Планирование активации корпоративных лицензий
Активация продукта — это процесс проверки программного обеспечения у изготовителя после того, как оно было установлено на конкретном компьютере. Активация подтверждает, что продукт является подлинной копией и что ключ или серийный номер продукта действительны и не были скомпрометированы или аннулированы. Активация также устанавливает связь между ключом продукта и конкретной установкой.
Во время активации анализируются сведения о конкретной установке. При активации через Интернет эти сведения отправляются на сервер Майкрософт. Они могут включать версию ПО, ключ продукта, IP-адрес компьютера и информацию об устройстве. Методы активации, используемые Майкрософт, призваны помочь защитить конфиденциальность пользователей и не могут применяться для идентификации пользователя или компьютера. Собранные данные подтверждают, что ПО является законно лицензированной копией, и используются для статистического анализа. Корпорация Майкрософт не использует эти сведения для идентификации пользователя или организации или для связи с ними.
Примечание
IP-адрес используется только для проверки местонахождения источника запроса, так как некоторые выпуски Windows (например, версии "Начальная") можно активировать только на определенных целевых рынках.
Каналы распространения и активация
Обычно ПО Майкрософт распространяется по трем основным каналам: в розницу, через изготовителей оборудования (OEM) и в рамках соглашений корпоративного лицензирования. Для каждого канала доступны свои методы активации. Поскольку организации могут приобретать ПО по нескольким каналам одновременно (например, покупать одни продукты в розницу, а другие — по программе корпоративного лицензирования), большинство организаций предпочитают использовать сочетание нескольких методов активации.
Розничная активация
В последних нескольких версиях Windows и Windows Server розничный метод активации не менялся. Для каждой приобретенной копии предоставляется один уникальный ключ продукта (его часто называют розничным ключом). Пользователь вводит этот ключ во время установки продукта. Компьютер использует розничный ключ для выполнения активации после окончания установки. В большинстве случаев активация осуществляется через Интернет, но возможна также активация по телефону.
Недавно область применения розничных ключей была расширена: теперь они также используются для ряда новых сценариев распространения. Для активации продуктов, которые были предустановлены или загружены ранее, доступны карточки с ключом продукта. Такие программы, как программа обновления Windows Anytime Upgrade и Get Genuine, позволяют пользователям приобретать легальные ключи отдельно от ПО. Эти ключи распространяются в электронном виде и могут поставляться в комплекте с носителем, содержащим ПО, как часть пакета ПО, в виде печатной карточки или электронной копии. Активация продуктов с этими ключами в любом формате осуществляется одинаково.
Изготовители оборудования
Большинство изготовителей оборудования (OEM) продают системы, включающие стандартную сборку операционной системы Windows. Для активации Windows поставщик оборудования связывает операционную систему со встроенным ПО (BIOS) компьютера. Это происходит до того, как компьютер отправляется покупателю, и никакие дополнительные действия не требуются.
Активация OEM действительна при условии, что клиент использует образ системы, предоставленный изготовителем оборудования. Активация OEM доступна только для компьютеров, которые приобретаются через OEM-каналы и содержат предустановленную операционную систему Windows.
Корпоративное лицензирование
Для корпоративного лицензирования предлагаются индивидуальные программы, соответствующие размеру и покупательским предпочтениям организации. Чтобы стать участником программы корпоративного лицензирования, организация должна заключить соглашение корпоративного лицензирования с Майкрософт. Приобретение лицензий для нового компьютера в рамках корпоративного лицензирования часто является источником недоразумений. Есть два законных способа приобрести полную клиентскую лицензию Windows для нового компьютера.
Предустановка лицензии изготовителем оборудования.
Покупка коробочного продукта в розницу.
Лицензии, предоставляемые по программам корпоративного лицензирования, например по соглашениям Open License, Select License и Enterprise, включают только обновления для клиентских версий ОС Windows. Для использования прав на обновление, полученных по программам корпоративного лицензирования, необходимо уже иметь розничную или OEM-лицензию на операционную систему для каждого компьютера с Windows 10, Windows 8.1 Профессиональная, Windows 8 Профессиональная, Windows 7 Профессиональная, Windows 7 Максимальная или Windows XP Professional.
