План корпоративной активации

Денис Парфенов    | 2021.08.09

Активация продукта - это процесс проверки программного обеспечения у производителя после его установки на конкретный компьютер. Активация подтверждает, что продукт является подлинным, а не поддельной копией, и что ключ продукта или серийный номер действительны и не были скомпрометированы или отозваны. Активация также устанавливает связь или взаимосвязь между ключом продукта и конкретной установкой.

В процессе активации проверяется информация о конкретной установке. Для онлайн-активаций эта информация отправляется на сервер Microsoft. Эта информация может включать версию программного обеспечения, ключ продукта, IP-адрес компьютера и информацию об устройстве. Методы активации, которые использует Microsoft, предназначены для защиты конфиденциальности пользователей, и их нельзя использовать для отслеживания на компьютере или пользователе. Собранные данные подтверждают, что программное обеспечение является лицензированной копией, и эти данные используются для статистического анализа. Microsoft не использует эту информацию для идентификации пользователя или организации или для связи с ними.

IP-адрес используется только для проверки местоположения запроса, поскольку некоторые выпуски Windows (например, «Начальные») могут быть активированы только в определенных географических целевых рынках.

Каналы распространения и активация

Как правило, программное обеспечение Microsoft приобретается по трем основным каналам: розничная торговля, производитель оригинального оборудования (OEM) и соглашения о корпоративном лицензировании. Для каждого канала доступны разные способы активации. Поскольку организации могут свободно получать программное обеспечение по нескольким каналам (например, приобретая некоторые из них в розницу, а другие через программу корпоративного лицензирования), большинство организаций предпочитают использовать комбинацию методов активации.

Розничные активации

В нескольких версиях Windows и Windows Server способ активации в розницу не изменился. Каждая приобретенная копия поставляется с одним уникальным ключом продукта (часто называемым розничным ключом). Пользователь вводит этот ключ во время установки продукта. Компьютер использует этот розничный ключ для завершения активации после завершения установки. Большинство активаций выполняется онлайн, но также доступна активация по телефону. Недавно розничные ключи были расширены до новых сценариев распространения. Карты с ключами продуктов доступны для активации продуктов, которые были предварительно установлены или загружены. Такие программы, как Windows Anytime Upgrade и Get Genuine, позволяют пользователям приобретать легальные ключи отдельно от программного обеспечения. Эти распространяемые в электронном виде ключи могут поставляться с носителями, содержащими программное обеспечение, они могут поставляться в виде поставки программного обеспечения,или они могут быть предоставлены на распечатанной карточке или в электронной копии. Продукты активируются таким же образом с помощью любого из этих розничных ключей.

Производитель оригинального оборудования

Большинство производителей оригинального оборудования (OEM) продают системы, которые включают стандартную сборку операционной системы Windows. Поставщик оборудования активирует Windows, связывая операционную систему с микропрограммой (BIOS) компьютера. Это происходит до того, как компьютер будет отправлен заказчику, и никаких дополнительных действий не требуется. Активация OEM действительна, пока клиент использует в системе образ, предоставленный OEM. OEM-активация доступна только для компьютеров, приобретенных через OEM-каналы и на которых предустановлена ​​операционная система Windows.

Корпоративное лицензирование

Корпоративное лицензирование предлагает индивидуальные программы, адаптированные к размеру и покупательским предпочтениям организации. Чтобы стать заказчиком корпоративного лицензирования, организация должна заключить соглашение о корпоративном лицензировании с Microsoft. Существует распространенное заблуждение относительно приобретения лицензий для нового компьютера посредством корпоративного лицензирования. Есть два законных способа получить полную клиентскую лицензию Windows для нового компьютера:

  • Предварительно установите лицензию через OEM.
  • Купите полностью упакованный розничный продукт.

Лицензии, предоставляемые в рамках программ корпоративного лицензирования, таких как Open License, Select License и Enterprise Agreement, охватывают обновления только до клиентских операционных систем Windows. Для каждого компьютера под управлением Windows 10, Windows 8.1 Pro, Windows 8 Pro, Windows 7 Professional или Ultimate или Windows XP Professional требуется существующая розничная или OEM-лицензия на операционную систему, прежде чем можно будет воспользоваться правами на обновление, полученными в рамках корпоративного лицензирования. Корпоративное лицензирование также доступно через определенные программы подписки или членства, такие как партнерская сеть Microsoft и MSDN. Эти корпоративные лицензии могут содержать определенные ограничения или другие изменения общих условий, применимых к корпоративному лицензированию.

