Ако вашата мрежова среда поддържа протокола за динамично актуализиране на DNS и позволява на компютрите автоматично да експортират услуги, внедряването на KMS хост вероятно ще изисква много малко усилия. Ако организацията има повече от един KMS хост или мрежата не поддържа динамични актуализации, може да са необходими допълнителни задачи за конфигуриране.
Внедряване на KMS активиране за Windows 10, Windows 8.1, Windows Server 2012 R2, Windows Server 2016
Някои процедури в този раздел изискват промени в регистъра . Проблеми могат да възникнат, ако системният регистър е модифициран неправилно с помощта на редактора на системния регистър или друг метод и за да разрешите тези проблеми, може да бъдете принудени да преинсталирате операционната система. Microsoft не може да гарантира, че тези проблеми могат да бъдат разрешени, тъй като модифицирането на системния регистър крие потенциални рискове.
Останалата част от този раздел описва следните основни задачи:
- Конфигуриране на KMS хост
- Конфигурирайте DNS
- Инсталирайте KMS хост
- Конфигуриране на KMS клиент
Конфигуриране на KMS хост
Мениджърът на софтуерни лицензи, понякога наричан SL Manager (Slmgr.vbs), е скрипт, използван за конфигуриране и получаване на информация за Volume Activation. Този скрипт може да се стартира локално на целевия компютър или да се стартира отдалечено с помощта на друг компютър, но ще се стартира от команден ред . Ако основен потребител изпълнява Slmgr.vbs, някои лицензни данни може да липсват или да са неправилни и много дейности са забранени.
Slmgr.vbs може да използва Wscript.exe или Cscript.exe, така че администраторите да могат да определят коя машина за скриптове да се използва. Ако не е посочена скриптова машина, Slmgr.vbs ще се изпълнява с помощта на скриптовата машина по подразбиране, wscript.exe.
Забележка : KMS изисква премахване на защитната стена на KMS сървъра. Ако използвате TCP порта по подразбиране, активирайте KMS Traffic Exception в защитната стена на Windows . Ако използвате друга защитна стена, отворете TCP порт 1688. Ако не използвате порта по подразбиране, отворете персонализиран TCP порт в защитната стена .
Услугата за лицензиране на софтуер трябва да се рестартира, за да влязат в сила промените. За да рестартирате услугата за лицензиране на софтуер, използвайте услугите на Microsoft Management Console (MMC) или можете да изпълните следната команда в командния ред:
net stop sppsvc && net start sppsvc
Slmgr.vbs изисква поне един параметър. Ако скриптът се изпълнява без параметри, скриптът показва помощна информация. Таблица 1 изброява опциите на командния ред на Slmgr.vbs заедно с описание на всяка опция. Повечето от параметрите в таблица 1 ще ви помогнат да конфигурирате KMS хоста. Параметрите /sai и /sri обаче се предават на KMS клиенти, след като влязат в контакт със сървъра. Общият синтаксис на Slmgr.vbs е както следва:
slmgr.vbs /параметри
Таблица 1 - Параметри на Slmgr.vbs
Параметри
|
Описвам
|
/sprt номер на порт
|
Задайте TCP комуникационен порт на KMS хост. Заменете PortNumber с номера на TCP порта, който да използвате. Настройката по подразбиране е 1688.
|
/cdns
|
Деактивирайте автоматичното DNS експортиране от KMS хост.
|
/sdns
|
Активиране на автоматично DNS експортиране от KMS хост.
|
/cpri
|
Намалете приоритета на KMS хост процеса.
|
/spri
|
Задайте приоритета на KMS хост процеса на Normal.
|
/фалшив интервал на активиране
|
Променено колко често KMS клиентът се активира автоматично, когато KMS хостът не може да бъде намерен. Заменете ActivationInterval с минути. Настройката по подразбиране е 120.
|
/sri Интервал на подновяване
|
Променете колко често KMS клиентът се опитва да поднови своята активация, като се свържете с KMS хоста. Заменете RenewalInterval с минути. Настройката по подразбиране е 10080 (7 дни). Тази настройка ще замени локалните настройки на KMS клиента.
