KMS können Prioritäts- und Gewichtungsparameter hinzugefügt werden. Das Einrichten von KMS-Hostprioritätsgruppierungen und einer -gewichtung in jeder Gruppe ermöglicht Ihnen das Angeben, welchen KMS-Host die Clientcomputer zuerst testen sollten. Zudem wird dadurch der Datenverkehr zwischen mehreren KMS-Hosts ausgeglichen. Nur Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Server 2012 R2, Windows Server 2012 und Windows Server 2008 R2 stellen diese Prioritäts- und Gewichtungsparameter bereit.

Wenn der durch einen Clientcomputer ausgewählte KMS-Host nicht antwortet, entfernt der KMS-Clientcomputer diesen KMS-Host aus der Liste der Ressourceneinträge für Dienste (SRV) und wählt zufällig einen anderen KMS-Host aus der Liste aus. Wenn ein KMS-Host antwortet, nimmt der KMS-Clientcomputer eine Zwischenspeicherung des KMS-Hostnamens vor und verwendet ihn für die nachfolgenden Aktivierungs- und Verlängerungsversuche. Wenn der zwischengespeicherte KMS-Host bei einer nachfolgenden Verlängerung nicht antwortet, ermittelt der KMS-Clientcomputer einen neuen KMS-Host, indem er DNS für die Ressourceneinträge für Dienste (SRV) abfragt.

Clientcomputer stellen standardmäßig eine Verbindung zum KMS-Host für die Aktivierung her, indem sie anonyme RPCs über den TCP-Port 1688 verwenden. (Sie können den Standardport ändern.) Nach dem Einrichten einer TCP-Sitzung mit dem KMS-Host sendet der Clientcomputer ein einzelnes Anforderungspaket. Der KMS-Host antwortet mit der Aktivierungsanzahl. Wenn die Anzahl den Aktivierungsschwellenwert für dieses Betriebssystem erreicht oder übersteigt, wird der Clientcomputer aktiviert, und die Sitzung wird geschlossen. Der KMS-Clientcomputer verwendet denselben Prozess für Verlängerungsanforderungen. 250 Byte werden für die beidseitige Kommunikation verwendet.

Domain Name System-Serverkonfiguration

Für das standardmäßige Feature für die automatische KMS-Veröffentlichung sind der Ressourceneintrag für Dienste (SRV) und die Unterstützung für das dynamische DNS-Updateprotokoll erforderlich. Das standardmäßige KMS-Clientcomputerverhalten und die KMS-Ressourceneintragsveröffentlichung für Dienste (SRV) werden auf einem DNS-Server, auf dem Microsoft-Software ausgeführt wird, oder auf einem anderen DNS-Server unterstützt, der (gemäß Internet Engineering Task Force [IETF] Request for Comments [RFC] 2782) Ressourceneinträge für Dienste (SRV) und dynamische Updates (gemäß IETF RFC 2136) unterstützt. Beispielsweise unterstützen die Versionen 8.x und 9.x von Berkeley Internet Domain Name Ressourceneinträge für Dienste (SRV) und dynamische Updates.

Der KMS-Host muss konfiguriert werden, sodass er über die Anmeldeinformationen verfügt, die zum Erstellen und Aktualisieren der folgenden Ressourceneinträge auf den DNS-Servern erforderlich sind: Dienst (SRV), IPv4-Host (A) und IPv6-Host (AAAA). Andernfalls müssen die Einträge manuell erstellt werden. Um dem KMS-Host die erforderlichen Anmeldeinformationen zuzuweisen, sollten Sie eine Sicherheitsgruppe in AD DS erstellen und dieser Gruppe anschließend alle KMS-Hosts hinzufügen. Stellen Sie auf einem DNS-Server, auf dem Microsoft-Software ausgeführt wird, sicher, dass diese Sicherheitsgruppe die vollständige Kontrolle über den Eintrag „_VLMCS._TCP“ in jeder DNS-Domäne erhält, die Ressourceneinträge für Dienste (SRV) aufweist.

Aktivieren des ersten KMS-Hosts

KMS-Hosts im Netzwerk müssen einen KMS-Schlüssel installieren und dann durch Microsoft aktiviert werden. Durch die Installation eines KMS-Schlüssels wird der KMS auf dem KMS-Host aktiviert. Schließen Sie nach dem Installieren des KMS-Schlüssels die Aktivierung des KMS-Hosts telefonisch oder online ab. Abgesehen von dieser ersten Aktivierung werden durch einen KMS-Host keine weiteren Informationen an Microsoft übermittelt. KMS-Schlüssel werden nur auf KMS-Hosts installiert, jedoch niemals auf einzelnen KMS-Clientcomputern.

