激活运行 Windows 10 的客户端
在网络上配置密钥管理服务 (KMS) 或基于 Active Directory 的激活后,激活运行 Windows 10 的客户端很容易。如果计算机已使用通用批量许可密钥 (GVLK) 进行配置,则无论是 IT 管理员还是用户均无需采取任何操作。使用简单。
企业版映像和安装媒体应该已经使用 GVLK 进行配置。当客户端计算机启动时,授权服务会检查该计算机的当前授权条件。如果需要激活或重新激活,将发生以下序列:
如果计算机是域的成员,则它将要求一个可用于批量激活对象的域控制器。如果配置了基于 Active Directory 的激活,则域控制器将返回该对象。如果对象与已安装的软件版本匹配且计算机拥有一个匹配的 GVLK,则计算机将被激活(或重新激活),并且在 180 天内无需再次激活它,尽管操作系统将尝试以更短的固定时间间隔进行重新激活。
如果计算机不是域的成员或者批量激活对象不可用,计算机将发出一条 DNS 查询,以尝试找到 KMS 服务器。如果 KMS 服务器可以进行通信,将在 KMS 具有与计算机的 GVLK 匹配的密钥时发生激活。
如果计算机已使用 MAK 进行配置,则它将尝试对 Microsoft 服务器进行激活。
如果客户端无法自行成功激活,它将定期重试。重试尝试的次数取决于当前授权状态,以及过去是否成功激活过客户端计算机。例如,如果客户端计算机之前已被基于 Active Directory 的激活进行激活,则它将在每次重新启动时定期尝试与域控制器通信。
密钥管理服务的工作原理
KMS 使用客户端-服务器拓扑。KMS 客户端计算机可使用 DNS 或静态配置找到 KMS 主计算机。KMS 客户端使用通过 TCP/IP 传输的 RPC 来与 KMS 主机通信。
密钥管理服务激活阈值
你可以通过与 KMS 主机通信,来激活物理计算机和虚拟机。要获取 KMS 激活的资格,则必须具备最少数量的合格计算机(即,所谓的激活阈值)。仅在达到此阈值后才激活 KMS 客户端。每个 KMS 主机都将对请求激活的计算机数目进行计数,直至达到阈值为止。
KMS 主机使用与其通信以便激活的计算机数目,来响应来自 KMS 客户端的每个有效的激活请求。如果客户端计算机接收的计数低于激活阈值,则这些计算机将不被激活。例如,如果与 KMS 主机通信的前两台计算机运行的是 Windows 10,则第一台将收到值为 1 的激活计数,而第二台将收到值为 2 的激活计数。如果下一台计算机是运行 Windows 10 的计算机上的虚拟机,则它将收到值为 3 的激活计数,依此类推。上述计算机均不会被激活,因为与其他客户端操作系统版本一样,运行 Windows 10 的计算机必须接收值为 25 或更高的激活计数。
当 KMS 客户端等待 KMS 达到激活阈值时,它们将每 2 个小时连接到 KMS 主机一次,以获取最新的激活计数。达到阈值后,它们便会被激活。
在本示例中,如果与 KMS 主机通信的下一计算机运行的是 Windows Server 2012 R2,它将收到值为 4 的激活计数,因为激活计数是可以累加的。如果运行 Windows Server 2012 R2 的计算机收到值为 5 或更高的激活计数,它将被激活。如果运行 Windows 10 的计算机收到值为 25 或更高的激活次数,它将被激活。
激活计数缓存
若要跟踪激活阈值,KMS 主机将记录请求激活的 KMS 客户端。KMS 主机为每个 KMS 客户端都提供了一个客户端 ID 标志,并将每个客户端 ID 都保存在表中。默认情况下,每个激活请求最多在表中保留 30 天。当客户端续订其激活时,将从表中删除缓存的客户端 ID、创建新的记录,并重新开始计算为期 30 天的保留期。如果 KMS 客户端计算机未在 30 天内续订其激活,则 KMS 主机将从表中删除对应的客户端 ID 并将激活计数减一。
但是,KMS 主机只能缓存满足激活阈值所需的两倍多的客户端 ID。因此,表中只保留 50 个最新客户端 ID,而且客户端 ID 可能在远远早于 30 天的期限内就被删除。