Корпоративное лицензирование также предлагается по некоторым программам подписки и членским программам, например Microsoft Partner Network и MSDN. Эти корпоративные лицензии могут включать особые ограничения и другие изменения общих условий, относящиеся к корпоративному лицензированию.
Примечание
Некоторые выпуски операционной системы (например, Windows 10 Корпоративная) и прикладного ПО доступны только в рамках соглашений корпоративного лицензирования или по подписке.
Модели активации
Пользователи и ИТ-отделы в основном не могут выбирать, каким образом активировать продукты, приобретенные по розничным или OEM-каналам. Изготовитель оборудования выполняет активацию на заводе, и пользователю или ИТ-отделу ничего не нужно делать для активации.
При покупке продукта в розницу для отслеживания и контроля ключей можно использовать средство управления активацией корпоративных лицензий (VAMT), о котором пойдет речь далее в этом руководстве. Для каждой розничной активации можно выбрать один из следующих вариантов.
Активация через Интернет
Активация по телефону
Прокси-активация с помощью VAMT
Активация по телефону в основном используется в ситуациях, когда компьютер изолирован от всех сетей. Прокси-активация с помощью VAMT (с розничными ключами) иногда используется в тех случаях, когда ИТ-отдел хочет выполнять розничные активации централизованно или когда компьютер с розничной версией операционной системы изолирован от Интернета, но подключен к локальной сети. Однако для продуктов с корпоративным лицензированием необходимо определить наилучший метод или сочетание методов для конкретной среды. Для Windows 10 Pro и Корпоративная на выбор предлагается три модели.
Ключи MAK
KMS
Активация с помощью Active Directory
Примечание
Для особых случаев, когда авторизованные клиенты используют инфраструктуру с открытыми ключами в полностью изолированной среде, обычно с высоким уровнем безопасности, доступен специальный метод — активация на основе маркеров. За дополнительной информацией обращайтесь в службу технической поддержки учетных записей Майкрософт или к своему представителю отдела обслуживания.
Ключ многократной активации
Ключ многократной активации (MAK) обычно используется в организациях небольшого и среднего размера, заключивших соглашение корпоративного лицензирования, но не соответствующих требованиям для использования сервиса управления ключами (KMS) либо предпочитающих более простой подход. Ключ MAK также обеспечивает постоянную активацию компьютеров, изолированных от KMS или входящих в изолированную сеть, где недостаточно компьютеров для использования KMS.
Чтобы использовать ключ MAK, он должен быть установлен на активируемых компьютерах. Ключ MAK используется для однократной активации при помощи размещенных в Интернете служб активации Майкрософт, по телефону или путем прокси-активации с помощью VAMT.
В упрощенном представлении ключ MAK аналогичен розничному ключу, за исключением того, что MAK можно применять для активации нескольких компьютеров. Каждый ключ MAK можно использовать строго определенное число раз. VAMT помогает отслеживать количество активаций, выполненных с каждым ключом, и количество оставшихся попыток активации.
Организации могут загрузить ключи MAK и KMS с веб-сайта Microsoft Volume Licensing Service Center. Для каждого ключа MAK установлено определенное число активаций, основанное на проценте от количества лицензий, приобретенных организацией. Однако вы можете увеличить количество активаций, доступных с вашим ключом MAK, обратившись в Майкрософт.
Служба управления ключами
С помощью службы управления ключами (KMS) ИТ-специалисты могут проводить активации в локальной сети, так что отдельным компьютерам больше не нужно будет подключаться к серверам Майкрософт для активации продуктов. Служба KMS потребляет минимум ресурсов, не требует отдельной системы для запуска и может размещаться на системе совместно с другими службами.
Корпоративные выпуски Windows 10 и Windows Server 2012 R2 (в дополнение к корпоративным выпускам операционных систем начиная от Windows Vista и Windows Server 2008) автоматически подключаются к системе, в которой размещена служба KMS, для запроса активации. Никаких действий от пользователя не требуется.
