Windows 10 を実行するクライアントのライセンス認証

  • [アーティクル]

キー管理サービス (KMS)、または Active Directory によるライセンス認証をネットワークで構成した後は、Windows 10 を実行しているクライアントのライセンス認証を簡単に実行できます。コンピューターが Generic Volume License Key (GVLK) で構成されている場合は、IT 部門とユーザーのどちらも、操作を行う必要はありません。ライセンス認証は完了しています。

Enterprise エディションのイメージとインストール メディアは、既に GVLK で構成されています。クライアント コンピューターを起動すると、ライセンス サービスが、コンピューターの現在のライセンス状態を調べます。ライセンス認証またはライセンス再認証が必要な場合は、次の処理が実行されます。

  1. コンピューターがドメインのメンバーである場合は、ボリューム ライセンス認証オブジェクトをドメイン コントローラーに要求します。Active Directory によるライセンス認証を構成している場合は、ドメイン コントローラーがオブジェクトを返します。オブジェクトが、インストールされているソフトウェアのエディションと一致し、一致する GVLK がコンピューターにある場合は、コンピューターがライセンス認証 (またはライセンス再認証) され、その後 180 日間は、再度ライセンス認証を行う必要はありません。ただし、オペレーティング システムは、それよりはるかに短い一定の間隔で、再度ライセンス認証を実行しようとします。

  2. コンピューターがドメインのメンバーではない場合、またはボリューム ライセンス認証オブジェクトを使用できない場合は、コンピューターが DNS クエリを発行して KMS サーバーを検出しようとします。KMS サーバーにアクセスできる場合は、コンピューターの GVLK に一致するキーを KMS が持っていれば、ライセンス認証が実行されます。

  3. コンピューターは、MAK で構成されている場合は、Microsoft のサーバーに対してライセンス認証を実行しようとします。

クライアントは、自身のライセンス認証を正常に実行できない場合は定期的に再試行します。再試行する頻度は、現在のライセンスの状態と、過去にクライアント コンピューターが正常にアクティブ化されていたかどうかによって異なります。たとえば、クライアント コンピューターで以前に Active Directory によるライセンス認証が実行されていた場合は、再起動するたびに定期的にドメイン コントローラーへの接続が試みられます。

キー管理サービスのしくみ

KMS は、クライアント サーバーのトポロジを使用します。KMS クライアント コンピューターは、DNS または静的構成を使って KMS ホスト コンピューターを見つけることができます。KMS クライアントは、TCP/IP 上の RPC を使用して KMS ホストに接続します。

キー管理サービスのライセンス認証のしきい値

KMS ホストに接続して、物理コンピューターと仮想マシンのライセンス認証を実行できます。KMS ライセンス認証を実行するには、最小限の数 (ライセンス認証のしきい値と呼ばれます) のライセンス認証可能なコンピューターが必要です。このしきい値の条件が満たされている場合にのみ、KMS クライアントのライセンス認証が実行されます。各 KMS ホストは、このしきい値に達するまで、ライセンス認証を要求したコンピューターの数をカウントします。

KMS ホストは、KMS クライアントからの有効なライセンス認証要求のそれぞれに対して、ライセンス認証のために KMS ホストに既に接続しているコンピューターの数を応答します。ライセンス認証のしきい値を下回るカウントを受け取るクライアント コンピューターのライセンス認証は実行されません。たとえば、KMS ホストに接続する最初の 2 台のコンピューターが Windows 10 を実行している場合は、最初のコンピューターが 1 というライセンス認証カウントを、2 番目のコンピューターが 2 というライセンス認証カウントを受け取ります。次のコンピューターが、Windows 10 を実行しているコンピューター上の仮想マシンである場合は、この仮想マシンが 3 というライセンス認証カウントを受け取り、それ以降は、同じ要領でカウントを受け取ります。これらのコンピューターのライセンス認証は、いずれも実行されません。これは、他のクライアント バージョンのオペレーティング システムと同様に、Windows 10 を実行しているコンピューターも、25 以上のライセンス認証カウントを受け取る必要があるためです。