|
/dli
|
Извлечете текущия номер за активиране на KMS от KMS хоста.
|
Стартирайте Slmgr.vbs дистанционно
За да стартира Slmgr.vbs дистанционно, администраторът трябва да предостави допълнителни параметри. Те трябва да включват името на целевия компютър, както и потребителското име и паролата на локалния администраторски акаунт на целевия компютър. Ако се изпълнява отдалечено без зададени потребителско име и парола, скриптът ще използва идентификационните данни на потребителя, който изпълнява скрипта.
Следният синтаксис показва допълнителните параметри, необходими за отдалечено изпълнение на Slmgr.vbs:
slmgr.vbs TargetComputerName [потребителско име] [парола] /параметри [опции]
Конфигурирайте защитната стена на Windows за отдалечени операции на Software License Manager
Slmgr.vbs използва Windows Management Instrumentation (WMI), така че администраторите трябва да конфигурират защитната стена на Windows, за да разрешат WMI трафик:
- За подмрежа разрешете изключение на Windows Management Instrumentation (WMI) в защитната стена на Windows.
- За да разрешите WMI трафик в множество подмрежи, разрешете връзки за Windows Management Instrumentation (ASync-In), Windows Management Instrumentation (DCOM-In) и Windows Management Instrumentation (WMI-In). Освен това разрешете отдалечен достъп в обхвата. Конфигурирайте тези настройки с помощта на защитната стена на Windows и разширена защита в папката Административни инструменти.
Забележка : По подразбиране изключенията на защитната стена на Windows в частни и публични профили прилагат изключения само към трафик, произхождащ от локалната подмрежа. За да разширите изключението и да го приложите към множество подмрежи, променете настройките в Windows Firewall и Advanced Security или, ако сте присъединени към AD DS домейн, изберете Domain Profile.
Дистанционно контролирайте работата на целевите компютри
Администраторите могат да разрешат Slmgr.vbs да работи отдалечено с компютри, работещи в групи. За да направите това, създайте DWORD стойност:
LocalAccountTokenFilterPolicy
в подключа на системния регистър
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
на KMS клиент. Задайте тази стойност на 0x01.
Конфигурирайте DNS
Следващите раздели описват концепциите за конфигуриране на DNS за работа с Volume Activation:
Ако използвате повече от един KMS хост, вижте „ Промяна на DNS разрешения по подразбиране за SRV записи “.
За да позволите на KMS клиентите да използват различни DNS сървъри, за да намерят KMS хоста, вижте „ Експортиране към множество DNS домейни “.
За да добавите ръчно SRV ресурсни записи за KMS хостове, вижте „ Ръчно създаване на SRV записи в DNS “, „ Ръчно създаване на SRV записи в BIND DNS сървър 8.2 и по-нови версии “ и „ Деактивиране на функцията за експортиране на KMS SRV запис към DNS “.
Забележка : DNS промените може да не бъдат отразени, докато всички DNS сървъри не бъдат репликирани.
Промяна на DNS разрешенията по подразбиране за SRV записи
Ако използвате само един KMS хост, може да не е необходимо да конфигурирате DNS разрешения. Поведението по подразбиране е да се позволи на компютъра да създаде SRV ресурсен запис и след това да го актуализира. Ако обаче имате повече от един KMS хост (обичайният случай), другите KMS хостове няма да могат да актуализират ресурсния запис на SRV, освен ако разрешенията по подразбиране на SRV не бъдат променени.
Следният процес на високо ниво е пример от среда на Microsoft. Той не предоставя подробни стъпки, които могат леко да варират за различните организации и не е единственият начин за постигане на желаните резултати.
Създайте глобална група за сигурност в Active Directory, която ще се използва за вашите KMS хостове. Пример е Key Management Service Group . Добавете вашите KMS хостове към тази група. Всички те трябва да имат един и същ домейн.