Для работы KMS в сетевой среде должно присутствовать минимальное количество компьютеров (физических компьютеров или виртуальных машин). Организация должна иметь как минимум пять компьютеров для активации Windows Server 2012 R2 и как минимум 25 компьютеров для активации клиентских компьютеров, работающих под управлением Windows 10. Эти минимальные количества называются порогами активации.
Планирование использования KMS включает выбор оптимального расположения узла KMS и количества узлов KMS. Один узел KMS может обслуживать большое количество активаций, однако организации часто развертывают два узла KMS для обеспечения высокой доступности. Больше двух узлов KMS используется лишь в редких случаях. Службу KMS можно разместить на клиентском компьютере или на сервере. Ее можно запускать на старых версиях операционной системы, выполнив соответствующие настройки. Настройка KMS описана далее в этом руководстве.
Активация с помощью Active Directory
Активация с помощью Active Directory — это новейший тип активации корпоративных лицензий, который впервые появился в Windows 8. Активация с помощью Active Directory во многом аналогична активации с использованием KMS, однако при ее использовании активированному компьютеру не нужно поддерживать периодический контакт с узлом KMS. Вместо этого присоединенный к домену компьютер с Windows 10, Windows 8.1, Windows 8 или Windows Server 2012 R2 запрашивает в доменных службах Active Directory хранимый в домене объект активации корпоративных лицензий. Операционная система проверяет цифровые подписи, содержащиеся в объекте активации, а затем активирует устройство.
Активация с помощью Active Directory позволяет организациям активировать компьютеры через подключение к собственному домену. Во многих случаях компьютеры используются в удаленных офисах или филиалах, где подключаться к KMS нецелесообразно либо где не достигается порог активации для KMS. Вместо использования ключей MAK активация с помощью Active Directory позволяет активировать компьютеры с Windows 10, Windows 8.1, Windows 8 или Windows Server 2012 R2 при условии, что они могут связаться с корпоративным доменом. Преимущество активации с помощью Active Directory заключается том, что службы активации корпоративных лицензий теперь могут работать во всех доменных областях.
Сеть и подключения
Современная корпоративная сеть характеризуется множеством нюансов и взаимосвязей. В этом разделе рассматривается оценка вашей сети и доступных подключений с целью определить, как будет осуществляться активация корпоративных лицензий.
Основная сеть
Основная сеть — это часть вашей сети, которая имеет устойчивые, высокоскоростные, надежные подключения к серверам инфраструктуры. Во многих случаях основная сеть также подключена к Интернету, хотя это не требуется для использования активации с помощью KMS или Active Directory после настройки и включения сервера KMS или доменных служб Active Directory. Основная сеть обычно состоит из множества сетевых сегментов. Во многих организациях основная сеть составляет большую часть корпоративной сети.
В основной сети обычно рекомендуется использовать централизованное решение KMS. Можно также использовать активацию с помощью Active Directory, но во многих организациях KMS по-прежнему потребуется для активации старых клиентских компьютеров и компьютеров, которые не подключены к домену. Некоторые администраторы предпочитают использовать оба решения, чтобы получить максимальную гибкость, другие же выбирают только решение на основе KMS для упрощения работы. Использовать активацию с помощью Active Directory в качестве единственного решения целесообразно в том случае, если все клиенты в вашей организации используют Windows 10, Windows 8.1 или Windows 8.
Типичная основная сеть, включающая узел KMS, показана на рис. 1.
.jpg "Основная сеть")
Рисунок 1. Типичная основная сеть
Изолированные сети
В большой сети некоторые сегменты гарантированно будут изолированы, либо из соображений безопасности, либо в связи с географической разрозненностью или сложностями подключения.
Изоляция из соображений безопасности
Определенный сетевой сегмент, иногда называемый зоной высокого уровня безопасности, может быть изолирован от основной сети брандмауэром или полностью отсоединен от других сетей. Оптимальный способ активации компьютеров в изолированной сети зависит от политик безопасности, действующих в организации.
