Aktivieren von Clients unter Windows

Tipp

Suchen Sie nach Informationen zur Aktivierung im Einzelhandel?

Nachdem der Schlüsselverwaltungsdienst (Key Management Service, KMS) oder die Active Directory-basierte Aktivierung in einem Netzwerk konfiguriert wurde, ist die Aktivierung eines Clients, auf dem Windows ausgeführt wird, ganz einfach. Wenn der Computer mit einem generischen Volumenlizenzschlüssel (Generic Volume License Key, GVLK) konfiguriert ist, muss die IT oder der Benutzer keine Maßnahmen ergreifen. Darauf können Sie sich verlassen.

Enterprise-Editionsimages und Installationsmedien sollten bereits mit dem GVLK konfiguriert worden sein. Beim Starten des Clientcomputers prüft der Lizenzierungsdienst die aktuelle Lizenzierungsbedingung auf dem Computer.

Wenn die Aktivierung oder eine erneute Aktivierung erforderlich ist, geschieht Folgendes:

  1. Wenn der Computer Mitglied einer Domäne ist, wird ein Domänencontroller hinsichtlich eines Volumenaktivierungsobjekts abgefragt. Wenn die Aktivierung über Active Directory konfiguriert wurde, gibt der Domänencontroller das Objekt zurück. Wenn das Objekt die folgenden Anforderungen erfüllt:

    • Entspricht der Edition der installierten Software.
    • Verfügt über einen passenden GVLK

anschließend wird der Computer aktiviert (oder reaktiviert). Der Computer muss 180 Tage lang nicht erneut aktiviert werden, obwohl das Betriebssystem in kürzeren, regelmäßigen Abständen eine Reaktivierung versucht.

  1. Wenn der Computer kein Mitglied einer Domäne ist oder das Volumenaktivierungsobjekt nicht verfügbar ist, gibt der Computer eine DNS-Abfrage aus, um zu versuchen, einen KMS-Server zu suchen. Wenn ein KMS-Server kontaktiert werden kann, erfolgt die Aktivierung, wenn der KMS über einen Schlüssel verfügt, der dem GVLK des Computers entspricht.

  2. Der Computer versucht, die Aktivierung für Microsoft-Server durchzuführen, wenn er mit einem MAK konfiguriert ist.

Wenn der Client nicht in der Lage ist, sich selbst erfolgreich zu aktivieren, versucht er es in regelmäßigen Abständen erneut. Die Häufigkeit der Wiederholungsversuche hängt vom aktuellen Lizenzierungsstatus und davon ab, ob der Clientcomputer in der Vergangenheit erfolgreich aktiviert wurde. Wenn der Clientcomputer beispielsweise zuvor die Active Directory-basierte Aktivierung für die Aktivierung verwendet hat, versucht er in regelmäßigen Abständen, den Domänencontroller bei jedem Neustart zu kontaktieren.

Funktionsweise des Schlüsselverwaltungsdiensts (Key Management Service, KMS)

KMS verwendet eine Client-Server-Topologie. KMS-Clientcomputer können mithilfe von DNS oder einer statischen Konfiguration KMS-Hostcomputer ermitteln. KMS-Clients kontaktieren den KMS-Host mithilfe von über TCP/IP übertragenen RPCs.

KMS-Aktivierungsschwellenwerte

Physische und virtuelle Computer können durch Kontaktaufnahme mit einem KMS-Host aktiviert werden. Um sich für die KMS-Aktivierung zu qualifizieren, muss eine Mindestanzahl von qualifizierten Computern vorhanden sein. Dieser Mindestwert wird als Aktivierungsschwellenwert bezeichnet. KMS-Clients werden erst aktiviert, nachdem dieser Schwellenwert erreicht wurde. Jeder KMS-Host zählt die Anzahl der Computer, die eine Aktivierung angefordert haben, bis der Schwellenwert erreicht ist.

