Развертывание лицензионного KMS сервера в доменной сети 2008R2/Win7

Признаться, когда сверху спустили распоряжение перевести офис на лицензионные Windows-рельсы, я подумал, что работы на день максимум. Но не тут-то было. Оказалось, что в сети практически невозможно найти инструкцию по установке официального KMS сервера, погребенную под тоннами мануалов по взлому активаций и установке пиратского KMS. Поиск в technet страдает неизвестной болезнью и постоянно подсовывает мне инструкции по установке KMS для Win2003 и Vista. Даже на Хабре практически ничего не было. Я решил исправить ситуацию.

Итак, вы стали счастливым обладателем KMS ключей для Win2008R2 и Win7. Обращаю ваше внимание на то, что ключ для Win2008R2 единый и для редакции Standart и для редакции Enterprise. Теперь необходимо поднять KMS-host в сети, и делать мы это будем в два приема. В качестве KMS должна выступать машина под управлением соответствующей операционной системы.

Подготовка

Вариант первый, идеологически правильный. Создаем в Active Directory группу безопасности (к примеру «KMS_hosts»), и добавляем туда будущий/будущие KMS-host. После чего идем в настройки главного DNS-сервера и в настройках безопасности разрешаем этой группе создание SRV-записей.

Вариант второй, если вы любите делать все руками или если ваш DNS не поддерживает динамическую регистрацию записей. Запускаем консоль управления DNS-сервером и выбираем Forward Lookup Zones в вашем домене. Из пункта меню «Action» консоли выбираем «Other New Records» и указываем «Service Location (SRV)». Создаем запись со следующими параметрами:

• Service: _VLMCS
• Protocol: _TCP
• Port number: 1688
• Host offering the service:

В будущем, если по какой-либо причине вам придется добавлять/переносить KMS сервер, в первом случае вам будет достаточно отредактировать группу безопасности, а во втором добавить руками новую запись и удалить старую.

Установка

На сервере, на котором планируется установить KMS, запускаем командную строку от имени администратора (правой кнопкой мыши клик по иконке и выбор «Run as administrator»).

Вводим следующие команды:
slmgr.vbs /ipk [KmsKey] — установка полученного от Microsoft KMS-ключа. Внимание, это ключ именно для KMS сервера. Он дает возможность создать до 6 точек активации, каждую из которых можно реактивировать не более 10 раз. Если у вас все нуждающиеся в лицензировании компьютеры находятся в одной сети, использовать этот ключ более одного раза нет смысла.
slmgr.vbs /ato – запуск активации Windows через интернет
Если же доступа к интернет нет, запустите вместо предыдущей команды вот эту
slui.exe 4 – для активации по телефону

После этих действий статус Windows вашего KMS-hosta поменяется на «Активировано», а в DNS сервере в Forward Lookup Zones/_TCP появится SRV-запись c именем вашего KMS сервера. Если же запись не появилась, принудительно заставьте KMS сервер зарегистрироваться командой slmgr.vbs /sdns и перезапустите его.
Осталась мелочь – настроить брандмауэр. Несмотря на то, что Microsoft утверждает, что для нормального функционирования службы достаточно разрешить в настройках брандмауэра правило для трафика WMI, мне пришлось создавать дополнительное правило для открытия порта 1688.
В случае, если вам не нравится порт 1688, вы можете его изменить командой slmgr.vbs /sprt [Порт]. Правда вам придется также изменить SRV-запись в DNS, если вы создавали ее вручную и правило в брандмауэре.
Перезапускаем службу:
net stop sppsvc && net start sppsvc

И наконец, активация клиентов

Если клиентский Windows устанавливался со скачанного с Volume Licensing Service Center образа, все что нужно сделать – это в командной строке под правами администратора запустить команду slmgr.vbs /ato. Система сама найдет в DNS адрес KMS сервера, подключится к нему и оставит запрос на активацию. Напоминаю, что активация начнется после 5 запросов от серверов, или 25 запросов от клиентских операционных систем.