缓存的总大小由尝试激活的客户端计算机类型进行设置。如果 KMS 主机仅从服务器接收激活请求,则缓存将仅保留 10 个客户端 ID(即为所需数目 5 的 2 倍)。如果运行 Windows 10 的客户端计算机与 KMS 主机通信,则 KMS 会将缓存大小增加为 50 以适应更高的阈值。KMS 永远不会减少缓存大小。
密钥管理服务连接性
KMS 激活需要 TCP/IP 连接性。默认情况下,KMS 主机和客户端均使用 DNS 发布和查找 KMS。可以使用默认设置(这些设置几乎不需要进行管理操作),也可以基于网络配置和安全要求手动配置 KMS 主计算机和客户端计算机。
密钥管理服务激活续订
KMS 激活的有效期为 180 天(激活有效期时间间隔)。若要保持激活状态,则 KMS 客户端计算机必须至少每 180 天连接到 KMS 主计算机一次,以续订其激活。默认情况下,KMS 客户端计算机会尝试每 7 天续订其激活一次。如果 KMS 激活失败,客户端计算机将每 2 个小时重试一次。续订客户端计算机的激活之后,激活有效期时间间隔将重新开始计算。
密钥管理服务的发布
KMS 使用 DNS 中的服务 (SRV) 资源记录来存储和告知 KMS 主机的位置。KMS 主机使用 DNS 动态更新协议(如果可用),来发布 KMS 服务 (SRV) 资源记录。如果动态更新不可用或者 KMS 主机不具有发布资源记录的权限,则必须手动发布 DNS 记录,或者必须将客户端计算机配置为连接到特定的 KMS 主机。
客户端对密钥管理服务的发现
默认情况下,KMS 客户端计算机会向 DNS 查询 KMS 信息。当 KMS 客户端计算机首次向 DNS 查询 KMS 信息时,它会从 DNS 返回的服务 (SRV) 资源记录列表中随机选择一台 KMS 主机。包含服务 (SRV) 资源记录的 DNS 服务器的地址可以作为后缀条目列在 KMS 客户端计算机上,这样便可以在一台 DNS 服务器上公布 KMS 的服务 (SRV) 资源记录,从而让具有其他主要 DNS 服务器的 KMS 客户端计算机可以找到该资源记录。
可以将 priority 和 weight 参数添加到 KMS 的 DnsDomainPublishList 注册表值中。通过建立 KMS 主机优先级分组并确定每个组的权重,从而让你可以指定客户端计算机应尝试选择哪一台 KMS 主机,并平衡多台 KMS 主机之间的流量。仅 Windows 10、Windows 8.1、Windows 8、Windows 7、Windows Server 2012 R2、Windows Server 2012 和 Windows Server 2008 R2 提供这些 priority 和 weight 参数。
如果客户端计算机选择的 KMS 主机没有响应,则 KMS 客户端计算机会从它的服务 (SRV) 资源记录列表中删除该 KMS 主机,并随机从该列表中选择另外一台 KMS 主机。在 KMS 主机响应后,KMS 客户端计算机会缓存 KMS 主机的名称,并将其用于执行后续激活和续订尝试。如果缓存的 KMS 主机未响应后续续订,则 KMS 客户端计算机会通过向 DNS 查询服务 (SRV) 资源记录来发现新的 KMS 主机。
默认情况下,客户端计算机通过 TCP 端口 1688 使用匿名 RPC 来连接到 KMS 主机执行激活。(你可以更改默认端口。)通过 KMS 主机建立 TCP 会话之后,客户端计算机将发送单个请求数据包。KMS 主机使用激活计数进行响应。如果计数满足或超过该操作系统的激活阈值,将激活客户端计算机并关闭该会话。KMS 客户端计算机对续订请求使用此相同的进程。每种通信方式需使用 250 个字节。
域名系统服务器配置
默认的 KMS 自动发布功能需要服务 (SRV) 资源记录和对 DNS 动态更新协议的支持。KMS 客户端计算机默认行为和 KMS 服务 (SRV) 资源记录发布在以下服务器上受支持:运行 Microsoft 软件的 DNS 服务器,或者支持服务 (SRV) 资源记录(如 Internet 工程任务组 [IETF] 征求意见文档 [RFC] 2782 中所述)和动态更新(如 IETF RFC 2136 中所述)的其他任何 DNS 服务器。例如,Berkeley Internet 域名 8.x 和 9.x 版既支持服务 (SRV) 资源记录又支持动态更新。