Если изолированная сеть может получать доступ к основной сети при помощи исходящих запросов через порт TCP 1688 и ей разрешено принимать удаленные вызовы процедур (RPC), то можно провести активацию, используя KMS в основной сети, исключив тем самым необходимость в достижении дополнительных порогов активации.
Если изолированная сеть полностью участвует в корпоративном лесу и может устанавливать обычные соединения с контроллерами домена, например используя протокол LDAP для запросов и службу DNS для разрешения имен, то это хорошая возможность использовать активацию с помощью Active Directory для Windows 10, Windows 8.1, Windows 8 и Windows Server 2012 R2
Если у изолированной сети нет связи с сервером KMS основной сети и она не может использовать активацию с помощью Active Directory, то можно создать в изолированной сети узел KMS. Такая конфигурация показана на рис. 2. Однако если в изолированной сети мало компьютеров, она не достигнет необходимого для KMS порога активации. В этом случае можно провести активацию с помощью ключей MAK.
Если сеть полностью изолирована, рекомендуется проводить активацию без использования ключей MAK, например, по телефону. Однако также может быть возможной и прокси-активация с помощью VAMT. Ключи MAK можно также использовать для активации новых компьютеров во время установки перед их размещением в изолированной сети.
.jpg "Изолированная сеть с узлом KMS")
Рисунок 2. Новый узел KMS в изолированной сети
Филиалы и удаленные сети
Во многих случаях, например на горнодобывающих предприятиях и кораблях в открытом море, некоторые компьютеры очень трудно подключить к основной сети или Интернету. В филиалах некоторых организаций имеются крупные и тесно связанные друг с другом сетевые сегменты, однако их подключение к остальным корпоративным подразделениям осуществляется по медленным или ненадежным каналам глобальной сети. В таких случаях доступно несколько вариантов.
Активация с помощью Active Directory. На любом узле с клиентскими компьютерами под управлением Windows 10 поддерживается активация с помощью Active Directory, осуществляемая путем присоединения к домену.
Локальный сервер KMS. Если на узле насчитывается не менее 25 клиентских компьютеров, можно провести активацию с помощью локального KMS-сервера.
Удаленный (основной) сервер KMS. Если удаленный узел имеет связь с существующим KMS-сервером (например через VPN-подключение к основной сети), можно использовать этот KMS. При использовании существующего сервера KMS достаточно обеспечить порог активации только на этом сервере.
Активация с помощью MAK. Если на узле мало компьютеров и у него нет связи с существующим узлом KMS, оптимальным вариантом является активация с помощью MAK.
Неподключенные компьютеры
Некоторые пользователи работают удаленно или часто перемещаются. Это типичный сценарий для мобильных клиентов, например компьютеров торговых представителей или других пользователей, работающих удаленно, но не в филиалах. Данный сценарий также применим к удаленным филиалам, не имеющим подключения к основной сети. Такую конфигурацию можно считать изолированной сетью, состоящей из одного компьютера. Отсоединенные от сети компьютеры могут использовать активацию с помощью Active Directory, KMS или MAK в зависимости от версии клиента и частоты подключения к основной сети.
Если компьютер подключен к домену и работает под управлением Windows 10, Windows 8.1, Windows 8 или Windows Server 2012 R2, активацию с помощью Active Directory (напрямую или через VPN-подключение) можно использовать минимум один раз в 180 дней. Если компьютер подключается к сети с узлом KMS по крайней мере раз в 180 дней, но не поддерживает активацию с помощью Active Directory, то можно использовать активацию с помощью KMS. Для компьютеров, которые никогда не подключаются к сети или подключаются редко, используйте активацию без использования ключа MAK (по телефону или через Интернет).
Лаборатории тестирования и разработки
В лабораторных средах часто присутствует большое количество виртуальных компьютеров, причем конфигурация физических компьютеров и виртуальных компьютеров часто меняется. Поэтому сначала определите, требуется ли активация компьютеров в лабораториях тестирования и разработки. Выпуски Windows 10, включающие корпоративное лицензирование, будут работать в обычном режиме, даже если их нельзя сразу же активировать.