KMS クライアントが、KMS ライセンス認証のしきい値に達するのを待機しているときは、KMS ホストに 2 時間ごとに接続して、現在のライセンス認証カウントを取得します。しきい値に達すると、これらのクライアントのライセンス認証が実行されます。

ここで説明した例では、KMS ホストに接続する次のコンピューターが Windows Server 2012 R2 を実行している場合、このコンピューターは 4 というライセンス認証カウントを受け取ります。これは、ライセンス認証カウントが累積的であるためです。Windows Server 2012 R2 を実行しているコンピューターが 5 以上のライセンス認証カウントを受け取った場合は、このコンピューターのライセンス認証が実行されます。Windows 10 を実行しているコンピューターが 25 以上のライセンス認証カウントを受け取った場合は、このコンピューターのライセンス認証が実行されます。

ライセンス認証カウントのキャッシュ

ライセンス認証のしきい値を追跡するために、KMS ホストでは、ライセンス認証を要求した KMS クライアントの記録が保存されます。KMS ホストは、各 KMS クライアントにクライアント ID を指定し、KMS ホストは、各クライアント ID をテーブルに保存します。既定では、各ライセンス認証要求が、最長で 30 日間、テーブルに保存されています。クライアントがライセンス認証を更新するときに、キャッシュされたクライアント ID はテーブルから削除され、新しいレコードが作成されて、その時点から 30 日の期間が再開されます。KMS クライアント コンピューターで 30 日以内にライセンス認証が更新されなかった場合は、KMS ホストが、対応するクライアント ID をテーブルから削除し、ライセンス認証カウントを 1 つ減らします。

ただし、KMS ホストでキャッシュされるのは、ライセンス認証のしきい値に達するために必要な数の 2 倍の数のクライアント ID のみです。そのため、テーブルに保管されるのは、50 個の最新のクライアント ID のみとなり、30 日よりもはるかに短期間でクライアント ID が削除される場合もあります。

キャッシュの合計サイズは、ライセンス認証を実行しようとしているクライアント コンピューターの種類によって設定されます。KMS ホストがサーバーからのみライセンス認証要求を受け取っている場合は、10 個 (必要とされる 5 個の 2 倍) のクライアント ID のみがキャッシュに保持されます。Windows 10 を実行しているクライアント コンピューターが、その KMS ホストにアクセスすると、KMS は、キャッシュ サイズを 50 に増やして、より大きいしきい値に対応します。KMS がキャッシュ サイズを減らすことはありません。

キー管理サービスの接続性

KMS ライセンス認証では、TCP/IP 接続が必要です。既定では、KMS ホストおよびクライアントは DNS を使って KMS を公開し、検索します。管理操作が (ほとんど) 不要となる既定の設定を使うことができます。または、KMS ホストおよびクライアント コンピューターを、ネットワークの構成とセキュリティの要件に基づいて手動で構成することもできます。

キー管理サービスのライセンス認証の更新

KMS ライセンス認証の有効期間は 180 日間 (ライセンス認証の有効期間) です。ライセンス認証を維持するために、KMS クライアント コンピューターは、180 日ごとに 1 回以上、KMS ホストに接続してライセンス認証を更新する必要があります。既定では、KMS クライアント コンピューターは、7 日ごとにライセンスを更新しようとします。KMS ライセンス認証に失敗した場合、クライアント コンピューターは 2 時間ごとに再試行します。クライアント コンピューターのライセンス認証が更新された後、ライセンス認証の有効期間が再開されます。

キー管理サービスの公開

KMS では、DNS のサービス (SRV) リソース レコードを使って、KMS ホストの場所を保存し、通信します。KMS ホストは、利用可能な場合は DNS 動的更新プロトコルを使って、KMS サービス (SRV) リソース レコードを公開します。動的更新を利用できない場合、またはリソース レコードを公開する権利が KMS ホストにない場合は、DNS レコードを手動で公開するか、特定の KMS ホストに接続するようにクライアント コンピューターを構成する必要があります。

