Іван Квасніков

Встановлюємо та налаштовуємо
службу управління ключами
в Windows Server 2008 / Windows Vista

Нові версії операційних систем Microsoft Windows Server 2008 і Windows Vista вимагають проведення активації навіть в разі використання корпоративного ключа. Завдання ускладнюється, якщо необхідно провести активацію багатьох систем. Допомогти в цьому покликана нова служба управління ключами.

Служба управління ключами (KMS, Key Management Service) з'явилася в операційних системах Windows Server 2008 / Windows Vista і призначена для управління активацією корпоративних версій вищевказаних ОС за допомогою ключів пакетної активації (MAK, Multiple Activation Key) або спеціальних ключів KMS.

• MAK - ключ, призначений для активації окремих систем, для яких недоступна служба KMS, а також при відсутності доступу в Інтернет. В цьому випадку активація операційної системи проводиться по телефону. У складі корпоративної мережі управління ключами MAC здійснюється за допомогою Volume Activation Management Tool.
• KMS-key - спеціальний ключ, що використовується для активації продуктів всередині корпоративної мережі за допомогою служби KMS.

В яких випадках використовуються MAK-ключі, а в яких KMS?

Ключі MAK рекомендується використовувати, тільки якщо ваше оточення не має мінімальної кількості серверів і робочих станцій (для використання служби KMS потрібна мінімальна кількість комп'ютерів, рівне 5 для Windows Server 2008 або 25 для Windows Vista - см. Рис. 1), або встановлюється з'єднання з Інтернету, а також в разі, якщо фізичне розташування або політики безпеки не дозволяють дозволити доступ до нього KMS.

Малюнок 1. Мінімальні вимоги за кількістю комп'ютерів для розгортання KMS

KMS входить до складу Windows Server 2008 з самого початку, в разі використання Windows Server 2003 його необхідно додатково завантажити з сайту Microsoft [1].

Служба управління ключами дозволяє автоматично активувати і підтверджувати активацію систем на базі Windows Server 2008 / Windows Vista за допомогою KMS-ключа.

За замовчуванням кожна система запитує підтвердження активації робочих станцій або серверів кожні 180 днів. Крім цього, відпадає необхідність ручного введення ключа і активації Microsoft Windows!

На рис. 2 приведена схема роботи KMS - один комп'ютер є сервером KMS, на ньому встановлений KMS-ключ і проведена активація через Інтернет за допомогою Micorosft Hosted Activation Services. Також створені записи у внутрішній зоні DNS для автоматичного пошуку сервера активації. Після завершення установки операційна система звертається до служби DNS для пошуку сервера KMS, а потім при його перебуванні автоматично запитує ключ і виконує активацію.

Малюнок 2. Схема роботи KMS

Отже, щоб підготувати служби управління ключами виконайте наступні дії.

Зміна дозволів А SRV на сервері DNS

• створіть в AD глобальну групу KMS-Hosts;
• додайте в створену групу обліковий запис комп'ютера вашого майбутнього сервера KMS;
• на DNS-сервері надайте права даної групи на створення записів SRV.

Автоматична публікація KMS в домені

• запустіть regedit і знайдіть гілку HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SL;
• створіть запис DnsDomainPublishList типу Multi-String Value;
• натисніть «Змінити» і введіть суфікс домену, наприклад contoso.com (див. рис. 3);
• перезапустіть службу Software Licensing Service.

Малюнок 3. Зміни в реєстрі для автоматичної реєстрації KMS в домені

Якщо ваша мережа не підтримує динамічної реєстрації записів на сервері DNS, ви можете додати SRV-запис вручну:

• запустіть консоль управління DNS-сервером і виберіть Forward Lookup Zones в вашому домені;
• з пункту меню Action консолі виберіть Other New Records і вкажіть Service Location (SRV);
• створіть запис з наступними параметрами:
  • Service: _VLMCS;
  • Protocol: _TCP;
  • Port number: 1 688;
  • Host offering the service: <FQDN_of_KMS_Host>.

Установка сервера KMS

• на майбутньому сервері KMS введіть у командному рядку наступну команду:

script C: \ windows \ system32 \ slmgr.vbs / ipk <KmsKey>

• активуйте систему через Інтернет за допомогою команди:

cscript C: \ windows \ system32 \ slmgr.vbs / ato

• перезапустіть службу Software Licensing Service.

Налаштування виключень Firewall

Скрипт Slmgr.vbs використовує WMI, який за замовчуванням заблокований в правилах внутрішнього мережевого екрану. Для вирішення трафіку додайте в правилах виключення брандмауера пункт Windows Management Instrumentation (WMI).

Тепер клієнти Windows Server 2008 / Windows Vista у вашій організації після установки операційної системи будуть автоматично знаходити сервер KMS і проходити активацію.

Як бачите, встановлення та налаштування служби управління ключами досить проста і значно полегшує працю адміністратора по корпоративної активації продуктів Microsoft Windows.

Отримати додаткову інформацію ви можете за посиланнями [2, 3].

1. Key Management Service 1.1 (x86) for Windows Server 2003 SP1 - http://www.microsoft.com/downloads/details.aspx?familyid=81D1CB89-13BD-4250-B624-2F8C57A1AE7B&displaylang=en .
2. Пакетна активація Windows - http://technet.microsoft.com/ru-ru/windows/dd197314.aspx .
3. Volume Activation 2.0 Technical Guidance - http://www.microsoft.com/downloads/details.aspx?FamilyId=9893F83E-C8A5-4475-B025-66C6B38B46E3&displaylang=en#filelist .