Если в организации планируется развертывание бизнес-версий Windows Vista и Windows Server 2008, имеет смысл разобраться в технологии корпоративной активации Volume Activation. Инфраструктура VA обязательна для предприятий, у которых число систем с Vista или Server 2008 больше нескольких сот, поскольку в случае ее отсутствия каждая лицензионная версия этих систем со временем даст сбой. В этой статье я расскажу о технологии VA, объясню, как она работает, и представлю рекомендации для развертывания Volume Activation в стандартных ситуациях.
Обзор технологии Volume Activation
Технология Volume Activation 2.0 (VA2) появилась в результате существенной переработки исходной технологии, при использовании которой один ключ корпоративного лицензирования Volume License Key (VLK) активировал неограниченное число систем. Этот метод основан на строгой конфиденциальности, которая служила гарантией надежности ключа VLK. Если происходила утечка информации, касающейся ключа VLK, или ключ свободно распространялся по Internet, Microsoft деактивировала ключ. Это приводило к тому, что все системы, использующие данный ключ, должны были быть заново активированы путем набора нового ключа на клавиатуре. В технологии VA2 такая проблема не возникает, потому что все системы Vista или Server 2008 проходят активацию с помощью служб Microsoft, непосредственно или по доверенности.
В технологии VA2 при восстановлении операционной системы используют один из двух методов активации: ключ многократной активации Multiple Activation Key (MAK) или службу управления ключами Key Management Service (KMS). Первый метод в целом похож на VLK, но имеет некоторые существенные особенности — так, ключ MAK имеет ограничение на число активаций, а VLK — нет. Каждый экземпляр MAK при активации должен проверяться Microsoft, в то время как при использовании VLK проверка необязательна. Служба KMS представляет собой систему клиент-сервер, которая активирует нескольких клиентов без участия пользователей этой системы. В отличие от активации по методу MAK, любая система, которая использует KMS, не должна специально устанавливать соединения с серверами Microsoft. Обычно служба KMS активирует лицензию в Microsoft от лица клиента. В компании Microsoft полагают, что средние и большие организации, использующие VA, будут применять KMS для активации большей части своих систем.
Прежде чем подробно изучать активацию по методам KMS и MAK, рассмотрим пять возможных состояний лицензии для клиентов VA. Отметим, что только первое состояние не требует никаких действий. Первое и самое обычное состояние Licensed (лицензировано) — это когда клиент активирован и работает нормально. Следующее состояние — начальный льготный период, Initial Grace или Out-Of-Box Grace. Этот период наступает после начальной установки клиента VA. Состояние Out-of-Tolerance Grace наступает в случае изменения аппаратных средств на активированной системе. Состояние Non-Genuine Grace возникает, когда система, на которой установлен управляющий элемент ActiveX для проверки по Windows Genuine Advantage (WGA), дает сбой правильной активации — Genuine Activation. Все эти состояния лицензии имеют льготный период, grace period, который длится 30 дней. Наконец, состояние Unlicensed (нелицензировано) — когда система работает в режиме ограниченной функциональности reduced functionality mode (RFM).
Отметим, что Vista SP1 в состоянии Unlicensed ведет себя иначе. Если используется система без активации или система с истекшим льготным периодом активации в 30 дней, то при записи системы на 31-й день появляется диалоговое окно на черном фоне, в котором предлагается либо сразу начать активацию системы, либо отложить процесс активации. В первом случае сохраняются все возможности системы, во втором случае система выводит рабочий стол, который выглядит как прежде, но фон остается черным и в правом углу над системным лотком появляется предупреждение о том, что экземпляр системы Windows — нелицензионный.
Архитектура Key Management Service
Служба KMS системы активации VA состоит из одного или нескольких серверов KMS, которые активируют клиентов, настроенных на использование KMS. Эти клиенты определяют сервер KMS любым удобным методом и просят сервер их активировать. Сервер KMS использует специальный ключ KMS для активации в Microsoft и затем действует как представитель, который активирует своих клиентов, причем клиентские системы могут не обращаться в Microsoft с целью активации. Сервер может провести активацию для неограниченного числа клиентов, поэтому Microsoft, как правило, дает только один ключ KMS на организацию. В компании создали систему KMS с максимальной расширяемостью, поэтому система требует минимального числа серверов KMS.
