Эта статья посвящена подробному описанию особенностей функционирования и использовании технологии KMS активации продуктов Microsoft. Служба управления ключами KMS (Key Management Server) позволяет корпоративным заказчикам программы Volume License развертывать в сети собственный хост, на котором будут активироваться все клиенты. Благодаря KMS, устройствам в сети не нужно обращаться к серверам активации Microsoft в интернете для активации Windows, Office, Project, или Visio.
Архитектура службы KMS активации Microsoft
Инфраструктура KMS состоит из KMS-сервера , который активируется в Microsoft (эта операция выполняется один раз по телефону или онлайн) и клиентов KMS , отправляющих запросы на активацию на KMS сервер. В качестве клиентов KMS сервера могут выступать рабочие станции Windows, хосты с Windows Server и компьютеры установленным Microsoft Office 2021/2019/2016/2013.
Сам KMS сервер активируется с помощью специального корпоративного CSVLK ключа (KMS host key) , получить который может каждый корпоративный клиент Microsoft в личном кабинете на сайте корпоративного лицензирования VLSC ( https://www.microsoft.com/Licensing/servicecenter/default.aspx — Microsoft Volume Licensing Service Center –> License -> Relationship Summary -> Product Keys -> скопируйте ключ для Windows Srv 2019 DataCtr/Std KMS ).
Ключ CSVLK нужно указать на KMS сервере и затем выполнить активация вашего KMS сервера в интернете на серверах Microsoft. KMS сервер нужно активировать только один раз.
Один KMS сервер может активировать неограниченное число KMS клиентов. Например, даже несмотря на то, что в вашем соглашении указано, что вы приобрели корпоративную лицензии на 100 компьютеров, теоретически вы можете активировать тысячи компьютеров (конечно, это будет нарушением лицензионного соглашения, но технически KMS сервер вас в этом не ограничивает). Также отметим, что информация о проведенных активациях и их количестве не передается KMS севером за пределы организации.
KMS сервер может активировать клиентов в разных доменах, а также клиенты в рабочих группах. Один KMS сервер может одновременно активировать и десктопные редакции Windows, и Windows Server и продукты из пакета Microsoft Office.
При установке KMS сервера можно автоматически зарегистрировать специальную SRV (_VLMCS) запись в DNS. По этой DNS записи любой клиент может найти имя KMS сервера в домене. Например, чтобы найти KMS сервер в вашем домене corp.remontka.com, выполните команду:
nslookup -type=srv _vlmcs._tcp.corp.remontka.com
_vlmcs._tcp.corp.remontka.com SRV service location: priority = 0 weight = 0 port = 1688 svr hostname = msk-man01.corp.remontka.com msk-man01.corp.remontka.com internet address = 10.1.10.25
В этом примере видно, что служба KMS развернута на сервере msk-man01 и отвечает по порту TCP 1688.
Чтобы KMS сервер мог активировать клиента, на клиенте (Windows или Office) должен быть указан специальный публичный ключ KMS, который называется GVLK ключом (Generic Volume License Key- универсальный ключ многократной установки). После того, как вы указали GVLK ключ, клиент KMS пытается сам найти в DNS SRV запись, указывающую на сервер KMS и пытается произвести активацию.
Полный список GVLK ключей для всех поддерживаемых версий Windows доступен на сайте Microsoft по ссылке https://learn.microsoft.com/en-us/windows-server/get-started/kms-client-activation-keys
KMS сервер, активированный более новым ключом KMS host key, может активировать все предыдущие версии Windows, но не наоборот. Например, KMS сервер, актированный ключом Windows Srv 2016 DataCtr/Std KMS не сможет активировать компьютеры Windows 11 или Windows Server 2022/2019. Для поддержки современных версий Windows вам нужно получить новый CSVLK ключ и активировать его на KMS сервере.
Установка KMS сервера на Windows Server в корпоративной сети
Для развертывания службы KMS вам нужен хост с Windows Server (можно совмещать роль KMS с другими ролями).
- Установите роль Volume Activation Services через консоль Server Manager или командой PowerShell:
Install-WindowsFeature -Name VolumeActivation -IncludeAllSubFeature –Include ManagementTools
- Затем откройте командную строку, установите корпоративный CSVLK ключ и активируйте ваш KMS сервер в Microsoft:
slmgr /ipk <KMS_host_ключ_Windows_Server_2019>
slmgr /ato
При выполнении онлайн активации самого сервера KMS (выполняется один раз), с сервера KMS должны быть доступны сайты Microsoft по портам 80/443. В изолированной среде сервер KMS можно активировать по телефону (телефон поддержки Microsoft для вашей страны можно найти в файле%windir%System32SPPUIPhone.inf
). - Клиенты по-умолчанию будут подключаться к KMS серверу по порту TCP/1688. Включите соответствующее правило Windows Firewall :
Enable-NetFirewallRule -Name SPPSVC-In-TCP
- Чтобы опубликовать SRV запись для KMS сервера в DNS, выполните команду:>
slmgr /sdns
- Проверьте, что ваш KMS сервер активирован:
slmgr.vbs /dlv
Команда должна вернуть что то в виде, Description =VOLUME_KMS_WS22 channel
, License status =Licensed
.
