Active Directory Based Activation

ОС Windows начиная с Windows Vista/2008 требует активацию продуктов даже в случае использовании корпоративного ключа. И чтобы упростить процедуру для большого количества систем, предложены новые типы ключей и инструмент — Служба управления ключами (KMS, Key Management Service) позволяющая управлять активацией корпоративных версий посредством ключей многопользовательской активации (MAK, Multiple Activation Key) и специальных ключей KMS. Системам (физическим и виртуальным) теперь нет необходимости индивидуально подключаться к серверу MS, вся процедура происходит локально с KMS.
Неактивированные клиенты автоматически подключаются к серверу KMS (1688/TCP) каждые два часа, обращаясь к службе DNS для его поиска. В последующем клиенты должны обновлять свою активацию, не реже одного раза в 180 дней (срок действия активации), для этого они примерно раз в 7 дней подключаются к KMS. После возобновления активации клиента отсчет срока действия активации начинается снова.
Но для активации при помощи KMS в сети должно присутствовать минимальное количество физических компьютеров (т.н. порог активации, минимум 5 серверов и 25 клиентов), после достижения которого собственно и производится активация.
Сама служба KMS не требовательна к ресурсам, поэтому сервер может выполнять любую другую роли. Для настройки узла KMS используется команда slmgr.vbs.
В Win8/2012 появилась новая роль Active Directory Based Activation (ADBA) позволяющая автоматически активировать все компьютеры подключенные к домену (на уровне леса) и в последующем сохранять этот статус пока система входит в домен. Как и в случае KMS состояние активации клиентов использующих ADBA сохраняется в течение 180 дней. Вместо TCP клиенты используют LDAP, поэтому каких-то специфических настроек нет. И самым большим плюсом ADBA является отсутствие порога активации, поэтому возможен постепенный переход. Для ранних ОС Win по прежнему требуется KMS и этот метод рекомендуется в смешанных сетях, но два способа могут вполне сосуществовать без конфликтов. Так как клиент Win8/2012 вначале пытается произвести ADBA активацию, а в случае недоступности пробует KMS и MAK.
Для работы ADBA необходимо расширить схему AD до Windows Server 2012. Все атрибуты имеющие отношение к активации хранятся в контейнере CN=Activation Objects,CN=Microsoft SPP,CN=Services,CN=Configuration,DC=domain,DC=tld (его можно просмотреть при помощи ldp.exe или ADSI Edit).
Сервер на котором устанавливается роль должен входить в домен иначе нужная функция будет недоступна (только KMS). Также нельзя настроить ADBA на контроллерах домена, доступных только для чтения (RODC).
Процесс прост. На Windows Server 2012 устанавливаем роль Службы активации корпоративных лицензий (Volume Activation Services) выбрав соответствующий пункт в мастере добавления ролей и компонентов Диспетчера сервера и подтвердив установку инструментов администрирования. Или при помощи PowerShell:

PS> Install-WindowsFeature VolumeActivation –IncludeManagementTools

Запускаем консоль «Службы активации корпоративных лицензий» выбираем используемый метод, в мастере предложены оба варианта: ADBA или KMS. На следующем шаге указываем KMS ключ, которому можно сразу же задать удобное имя, чтобы в последующем было бы удобно работать при большом их количестве. И переходим к активации ключа. Это можно сделать через интернет или по телефону.
После репликации новых объектов в AD клиенты с Win8 и 2012 будут автоматически активированы. Ни каких дополнительных настроек не требуется.
Активировать ключи можно и используя slmgr.vbs, который получил 5 новых параметров для работы с ADBA:

/ad-activation-online [ProductKey]
/ad-activation-apply-get-iid [ProductKey]
/ad-activation-apply-cid [ProductKey][ConfirmationID]
/ao-list
/del-ao

Текущий статус активации клиентов можно проверить с помощью команды:

> slmgr.vbs –dlv
Теги:

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)