Системы, настроенные на использование KMS, должны регулярно с ним связываться, иначе они обязательно попадут в состояние Unlicensed, и ими невозможно будет пользоваться до реактивации сервером KMS. Это позволяет службе лицензирования программного обеспечения Software Licensing Service иметь более простые требования по сравнению с другими службами. При первом запуске клиента KMS (либо клиента Vista или сервера Server 2008) клиент имеет 30 дней для активации. Этот начальный льготный период может переустанавливаться трижды. В течение данного срока клиент пытается активироваться через каждые два часа. После успешного завершения активации он пытается подключиться к хосту KMS раз в неделю по умолчанию, чтобы обновить свою активацию на следующие шесть месяцев. Каждый клиент имеет шестимесячный таймер, который переустанавливается при каждом обновлении клиента сервером KMS; если клиент по какой-то причине не обновился, этот таймер продолжает отсчет, повторяя попытки раз в неделю, пока клиент либо не обновится, либо не попадет в состояние Unlicensed. Таких попыток будет приблизительно 25. Таким образом, значение параметра времени жизни TTL, равное 15 секундам, для каждого запроса KMS очень велико по сравнению с другими службами, а изменение данных будет незначительным, поэтому сетевая близость хоста к клиентам не играет особой роли.
Установка KMS
KMS можно установить на Windows Server 2008, Windows Vista или Windows Server 2003 SP1. Эта служба доступна на обеих архитектурах, x86 и x64, для всех платформ. Для Windows Server 2008 или Vista дополнительное программное обеспечение не понадобится, но для запуска KMS на Windows 2003 придется провести поиск по фразе “KMS on W2 K3 SP1” на сайте Microsoft (www.microsoft.com/downloads), чтобы загрузить и установить KMSW2K3_ EN-US_x86.zip или KMSW2K3_EN-US_x64.zip. И сервер KMS, и клиент KMS являются компонентами службы лицензирования Software Licensing Service (slsvc.exe) — правда, KMS на сервере Windows 2003 появляется как служба Software Protection Platform.
Хотя KMS годится для установки на Vista, я не пользовался этой возможностью. Лучше задействовать сервер KMS в серверном варианте операционной системы. Такая важная инфраструктурная служба должна быть установлена на существующий сервер или добавлена вместе с дополнительным рабочим сервером.
Главная утилита для управления сервером KMS является просто сценарием, slmgr.vbs, который находится в папкеsystem32 активированных с помощью VA систем Server 2008 и Vista. Вот список наиболее часто используемых переключателей:
-
-ipk — установить ключ защиты программного продукта;
-
-ato — активировать;
-
-dli — показать лицензионную информацию;
-
-xpr — срок окончания данного лицензионного состояния;
-
-skms — прямое подключение (а не автообнаружение).
Сначала для установки хоста KMS следует установить версию операционной системы с корпоративной лицензией. Версия операционной системы с корпоративной лицензией не предполагает ввод лицензионного ключа при ее установке. Когда установка завершится, введите следующую команду для ввода ключа KMS, предоставленного Microsoft:
SLMGR.VBS -ipk
Отметим, что ключ KMS сильно отличается от MAK. Он годится только для шести активаций, предназначенных для шести экземпляров или установок KMS на всю компанию. Каждый из этих экземпляров может повторно активироваться лишь девять раз. После установки ключа KMS его можно активировать в Microsoft. Таким образом, сервер KMS авторизуется как посредник на все дальнейшие действия. Самый распространенный способ активации хоста KMS — это напрямую обратиться к Microsoft через Internet. Данный метод называется оперативной активацией, он выполняется с помощью команды:
SLMGR.VBS -ato
Если сервер KMS не подключен к Internet, можно позвонить в Microsoft и выполнить по большей части автоматический процесс активации, вводя
SLUI.EXE 4
а потом следовать инструкциям на экране.