Активация клиента Windows с помощью KMS сервера
Для ручного управления KMS активация на компьютерах Windows используется встроенный VBS скрипт %WinDir%System32slmgr.vbs
. Вы можете вывести его опции, просто выполните эту команду без параметров.
Чтобы вручную активировать рабочую станцию с Windows или хост Windows Server на KMS сервере, выполните следующие действия.
- Задайте GVLK ключ в зависимости от версии Windows (полный список публичных GVLK ключей есть на сайте Microsoft по ссылке выше). Например, для Windows 10 или 11:
slmgr /ipk W269N-WFGWX-YVC9B-4J6C9-T83GX
- Если в домене не настроено автообнаружение KMS (по SRV записи), вы можете указать адрес KMS сервера и порт вручную:
slmgr /skms msk-man02.remontka.com:1688
- Теперь можно выполнить активацию вашей копии Windows на KMS сервере:
slmgr /ato
Должна появиться надпись:---------------------------_x000D_Windows Script Host_x000D_ ---------------------------_x000D_Activating Windows(R), EnterpriseS edition (xxxxxxxxxxxxxxxxxxxx) ..._x000D_Product activated successfully.
- Проверить статус активации Windows :
slmgr /dlv
Если Windows успешно активировалась на KMS тут должно быть указано:VOLUME_KMSCLIENT channel_x000D_License status: Licensed
Обратите внимание, что активация продуктов Microsoft на сервере KMS возможна только при удовлетворении следующих требований к минимальному количеству KMS клиентов (т.н. порог активации):
- Клиентские ОС: 25
- Серверные ОС: 5
- MS Office: 5
После того, как количество обращений на активацию от клиентов превысит порога активации, сервер KMS начнет активировать лицензии. Текущее значение клиентов KMS можно получить с помощью команды:
slmgr.vbs /dlv
Значение в поле Current Count не увеличивается после достижения 50.
Компьютеры, активированные на KMS сервере для продления активации должны подключатся к KMS серверу как минимум один раз в 180 дней. Если компьютер не подключался более 180 дней, то активация активация продукта “слетает”, и Windows переходит в режим ознакомительного использования (grace period).
Активация MS Office на KMS сервере
Для активации продуктов MS Office на KMS сервере нужно установить специальное расширение Microsoft Office Volume License Pack . В зависимости от версии MS Office, которая используется у вас, вам нужно скачивать и установить соответствующую версию volumelicensepack. Сейчас доступны:
- Microsoft Office 2016 Volume License Pack
- Microsoft Office 2019 Volume License Pack
- Microsoft Office LTSC 2021 Volume License Pack
После установки License Pack для MS Office, на KMS сервере нужно установить ваш персональный CSVLK ключ для Office и выполнить его активацию.
Для управления активацией продуктов из пакета Microsoft Office на клиентах используется другой vbs скрипт — ospp. vbs . Его можно найти поиском в каталоге установки Office (в случае Office 2016 файл ospp.vbs находится по-умолчанию в каталоге Program FilesMicrosoft OfficeOffice16
).
Чтобы вручную указать адрес KMS сервера на клиенте Office:
cscript ospp.vbs /sethst: msk-man02.remontka.com
Изменить порт для активации:
cscript ospp.vbs /setprt:1689
Активировать вашу копию Office на KMS сервере:
cscript ospp.vbs /act
Текущий статус активации Office 2019/2016/365 можно получить с помощью команды:
cscript ospp.vbs /dstatusall
VAMT: Управление корпоративными ключами
Для удобства управления KMS серверами и ключами можно установить специальную утилиту Volume Activation Management Tool (VAMT).
- Утилита VAMT не является частью поставки ОС, входит в состав пакета Windows Assessment and Deployment Kit (ADK) и устанавливается отдельно;
- Для работы VAMT требуется .NET Framework;
- В качестве БД VAMT используется SQL Server Express;
- Последняя доступная версия VAMT поддерживает все ОС Microsoft, включая Windows 10 и Windows Server 2019.
Распространённые ошибки при использовании KMS сервера активации
- Установка корпоративного ключа KMS (CSVLK ключа) на клиентах вместо общедоступного GVLK ключа;
- Общий KMS ключ (CSVLK) не соответствует версии ОС на активируемом хосте;
- Сервер KMS должен быть обновлён для поддержки активации последних версий продуктов Microsoft;
- Если при попытке активации появляется ошибка 0xC004F074 – причиной может быть отсутствие SRV записи
_VLMCS._tcp.remontka.com
в DNS. Ее можно создать вручную или указать адрес KMS сервера вручную (команда указана ниже); - Ошибка 0xC004F038 говорит о том, что в вашей сети не набралось необходимого количества клиентов для активации (см. информацию о пороге активации выше). Как только на KMS сервер поступит достаточное количество запросов активации, она начнет выполнять активацию клиентов;
- Проверьте доступность порта 1688 на KMS сервере с помощью командлета Test-NetConnection :
TNC msk-mankms -Port 1688 -InformationLevel Quiet
Если порт недоступен, возможно доступ блокируется файерволом, или на KMS сервере не запущена служба Software Protection (sppsvc); - Для получения более подробной информации о конкретной ошибке активации Windows используете команду:
slui.exe 0x2a ErrorCode
- Также см. статью — « Список распространенных ошибок активации Windows «.