Aktivieren von nachfolgenden KMS-Hosts

Jeder KMS-Schlüssel kann auf bis zu sechs KMS-Hosts installiert werden. Bei diesen Hosts kann es sich um physische oder virtuelle Computer handeln. Nach dem Aktivieren eines KMS-Hosts kann derselbe Host bis zu neunmal mit demselben Schlüssel erneut aktiviert werden. Wenn die Organisation mehr als sechs KMS-Hosts benötigt, können Sie zusätzliche Aktivierungen für den KMS-Schlüssel für Ihre Organisation anfordern, indem Sie das Microsoft Volume Licensing Service Center anrufen, um eine Ausnahme anzufordern.

Funktionsweise von Mehrfachaktivierungsschlüsseln (Multiple Activation Key, MAK)

Ein MAK wird für eine einmalige Aktivierung mit durch Microsoft gehosteten Aktivierungsdiensten verwendet. Jeder MAK verfügt über eine im Voraus festgelegte Anzahl an zulässigen Aktivierungen. Diese Anzahl ist von den Volumenlizenzverträgen abhängig und stimmt möglicherweise nicht mit der genauen Lizenzanzahl der Organisation überein. Jede Aktivierung, bei der ein MAK mit dem durch Microsoft gehosteten Aktivierungsdienst verwendet wird, wirkt sich auf die Aktivierungsbegrenzung aus.

Sie können Computer mithilfe eines MAKs auf zwei verschiedene Art und Weisen aktivieren:

  • Unabhängige MAK-Aktivierung. Jeder Computer stellt eine unabhängige Verbindung zu Microsoft her und wird darüber über das Internet oder telefonisch aktiviert. Die unabhängige MAK-Aktivierung eignet sich am besten für Computer in einer Organisation, in der keine Verbindung zum Unternehmensnetzwerk aufrechterhalten wird. Die unabhängige MAK-Aktivierung wird in Abbildung 16 veranschaulicht.

    Unabhängige MAK-Aktivierung

    Abbildung 16. Unabhängige MAK-Aktivierung

  • MAK-Proxyaktivierung. Die MAK-Proxyaktivierung aktiviert eine zentralisierte Aktivierungsanforderung im Auftrag mehrerer Computer mit einer Verbindung zu Microsoft. Sie können die MAK-Proxyaktivierung mithilfe von VAMT konfigurieren. Die MAK-Proxyaktivierung ist für Umgebungen angemessen, in denen Sicherheitsbedenken den direkten Zugriff auf das Internet oder das Unternehmensnetzwerk beschränken. Sie eignet sich zudem für die Entwicklung Testlabs, in denen diese Konnektivität fehlt. Die MAK-Proxyaktivierung mit VAMT wird in Abbildung 17 veranschaulicht.

    MAK-Proxyaktivierung

    Abbildung 17. MAK-Proxyaktivierung mit dem VAMT

Ein MAK wird für Computer, die selten oder niemals eine Verbindung zum Unternehmensnetzwerk herstellen, und für Umgebungen empfohlen, in denen die Anzahl der Computer, für die die Aktivierung erforderlich ist, den KMS-Aktivierungsschwellenwert nicht erreicht.

Sie können einen MAK für einzelne Computer oder mit einem Image verwenden, das dupliziert oder mithilfe von Microsoft-Bereitstellungslösungen installiert werden kann. Sie können einen MAK auch auf einem Computer verwenden, der ursprünglich für die Verwendung der KMS-Aktivierung konfiguriert wurde. Dies eignet sich für das Verschieben eines Computers aus dem Kernnetzwerk in eine getrennte Umgebung.

MAK-Architektur und -Aktivierung

Bei der unabhängigen MAK-Aktivierung wird ein MAK Product Key auf einem Clientcomputer installiert. Der Schlüssel weist den Computer an, sich selbst bei Microsoft-Servern über das Internet zu aktivieren.

Bei der MAK-Proxyaktivierung installiert das VAMT einen MAK Product Key auf einem Clientcomputer, ruft die Installations-ID vom Zielcomputer ab, sendet die Installations-ID im Auftrag des Clients an Microsoft und ruft eine Bestätigungs-ID ab. Das Tool aktiviert anschließend den Clientcomputer durch das Installieren der Bestätigungs-ID.

Aktivieren als ein Standardbenutzer

Für Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Server 2012 R2, Windows Server 2012 und Windows Server 2008 R2 sind für die Aktivierung keine Administratorrechte erforderlich. Diese Änderung erlaubt es jedoch nicht, dass Standardbenutzerkonten Computer unter Windows 7 oder Windows Server 2008 R2 aus dem aktivierten Status entfernen. Für andere Aktivierungs- oder lizenzierungsbezogene Tasks wie das Zurücksetzen ist jedoch weiterhin ein Administratorkonto erforderlich.

Weitere Informationen