Размещение и развертывание KMS
После установки и запуска сервера KMS надо позаботиться о том, чтобы клиенты могли его найти. Можно принудительно направить клиентов на сервер (это прямое подключение) или клиенты могут сами найти сервер (автообнаружение). Для прямого подключения на клиенте KMS просто запустите
SLMGR.VBS -skms <
[: ]
KMS_FQDN есть полное доменное имя FQDN хоста KMS (или можно ввести его IP-адрес). Можно также указать, к какому порту следует подключиться клиенту, если порт отличается от номера порта по умолчанию 1388.
Автообнаружение представляет собой более сложный процесс. Для автообнаружения KMS использует DNS-запись SRV для публикации этой службы в зоне DNS. Следуя формату _service._protocol для записи SRV, запись для KMS будет иметь вид _vlmcs._tcp.mycompany.com.
Когда автообнаружение будет выполнено, клиент KMS запросит у DNS список серверов, которые содержат запись _VLMCS для зоны, членом которой он является. Сервер DNS посылает список серверов KMS в случайном порядке, клиент выбирает один из них и пытается установить с ним сеанс связи. Если попытка удается, клиент запоминает сервер и пытается использовать его при следующей попытке обновления. Если новое соединение установить не получилось, клиент снова выбирает сервер случайным образом. Процесс определения KMS напоминает процесс определения контроллера домена DC, который также ищет запись SRV, но он проще. Например, клиент не может искать хосты KMS по сайту, поскольку это не требуется более простыми службами KMS. Кроме того, KMS не использует вес и приоритет, которые являются параметрами записи SRV для сортировки списка результатов.
Сервер KMS, настроенный на автообнаружение, не может публиковать автоматически записи SRV в DNS для какой-либо зоны, кроме зоны его размещения. Это приводит к необходимости вручную публиковать записи SRV во всех других зонах DNS — например, для других дочерних доменов в дереве доменов. Для того чтобы KMS опубликовал необходимые сведения в других зонах DNS, требуется перечислить эти зоны в разделе HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionSLDnsDomainPublishList. Этот раздел имеет тип REG_MULTI_SZ; каждую зону, в которой KMS должен быть опубликован, следует вводить на отдельной строке. Напомним, что сам сервер KMS должен иметь права в целевой зоне для создания этих записей, причем данная зона должна быть в состоянии разрешить имя хоста в записи SRV. Если таких доменов много (особенно доменов, не доверяющих домену, на котором находится сервер KMS), эта настройка может пополнить список для выполнения операций вручную.
Автообнаружение KMS интегрируется с DNS, а не Active Directory (AD) и работает не только с Windows DNS, как в случае службы DNS, интегрированной с AD. Любой сервер DNS, поддерживающий записи SRV (по RFC 2782) и динамические обновления (по RFC 2136), будет поддерживать автообнаружение клиента KMS и публикацию записей KMS SRV. BIND 8.x и 9.x поддерживает как записи SRV, так и DDNS.
Дополнительная информация по KMS
Сам по себе сервер KMS дает лишь минимальную информацию о своей работе. На сайте загрузки Microsoft (www.microsoft.com/downloads) можно загрузить пакет управления KMS для Microsoft Operations Manager (MOM). Этот пакет генерирует уведомления по основным событиям, которые могут вызывать проблемы активации KMS типа ошибок инициализации и ошибок публикации записей DNS SRV. Этот пакет выдает также разные отчеты по активации клиентов через KMS.
После активации сервер KMS сможет активизировать неограниченное число клиентов. Однако этот сервер не начнет активацию клиентов до получения некоторого числа активационных запросов от физических (не виртуальных) машин. Речь идет о пороге активации. Для Vista порог составляет 25 систем, а для Server 2008 — пять систем.
Предположим, существует сеть с 500 лицензионными системами Vista и один сервер KMS в общей производственной сети. По мере появления этих систем в сети они начинают активацию с обнаруженным сервером, или через автообнаружение в сети, или через прямое подключение. Этот сервер будет записывать каждую попытку активации, но собственно активация не будет начата до тех пор, пока не наберется 25 различных клиентов. Первые 25 клиентов, которые не были активированы сервером KMS, будут пытаться активироваться до тех пор, пока сервер KMS не достигнет своего активационного порога для их штатной активации. Для каждого типа систем установлены свои пороги, и, если KMS получил своего 25-го клиента Vista (порог для Vista), но не получил пятого клиента для Server 2008, сервер KMS не станет активировать только серверы Server 2008.