Ein KMS-Host antwortet auf jede gültige Aktivierungsanforderung von einem KMS-Client mit der Anzahl, wie viele Computer bereits den KMS-Host für die Aktivierung kontaktiert haben. Clientcomputer, die eine Anzahl unter dem Aktivierungsschwellenwert erhalten, werden nicht aktiviert. Wenn beispielsweise auf den ersten beiden Computern, die den KMS-Host kontaktieren, eine derzeit unterstützte Version des Windows-Clients ausgeführt wird, erhält der erste eine Aktivierungsanzahl von 1 und der zweite eine Aktivierungsanzahl von 2. Wenn der nächste Computer ein virtueller Computer ist, auf dem eine derzeit unterstützte Version des Windows-Clients ausgeführt wird, erhält er eine Aktivierungsanzahl von 3 usw. Keiner dieser Computer ist aktiviert, da eine Aktivierungsanzahl von 25 oder mehr erreicht werden muss.

Wenn KMS-Clients darauf warten, dass der KMS den Aktivierungsschwellenwert erreicht, stellen sie alle zwei Stunden eine Verbindung mit dem KMS-Host her, um die aktuelle Aktivierungsanzahl zu erhalten. Sie werden aktiviert, sobald der Schwellenwert erreicht wurde.

Wenn in unserem Beispiel auf dem nächsten Computer, der den KMS-Host kontaktiert, eine derzeit unterstützte Version von Windows Server ausgeführt wird, erhält er eine Aktivierungsanzahl von 4, da die Aktivierungsanzahl kumulativ ist. Wenn ein Computer, auf dem eine derzeit unterstützte Version von Windows Server ausgeführt wird, eine Aktivierungsanzahl von 5 oder mehr erhält, wird er aktiviert. Wenn ein Computer, auf dem eine derzeit unterstützte Version des Windows-Clients ausgeführt wird, eine Aktivierungsanzahl von 25 oder mehr erhält, wird er aktiviert.

Cache für die Aktivierungsanzahl

Zum Nachverfolgen des Aktivierungsschwellenwerts speichert der KMS-Host einen Eintrag der die Aktivierung anfordernden KMS-Clients. Der KMS-Host weist jedem KMS-Client eine Client-ID-Bestimmung zu. Zudem speichert der KMS-Host jede Client-ID in einer Tabelle. Standardmäßig verbleibt jede Aktivierungsanforderung für bis zu 30 Tage in der Tabelle. Wenn ein Client seine Aktivierung verlängert, wird die zwischengespeicherte Client-ID aus der Tabelle entfernt, ein neuer Datensatz wird erstellt, und der Zeitraum von 30 Tagen beginnt erneut. Wenn ein KMS-Clientcomputer seine Aktivierung nicht innerhalb von 30 Tagen verlängert, entfernt der KMS-Host die entsprechende Client-ID aus der Tabelle und reduziert die Aktivierungsanzahl um 1.

Der KMS-Host nimmt jedoch nur eine zweimalige Zwischenspeicherung der Anzahl der Client-IDs vor, die zum Erreichen des Aktivierungsschwellenwerts erforderlich sind. Daher werden nur die 50 neuesten Client-IDs in der Tabelle gespeichert, und eine Client-ID könnte früher als 30 Tage entfernt werden.

Der Typ des Clientcomputers, der zu aktivieren versucht, legt die Gesamtgröße des Caches fest. Wenn ein KMS-Host beispielsweise nur Aktivierungsanforderungen von Servern empfängt, enthält der Cache nur 10 Client-IDs, doppelt so viel wie der erforderliche Schwellenwert von 5. Wenn jedoch ein Clientcomputer, auf dem der Windows-Client ausgeführt wird, einen KMS-Host kontaktiert, erhöht KMS die Cachegröße auf 50, um den höheren Schwellenwert zu berücksichtigen. Der KMS reduziert niemals die Cachegröße.

KMS-Konnektivität

Für die KMS-Aktivierung ist die TCP/IP-Konnektivität erforderlich. KMS-Hosts und Clients verwenden standardmäßig DNS zum Veröffentlichen und Suchen des KMS. Die Standardeinstellungen können verwendet werden, die wenig oder gar keine administrative Aktion erfordern. Die KMS-Hosts und -Clientcomputer können jedoch basierend auf der Netzwerkkonfiguration und den Sicherheitsanforderungen manuell konfiguriert werden.