Если Windows зарегестрирован уже MAC ключем, или у вас стоит Retail версия операционной системы, то список необходимых команд увеличивается на одну:
slmgr.vbs /ipk [KmsSetupKey]
slmgr.vbs /ato
Здесь [KmsSetupKey] — это один из нижеприведенных ключей, сообразно редакции:

• Windows 7 Professional — FJ82H-XT6CR-J8D7P-XQJJ2-GPDD4
• Windows 7 Professional N — MRPKT-YTG23-K7D7T-X2JMM-QY7MG
• Windows 7 Enterprise — 33PXH-7Y6KF-2VJC9-XBBR8-HVTHH
• Windows 7 Enterprise N — YDRBP-3D83W-TY26F-D46B2-XCKRJ
• Windows 7 Enterprise E — C29WB-22CC8-VJ326-GHFJW-H9DH4
• Windows Server 2008 R2 HPC Edition — FKJQ8-TMCVP-FRMR7-4WR42-3JCD7
• Windows Server 2008 R2 Datacenter — 74YFP-3QFB3-KQT8W-PMXWJ-7M648
• Windows Server 2008 R2 Enterprise — 489J6-VHDMP-X63PK-3K798-CPX3Y
• Windows Server 2008 R2 for Itanium-Based Systems — GT63C-RJFQ3-4GMB6-BRFB9-CB83V
• Windows Server 2008 R2 Standard — YC6KT-GKW9T-YTKYR-T4X34-R7VHC
• Windows Web Server 2008 R2 — 6TPJF-RBVHG-WBW2R-86QPH-6RTM4

Hints:

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

FAQ по KMS активации продуктов Microsoft

На страницах сайта WinITPro.ru мы уже не раз касались разных аспектов настройки и функционирования службы активации продуктов Microsoft по программе Volume License у корпоративных заказчиков — KMS (Key Management Server – служба управления ключами). Попробуем собрать всю основную информацию и необходимые ссылки о технологии KMS активации в одной статье.

Архитектура и особенности службы KMS активации Microsoft

Инфраструктура KMS состоит из KMS-сервера, который активируется в Microsoft (эта операция выполняется один раз по телефону или онлайн) и клиентов KMS, отправляющих запросы на активацию на KMS сервер. В качестве клиентов KMS сервера могут выступать пользовательские и серверные ОС Windowsи MS Office.

Сам KMS сервер активируется с помощью специального корпоративного CSVLK ключа (KMS host key), получить который может каждый корпоративный клиент Microsoft в личном кабинете на сайте корпоративного лицензирования VLSC (https://www.microsoft.com/Licensing/servicecenter/default.aspx — Microsoft Volume Licensing Service Center –> License -> Relationship Summary -> Product Keys -> скопируйте ключ для Windows Srv 2019 DataCtr/Std KMS). Ключ CSVLK указывается на KMS сервере и выполняется активация KMS сервера в интернете на серверах Microsoft. KMS сервер нужно активировать только один раз (вам понадобится переактивировать KMS сервер, если вы хотите активировать новый CSVLK ключ с поддержкой свежих версий Windows).

Один KMS сервер может активировать неограниченное число KMS клиентов. Например, даже несмотря на то, что в вашем соглашении указано, что вы приобрели корпоративную лицензии на 100 компьютеров, теоретически вы можете активировать тысячи компьютеров (конечно, это будет нарушением лиц. соглашения, но технически KMS сервер вас в этом не ограничивает). Также отметим, что информация о проведенных активациях и их количестве не передается KMS севером за пределы организации.

KMS сервер может активировать клиентов в разных доменах, а также клиенты в рабочих группах. Один KMS сервер может одновременно активировать и десктопные редакции Windows, и Windows Server и продукты из пакета Microsoft Office.