Примечание.Некоторые выпуски операционной системы, например Windows 10 Корпоративная, и некоторые выпуски прикладного программного обеспечения доступны только в рамках соглашений о корпоративном лицензировании или подписок.

Модели активации

Для пользователя или ИТ-отдела нет значительного выбора в отношении того, как активировать продукты, приобретенные через розничные или OEM-каналы. OEM выполняет активацию на заводе, и пользователю или ИТ-отделу не нужно предпринимать никаких действий по активации.

В случае розничного продукта инструмент Volume Activation Management Tool (VAMT), который обсуждается далее в этом руководстве, помогает отслеживать ключи и управлять ими. Для каждой розничной активации вы можете выбрать:

  • Активация онлайн
  • Активация по телефону
  • Активация прокси VAMT

Активация по телефону в основном используется в ситуациях, когда компьютер изолирован от всех сетей. Прокси-активация VAMT (с розничными ключами) иногда используется, когда ИТ-отдел хочет централизовать розничную активацию или когда компьютер с розничной версией операционной системы изолирован от Интернета, но подключен к локальной сети. Однако для продуктов с корпоративной лицензией вы должны определить лучший метод или комбинацию методов для использования в вашей среде. Для Windows 10 Pro и Enterprise вы можете выбрать одну из трех моделей:

  • MAKs
  • KMS
  • Активация на основе Active Directory

Примечание.Активация на основе токена доступна в определенных ситуациях, когда утвержденные клиенты полагаются на инфраструктуру открытого ключа в изолированной среде с высоким уровнем безопасности. За дополнительной информацией обращайтесь к своей учетной записи Microsoft или к представителю службы поддержки. Опция активации на основе токена доступна для выпусков Windows 10 Enterprise LTSB (версии 1507 и 1607).

Ключ многократной активации

Ключ многократной активации (MAK) обычно используется в малых или средних организациях, которые имеют соглашение о корпоративном лицензировании, но не соответствуют требованиям для работы с KMS или предпочитают более простой подход. MAK также позволяет безвозвратно активировать компьютеры, которые изолированы от KMS или являются частью изолированной сети, в которой недостаточно компьютеров для использования KMS.

Чтобы использовать MAK, на активируемых компьютерах должен быть установлен MAK. MAK используется для однократной активации с помощью служб активации Microsoft в Интернете, по телефону или с помощью активации прокси-сервера VAMT. Проще говоря, MAK действует как розничный ключ, за исключением того, что MAK действителен для активации нескольких компьютеров. Каждый ключ MAK можно использовать определенное количество раз. VAMT может помочь в отслеживании количества активаций, выполненных с помощью каждой клавиши, и количества оставшихся.

Организации могут загрузить ключи MAK и KMS с веб-сайта центра корпоративного лицензирования. Каждый MAK имеет предварительно заданное количество активаций, которое основано на процентном соотношении количества лицензий, приобретаемых организацией; однако вы можете увеличить количество активаций, доступных с MAK, позвонив в Microsoft.

Служба управления ключами

С помощью службы управления ключами (KMS) ИТ-специалисты могут выполнять активацию в своей локальной сети, избавляя отдельные компьютеры от необходимости подключаться к Microsoft для активации продукта. KMS - это облегченная служба, которая не требует выделенной системы и может быть легко размещена в системе, которая предоставляет другие службы.

Корпоративные выпуски Windows 10 и Windows Server 2012 R2 (в дополнение к корпоративным выпускам выпусков операционных систем, начиная с Windows Vista и Windows Server 2008) автоматически подключаются к системе, на которой размещен KMS, для запроса активации. От пользователя не требуется никаких действий.

Для KMS требуется минимальное количество компьютеров (физических или виртуальных) в сетевой среде. В организации должно быть не менее пяти компьютеров для активации Windows Server 2012 R2 и не менее 25 компьютеров для активации клиентских компьютеров под управлением Windows 10. Эти минимальные значения называются порогами активации .