Если вы установили, что ваши копии операционной системы для тестирования или разработки охвачены условиями лицензионного соглашения, активация компьютеров с часто изменяемой конфигурацией может не потребоваться. Если требуется активация лабораторных компьютеров, рассматривайте лабораторию как изолированную сеть и используйте методы, описанные ранее в этом руководстве.
В лабораториях, где компьютеры часто меняются, и количество клиентов KMS является небольшим, необходимо следить за счетчиком KMS-активаций. Может потребоваться настроить срок, на который KMS кэширует запросы активации. Значение по умолчанию — 30 дней.
Выбор подходящего метода активации для вашей сети
Теперь пора объединить отдельные компоненты в рабочее решение. Проанализировав сетевые подключения, число компьютеров на каждом узле и используемые в вашей среде версии операционной системы, вы собрали информацию, необходимую для выбора оптимальных методов активации. Чтобы упростить выбор, внесите эту информацию в таблицу 1.
Таблица 1. Критерии для методов активации
| Критерий | Метод активации | Количество компьютеров |
|---|---|---|
Количество подключенных к домену компьютеров, которые поддерживают активацию с помощью Active Directory (компьютеров с Windows 10, Windows 8.1, Windows 8 или Windows Server 2012 R2) и будут подключаться к контроллеру домена минимум раз в 180 дней. Компьютеры могут быть мобильными, полуизолированными либо располагаться в филиале или основной сети. |
Активация с помощью Active Directory |
|
Количество компьютеров в основной сети, которые будут подключаться (напрямую или через VPN) минимум раз в 180 дней Примечание. В основной сети должен быть достигнут порог активации через KMS. |
KMS (централизованная) |
|
Количество компьютеров, которые не подключаются к сети хотя бы раз в 180 дней (или если в сети не достигнут порог активации) |
MAM |
|
Количество компьютеров в полуизолированных сетях с подключением к KMS в основной сети |
KMS (централизованная) |
|
Количество компьютеров в изолированных сетях, где достигнут порог активации KMS |
KMS (локальная) |
|
Количество компьютеров в изолированных сетях, где не достигнут порог активации KMS |
MAK |
|
Количество компьютеров в лабораториях тестирования и разработки, которые не будут активированы |
Нет |
|
Количество компьютеров, не имеющих розничной корпоративной лицензии |
Розничная (через Интернет или по телефону) |
|
Количество компьютеров, не имеющих корпоративной лицензии OEM |
OEM (на заводе) |
|
Общее количество активаций компьютеров Примечание. Эта итоговая сумма должна соответствовать общему числу лицензированных компьютеров в организации. |
Выбор и приобретение ключей
Определив, какие ключи вам требуется, необходимо получить их. В целом получить ключи многократной установки можно двумя способами.
Перейдите в раздел Ключи продуктов веб-сайта Microsoft Volume Licensing Service Center для следующих соглашений: Open, Open Value, Select, Enterprise и Services Provider License.
Обратитесь в Центр активации Майкрософт.
Ключи узла KMS
Для узла KMS требуется ключ, который активирует (проверяет подлинность) узла KMS в Майкрософт. Этот ключ обычно называется ключом узла KMS, но его официальное название — клиентский ключ многократной установки Майкрософт (CSVLK). В большинстве документов и на веб-сайтах, относящихся к Windows версий до 8.1, используется термин "ключ KMS", но в текущей документации и средствах управления чаще используется термин CSVLK.
Узел KMS под управлением Windows Server 2012 R2, Windows Server 2012 или Windows Server 2008 R2 может активировать клиентские операционные системы и Windows Server, и Windows. Ключ узла KMS также требуется для создания объектов активации в доменных службах Active Directory, как описано далее в этом руководстве. Вам понадобится ключ узла KMS для любого устанавливаемого сервиса KMS и в том случае, если вы собираетесь использовать активацию с помощью Active Directory.