При установке KMS сервера в DNS регистрируется специальная SRV (_VLMCS) запись. По этой DNS записи любой клиент может найти имя KMS сервера в домене. Например, чтобы найти KMS сервер в вашем домене corp.winitpro.ru, выполните команду:

nslookup -type=srv _vlmcs._tcp.corp.winitpro.ru

В этом примере видно, что служба KMS развернута на сервере msk-man01 и отвечает по порту TCP 1688.

Для активации KMS клиента (Windows или Office) на нем должен быть указан специальный публичный ключ KMS, который называется GVLK ключом (Generic Volume License Key- универсальный ключ многократной установки). После указания GVLK ключа, клиент KMS пытается сам найти в DNS SRV запись, указывающую на сервер KMS и пытается произвести активацию.

Список универсальный KMS (GVLK) ключей для актуальных продуктов Microsoft:

KMS сервер, активированный более новым ключом KMS host key, может активировать все предыдущие версии Windows, но не наоборот. Например, KMS сервер, актвированый ключом Windows Srv 2012 R2 DataCtr/Std KMS не сможет активировать компьютеры Windows 10 или Windows Server 2016/2019. Для подержки современных версий Windows вам нужно получить новый CSVLK ключ и активировать его на KMS сервере.

Требования, необходимые для использования KMS сервера в корпоративной сети:

1. Сервер (или рабочая станция) с установленной ролью Volume Activation Services. В Windows Server 2019 эту роль можно установить через консоль Server Manager или PowerShell командой: Install-WindowsFeature -Name VolumeActivation -IncludeAllSubFeature –Include ManagementTools
2. На KMS сервере нужно установить корпоративный CSVLK ключ и активировать KMS сервер в Microsoft:
   slmgr /ipk
   slmgr /ato

Активация MS Office на KMS сервере

Для активации продуктов MS Office на KMS сервере нужно установить специальное расширение Microsoft Office Volume License Pack. В зависимости от версии MS Office, которая используется у вас, вам нужно скачивать и устанавливать различную версию volumelicensepack.

После установки License Pack для MS Office, на KMS сервере нужно установить ваш персональный CSVLK ключ для Office и выполнить его активацию.

Подробнее про активацию пакета MS Office в статьях:

VAMT: Управление корпоративными ключами

Для удобства управления KMS серверами и ключами можно установить специальную утилиту Volume Activation Management Tool (VAMT).

• Утилита VAMT не является частью поставки ОС, входит в состав пакета Windows Assessment and Deployment Kit (ADK) и устанавливается отдельно;
• Для работы VAMT требуется .NET Framework;
• В качестве БД VAMT используется SQL Server Express;
• Последняя доступная версия VAMT поддерживает все ОС Microsoft, включая Windows 10 и Windows Server 2019.

Самые частые ошибки при использовании KMS сервера активации

• Установка корпоративного ключа KMS (CSVLK ключа) на клиентах вместо общедоступного GVLK ключа;
• Общий KMS ключ (CSVLK) не соответствует версии ОС на активируемом хосте;
• Сервер KMS должен быть обновлён для поддержки активации последних версий продуктов Microsoft (здесь, к примеру, описан процесс обновления KMS сервера на Windows 2008 R2 для поддержки активации Windows1 и Windows Server 2012 R2);
• Если при попытке активации появляется ошибка 0xC004F074 – причиной может быть отсутствие SRV записи _VLMCS._tcp.winitpro.ru в DNS. Ее можно создать вручную или указать адрес KMS сервера вручную (команда указана ниже);
• Ошибка 0xC004F038 говорит о том, что в вашей сети не набралось необходимого количества клиентов для активации (см. информацию о пороге активации выше). Как только на KMS сервер поступит достаточное количество запросов активации, она начнет выполнять активацию клиентов;
• Проверьте доступность порта 1688 на KMS сервере с помощью командлета Test-NetConnection: TNC msk-mankms -Port 1688 -InformationLevel Quiet Если порт недоступен, возможно доступ блокируется файерволом, или на KMS сервере не запущена служба Software Protection (sppsvc);
• Также см. статью — «Список распространенных ошибок активации Windows«.