キー管理サービスのクライアント検出

既定では、KMS クライアント コンピューターは、KMS 情報を DNS に照会します。KMS クライアント コンピューターは、最初に KMS 情報を DNS に照会するときは、DNS が返すサービス (SRV) リソース レコードの一覧から KMS ホストをランダムに選びます。サービス (SRV) リソース レコードを含む DNS サーバーのアドレスは、KMS クライアント コンピューターでサフィックス付きエントリとして一覧表示できます。これにより、DNS サーバーが KMS のサービス (SRV) リソース レコードをアドバタイズでき、他のプライマリ DNS サーバーを持つ KMS クライアント コンピューターがそれらのレコードを検出できます。

KMS の DnsDomainPublishList レジストリ値には、優先順位と重みのパラメーターを追加できます。KMS ホストの優先順位のグループを確立し、各グループ内で重み付けを行うと、クライアント コンピューターが最初に接続しようとする KMS ホストを指定して、複数の KMS ホスト間のトラフィックを分散できます。これらの優先順位と重みのパラメーターを提供しているのは、Windows 10、Windows 8.1、Windows 8、Windows 7、Windows Server 2012 R2、Windows Server 2012、および Windows Server 2008 R2 だけです。

クライアント コンピューターが選択した KMS ホストが応答しない場合、KMS クライアント コンピューターは、サービス (SRV) リソース レコードの一覧からその KMS ホストを削除し、別の KMS ホストを一覧からランダムに選びます。KMS ホストが応答すると、KMS クライアント コンピューターはその KMS ホストの名前をキャッシュし、その後のライセンス認証と更新の際に、そのホストを使用します。それ後の更新で、キャッシュされた KMS ホストが応答しない場合、KMS クライアント コンピューターは、KMS サービス (SRV) リソース レコードを DNS に照会して、新しい KMS ホストを検出します。

既定では、クライアント コンピューターは、TCP ポート 1688 で匿名 RPC を使って、ライセンス認証のための KMS ホストに接続します(既定のポートは変更できます)。KMS ホストとの TCP セッションを確立した後、クライアント コンピューターは要求パケットを 1 個送信します。KMS ホストは、ライセンス認証カウントで応答します。カウントが、そのオペレーティング システムのライセンス認証のしきい値以上である場合は、クライアント コンピューターのライセンス認証が実行され、セッションが閉じられます。KMS クライアント コンピューターは、これと同じ手順を更新要求にも使います。通信のそれぞれの方向に 250 バイトが使用されます。

ドメイン ネーム システム サーバーの構成

既定の KMS 自動公開機能には、サービス (SRV) リソース レコードと、DNS 動的更新プロトコルのサポートが必要です。KMS クライアント コンピューターの既定の動作と、KMS サービス (SRV) リソース レコードの公開は、Microsoft ソフトウェアを実行している DNS サーバー、または、サービス (SRV) リソース レコード (インターネット技術標準化委員会 [IETF] の Request for Comments [RFC] 2782 による) と動的更新 (IETF RFC 2136 による) をサポートする他の DNS サーバーでサポートされています。たとえば、Berkeley Internet Domain Name バージョン 8.x と 9.x は、サービス (SRV) リソース レコードと動的更新をサポートしています。

KMS ホストは、サービス (SRV)、IPv4 ホスト (A)、および IPv6 ホスト (AAAA) の各リソース レコードを DNS サーバーで作成し、更新するために必要な資格情報を持つように構成する必要があります。そうしない場合は、これらのレコードを手動で作成する必要があります。KMS ホストに必要な資格情報を与えるために推奨される解決策は、AD DS にセキュリティ グループを作成し、そのグループにすべての KMS ホストを追加することです。Microsoft ソフトウェアを実行している DNS サーバーでは、このセキュリティ グループに、KMS サービス (SRV) リソース レコードを含む、各 DNS ドメインの _VLMCS._TCP レコードに対するフル コントロールが与えられるようにします。

最初のキー管理サービス ホストのライセンス認証

ネットワーク上の KMS ホストには、KMS キーをインストールし、Microsoft によるライセンス認証を実行する必要があります。KMS キーをインストールすると、KMS ホストで KMS が有効になります。KMS キーをインストールした後に、電話またはオンラインで KMS ホストのライセンス認証を完了します。この最初のライセンス認証の後は、KMS ホストが Microsoft に情報を伝達することはありません。KMS キーは KMS ホストにのみインストールされます。個々の KMS クライアント コンピューターにはインストールされません。

