Attivare i client che eseguono Windows

Suggerimento

Per informazioni sull'attivazione della vendita al dettaglio,

Dopo aver configurato in una rete il servizio di gestione delle chiavi o l'attivazione basata su Active Directory, l'attivazione di un client che esegue Windows è semplice. Se il computer è configurato con un codice GVLK (Generic Volume License Key), l'IT o l'utente non devono eseguire alcuna azione. L'attivazione avviene automaticamente.

Le immagini e i supporti della Enterprise Edition dovrebbero essere già configurati con un codice Product Key generico. All'avvio del computer client, il servizio di gestione licenze esamina la situazione corrente delle licenze del computer.

Se è necessaria un'attivazione o una riattivazione, si verifica la situazione seguente:

  1. Se il computer è membro di un dominio, richiede un oggetto attivazione contratto multilicenza a un controller di dominio. Se è configurata l'attivazione basata su Active Directory, il controller di dominio restituisce l'oggetto. Se l'oggetto soddisfa i requisiti seguenti:

    • Corrisponde all'edizione del software installato
    • Ha un codice GVLK corrispondente

quindi il computer viene attivato (o riattivato). Il computer non deve più essere attivato per 180 giorni, anche se il sistema operativo tenta di riattivarsi a intervalli regolari più brevi.

  1. Se il computer non è un membro di un dominio o se l'oggetto attivazione dei contratti multilicenza non è disponibile, il computer esegue una query DNS per tentare di individuare un server del Servizio di gestione delle chiavi. Se è possibile contattare un server del Servizio di gestione delle chiavi, l'attivazione si verifica se il Servizio di gestione delle chiavi ha una chiave corrispondente al codice GVLK del computer.

  2. Il computer tenta di eseguire l'attivazione sui server Microsoft se è configurato con un codice MAK.

Se il client non è in grado di attivarsi correttamente, riprova periodicamente. La frequenza dei tentativi dipende dallo stato di licenza corrente e dal fatto che il computer client sia stato attivato correttamente in passato. Ad esempio, se il computer client usava in precedenza l'attivazione basata su Active Directory per l'attivazione, tenta periodicamente di contattare il controller di dominio a ogni riavvio.

Come funziona il servizio di gestione delle chiavi

Il Servizio di gestione delle chiavi usa una topologia client-server. I computer client del servizio di gestione delle chiavi possono individuare i computer host KMS tramite una configurazione DNS o una configurazione statica. I client KMS contattano l'host KMS tramite RPC su TCP/IP.

Soglie di attivazione del servizio di gestione delle chiavi

I computer fisici e le macchine virtuali possono essere attivati contattando un host del Servizio di gestione delle chiavi. Per qualificarsi per l'attivazione del Servizio di gestione delle chiavi, deve essere presente un numero minimo di computer idonei. Questo valore minimo è denominato soglia di attivazione. I client del Servizio di gestione delle chiavi verranno attivati solo dopo il superamento di questa soglia. Ogni host del Servizio di gestione delle chiavi conta il numero di computer che hanno richiesto l'attivazione fino al raggiungimento della soglia.

Un host KMS risponde a ogni richiesta di attivazione valida proveniente da un client KMS con il numero dei computer che hanno già contattato l'host KMS per l'attivazione. I computer client che ricevono un conteggio inferiore alla soglia di attivazione non vengono attivati. Ad esempio, se i primi due computer che contattano l'host del Servizio di gestione delle chiavi eseguono una versione attualmente supportata del client Windows, il primo riceve un numero di attivazioni pari a 1 e il secondo riceve un numero di attivazioni pari a 2. Se il computer successivo è una macchina virtuale che esegue una versione attualmente supportata del client Windows, riceve un numero di attivazioni pari a 3 e così via. Nessuno di questi computer viene attivato perché è necessario raggiungere un numero di attivazioni pari o superiore a 25.

Quando i client del Servizio di gestione delle chiavi attendono che il Servizio di gestione delle chiavi raggiunga la soglia di attivazione, si connettono all'host del Servizio di gestione delle chiavi ogni due ore per ottenere il numero di attivazioni corrente. Vengono attivati una volta raggiunta la soglia.