KMS-Aktivierungsverlängerung

KMS-Aktivierungen sind für 180 Tage (im Rahmen des Aktivierungsgültigkeitszeitraums) gültig. Um aktiviert zu bleiben, müssen KMS-Clientcomputer ihre Aktivierung verlängern, indem sie mindestens einmal alle 180 Tage eine Verbindung mit dem KMS-Host herstellen. KMS-Clientcomputer versuchen standardmäßig alle sieben Tage, ihre Aktivierung zu erneuern. Wenn bei der KMS-Aktivierung Fehler auftreten, versucht der Clientcomputer, den Vorgang alle zwei Stunden erneut auszuführen. Nachdem die Aktivierung eines Clientcomputers erneuert wurde, beginnt das Gültigkeitsintervall der Aktivierung erneut.

Veröffentlichung des KMS

Der KMS verwendet Ressourceneinträge für Dienste (Service Resource Record, SRV) in DNS zum Speichern und Kommunizieren der Orte von KMS-Hosts. KMS-Hosts verwenden das dynamische DNS-Updateprotokoll, sofern dies verfügbar ist, um die KMS-Ressourceneinträge für Dienste zu veröffentlichen. Wenn die dynamische Aktualisierung nicht verfügbar ist oder der KMS-Host nicht über die Rechte zum Veröffentlichen der Ressourcendatensätze verfügt, muss eine der folgenden Aktionen ausgeführt werden:

  • Die DNS-Einträge müssen manuell veröffentlicht werden.
  • Clientcomputer müssen für die Verbindung mit bestimmten KMS-Hosts konfiguriert werden.

Clientermittlung des KMS

Standardmäßig fragen KMS-Clientcomputer DNS hinsichtlich KMS-Informationen ab. Wenn der KMS-Clientcomputer erstmals DNS hinsichtlich KMS-Informationen abfragt, wählt er standardmäßig einen KMS-Host aus der Liste der Ressourceneinträge für Dienste (SRV) aus, die von diesem DNS zurückgegeben werden. Die Adresse eines DNS-Servers, der die Ressourceneinträge des Diensts (SRV) enthält, kann auf KMS-Clientcomputern als Suffixeintrag aufgeführt werden. Dieses Feature ermöglicht es einem DNS-Server, die Dienstressourceneinträge (SRV) für KMS anzukündigen, und KMS-Clientcomputer mit anderen primären DNS-Servern, um sie zu finden.

Dem Registrierungswert „DnsDomainPublishList“ für KMS können Prioritäts- und Gewichtungsparameter hinzugefügt werden. Durch das Einrichten von KMS-Hostprioritätsgruppierungen und -gewichtungen innerhalb jeder Gruppe können Sie angeben, welchen KMS-Host die Clientcomputer zuerst ausprobieren sollten, und der Datenverkehr wird zwischen mehreren KMS-Hosts ausgeglichen. Alle derzeit unterstützten Versionen von Windows und Windows Server stellen diese Prioritäts- und Gewichtungsparameter bereit.

Wenn der KMS-Host, den ein Clientcomputer auswählt, nicht antwortet, entfernt der KMS-Clientcomputer diesen KMS-Host aus seiner Liste der Dienstressourceneinträge (SRV) und wählt nach dem Zufallsprinzip einen anderen KMS-Host aus der Liste aus. Wenn ein KMS-Host antwortet, nimmt der KMS-Clientcomputer eine Zwischenspeicherung des KMS-Hostnamens vor und verwendet ihn für die nachfolgenden Aktivierungs- und Verlängerungsversuche. Wenn der zwischengespeicherte KMS-Host bei einer nachfolgenden Verlängerung nicht reagiert, ermittelt der KMS-Clientcomputer einen neuen KMS-Host, indem er DNS für RESSOURCENeinträge des KMS-Diensts (SRV) abfragt.