2 回目以降のキー管理サービス ホストのライセンス認証

各 KMS キーは、6 台までの KMS ホストにインストールできます。これらのホストは、物理コンピューターと仮想マシンのいずれかです。KMS ホストのライセンス認証を実行した後、同じホストに 9 回まで、同じキーでライセンス認証を再実行できます。6 台を超える KMS ホストが組織に必要な場合は、マイクロソフト ボリューム ライセンス認証専用窓口に電話して、組織の KMS キーへの追加のライセンス認証を例外として依頼します。

マルチ ライセンス認証キーのしくみ

MAK は、Microsoft のホスト型ライセンス認証サービスによる 1 回限りのライセンス認証に使用されます。各 MAK では、許可されるライセンス認証の数が、あらかじめ決められています。この数は、ボリューム ライセンス契約に基づいており、組織の正確なライセンス カウントと一致しない場合があります。Microsoft がホストするライセンス認証サービスで MAK を使う各ライセンス認証では、ライセンス認証の制限までカウントします。

MAK を使って、2 つの方法でコンピューターのライセンス認証を実行できます。

  • MAK 個別ライセンス認証。各コンピューターがインターネットまたは電話を使って、それぞれ独立して Microsoft に接続し、ライセンス認証を実行します。MAK 個別ライセンス認証は、企業ネットワークへの接続を維持していない組織内のコンピューターに最適です。図 16 は、MAK 個別ライセンス認証を示しています。

    MAK 個別ライセンス認証

    図 16。MAK 個別ライセンス認証

  • MAK プロキシ ライセンス認証。MAK プロキシ ライセンス認証を行うと、マイクロソフトへの 1 つの接続で、複数のコンピューターの一元的なライセンス認証要求が可能になります。MAK プロキシ ライセンス認証は、VAMT を使ってを構成します。MAK プロキシ ライセンス認証は、セキュリティ上の理由により、インターネットや企業ネットワークへの直接アクセスが制限される環境に適しています。また、この接続性がない開発ラボとテスト ラボにも適しています。図 17 は、VAMT による MAK プロキシ ライセンス認証を示しています。

    MAK プロキシ ライセンス認証

    図 17。VAMT による MAK プロキシ ライセンス認証

MAK は、企業ネットワーク に (ほとんど) 接続しないコンピューターや、ライセンス認証が必要なコンピューターの数が KMS ライセンス認証のしきい値に満たない環境に推奨されます。

また、個々のコンピューターでも、Microsoft 展開ソリューションを使って複製またはインストールできるイメージでも MAK を使うことができます。さらに、本来は KMS ライセンス認証を使うように構成されているコンピューターでも MAK を使用できます。これは、コア ネットワークからコンピューターを、接続されていない環境に移動する場合に役立ちます。

複数ライセンス認証キー アーキテクチャとライセンス認証

MAK 個別ライセンス認証では、クライアント コンピューターに MAK プロダクト キーがインストールされます。キーは、そのコンピューターに、インターネット経由で Microsoft サーバーに対して、それ自体のライセンス認証を実行するよう指示します。

MAK プロキシ ライセンス認証では、VAMT がクライアント コンピューターに MAK プロダクト キーをインストールし、ターゲット コンピューターからインストール ID を取得し、クライアントに代わってインストール ID を Microsoft に送信して、確認 ID を取得します。次に、確認 ID がインストールされることで、クライアント コンピューターのライセンス認証が行われます。

標準ユーザーとしてのライセンス認証

Windows 10、Windows 8.1、Windows 8、Windows 7、Windows Server 2012 R2、Windows Server 2012、および Windows Server 2008 R2 では、ライセンス認証に管理者特権は必要ありませんが、この変更によって、Windows 7 または Windows Server 2008 R2 を実行しているコンピューターをライセンス認証済みの状態から削除することが標準ユーザー アカウントに許可されるわけではありません。"rearm" など、その他のライセンス認証関連またはライセンス関連のタスクには、依然として管理者アカウントが必要です。

参照