Nell'esempio seguente, se il computer successivo che contatta l'host del Servizio di gestione delle chiavi esegue una versione attualmente supportata di Windows Server, riceve un numero di attivazioni pari a 4 perché i conteggi di attivazione sono cumulativi. Se un computer che esegue una versione attualmente supportata di Windows Server riceve un numero di attivazioni pari o superiore a 5, viene attivato. Se un computer che esegue una versione attualmente supportata del client Windows riceve un numero di attivazioni pari o superiore a 25, viene attivato.

Cache del conteggio di attivazione

Per monitorare la soglia di attivazione, l'host KMS tiene traccia dei client KMS che richiedono l'attivazione. L'host KMS assegna a ogni client KMS un ID client e lo salva in una tabella con gli ID degli altri client. Per impostazione predefinita, le richieste di attivazione rimangono nella tabella fino a un massimo di 30 giorni. Quando un client rinnova l'attivazione, l'ID client memorizzato nella cache viene rimosso dalla tabella, viene creato un nuovo record e il periodo di 30 giorni ricomincia. Se un computer client del Servizio di gestione delle chiavi non rinnova l'attivazione entro 30 giorni, l'host del Servizio di gestione delle chiavi rimuove l'ID client corrispondente dalla tabella e riduce di uno il numero di attivazioni.

L'host KMS, tuttavia, memorizza solo due volte il numero di ID client necessari per raggiungere la soglia di attivazione. Pertanto, solo i 50 ID client più recenti vengono mantenuti nella tabella e un ID client può essere rimosso prima di 30 giorni.

Il tipo di computer client che sta tentando di attivare imposta le dimensioni totali della cache. Ad esempio, se un host del Servizio di gestione delle chiavi riceve richieste di attivazione solo dai server, la cache contiene solo 10 ID client, il doppio della soglia richiesta di 5. Tuttavia, se un computer client che esegue client Windows contatta l'host del Servizio di gestione delle chiavi, il Servizio di gestione delle chiavi aumenta le dimensioni della cache a 50 per soddisfare la soglia più alta. Il servizio di gestione delle chiavi non riduce mai le dimensioni della cache.

Connettività del servizio di gestione delle chiavi

L'attivazione KMS richiede la connettività TCP/IP. Per impostazione predefinita, per pubblicare e trovare il servizio di gestione delle chiavi i client e gli host KMS usano DNS. È possibile usare le impostazioni predefinite, che richiedono un'azione amministrativa scarsa o nessuna. Tuttavia, gli host del Servizio di gestione delle chiavi e i computer client possono essere configurati manualmente in base ai requisiti di sicurezza e configurazione della rete.

Rinnovo dell'attivazione del servizio di gestione delle chiavi

Le attivazioni KMS sono valide per 180 giorni (il cosiddetto intervallo di validità dell'attivazione). Per rimanere attivati, i computer client KMS devono rinnovare l'attivazione connettendosi all'host KMS almeno una volta ogni 180 giorni. Per impostazione predefinita i computer client del Servizio di gestione delle chiavi tentano di rinnovare l'attivazione ogni sette giorni. Se l'attivazione KMS non riesce, il computer client ritenta ogni due ore. Dopo il rinnovo dell'attivazione di un computer client, l'intervallo di validità dell'attivazione viene riavviato.

Pubblicazione del servizio di gestione delle chiavi

Il servizio di gestione delle chiavi usa record di risorse (SRV) del servizio in DNS per archiviare e comunicare le posizioni degli host KMS. Gli host KMS usano il protocollo di aggiornamento dinamico DNS, se disponibile, per pubblicare i record di risorse (SRV) del servizio KMS. Se l'aggiornamento dinamico non è disponibile o l'host del Servizio di gestione delle chiavi non dispone dei diritti per pubblicare i record di risorse, è necessario eseguire una delle azioni seguenti:

  • I record DNS devono essere pubblicati manualmente.
  • I computer client devono essere configurati per connettersi a host del Servizio di gestione delle chiavi specifici.

Individuazione da parte dei client del servizio di gestione delle chiavi

Per impostazione predefinita, i computer client KMS richiedono informazioni KMS tramite query DNS. La prima volta che un computer client KMS esegue una query DNS per informazioni KMS, sceglie a caso un host KMS dall'elenco di record di risorse (SRV) del servizio restituito da DNS. L'indirizzo di un server DNS che contiene i record di risorse del servizio (SRV) può essere elencato come voce suffissa nei computer client del Servizio di gestione delle chiavi. Questa funzionalità consente a un server DNS di annunciare i record di risorse del servizio (SRV) per il Servizio di gestione delle chiavi e di individuare i computer client del Servizio di gestione delle chiavi con altri server DNS primari.