Команды управления KMS активацией Windows на клиенте

Для управления и диагностики активации ОС во всех версиях Windows имеется скрипт slmgr.vbs.

Установка публичного KMS ключа (GVLK) в Windows (нужно указавать GVLK ключ в зависимости от версии и редакции Windows):

cscript.exe %windir%\system32\slmgr.vbs /ipk xxxxx-xxxxx-xxxxx-xxxxx-xxxxx

Вручную указать имя KMS сервера и порт:

cscript.exe %windir%\system32\slmgr.vbs /skms kms-server.winitpro.ru:1688

Выполнить активацию Windows на указанном KMS-сервере:

cscript.exe %windir%\system32\slmgr.vbs /ato

cscript.exe %windir%\system32\slmgr.vbs /dlv

Вся лицензионная информация (включая статус активации MS Office):

cscript.exe %windir%\system32\slmgr.vbs /dlv all

cscript.exe %windir%\system32\slmgr.vbs s /dlv all > c:\tmp\dlv.txt

Команды управления активацией Office на KMS клиенте

Для управления активацией продуктов из пакета Microsoft Office на клиентах используется другой vbs скрипт — ospp.vbs. Его можно найти поиском в каталоге установки Office (в случае Office 2016 файл ospp.vbs находится по-умолчанию в каталоге \Program Files\Microsoft Office\Office16 ).

Чтобы вручную указать адресKMS сервера:

cscript ospp.vbs /sethst: kms-server.winitpro.ru

Изменить порт для активации:

cscript ospp.vbs /setprt:1689

Активировать вашу копию Office на KMS сервере:
cscript ospp.vbs /act

Текущий статус активации Office 2016 / 365 можно получить с помощью команды:

cscript ospp.vbs /dstatusall

Если у вас появились вопросы по KMS активации Microsoft – спрашивайте в комментариях, постараюсь по мере возможностей ответить.

Установка KMS сервера на базе Windows Server 2012 R2

Собственный KMS сервер позволяет значительно упростить процесс активации продуктов Microsoft в корпоративной сети, и в отличии от обычной процедуры активации, не требует предоставления каждому компьютеру доступа в интернет к серверам активации Майкрософт. Инфраструктура KMS достаточно простая, надежная и легко расширяется (один KMS сервер может обслуживать тысячи клиентов).

В этой статье мы опишем процесс установки в локальной корпоративной сети KMS сервера на базе Windows Server 2012 R2 и его активацию.

Основные аспекты функционирования технологии KMS активации продуктов Microsoft довольно подробно описаны в статье FAQ по KMS активации продуктов Microsoft.

Установка и настройка роли Volume Activation Services

Для работы службы KMS нужно установить и настроить отдельную роль сервера — Volume Activation Services. Сделать это можно с помощью консоли Server Manage или PowerShell:

При установке через графический интерфейс консоли Server Manager, запустите мастер установки ролей (Add Roles and Features Wizard), и на этапе выбора ролей сервера (Server Roles) выберите пункт Volume Activation Services.

После окончания установки запустите консоль Volume Activation Tools. Запустится мастер установки службы активации. Укажите, что будет устанавливаться сервер Key Management Service (KMS).

Далее на сайте Microsoft (https://www.microsoft.com/Licensing/servicecenter/home.aspx) в личном разделе необходимо получить свой корпоративный KMS ключ (KMS host key, это ключ активации KMS сервера). Найти его можно в разделе Downloads and Keys -> Windows Server -> Windows Server 2012 R2.

Найдите ключ с типом KMS (не MAK) и скопируйте его в буфер обмена.