必须对 KMS 主机进行配置,以便它拥有在 DNS 服务器上创建和更新以下资源记录所需的凭据:服务 (SRV)、IPv4 主机 (A) 和 IPv6 主机 (AAAA),或者需手动创建的记录。为 KMS 主机提供所需凭据的推荐的解决方案是,在 AD DS 中创建一个安全组并将所有 KMS 主机都添加到该组。对于运行 Microsoft 软件的 DNS 服务器,请确保此安全组可以在将要包含 KMS 服务 (SRV) 资源记录的每个 DNS 域上完全控制 _VLMCS._TCP 记录。
激活首台密钥管理服务主机
网络上的 KMS 主机需要先安装 KMS 密钥,然后才能通过 Microsoft 进行激活。安装 KMS 密钥将启用KMS 主机上的 KMS。安装完 KMS 密钥后,通过电话或联机方式完成 KMS 主机的激活。KMS 主机仅在此次初始激活时才须将所有信息传递给 Microsoft。KMS 密钥只能安装在 KMS 主机上,而决不能安装在各个 KMS 客户端计算机上。
激活后续密钥管理服务主机
每个 KMS 密钥可安装在至多六台 KMS 主机上。这些主机既可以是物理计算机也可以虚拟机。激活 KMS 主机后,同一密钥最多可重新激活同一主机九次。如果组织需要六台以上的 KMS 主机,则可以通过联系 Microsoft 批量授权激活中心请求例外,来为组织的 KMS 密钥请求其他激活。
多次激活密钥的工作原理
MAK 用于向 Microsoft 托管激活服务进行一次性激活。每个 MAK 都有预先确定的允许激活次数。该数字基于批量授权协议,可能与组织的准确许可计数不一致。每次使用 MAK 向 Microsoft 托管激活服务进行的激活均计入激活限制内。
使用 MAK 激活计算机的方式有两种:
MAK 独立激活。每台计算机单独进行连接并通过 Internet 或电话向 Microsoft 进行激活。MAK 独立激活最适合组织中无法与企业网络保持连接的计算机。MAK 独立激活如图 16 中所示。
.jpg "MAK 独立激活")
图 16.MAK 独立激活
MAK 代理激活。MAK 代理激活代表多台连接到 Microsoft 的计算机启用集中激活请求。使用 VAMT 来配置 MAK 代理激活。MAK 代理激活适合于因安全问题可能限制直接访问 Internet 或企业网络的环境。该激活还适合于缺少此连接的开发和测试实验室。使用 VAMT 的 MAK 代理激活如图 17 中所示。
.jpg "MAK 代理激活")
图 17.使用 VAMT 的 MAK 代理激活
对于很少或从不连接到企业网络的计算机,以及需要激活的物理计算机数未达到 KMS 激活阈值的环境,建议使用 MAK。
既可将 MAK 用于单个计算机,也可将其用于可使用 Microsoft 部署解决方案复制或安装的映像。也可在最初配置为使用 KMS 激活的计算机上使用 MAK。这将有助于将计算机从核心网络移至断开连接的环境。
多次激活密钥体系结构和激活
MAK 独立激活将 MAK 产品密钥安装在客户端计算机上。该密钥指示该计算机自行通过 Internet 向 Microsoft 服务器进行激活。
在 MAK 代理激活中,借助 VAMT 将 MAK 产品密钥安装在客户端计算机上、从目标计算机获取安装 ID、代表客户端向 Microsoft 发送安装 ID,并获取确认 ID。然后,该工具通过安装确认 ID 激活客户端计算机。
以标准用户身份激活
Windows 10、Windows 8.1、Windows 8、Windows 7、Windows Server 2012 R2、Windows Server 2012 和 Windows Server 2008 R2 无需管理员特权即可执行激活,但此更改不允许标准用户帐户从已激活状态中删除运行 Windows 7 或 Windows Server 2008 R2 的计算机。管理员帐户仍需要执行其他激活或许可相关的任务,例如“重装”。