Универсальные ключи корпоративного лицензирования
Когда вы создаете установочный носитель или образы для клиентских компьютеров, которые будут активированы с помощью KMS или Active Directory, установите универсальный ключ корпоративного лицензирования (GVLK) для данного выпуска Windows. Ключи GVLK также называются ключами установки клиента KMS.
Установочный носитель от Майкрософт для корпоративных версий операционной системы Windows может уже содержать GVLK. Один ключ GVLK доступен для каждого типа установки. Обратите внимание, что GVLK не активирует ПО на серверах активации Майкрософт — только на объекте активации с помощью KMS или Active Directory. Другими словами, ключ GVLK не работает, если не удается найти действительный ключ узла KMS. GVLK — единственные ключи продуктов, в отношении которых не нужно соблюдать конфиденциальность.
Обычно вручную вводить GVLK приходится только в том случае, если компьютер был активирован с помощью MAK или розничного ключа, а теперь требуется перейти к активации с помощью KMS или Active Directory. Если нужно найти GVLK для определенного клиентского выпуска, см. Приложение A. Ключи установки клиента KMS.
Ключи многократной активации
Вам также потребуются ключи многократной активации (MAK) с соответствующим количеством доступных активаций. Узнать, сколько раз был использован ключ MAK, можно на веб-сайте Microsoft Volume Licensing Service Center или в средстве VAMT.
Выбор узла KMS
Для службы KMS не требуется выделенный сервер. Ее можно разместить совместно с другими службами, например с контроллерами доменных служб Active Directory и контроллерами домена только для чтения.
Узлы KMS могут работать на физических компьютерах или виртуальных машинах с любой поддерживаемой операционной системой Windows. Узел KMS, работающий под управлением Windows Server 2012 R2, Windows Server 2012 или Windows Server 2008 R2, может активировать любые клиентские или серверные операционные системы Windows, поддерживающие активацию на базе корпоративных лицензий. Узел KMS, работающий под управлением Windows 10, может активировать только компьютеры с Windows 10, Windows 8.1, Windows 8, Windows 7 или Windows Vista.
Один узел KMS поддерживает неограниченное число клиентов KMS, но Майкрософт рекомендует развертывать минимум два узла KMS для обеспечения отказоустойчивости. Однако по мере того, как все больше клиентов активируется с помощью Active Directory, KMS и резервирование KMS становятся менее важными. Большинство организаций могут использовать всего два узла KMS для всей инфраструктуры.
Процесс активации с помощью KMS показан на рис. 3 и происходит следующим образом.
Администратор настраивает узел KMS и устанавливает ключ узла KMS с использованием консоли VAMT.
Майкрософт проверяет ключ узла KMS, и узел начинает ожидать запросы.
Узел KMS обновляет записи ресурса в DNS, чтобы дать клиентам возможность найти узел KMS. (Если ваша среда не поддерживает протокол динамических обновлений DNS, добавлять записи DNS необходимо вручную.)
Клиент с установленным ключом GVLK использует DNS, чтобы обнаружить узел KMS.
Клиент отправляет один пакет узлу KMS.
Узел KMS записывает сведения о клиенте, отправившем запрос (с использованием идентификатора клиента). Идентификаторы клиентов используются для подсчета количества клиентов и определения случаев, когда один и тот же компьютер запрашивает активацию повторно. Идентификатор клиента применяется только для определения того, достигнуты ли пороги активации. Идентификаторы не хранятся постоянно и не передаются в Майкрософт. В случае перезапуска KMS сбор идентификаторов клиентов начинается снова.
Если ключ узла KMS соответствует продуктам в GVLK, узел KMS отправляет один пакет обратно клиенту. Этот пакет содержит число компьютеров, которые запросили активацию у этого узла KMS.
Если данное количество превышает порог активации для активируемого продукта, то клиент активируется. Если порог активации еще не достигнут, то клиент повторит попытку.
.jpg "Процесс активации с помощью KMS")
Рисунок 3. Процесс активации с помощью KMS