Вставьте скопированный KMS ключ в соответствующее поле мастера установки KMS сервера (Install your KMS host key).

Если система примет ключ, сразу же будет предложено его активировать. На основании введенного ключа система определит продукт, к которому он относится, и предложит два варианта активации (по телефону или Интернету). Во втором случае придется предоставить серверу временный доступ в Интернет (только на период активации).

После активации ключа, нужно настроить параметры службы управления ключами: интервал активации и реактивации (по умолчанию клиенты продляют активацию каждые 7 дней), порт (по умолчанию служба KMS использует TCP порт 1688), исключения для Windows Firewall. Чтобы автоматически создать запись в DNS, необходимую для автоматического поиска сервера KMS в домене (SRV запись _vlmcs._tcp), включите опцию DNS Records – Publish.

Если KMS сервер должен обслуживать клиентов из разных доменов, можно опубликовать DNS записи в других DNS зонах. Укажите данные зоны в списке Publish to Custom DNS zones.

Get-NetFirewallRule -DisplayName *key*
Enable-NetFirewallRule -Name SPPSVC-In-TCP

На это процесс настройки сервера окончен. Проверьте, что в DNS создалась специальная запись, указывающая на ваш kms сервер (подробности в статье Как найти в домене KMS сервер):

Далее получим информацию о текущем состоянии KMS сервера:

Нас интересуют следующие поля:

• Partial Product Key – отображены последние 5 символов KMS ключа
• License status – статус активации лицензии (должно быть Licensed)
• Total requests received — количество запросов на активацию от клиентов(пока 0)

Внимание. Напомним, что у KMS сервера есть т.н. порог активации. Это означает, что активированный KMS сервер начинает активировать клиентов, только тогда, когда количество обратившихся к нему за последние 30 дней клиентов превысит предопределенные пороги (activation count):

• Порог активации для клиентских ОС Vista / Windows 7 / Win 8 / Win 10 – 25 клиентов
• Для серверных ОС: Windows Server 2008/ 2008 R2 / 2012 / 2012 R2 / 2016– 5 клиентов

Теперь KMS сервер может активировать клиентов. Что нужно выполнить на стороне клиента для успешной активации на KMS сервере:

1. Задайте на клиенте публичный KMS (GVLK) ключ от соответствующей редакции Windows (ссылка ниже): slmgr /ipk xxxxx- xxxxx — xxxxx — xxxxx – xxxxx
2. Если KMS сервер не опубликован в DNS, укажите его адрес вручную: slmgr /skms kmssrvwinitpro.ru:1688
3. Активируйте ОС командой: slmgr /ato

Активированный KMS сервер ключом для WS 2012 R2 (VOLUME_KMS_WS12_R2 channel) поддерживает активацию всех ОС Windows вплоть до Windows 8.1 / Windows Server 2012 R2 (для поддержки активации Windows 10 и WS 2016 нужно установить специальное обновление и активировать KMS сервер новым ключом).

В том случае, если попытаться установить новый KMS ключ для Windows 10 на KMS сервер под управлением Windows Server 2012 R2 с помощью VAMT без установки указанного обновления, появиться ошибка:

Несколько советов.

• Общедоступные KMS ключи для Windows 7/ Server 2008/ 2008 R2 можно найти здесь, для Windows 8.1 / Server 2012 R2 здесь, для Windows 10 / Windows Server 2016 здесь и здесь соответственно
• Для удобного управлениями ключами продуктами MS, активации клиентов и построения отчетов можно воспользоваться утилитой Microsoft Volume Activation Management Tool — VAMT 3.0
• С помощью этого же KMS сервера можно активировать не только ОС Windows, но и продукты MS Office ( подробности в статье Активация MS Office 2013 VL, KMS активация Office 2016)
• Для активации виртуальных машин, запущенных на сервере Hyper-V можно воспользоваться специальным типом активации: AVMA (Automatic Virtual Machine Activation)