Сервер KMS не отслеживает всех своих лицензированных клиентов, он записывает только последние 50 активаций, чтобы проверить, правильно ли работает служба. Он не обращает внимания на другие хосты KMS в сети или общую информацию по активации между ними. Таким образом, нет верхней границы по числу активаций, которые может выполнить каждый сервер после достижения своего активационного порога, и число лицензий не является ограничением для ресурсов сети. Шесть серверов KMS можно активировать одним ключом VLK, а каждый сервер KMS можно повторно реактивировать девять раз (например, если один сервер KMS надо отремонтировать).
Использование технологии KMS вместо решения MAK для активации имеет определенные преимущества. Во-первых, клиентам KMS не нужен доступ в Internet или телефон для активации систем, требуется только подключиться к хосту KMS. Во-вторых, ничего не нужно резервировать или восстанавливать на сервере KMS. Просто надо восстановить его, повторно ввести VLK, активировать — и все готово к работе. В-третьих, инфраструктура KMS несложна и расширяема, один сервер KMS с горячим резервированием на случай сбоев может обслуживать десятки тысяч клиентов. Наконец, решающим фактором при выборе, сколько серверов KMS задействовать, является не вопрос расширяемости, а вопрос сетевой топологии или предпочтений. Если значительное число клиентов не могут подключиться к хосту KMS из-за сетевой структуры, то можно установить другой сервер. Поскольку KMS является важным узлом инфраструктуры, независимые бизнес-подразделения вполне резонно могут потребовать контроля над собственным сервером KMS.
Хотя Server 2008 и Vista требуют разных ключей VLK, сервер KMS может держать только один ключ активации. Как может один ключ активировать системы и Server 2008, и Vista? В корпорации Microsoft создали группы ключей, которые представляют собой иерархию лицензионных ключей, основанную на продуктах, приобретенных в рамках корпоративного лицензирования. Группы ранжируются от Vista до серверных групп A…C, где каждая серверная группа становится более сложной (и стоит дороже). Группы ключей Vista могут активировать только системы Vista. Серверная группа A может активировать Windows Web Server 2008 и Vista; серверная группа B может активировать редакции Server 2008 Standard и Enterprise, а также Web Server 2008 и Vista. Серверная группа C может активировать все — Windows Server 2008 Datacenter, Windows Server 2008 для систем на основе Itanium, Server 2008 Standard и Enterprise, Web Server 2008 и Vista. При покупке корпоративных лицензий предлагается группа ключей, которые соответствуют купленным продуктам. Установка этого ключа на сервер KMS позволит активировать все продукты с меньшей ценой.
Ключи многократной активации
Ключи многократной активации Multiple Activation Keys (MAK) не нуждаются в особой инфраструктуре. Компания может запросить и оплатить один ключ MAK с определенным числом активаций. Активировать выбранную систему можно одним ключом MAK несколькими способами: файлом автоматической установки, вручную из интерфейса Windows или в сценарии. Каждая установка MAK должна пройти проверку серверами активации Microsoft для полного успешного завершения. Как правило, используется прямая активация, когда клиент сам непосредственно активирует систему в Microsoft, или через Web-сайт, или по телефону. Web-активация проста и работает так же, как и в прежних методах активации (например, как активация в Windows XP). Активация по телефону означает, что надо дозвониться до Microsoft и вслух прочитать или ввести буквенно-цифровой код на своем телефоне, после чего оператор назовет код, который надо ввести в соответствующем поле для ключа.