I parametri relativi a priorità e peso possono essere aggiunti al valore del Registro di sistema DnsDomainPublishList. La definizione dei raggruppamenti e della ponderazione della priorità dell'host del Servizio di gestione delle chiavi all'interno di ogni gruppo consente di specificare quale host del Servizio di gestione delle chiavi i computer client devono provare prima di tutto e bilancia il traffico tra più host del Servizio di gestione delle chiavi. Tutte le versioni attualmente supportate di Windows e Windows Server forniscono questi parametri di priorità e peso.

Se l'host del Servizio di gestione delle chiavi selezionato da un computer client non risponde, il computer client del Servizio di gestione delle chiavi rimuove tale host dal relativo elenco di record di risorse del servizio (SRV) e seleziona in modo casuale un altro host del Servizio di gestione delle chiavi dall'elenco. Quando un host KMS risponde, il computer client KMS memorizza nella cache il nome dell'host KMS e lo usa per i tentativi di attivazione e di rinnovo successivi. Se l'host del Servizio di gestione delle chiavi memorizzato nella cache non risponde a un rinnovo successivo, il computer client del Servizio di gestione delle chiavi individua un nuovo host del Servizio di gestione delle chiavi eseguendo una query su DNS per i record di risorse del servizio di gestione delle chiavi (SRV).

Per impostazione predefinita, i computer client si connettono all'host del Servizio di gestione delle chiavi per l'attivazione usando rpc anonimi tramite la porta TCP 1688, anche se la porta predefinita può essere modificata. Dopo che un computer client stabilisce una sessione TCP con l'host del Servizio di gestione delle chiavi, il computer client invia un singolo pacchetto di richiesta. L'host KMS risponde con il conteggio di attivazione. Se il conteggio soddisfa o supera la soglia di attivazione, il computer client viene attivato e la sessione viene chiusa. Il computer client KMS usa lo stesso procedimento per le richieste di rinnovo. Per la comunicazione in entrambi i sensi sono utilizzati 250 byte.

Configurazione del server DNS

La funzionalità predefinita di pubblicazione automatica KMS richiede il record di risorse (SRV) del servizio e il supporto per il protocollo di aggiornamento dinamico DNS. Il comportamento predefinito del computer client del Servizio di gestione delle chiavi e la pubblicazione dei record di risorse del servizio di gestione delle chiavi (SRV) sono supportati in:

  • Un server DNS che esegue software Microsoft.
  • Server DNS che supporta i record di risorse del servizio (SRV) (per Internet Engineering Task Force [IETF] Request for Comments [RFC] 2782) e aggiornamenti dinamici (per IETF RFC 2136).

Ad esempio, BIND versione 8.x e versione 9.x supporta i record di risorse (SRV) del servizio e l'aggiornamento dinamico. L'host KMS deve essere configurato in modo che disponga delle credenziali necessarie per creare e aggiornare i record di risorse seguenti nei server DNS: servizio (SRV), host IPv4 (A) e host IPv6 (AAAA). In caso contrario, i record devono essere creati manualmente. La soluzione consigliata per fornire all'host KMS le credenziali necessarie è creare un gruppo di sicurezza in Servizi di dominio Active Directory e aggiungere al gruppo tutti gli host KMS. In un server DNS che esegue software Microsoft, assicurarsi che a questo gruppo di sicurezza sia assegnato il controllo completo sul record _VLMCS._TCP. Questo requisito deve verificarsi in ogni dominio DNS che contiene i record di risorse del servizio di gestione delle chiavi (SRV).

Attivazione del primo host del servizio di gestione delle chiavi

Gli host KMS all'interno della rete devono installare un codice Product Key del servizio di gestione delle chiavi e quindi essere attivati con Microsoft. L'installazione di questo codice Product Key consente l'esecuzione del servizio di gestione delle chiavi nell'host KMS. Dopo aver installato il codice Product Key KMS, completare l'attivazione dell'host KMS online o telefonicamente. Oltre a questa attivazione iniziale, un host del Servizio di gestione delle chiavi non comunica alcuna informazione a Microsoft. I codici Product Key KMS vengono installati solo su host KMS, mai su singoli computer client KMS.