Когато се създаде първият KMS хост, той създава основен SRV запис. Ако първият KMS хост не може да създаде SRV ресурсен запис, вашата организация може да е променила разрешенията по подразбиране. В този случай създайте ръчно SRV ресурсен запис, както в „ Ръчно създаване на SRV запис в DNS “.
Задайте разрешения за групата SRV, за да позволите на членовете на глобалната група за сигурност да актуализират.
Забележка : Администраторите на домейни могат да делегират възможността за извършване на предишните стъпки на администратори в организацията. За да направите това, създайте група за сигурност в Active Directory, упълномощете тази група да променя SRV записите и след това добавете членове.
Експортиране към множество DNS домейни
По подразбиране KMS хостовете са регистрирани само в DNS домейна, съдържащ хоста. Ако вашата мрежова среда има само един DNS домейн, не е необходимо да предприемате никакви допълнителни действия.
Ако има повече от един DNS домейн, може да се създаде списък с DNS домейни, който KMS хост да използва, когато експортира своя RR SRV. Задаването на тази стойност в регистъра ще спре поведението по подразбиране на KMS хоста за експортиране в домейна, посочен като основен DNS суфикс. Параметрите за приоритет и тегло могат да се добавят към стойността на регистъра DnsDomainPublishList за KMS. Тази функция позволява на администраторите да задават приоритетни групи на KMS хостове и тегла във всяка група, за да определят кой KMS хост да получи първи достъп и да балансират между множество KMS хостове.
Забележка : Промените в DNS може да не бъдат отразени, докато не бъдат репликирани всички DNS сървъри. Промените, направени твърде често, могат да оставят след себе си по-стари записи, ако промените са направени на сървър, който не е репликиран.
За автоматично експортиране на KMS в множество DNS домейни, добавянето на суфикс на всеки DNS домейн към който и да е KMS ще експортира стойността на регистъра с множество низове:
DnsDomainPublishList в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform
След като промените стойността, рестартирайте услугата за лицензиране на софтуер, за да създадете SRV RR.
Забележка : Този ключ е променил местоположението на HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL от Windows Vista.
След като конфигурирате KMS хоста за експортиране към множество домейни, експортирайте ключа на системния регистър и след това го импортирайте в регистъра на допълнителни KMS хостове. За да проверите дали тази процедура е била успешна, проверете регистъра на събитията на приложението на всеки KMS хост. ID на събитие 12294 показва, че KMS хостът успешно е създал SRV RR. Събитие ID 12293 показва, че опитът за създаване на SRV RR е неуспешен.
Създавайте SRV записи ръчно в DNS
Ако средата не поддържа динамични актуализации, SRV RR трябва да бъдат създадени ръчно за експортиране на KMS хостове. Среди, които не поддържат динамични актуализации, трябва да деактивират експортирането на всички KMS хостове, за да предотвратят събирането на записи, когато експортирането на DNS е неуспешно. За да деактивирате автоматичното експортиране, използвайте скрипта Slmgr.vbs с опцията на командния ред /cdns. Вижте раздела „ Конфигуриране на KMS “ за повече информация относно скрипта Slmgr.vbs.
Забележка : Ръчно създадените SRV RR могат да съществуват заедно със SRV RR, които KMS хостът автоматично експортира в други домейни, стига всички записи да се поддържат за предотвратяване на конфликти.
С помощта на DNS Manager, в съответната зона за търсене на препращане, създайте нов SRV RR, като използвате подходящата информация за това местоположение. По подразбиране KMS слуша TCP порт 1688 и услугата е _VLMCS. Таблица 2 съдържа примерни настройки за SRV RR.
Име
|
Настройка
|
Обслужване
|
_VLMCS
|
протокол
|
_TCP
|
Номер на пристанище
|
1688 г
|
Домакинът предоставя услуги
|
FQDN на KMS хоста
|
Създайте ръчно SRV записи в BIND DNS сървър 8.2 или по-нова версия
Ако организацията използва DNS хостове, различни от Microsoft, могат да бъдат създадени необходимите SRV RR, при условие че DNS хостът е съвместим с Berkeley Internet Name Domain (BIND) 8.2 или по-нова версия. Когато създавате запис, включете информацията, показана в таблица 3. Настройките за приоритет и критичност, показани в таблица 3, се използват само от Windows 7 и Windows Server 2008 R2.