Если же клиенты не имеют прямого доступа к Internet или административных прав для активации MAK, в этом случае Microsoft предлагает активационный метод через посредника, когда используется специальный инструмент для активации Volume Activation Management Tool (VAMT). Инструмент VAMT (его можно загрузить с сайта Microsoft www.microsoft.com/downloads) предназначен для установки на ноутбуке, который можно переносить из закрытой сети в сеть с открытым доступом в Internet. В случае закрытой сети VAMT применяет один или несколько установленных на нем ключей MAK для клиентов Server 2008 и Vista, которые он открывает. Более подробную информацию о VAMT можно найти в руководстве с установочными файлами VAMT.
При восстановлении системы можно воспользоваться прежним ключом MAK — в этом случае «число использованных ключей» увеличится на единицу. Аналогично нельзя повторно воспользоваться ключом MAK, которым была открыта прежняя система. Например, при получении системы от поставщиков оборудования с предварительно установленной Server 2008 или Vista на ней был предварительно установлен ключ MAK, который входит в стоимость системы. При восстановлении системы повторно ввести ключ MAK нельзя; необходимо воспользоваться собственным ключом.
Основы схемы
Хотя применение KMS и ключей MAK может показаться сложным, все же знание основ схемы активации пригодится для понимания всего процесса. Самое важное, что следует помнить при построении инфраструктуры VA2, это принцип простоты: система должна быть простой. Простую конфигурацию легче создать, настроить и с ней удобнее работать. Кроме того, необходимо минимизировать число серверов KMS. Если это возможно по техническим и политическим соображениям, стоит держать один набор серверов KMS для всего предприятия. Далее следует максимально увеличить число клиентов, которые пользуются KMS (и тем самым ограничить число клиентов, которые пользуются ключами MAK). Наконец, минимизируйте число конфигураций VAMT через посредника. Чтобы придерживаться этих основ построения, стоит разбить системы Windows на четыре категории: рабочая сеть, безопасные сети с защищенным доступом к рабочей сети, изолированные сети с минимальным доступом или вовсе без доступа к внешним сетям и автономные клиенты.
Рабочая сеть. Это основная внутренняя сеть предприятия. Составьте список лесов и доменов среды Windows AD в рабочей сети, разбив ее на группы следующим образом:
-
основной корпоративный лес (леса);
-
вспомогательные леса или один и более основных лесов;
-
леса, с которыми не установлены доверительные отношения (например, подразделения разработки и производства);
-
рабочие группы.
Сети с защитой данных. В этих сетях с доступом через брандмауэр к рабочей сети предполагается отсутствие доступа в Internet. Необходимо проверить среду Windows; наверное, не всякая сеть с защитой данных может быть рабочей сетью.
Изолированные сети. Такие сети с ограниченным доступом или без доступа к внешним сетям, как правило, имеют около 25 учетных записей.
Изолированные клиенты. Эти клиенты не имеют доступа к электронной почте или другим приложениям, которые должны быть подключены к обычным сетевым структурам корпорации (например, демонстрационные ноутбуки группы продаж).
Рекомендации
Я советую пользоваться KMS с автоматическим обнаружением в DNS для доверенных основных и вспомогательных лесов, поскольку эта конфигурация легко реализуема. Зарегистрируйте KMS во всех других доменах в лесу и доверенных лесах, чтобы клиенты могли пользоваться DNS для нахождения этой службы. В предположении, что большинство клиентов находятся в этих лесах, такая конструкция позволит клиентам сразу активироваться с помощью KMS. Эта схема также предполагает, что компания имеет централизованную ИТ-модель с ограниченным числом не связанных отношениями доверия лесов в рабочей сети. Если же такие леса все-таки есть (например, для разработки или тестирования) в рабочей сети, то их администраторы должны вручную регистрировать записи A и записи SRV на хосте KMS с целью обеспечения работы автоматического обнаружения. Скорее всего, сервер KMS не будет иметь прав обновлять DNS в не связанном отношениями доверия лесе. Добавить записи вручную просто, и обновлять эти записи при модификации конфигурации доменов или леса нужно тоже вручную.
Клиенты рабочих групп на рабочей сети должны пользоваться KMS через автоматическое обнаружение, однако простота такого обнаружения зависит от серверов DNS, которыми пользуются клиенты рабочей группы. Если они пользуются службой DNS в лесу серверов KMS, им удастся легко найти KMS.