Планирование использования KMS включает выбор наилучшего местоположения для узла KMS и количества узлов KMS, которые необходимо иметь. Один узел KMS может обрабатывать большое количество активаций, но организации часто развертывают два узла KMS для обеспечения доступности. Лишь в редких случаях будет использоваться более двух узлов KMS. KMS может быть размещен на клиентском компьютере или на сервере, и его можно запускать в более старых версиях операционной системы, если будут предприняты соответствующие шаги по настройке. Настройка KMS обсуждается далее в этом руководстве.

Активация на основе Active Directory

Активация на основе Active Directory - это новейший тип корпоративной активации, представленный в Windows 8. Во многих отношениях активация на основе Active Directory похожа на активацию с помощью KMS, но активированный компьютер не нуждается в периодическом подключении. с хостом KMS. Вместо этого подключенный к домену компьютер под управлением Windows 10, Windows 8.1, Windows 8, Windows Server 2012 R2 или Windows Server 2012 R2 запрашивает в AD DS объект корпоративной активации, который хранится в домене. Операционная система проверяет цифровые подписи, содержащиеся в объекте активации, а затем активирует устройство.

Активация на основе Active Directory позволяет предприятиям активировать компьютеры через подключение к их домену. У многих компаний есть компьютеры в удаленных точках или филиалах, где нецелесообразно подключаться к KMS или не достичь порога активации KMS. Активация на основе Active Directory позволяет не использовать ключи MAK, а активировать компьютеры под управлением Windows 10, Windows 8.1, Windows 8, Windows Server 2012 R2 или Windows Server 2012 R2, если компьютеры могут подключаться к домену компании. Активация на основе Active Directory предлагает преимущество расширения услуг корпоративной активации везде, где у вас уже есть домен.

Сеть и подключение

Современная бизнес-сеть имеет множество нюансов и взаимосвязей. В этом разделе исследуется оценка вашей сети и доступных подключений, чтобы определить, как будет происходить активация тома.

Базовая сеть

Базовая сеть - это та часть вашей сети, которая имеет стабильное, высокоскоростное и надежное соединение с серверами инфраструктуры. Во многих случаях основная сеть также подключена к Интернету, хотя это не является обязательным требованием для использования активации на основе KMS или Active Directory после того, как сервер KMS или AD DS настроен и активен. Ваша основная сеть, вероятно, состоит из множества сетевых сегментов. Во многих организациях основная сеть составляет подавляющее большинство бизнес-сети.

В базовой сети рекомендуется централизованное решение KMS. Вы также можете использовать активацию на основе Active Directory, но во многих организациях KMS по-прежнему потребуется для активации старых клиентских компьютеров и компьютеров, которые не присоединены к домену. Некоторые администраторы предпочитают использовать оба решения для большей гибкости, в то время как другие предпочитают выбирать только решение на основе KMS для простоты. Активация на основе Active Directory в качестве единственного решения работоспособна, если все клиенты в вашей организации работают под управлением Windows 10, Windows 8.1 или Windows 8.

Типичная базовая сеть, включающая узел KMS, показана на рисунке 1.

Рисунок 1. Типичная базовая сеть

Изолированные сети

В большой сети почти гарантировано, что некоторые сегменты будут изолированы либо по соображениям безопасности, либо из-за географического положения или проблем с подключением.

Изолирован для безопасности

Иногда называемый зоной высокой безопасности , определенный сегмент сети может быть изолирован от базовой сети брандмауэром или полностью отключен от других сетей. Лучшее решение для активации компьютеров в изолированной сети зависит от применяемых в организации политик безопасности.

Если изолированная сеть может получить доступ к базовой сети с помощью исходящих запросов на TCP-порт 1688, и ей разрешено получать удаленные вызовы процедур (RPC), вы можете выполнить активацию с помощью KMS в базовой сети, тем самым избегая необходимости достигать дополнительные пороги активации.

Если изолированная сеть полностью участвует в корпоративном лесу и может выполнять типичные подключения к контроллерам домена, например, с помощью протокола LDAP для запросов и службы доменных имен (DNS) для разрешения имен, это хорошая возможность для используйте активацию на основе Active Directory для Windows 10, Windows 8.1, Windows 8, Windows Server 2012 R2 и Windows Server 2012 R2.