Име
|
Настройка
|
Име
|
_vlmcs._tcp
|
Тип
|
SRV
|
Ниво на приоритет
|
0
|
Степен на важност
|
0
|
порта
|
1688 г
|
Име на хост
|
FQDN на KMS хоста
|
За да конфигурирате BIND DNS сървър 8.2 или по-нова версия, за да поддържа автоматично експортиране на KMS, конфигурирайте BIND сървъра да позволява RR актуализации от KMS хоста. Например, добавете следния ред към дефиницията на зоната в named.conf:allow-update { any; };
Забележка: Директива за активиране на актуализация може също да бъде добавена в опциите named.conf , за да се активират динамични актуализации за всички зони, хоствани на този сървър.
Деактивирайте експортирането на KMS SRV запис към DNS
KMS хостът се експортира автоматично чрез създаване на SRV RR в DNS. За да деактивирате автоматичното експортиране на DNS от KMS хост, използвайте скрипта Slmgr.vbs с опцията на командния ред /cdns.
Използването на скрипта Slmgr.vbs за деактивиране на автоматичното експортиране на DNS е за предпочитане, но можете също да изпълните тази задача, като създадете нова DWORD стойност с име DisableDnsPublishing в системния регистър и зададете нейната стойност. става 1 . Тази стойност се намира в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform в системния регистър. За да активирате отново поведението по подразбиране за експортиране на KMS SRV записи в DNS, задайте стойността на 0 .
Инсталирайте KMS хост
За да активирате KMS функционалността, KMS ключ е инсталиран на KMS хост; След това хостът се активира чрез интернет или по телефона с помощта на услугите за активиране на Microsoft. Компютрите, работещи под Windows 7 или Windows Server 2008 R2, могат да действат като KMS хостове. Windows Vista , Windows Server 2003 и Windows Server 2008 също могат да служат като KMS хостове. KMS клиентите, които един KMS хост може да активира, зависят от хост ключа, използван за активиране на KMS хоста.
Моля, инсталирайте и активирайте KMS ключа на компютър с Windows 7 или Windows Server 2008 R2, като използвате командния ред:
- За да инсталирате KMS ключа, въведете slmgr.vbs /ipk в командния ред.
- За да активирате онлайн, въведете slmgr.vbs /ato в командния ред с права на администратор.
- За да активирате чрез телефона си, въведете slui.exe 4 в командния ред.
- След като активирате KMS ключа, рестартирайте услугата за защита на софтуера.
Windows 7 и Windows Server 2008 R2 показват предупреждение всеки път, когато администратор инсталира ключ за KMS хост с помощта на потребителския интерфейс (Потребителите няма да видят това предупреждение, ако инсталират ключ за KMS хост с помощта на скрипта Slmgr.vbs). Това известие помага за предотвратяване на случайно инсталиране на KMS ключ на компютър, който администраторът не възнамерява да използва като KMS хост.
За да проверите дали KMS хостът е конфигуриран правилно, проверете номера на KMS, за да видите дали се увеличава. В прозореца на командния ред на KMS хоста въведете slmgr.vbs /dli , за да покажете текущия KMS номер. Администраторите могат също да проверят регистрационния файл на услугата за управление на ключове в папката Регистрационни файлове на приложения и услуги за идентификатор на събитие 12290 . Регистрационният файл на услугата за управление на ключове записва заявката за активиране от KMS клиента. Всяко събитие показва името на компютъра и времето на всяка заявка за активиране.
Конфигуриране на KMS клиент
Този раздел описва концепциите за инсталиране и конфигуриране на компютри като KMS клиенти. По подразбиране версиите с корпоративни лицензи на Windows Vista, Windows 7, Windows Server 2008 и Windows Server 2008 R2 са KMS клиенти. Ако компютрите, които организацията иска да разреши използването на KMS, използват една от тези операционни системи и мрежата позволява автоматично откриване на DNS, не е необходима допълнителна конфигурация.