Standardmäßig stellen Clientcomputer für die Aktivierung eine Verbindung mit dem KMS-Host her, indem anonyme RPCs über TCP-Port 1688 verwendet werden, obwohl der Standardport geändert werden kann. Nachdem ein Clientcomputer eine TCP-Sitzung mit dem KMS-Host eingerichtet hat, sendet der Clientcomputer ein einzelnes Anforderungspaket. Der KMS-Host antwortet mit der Aktivierungsanzahl. Wenn die Anzahl den Aktivierungsschwellenwert erreicht oder überschreitet, wird der Clientcomputer aktiviert, und die Sitzung wird geschlossen. Der KMS-Clientcomputer verwendet denselben Prozess für Verlängerungsanforderungen. Für die Kommunikation in beide Richtungen werden jeweils 250 Byte verwendet.

Domain Name System-Serverkonfiguration

Für das standardmäßige Feature für die automatische KMS-Veröffentlichung sind der Ressourceneintrag für Dienste (SRV) und die Unterstützung für das dynamische DNS-Updateprotokoll erforderlich. Das Standardverhalten des KMS-Clientcomputers und die Veröffentlichung von RESSOURCENdatensätzen des KMS-Diensts (SRV) werden unterstützt auf:

  • Ein DNS-Server, auf dem Microsoft-Software ausgeführt wird.
  • DNS-Server, der Dienstressourceneinträge (SRV) (gemäß Internet Engineering Task Force [IETF] Request for Comments [RFC] 2782) und dynamische Updates (gemäß IETF RFC 2136) unterstützt.

Beispielsweise unterstützen die Versionen 8.x und 9.x von Berkeley Internet Domain Name Ressourceneinträge für Dienste (SRV) und dynamische Updates. Der KMS-Host muss konfiguriert werden, sodass er über die Anmeldeinformationen verfügt, die zum Erstellen und Aktualisieren der folgenden Ressourceneinträge auf den DNS-Servern erforderlich sind: Dienst (SRV), IPv4-Host (A) und IPv6-Host (AAAA). Andernfalls müssen die Einträge manuell erstellt werden. Um dem KMS-Host die erforderlichen Anmeldeinformationen zuzuweisen, sollten Sie eine Sicherheitsgruppe in AD DS erstellen und dieser Gruppe anschließend alle KMS-Hosts hinzufügen. Stellen Sie auf einem DNS-Server, auf dem Microsoft-Software ausgeführt wird, sicher, dass diese Sicherheitsgruppe die vollständige Kontrolle über den _VLMCS._TCP-Eintrag erhält. Diese Anforderung muss in jeder DNS-Domäne auftreten, die die RESSOURCENeinträge des KMS-Diensts (SRV) enthält.

Aktivieren des ersten KMS-Hosts

KMS-Hosts im Netzwerk müssen einen KMS-Schlüssel installieren und dann durch Microsoft aktiviert werden. Durch die Installation eines KMS-Schlüssels wird der KMS auf dem KMS-Host aktiviert. Schließen Sie nach dem Installieren des KMS-Schlüssels die Aktivierung des KMS-Hosts telefonisch oder online ab. Über diese anfängliche Aktivierung hinaus übermittelt ein KMS-Host keine Informationen an Microsoft. KMS-Schlüssel werden nur auf KMS-Hosts installiert, jedoch niemals auf einzelnen KMS-Clientcomputern.

Aktivieren von nachfolgenden KMS-Hosts

Jeder KMS-Schlüssel kann auf bis zu sechs KMS-Hosts installiert werden. Bei diesen Hosts kann es sich um physische oder virtuelle Computer handeln. Nachdem ein KMS-Host aktiviert wurde, kann derselbe Host bis zu neun Mal mit demselben Schlüssel reaktiviert werden. Wenn die Organisation mehr als sechs KMS-Hosts benötigt, können zusätzliche Aktivierungen für den KMS-Schlüssel einer Organisation angefordert werden, indem Sie ein Microsoft Volume Licensing Activation Center aufrufen, um eine Ausnahme anzufordern.