Если изолированная сеть не может взаимодействовать с сервером KMS основной сети и не может использовать активацию на основе Active Directory, вы можете настроить узел KMS в изолированной сети. Эта конфигурация показана на рисунке 2. Однако, если в изолированной сети всего несколько компьютеров, она не достигнет порога активации KMS. В этом случае вы можете активировать с помощью ключей MAK.

Если сеть полностью изолирована, рекомендуется использовать MAK-независимую активацию, возможно, с использованием телефона. Но также возможна активация прокси VAMT. Вы также можете использовать ключи MAK для активации новых компьютеров во время установки, прежде чем они будут помещены в изолированную сеть.

Рисунок 2. Новый узел KMS в изолированной сети

Филиалы и удаленные сетиОт горнодобывающих предприятий до судов в море организации часто имеют несколько компьютеров, которые нелегко подключить к базовой сети или Интернету. У некоторых организаций есть сегменты сети в филиалах, которые велики и имеют хорошие внутренние связи, но имеют медленное или ненадежное соединение WAN с остальной частью организации. В этих ситуациях у вас есть несколько вариантов:

  • Активация на основе Active Directory. На любом сайте, где клиентские компьютеры работают под управлением Windows 10, поддерживается активация на основе Active Directory, и ее можно активировать, присоединившись к домену.
  • Локальный KMS. Если на сайте 25 или более клиентских компьютеров, его можно активировать на локальном сервере KMS.
  • Удаленный (основной) KMS. Если удаленный сайт подключен к существующему KMS (возможно, через виртуальную частную сеть (VPN) к базовой сети), этот KMS можно использовать. Использование существующего KMS означает, что вам нужно только достичь порога активации на этом сервере.
  • MAK-активация. Если на сайте всего несколько компьютеров и нет подключения к существующему узлу KMS, лучшим вариантом будет активация MAK.

Отключенные компьютеры

Некоторые пользователи могут находиться в удаленных местах или могут путешествовать по многим местам. Этот сценарий типичен для перемещаемых клиентов, таких как компьютеры, которые используются продавцами или другими пользователями, находящимися вне офиса, но не в филиалах. Этот сценарий также может применяться к удаленным филиалам, у которых нет подключения к базовой сети. Вы можете считать это «изолированной сетью», в которой количество компьютеров равно одному. Отключенные компьютеры могут использовать активацию на основе Active Directory, KMS или MAK в зависимости от версии клиента и того, как часто компьютеры подключаются к основной сети. Если компьютер присоединен к домену и работает под управлением Windows 10, Windows 8.1, Windows 8, Windows Server 2012 R2 или Windows Server 2012 R2 8, вы можете использовать активацию на основе Active Directory - напрямую или через VPN - не реже одного раза в 180 дн.Если компьютер подключается к сети с узлом KMS не реже одного раза в 180 дней, но не поддерживает активацию на основе Active Directory, вы можете использовать активацию KMS. В противном случае для компьютеров, которые редко или никогда не подключаются к сети, используйте независимую активацию MAK (по телефону или через Интернет).

Лаборатории тестирования и разработки

Лабораторные среды часто содержат большое количество виртуальных машин, а физические компьютеры и виртуальные машины в лабораториях часто меняют конфигурацию. Поэтому сначала определите, требуется ли активация компьютеров в лабораториях тестирования и разработки. Выпуски Windows 10, включающие корпоративное лицензирование, будут работать нормально, даже если их нельзя активировать немедленно. Если вы убедились, что ваши тестовые или разрабатываемые копии операционной системы находятся в рамках лицензионного соглашения, вам может не потребоваться активация лабораторных компьютеров, если они будут часто перестраиваться. Если вам требуется активировать лабораторные компьютеры, рассматривайте лабораторию как изолированную сеть и используйте методы, описанные ранее в этом руководстве. В лабораториях с большим количеством компьютеров и небольшим количеством клиентов KMS необходимо отслеживать количество активаций KMS.Возможно, вам потребуется настроить время, в течение которого KMS кэширует запросы активации. По умолчанию 30 дней.