Для защищенных сетей с ограниченным доступом к рабочей среде следует использовать пошаговый подход. Сначала настройте брандмауэр и разблокируйте TCP-порт 1688, чтобы клиенты защищенной сети могли контактировать с сервером KMS. Затем, если используется имя, а не адрес IP (как рекомендовано), система должна быть в состоянии разрешить имя в DNS. Применение автоматического обнаружения или прямого подключения к KMS зависит от конфигурации DNS в сети; если у сети есть свой DNS, то сетевой администратор должен вручную регистрировать записи A и записи SRV хоста KMS. Наличие согласованной инфраструктуры DNS на предприятии чрезвычайно важно, чтобы не возникало проблем с ошибками целостности и ненужным дублированием. Аналогично, порт 1688 KMS никогда нельзя открывать наружу; предоставить доступ к хосту KMS снаружи — все равно что отдать постороннему ключи VLK.
Защищенные сети без доступа вовне характеризуются более сложной схемой. Если в сети меньше 25 клиентов, то необходимо использовать ключи MAK и активировать клиентов с помощью утилиты VAMT. С этим подходом связана одна проблема, которая состоит, например, в том, что приходится подключать ноутбуки, имевшие контакт с внешними сетями, к защищенной сети. Если клиентов на ней больше 25, то можно применить KMS и проводить активацию по телефону. Этот подход имеет свои недостатки, поскольку давать ключ можно только немногим доверенным администраторам, иначе это противоречит принципам защиты. Вариантом конфигурации защищенной сети является защищенная сеть, в которой системы постоянно восстанавливаются (например, тестовая лаборатория). В такой ситуации можно просто никогда не активировать системы. Если они существуют меньше 90 дней, то можно применить сценарий slmgr.vbs с параметром rearm (т. е. SLMGR.VBS/REARM) для сброса таймера активации продукта максимально трижды.
Если на предприятии используется стандартизованный вариант операционной системы, то может подойти простое решение, которое заключается в том, что создается две записи CNAME с именем хоста, например kms.yourcompany.com. Пусть эти записи CNAME имеют ссылки на разные серверы KMS, чтобы создать основную циклическую конфигурацию, в которой случайным образом выбирается какой-то один сервер. Настройте свою клиентскую операционную систему на прямое подключение к KMS по имени kms.yourcompany.com. Все клиенты будут все время использовать имя kms.yourcompany.com. Можно будет управлять тем, какой сервер KMS представлен через CNAME, при этом не потребуется проводить автоматическое обнаружение или регистрацию записи SRV во многих зонах DNS.
Технология VA может показаться сложной, однако все же ею придется воспользоваться, если понадобится развертывать Windows Server 2008 или Windows Vista. Хотя технология VA2 намного сложнее, чем можно было бы показать в рамках одной статьи, если воспользоваться советами по проектированию, которые в ней даны, то можно эту технологию использовать с минимальными затратами. Подробную информацию о технологии VA2 можно найти на странице Microsoft, посвященной активации продуктов VA2 Product Activation (www.microsoft.
com/licensing/resources/vol/default.mspx), там же можно загрузить руководство для развертывания VA2.
Примечание редакции
После выпуска Windows Server 2008 появилось следующее дополнение к этой статье от компании Microsoft.
Утверждение о том, что если клиент KMS не может восстановиться с помощью хоста KMS после 180 дней, то система перестает работать до тех пор, пока он не будет реактивирован, неверно. Дополнительные изменения состоят в следующем. Начальный льготный период для Windows Server 2008 равен 60 дням, по умолчанию для обнаружения KMS задан порт 1688, порог активации KMS общий для Windows Vista и Windows Server 2008, реактивация системы, которая была прежде активирована с помощью ключа MAK, возможна и приводит к увеличению числа использованных активаций на единицу. Сообщаем читателям, что на www.microsoft.com/technet/volumeactivation можно найти руководство с обновленным набором инструкций.
Шон Дьюби (sdeuby@windowsitpro.com) — редактор Windows IT Pro и член группы службы каталогов в компании Intel. Имеет звание MVP