Active Directory-based activation в Windows Server 2012

У багатьох великих організаціях для активації ОС Windows використовується спеціальна служба управління ключами Key Management Server (KMS), встановлена ​​на виділеному хості і актівірованниая спеціальним ключем Microsoft. Надалі всі комп'ютери компанії можна активувати не через сервера Microsoft, а безпосередньо через цей KMS сервер. Нагадаємо, що при активації комп'ютера на сервері KMS, він зберігає статус активації на протязі 180 днів, після закінчення яких клієнт кожен раз повинен проходити повторну активацію на наступні 180 днів.

У Windows Server 2012 з'явилася нова модель активації клієнтів з ОС Windows 8, Windows Server 2012, а також пакетом Office 2013, призначена для заміни KMS. Нова роль називається Active Directory Based Activation (ADBA). Дана технологія дозволяє активувати комп'ютери (природно, з Win8 і Win2012), які просто включили до складу домену (як включити Windows 8 в домен AD). На відміну від KMS-активації, активація за допомогою ADBA зав'язана не на конкретний хост (kms-сервер), а цілком на службу AD, що краще з точки зору забезпечення відмовостійкості служби активації, крім того, відпадає необхідність відкривати додаткові порти на корпоративних файерволом ( нагадаю для KMS-активації клієнт повинен по порту 1688 мати доступ kms сервер), потрібен лише стандартний LDAP доступ до найближчого контролеру домену (це повинен бути звичайний rw- контролер домену, а не RODC контролер). Хости активуються службою ADBA на ті ж 180 днів, і якщо машина входить до складу домену, продовження активації відбувається автоматично шляхом взаємодії з будь-яким доступним контролером домену. Природно, при виведенні машини, активованої за допомогою Active Directory-based activation з домену, активація пропадає. Відзначимо, що ADBA дозволяє активувати клієнтів в межах всього лісу AD.

Для управління ADBA існує спеціальна консоль Volume Activation Management Toolkit 3.0 (VAMT). Детальніше що таке VAMT 3.0, де її можна скачати і як використовувати для управління ліцензіями.

Установка і настройка Active Directory Based Activation

Для роботи Active Directory-based Activation необхідно розширити схему AD до Windows Server 2012 (як оновити схему за допомогою adprep.exe описано в статті Оновлюємо AD до Windows Server 2012). Окремий контролер з Windows Server 2012 піднімати не потрібно.

Потім на сервері з ОС Windows Server 2012 необхідно встановити роль Volume Activation Services. Зробити це можна за допомогою стандартної консолі Server Manager, вибравши пункт Add Roles and Features -> Next-> Next і відзначте роль Volume Activation Services.

Службу Volume Activation Servicesтакож можна встановити за допомогою наступної команди PowerShell:

Install-WindowsFeature VolumeActivation -IncludeManagementTools

Після установки ролі, запустіть консоль управління Volume Activation Tools (Server Manager-> Tools-> Volume Activation Tools). Якщо настройка відбувається з клієнта Windows 8, необхідно встановити RSAT для Windows 8, консоль Volume Activation Tools входить в цей пакет.

У вікні Volume Activation Tools як спосіб активації клієнтів виберіть Active Directory-Based Activation.

Щоб активувати продукти MS за допомогою ADBA, необхідно в серверну роль Volume Activation Services додати відповідні ключі. Далі потрібно ввести виданий вашої організації ключ KMS (для KMS і ADBA використовується один і той же ключ), його ім'я (дозволяє в подальшому більш зручно працювати з безліччю ключів).

Наступний етап - включення підтримки ADAP-активації для всього лісу і активація ключів volume license на серверах Microsoft (по телефону або онлайн). Активувати VLK ключі можна також і по-старому за допомогою інтерфейсу командного рядка і скрипта slmgr.vbs (докладніше процедура описана в статті Установка і активація KMS сервера).

Після реплікації всіх нових об'єктів в AD, всі клієнти з Windows 8 і Windows Server 2012, які включені в домен і налаштовані на використання загальних VLK ключів (наявність цих ключі говорить ОС про те, що активація буде відбуватися за допомогою сервера KMS або по ADBA) , отримують інформацію з AD і автоматично активуються. На клієнтах додатково нічого налаштовувати не потрібно. Повний список GVLK ключів можна знайти тут.

Слід розуміти, що в домені немає виділеного сервера ADBA, або служби ADBA, запущеної на контролерів домену. Це пасивний процес, при якому клієнти опитують Active Directory, виявляють необхідні атрибути і автоматично активуються.

Спробуємо розібратися, де ж в Active Directory зберігається інформація про активацію ADBA?

При розширенні схеми до Windows Server 2012 (про це розповідалося вище), в AD з'являються нові об'єкти, які клієнти можуть використовувати для пошуку і активації продуктів в домені. Дані атрибути зберігаються в контейнері конфігурації лісу CN = Activation Objects, CN = Microsoft SPP, CN = Services, CN = Configuration .

Безпосередньо об'єкти в цьому розділі редагувати не рекомендується, для цих цілей використовувати тільки утиліту Volume Activation Tool.

Поточний статус активації клієнтів можна перевірити за допомогою команди:

slmgr.vbs -dlv

рядок Activation Object name: KMS AD Activation - говорить про те, що клієнт активований за допомогою ADBA.

Атрибути скрипта slmgr.vbs розширені додатковими параметрами, такими, що відповідають за активацію через AD.

  • /ad-activation-online [ProductKey]
  • /ad-activation-apply-get-iid [ProductKey]
  • /ad-activation-apply-cid [ProductKey] [ConfirmationID]
  • /ao-list
  • / Del-ao

У тому випадку, якщо потрібні атрибути Active Directory відсутні, клієнт намагається активуватися таким доступним методом - KMS-активацією, намагаючись в DNS знайти SRV запис KMS сервера (як виявити сервер kms в домені).

При виключенні комп'ютера з домену, активація пропаде при наступному циклі перевірки ліцензійної інформації (при перезавантаженні комп'ютера або при перезапуску служби Software Protection Service).

Отже, сьогодні ми розібралися з налаштуванням активації клієнтів з Windows 8 і Windows Server 2012 за допомогою ADBA (KMS сервер для них більше не потрібен!). Можливість активації ADBA не виключає можливості наявностей KMS сервера і можливість активації клієнтів на ньому, тим більше, поки відсутня підтримка активації ADBA для старих ОС (Windows 2008 / R2 / Vista / 7).