Funktionsweise von Mehrfachaktivierungsschlüsseln (Multiple Activation Key, MAK)

Ein MAK wird für die einmalige Aktivierung mit den gehosteten Aktivierungsdiensten von Microsoft verwendet. Jeder MAK verfügt über eine im Voraus festgelegte Anzahl an zulässigen Aktivierungen. Diese Zahl basiert auf Volumenlizenzverträgen und stimmt möglicherweise nicht mit der genauen Lizenzanzahl der Organisation überein. Jede Aktivierung, bei der ein MAK mit dem durch Microsoft gehosteten Aktivierungsdienst verwendet wird, wirkt sich auf die Aktivierungsbegrenzung aus.

Computer können mithilfe eines MAK auf zwei Arten aktiviert werden:

  • Unabhängige MAK-Aktivierung. Jeder Computer stellt eine unabhängige Verbindung zu Microsoft her und wird darüber über das Internet oder telefonisch aktiviert. Die mak-unabhängige Aktivierung eignet sich am besten für Computer innerhalb einer Organisation, die keine Verbindung mit dem Unternehmensnetzwerk aufrechterhalten. Die unabhängige MAK-Aktivierung wird in Abbildung 16 veranschaulicht.

    MAK-unabhängige Aktivierung.

    Abbildung 16. Unabhängige MAK-Aktivierung

  • MAK-Proxyaktivierung. Die MAK-Proxyaktivierung aktiviert eine zentralisierte Aktivierungsanforderung im Auftrag mehrerer Computer mit einer Verbindung zu Microsoft. Die MAK-Proxyaktivierung kann mithilfe des VAMT konfiguriert werden. Die MAK-Proxyaktivierung ist für Umgebungen angemessen, in denen Sicherheitsbedenken den direkten Zugriff auf das Internet oder das Unternehmensnetzwerk beschränken. Es eignet sich auch für Entwicklungs- und Testlabs, denen diese Konnektivität fehlt. Die MAK-Proxyaktivierung mit VAMT wird in Abbildung 17 veranschaulicht.

    MAK-Proxyaktivierung mit dem VAMT.

    Abbildung 17. MAK-Proxyaktivierung mit dem VAMT

MAK wird für Folgendes empfohlen:

  • Computer, die selten oder nie eine Verbindung mit dem Unternehmensnetzwerk herstellen.
  • Umgebungen, in denen die Anzahl der Computer, die eine Aktivierung erfordern, den KMS-Aktivierungsschwellenwert nicht erfüllt.

MAK kann für einzelne Computer oder mit einem Image verwendet werden, das mithilfe von Microsoft-Bereitstellungslösungen dupliziert oder installiert werden kann. MAK kann auch auf einem Computer verwendet werden, der ursprünglich für die Verwendung der KMS-Aktivierung konfiguriert wurde. Der Wechsel von KMS zu einem MAK ist nützlich, um einen Computer aus dem Kernnetzwerk in eine getrennte Umgebung zu verschieben.

Architektur und Aktivierung mehrerer Aktivierungsschlüssel (Multiple Activation Key, MAK)

Bei der unabhängigen MAK-Aktivierung wird ein MAK Product Key auf einem Clientcomputer installiert. Der Schlüssel weist den Computer an, sich selbst bei Microsoft-Servern über das Internet zu aktivieren.

Bei der MAK-Proxyaktivierung hat das VAMT Folgendes:

  • Installiert einen MAK-Product Key auf einem Clientcomputer.
  • Ruft die Installations-ID vom Zielcomputer ab.
  • Sendet die Installations-ID im Namen des Clients an Microsoft.
  • Ruft eine Bestätigungs-ID ab.

Das Tool aktiviert anschließend den Clientcomputer durch das Installieren der Bestätigungs-ID.

Aktivieren als ein Standardbenutzer

Derzeit unterstützte Versionen von Windows erfordern keine Administratorrechte für die Aktivierung. Für andere Aktivierungs- oder lizenzbezogene Aufgaben, z. B. "Rearm", ist jedoch weiterhin ein Administratorkonto erforderlich.