Ако KMS клиентът е конфигуриран да търси KMS хоста с помощта на DNS, но не получава SRV записи от DNS, Windows 7 и Windows Server 2008 R2 регистрират грешки в регистъра на събитията.
Ръчно посочете KMS хост
Администраторите могат ръчно да присвоят KMS хост на KMS клиенти, като използват кеширане на KMS хост. Ръчното присвояване на KMS хост ще деактивира автоматичното откриване на KMS на KMS клиента. KMS хост се присвоява ръчно на KMS клиент чрез стартиране на :/skms [Activation ID], където е KMS_FQDN, IPv4Address или NetbiosName на хоста, а портът е TCP портът на KMS хоста.
Ако KMS хостът използва само интернет протокол версия 6 (IPv6), адресът трябва да бъде указан във формат [име на хост]:порт (като се използват квадратни скоби). IPv6 адресите , съдържащи двоеточия ( : ), ще бъдат анализирани неправилно от скрипта Slmgr.vbs.
Активирайте функцията за автоматично откриване за KMS клиент
По подразбиране KMS клиентите автоматично откриват KMS хостове. Функцията за автоматично откриване може да бъде деактивирана чрез ръчно присвояване на KMS хост на KMS клиент. Това действие също изтрива името на KMS хост от кеша на KMS клиента. Ако функцията за автоматично откриване е деактивирана, тя може да бъде активирана отново чрез стартиране на slmgr.vbs /ckms в командния ред.
Добавете запис на суфикс към KMS Client
Чрез добавяне на адреса на DNS сървъра, съдържащ SRV RR, като суфикс на KMS клиента, администраторът може да обяви KMS хоста на DNS сървър и да позволи на KMS клиенти с други основни DNS сървъри да го намерят.
Разположете KMS клиент
Информацията в този раздел е предназначена за клиенти с корпоративно лицензиране, които използват комплекта за автоматизирана инсталация на Windows (Windows AIK) за внедряване и активиране на операционна система Windows. Подгответе KMS клиенти за внедряване с помощта на инструмента за подготовка на системата (Sysprep.exe).
Преди да направите изображение, стартирайте Sysprep.exe с опцията на командния ред /generalize, за да нулирате таймера за активиране, идентификатора за сигурност (SID) и други важни настройки. Нулирането на таймера за активиране ще предотврати изтичането на гратисния период на изображението преди разполагането на изображението. Изпълнението на Sysprep.exe не премахва инсталираните софтуерни ключове и администраторите не получават подкана за нов ключ по време на мини настройка. Без /rearm изпълнението на Sysprep.exe все още ще завърши, но таймерът за активиране няма да се промени и върнатата грешка ще обясни допълнително ситуацията.
Когато създавате демонстрационни виртуални машини за вътрешна употреба (например изграждане на виртуални машини за отдел продажби на организация или за създаване на временна среда за обучение), стартирайте скрипта Slmgr.vbs с опцията. Избирането на командния ред /rearm удължава гратисния период за още 30 дни, като на свой ред нулира таймера за активиране, но не прави повече промени в компютъра. Таймерът за активиране може да се нулира три пъти за компютри, работещи под Windows 7 или Windows Server 2008 R2.
Ръчно активирайте KMS Client
По подразбиране клиентите на KMS автоматично се опитват да се активират на предварително определени интервали. За да активирате ръчно KMS клиенти (например прекъснати клиенти), преди да ги разпространите на потребителите, използвайте елемента System Control System или стартирайте slmgr.vbs /ato в командния ред с права на администратор. Slmgr.vbs ще отчете успех или неуспех и ще предостави получения код. За да извърши активиране, KMS клиентът трябва да има достъп до KMS хост в мрежата на организацията.
>> Вижте повече: Внедряване на активиране на KMS (част 2)