Сопоставление вашей сети с методами активации

Пришло время собрать из кусочков рабочий раствор. Оценив ваше сетевое подключение, количество компьютеров на каждом сайте и версии операционной системы, используемые в вашей среде, вы собрали информацию, необходимую для определения того, какие методы активации подойдут вам лучше всего. Вы можете заполнить информацию в Таблице 1, чтобы помочь вам сделать это определение.

Таблица 1. Критерии для способов активации

Выбор и получение ключей

Когда вы знаете, какие ключи вам нужны, вы должны их получить. Вообще говоря, ключи корпоративного лицензирования собираются двумя способами:

  • Перейдите в раздел « Ключипродуктов» в Центре обслуживания корпоративных лицензий, чтобы получить следующие соглашения: Open, Open Value, Select, Enterprise и Services Provider License.
  • Обратитесь в центр активации Microsoft.

Ключи узла KMS

Узлу KMS нужен ключ, который активирует или аутентифицирует узел KMS в Microsoft. Этот ключ обычно называется ключом узла KMS , но формально он известен как ключ корпоративной лицензии клиента Microsoft (CSVLK). В большей части документации и ссылок в Интернете до Windows 8.1 используется термин «ключ KMS», но CSVLK становится все более распространенным в текущей документации и инструментах управления.

Узел KMS под управлением Windows Server 2012 R2, Windows Server 2012 или Windows Server 2008 R2 может активировать как клиентские операционные системы Windows Server, так и Windows. Ключ узла KMS также необходим для создания объектов активации в AD DS, как описано далее в этом руководстве. Вам понадобится ключ узла KMS для любого KMS, который вы хотите настроить, и если вы собираетесь использовать активацию на основе Active Directory.

Общие ключи корпоративного лицензирования

При создании установочного носителя или образов для клиентских компьютеров, которые будут активированы с помощью активации на основе KMS или Active Directory, установите общий ключ корпоративной лицензии (GVLK) для создаваемого вами выпуска Windows. Ключи GVLK также называются ключами настройки клиента KMS.

Установочный носитель от Microsoft для версий Enterprise операционной системы Windows может уже содержать GVLK. Для каждого типа установки доступен один GVLK. GLVK активирует программное обеспечение не против серверов активации Microsoft, а против объекта активации на основе KMS или Active Directory. Другими словами, GVLK не будет работать, если не будет найден действительный ключ узла KMS. GVLK - единственные ключи продукта, конфиденциальность которых не требуется.

Как правило, вам не нужно вручную вводить GVLK, если компьютер не был активирован с помощью MAK или розничного ключа и не преобразуется в активацию KMS или активацию на основе Active Directory. Если вам нужно найти GVLK для конкретной версии клиента, см. Приложение A: Ключи установки клиента KMS.

Множественные ключи активации

Вам также потребуются ключи MAK с соответствующим количеством доступных активаций. Вы можете увидеть, сколько раз использовался ключ MAK, на веб-сайте Volume Licensing Service Center или в VAMT.

Выбор узла KMS

KMS не требует выделенного сервера. Его можно размещать вместе с другими службами, такими как контроллеры домена AD DS и контроллеры домена только для чтения. Узлы KMS могут работать на физических компьютерах или виртуальных машинах, работающих под управлением любой поддерживаемой операционной системы Windows. Узел KMS под управлением Windows Server 2012 R2, Windows Server 2012 или Windows Server 2008 R2 может активировать любую клиентскую или серверную операционную систему Windows, которая поддерживает многопользовательскую активацию. Узел KMS под управлением Windows 10 может активировать только компьютеры под управлением Windows 10, Windows 8.1, Windows 8, Windows 7 или Windows Vista. Один узел KMS может поддерживать неограниченное количество клиентов KMS, но Microsoft рекомендует развернуть как минимум два узла KMS для аварийного переключения. Однако по мере того, как через активацию на основе Active Directory активируется больше клиентов,KMS и избыточность KMS станут менее важными. Большинство организаций могут использовать всего два узла KMS для всей своей инфраструктуры.

Процесс активации KMS показан на рисунке 3 и следует в следующей последовательности:

Денис Парфенов Автор статей

Постоянный автор и редактор новостных статей, посвященных гемблингу и спорту, фанат казино и карточных игр, независимый обозреватель спортивых мероприятий.