Устанавливаем и настраиваем службу управления ключами в Windows Server 2008/Windows Vista::Журнал СА 3.2009

Иван Квасников

Устанавливаем и настраиваем
службу управления ключами
в Windows Server 2008/Windows Vista

Новые версии операционных систем Microsoft Windows Server 2008 и Windows Vista требуют проведения активации даже в случае использования корпоративного ключа. Задача усложняется, если необходимо провести активацию множества систем. Помочь в этом призвана новая служба управления ключами.

Служба управления ключами (KMS, Key Management Service) появилась в операционных системах Windows Server 2008/Windows Vista и предназначена для управления активацией корпоративных версий вышеуказанных ОС посредством ключей многопользовательской активации (MAK, Multiple Activation Key) или специальных ключей KMS.

MAK – ключ, предназначенный для активации отдельных систем, для которых недоступна служба KMS, а также при отсутствии доступа в Интернет. В этом случае активация операционной системы проводится по телефону. В составе корпоративной сети управление ключами MAC осуществляется с помощью Volume Activation Management Tool.
KMS-key – специальный ключ, использующийся для активации продуктов внутри корпоративной сети с помощью службы KMS.

В каких случаях используются MAK-ключи, а в каких KMS?

Ключи MAK рекомендуется использовать, только если ваше окружение не имеет минимального количества серверов и рабочих станций (для использования службы KMS требуется минимальное количество компьютеров, равное 5 для Windows Server 2008 или 25 для Windows Vista – см. рис. 1), либо отсутствует подключение к Интернету, а также в случае, если физическое расположение или политики безопасности не позволяют предоставить доступ к серверу KMS.

Рисунок 1. Минимальные требования по количеству компьютеров для развертывания KMS

KMS входит в состав Windows Server 2008 изначально, в случае использования Windows Server 2003 его необходимо дополнительно загрузить с сайта Microsoft [1].

Служба управления ключами позволяет автоматически активировать и подтверждать активацию систем на базе Windows Server 2008/Windows Vista с помощью KMS-ключа.

По умолчанию каждая система запрашивает подтверждение активации рабочих станций или серверов каждые 180 дней. Помимо этого, отпадает необходимость ручного ввода ключа и активации Microsoft Windows!

На рис. 2 приведена схема работы KMS – один компьютер является сервером KMS, на нем установлен KMS-ключ и проведена активация через Интернет посредством Micorosft Hosted Activation Services. Также созданы записи во внутренней зоне DNS для автоматического поиска сервера активации. После завершения установки операционная система обращается к службе DNS для поиска сервера KMS, а затем при его нахождении автоматически запрашивает ключ и выполняет активацию.

Рисунок 2. Схема работы KMS

Итак, для подготовки и настройки службы управления ключами выполните следующие действия.

Изменение разрешений SRV-записи на сервере DNS

создайте в AD глобальную группу KMS-Hosts;
добавьте в созданную группу учетную запись компьютера вашего будущего сервера KMS;
на DNS-сервере предоставьте права данной группе на создание записей SRV.

Автоматическая публикация KMS в домене

запустите regedit и найдите ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL;
создайте запись DnsDomainPublishList типа Multi-String Value;
нажмите «Изменить» и введите суффикс домена, например contoso.com (см. рис. 3);
перезапустите службу Software Licensing Service.

Рисунок 3. Изменения в реестре для автоматической регистрации KMS в домене

Если ваша сеть не поддерживает динамической регистрации записей на сервере DNS, вы можете добавить SRV-запись вручную:

запустите консоль управления DNS-сервером и выберите Forward Lookup Zones в вашем домене;
из пункта меню Action консоли выберите Other New Records и укажите Service Location (SRV);
создайте запись со следующими параметрами:
- Service: _VLMCS;
- Protocol: _TCP;
- Port number: 1688;
- Host offering the service: <FQDN_of_KMS_Host>.

Установка сервера KMS

на будущем сервере KMS выполните в командной строке следующую команду:

script C:\windows\system32\slmgr.vbs /ipk <KmsKey>

активируйте систему через Интернет с помощью команды:

cscript C:\windows\system32\slmgr.vbs /ato

перезапустите службу Software Licensing Service.

Настройка исключений Firewall

Скрипт Slmgr.vbs использует WMI, который по умолчанию заблокирован в правилах внутреннего сетевого экрана. Для разрешения трафика добавьте в правилах исключения брандмауэра пункт Windows Management Instrumentation (WMI).

Теперь клиенты Windows Server 2008/Windows Vista в вашей организации после установки операционной системы будут автоматически находить сервер KMS и проходить активацию.

Как видите, установка и настройка службы управления ключами достаточно проста и значительно облегчает труд администратора по корпоративной активации продуктов Microsoft Windows.

Получить дополнительную информацию вы можете по ссылкам [2, 3].

Key Management Service 1.1 (x86) for Windows Server 2003 SP1 – http://www.microsoft.com/downloads/details.aspx?familyid=81D1CB89-13BD-4250-B624-2F8C57A1AE7B&displaylang=en.
Многопользовательская активация Windows – http://technet.microsoft.com/ru-ru/windows/dd197314.aspx.
Volume Activation 2.0 Technical Guidance – http://www.microsoft.com/downloads/details.aspx?FamilyId=9893F83E-C8A5-4475-B025-66C6B38B46E3&displaylang=en#filelist.