Attivazione degli host del servizio di gestione delle chiavi successivi

Ogni codice Product Key KMS può essere installato su un massimo di sei host KMS. Questi host possono essere computer fisici o virtuali. Dopo l'attivazione di un host del Servizio di gestione delle chiavi, lo stesso host può essere riattivato fino a nove volte con la stessa chiave. Se l'organizzazione necessita di più di sei host del Servizio di gestione delle chiavi, è possibile richiedere attivazioni aggiuntive per la chiave del Servizio di gestione delle chiavi di un'organizzazione chiamando un Centro attivazione contratti multilicenza Microsoft per richiedere un'eccezione.

Come funziona un codice ad attivazione multipla

Un codice MAK viene usato per l'attivazione occasionale con i servizi di attivazione ospitati di Microsoft. Ogni codice ad attivazione multipla dispone di un determinato numero di attivazioni consentite. Questo numero si basa sui contratti multilicenza e potrebbe non corrispondere al numero esatto di licenze dell'organizzazione. Ogni attivazione che utilizza un codice ad attivazione multipla con il servizio di attivazione ospitato Microsoft conta ai fini del raggiungimento del limite delle attivazioni.

I computer possono essere attivati usando un codice MAK in due modi:

  • Attivazione indipendente con codice ad attivazione Multipla. Ogni computer si connette e viene attivato con Microsoft in modo indipendente tramite Internet o telefonicamente. L'attivazione indipendente tramite codice ad attivazione multipla è più adatta ai computer all'interno di un'organizzazione che non mantengono una connessione alla rete aziendale. L'attivazione indipendente con codice ad attivazione multipla è illustrata nella figura 16.

    Attivazione indipendente tramite codice ad attivazione multipla.

    Figura 16. Attivazione indipendente con codice ad attivazione multipla

  • Attivazione proxy con codice ad attivazione multipla. L'attivazione proxy con codice ad attivazione multipla consente una richiesta di attivazione centralizzata per conto di più computer con un'unica connessione a Microsoft. L'attivazione del proxy MAK può essere configurata usando vamt. L'attivazione proxy con codice ad attivazione multipla è appropriata per gli ambienti in cui per problemi di sicurezza l'accesso diretto a Internet o alla rete aziendale è limitato. È adatto anche per i lab di sviluppo e test che non dispongono di questa connettività. L'attivazione proxy con codice ad attivazione multipla tramite VAMT è illustrata nella figura 17.

    Attivazione del proxy MAK con VAMT.

    Figura 17. Attivazione proxy con codice ad attivazione multipla tramite VAMT

Il codice MAK è consigliato per:

  • Computer che raramente o mai si connettono alla rete aziendale.
  • Gli ambienti in cui il numero di computer che richiedono l'attivazione non soddisfa la soglia di attivazione del Servizio di gestione delle chiavi.

Il codice MAK può essere usato per singoli computer o con un'immagine che può essere duplicata o installata usando soluzioni di distribuzione Microsoft. Il codice MAK può essere usato anche in un computer originariamente configurato per l'uso dell'attivazione del Servizio di gestione delle chiavi. Il passaggio dal servizio di gestione delle chiavi a un codice MAK è utile per spostare un computer dalla rete core a un ambiente disconnesso.

Architettura e attivazione con codice AD (Multiple Activation Key)

L'attivazione indipendente con codice ad attivazione multipla consente di installare un codice ad attivazione multipla in un computer client. Il codice indica al computer di eseguire l'attivazione automatica con i server Microsoft tramite Internet.

Nell'attivazione del proxy MAK, vamt:

  • Installa un codice Product Key MAK in un computer client.
  • Ottiene l'ID di installazione dal computer di destinazione.
  • Invia l'ID installazione a Microsoft per conto del client.
  • Ottiene un ID di conferma.

Lo strumento quindi attiva il computer client installando l'ID di conferma.

Attivazione come utente standard

Le versioni attualmente supportate di Windows non richiedono privilegi di amministratore per l'attivazione. Tuttavia, un account amministratore è ancora necessario per altre attività di attivazione o relative alla licenza, ad esempio "rearm".