Ativar clientes com o Windows

Depois de configurar o Serviço de Gestão de Chaves (KMS) ou a ativação baseada no Active Directory numa rede, é fácil ativar um cliente com o Windows. Se o computador estiver configurado com uma Chave de Licenciamento em Volume Genérica (GVLK), as TI ou o utilizador não precisam de efetuar qualquer ação. Simplesmente funciona.

As imagens e a mídia de instalação da edição Enterprise já devem estar configuradas com a GVLK. Quando o computador cliente é iniciado, o Serviço de licenciamento examina a condição de licenciamento atual do computador.

Se a ativação ou reativação for necessária, ocorrerá o seguinte:

1. Se o computador for membro de um domínio, ele solicitará um objeto de ativação de volume a um controlador de domínio. Se a ativação baseada no Active Directory estiver configurada, o controlador de domínio retornará o objeto. Se o objeto cumprir os seguintes requisitos:

   • Corresponde à edição do software que está instalado
   • Tem um GVLK correspondente

em seguida, o computador é ativado (ou reativado). O computador não precisa de ser ativado novamente durante 180 dias, embora o sistema operativo tente reativar em intervalos regulares mais curtos.

1. Se o computador não for membro de um domínio ou se o objeto de ativação de volume não estiver disponível, o computador emite uma consulta DNS para tentar localizar um servidor KMS. Se for possível contactar um servidor KMS, a ativação ocorrerá se o KMS tiver uma chave que corresponda ao GVLK do computador.

2. O computador tenta ativar em servidores Microsoft se estiver configurado com uma MAK.

Se o cliente não conseguir ativar-se com êxito, tentará periodicamente novamente. A frequência das tentativas de repetição depende do estado de licenciamento atual e se o computador cliente foi ativado com êxito no passado. Por exemplo, se o computador cliente utilizou anteriormente a ativação baseada no Active Directory para ativar, tenta contactar periodicamente o controlador de domínio em cada reinício.

Como funciona o Serviço de Gerenciamento de Chaves

O KMS utiliza uma topologia cliente-servidor. Os computadores cliente KMS podem localizar os computadores host KMS usando o DNS ou uma configuração estática. Os clientes KMS contatam o host KMS usando RPCs transportados por TCP/IP.

Limites de ativação do Serviço de Gerenciamento de Chaves

Os computadores físicos e as máquinas virtuais podem ser ativados contactando um anfitrião KMS. Para se qualificar para a ativação KMS, tem de existir um número mínimo de computadores elegíveis. Este mínimo é denominado limiar de ativação. Os clientes KMS só serão ativados depois de este limiar ser atingido. Cada anfitrião KMS conta o número de computadores que pediram a ativação até que o limiar seja atingido.

Um host KMS responde a cada solicitação de ativação válida de um cliente KMS com a contagem de computadores que já contataram o host KMS para ativação. Os computadores cliente que recebem uma contagem abaixo do limiar de ativação não estão ativados. Por exemplo, se os dois primeiros computadores que contactam o anfitrião KMS estiverem a executar uma versão suportada atualmente do cliente Windows, o primeiro recebe uma contagem de ativação de 1 e o segundo recebe uma contagem de ativação de 2. Se o computador seguinte for uma máquina virtual a executar uma versão atualmente suportada do cliente Windows, recebe uma contagem de ativação de 3, etc. Nenhum destes computadores está ativado porque tem de ser atingido um número de ativação igual ou superior a 25.

Quando os clientes KMS aguardam que o KMS atinja o limiar de ativação, ligam-se ao anfitrião KMS de duas em duas horas para obter a contagem de ativações atual. São ativados assim que o limiar for atingido.

No nosso exemplo, se o computador seguinte que contacta o anfitrião KMS estiver a executar uma versão suportada atualmente do Windows Server, receberá uma contagem de ativação de 4, uma vez que as contagens de ativação são cumulativas. Se um computador com uma versão atualmente suportada do Windows Server receber uma contagem de ativação igual ou superior a 5, será ativado. Se um computador com uma versão atualmente suportada do cliente Windows receber uma contagem de ativação igual ou superior a 25, será ativado.

Cache de contagens de ativação

Para controlar o limite de ativação, o host KMS mantém um registro dos clientes KMS que solicitam ativação. O host KMS fornece a cada cliente KMS uma designação de ID de cliente e salva cada ID de cliente em uma tabela. Por padrão, cada solicitação de ativação permanece na tabela por até 30 dias. Quando um cliente renova a ativação, o ID de cliente em cache é removido da tabela, é criado um novo registo e o período de 30 dias começa novamente. Se um computador cliente KMS não renovar a ativação no prazo de 30 dias, o anfitrião KMS removerá o ID de cliente correspondente da tabela e reduzirá a contagem de ativações por um.

No entanto, o host KMS armazena em cache apenas duas vezes o número de IDs de cliente que são necessárias para atingir o limite de ativação. Por conseguinte, apenas os 50 IDs de cliente mais recentes são mantidos na tabela e um ID de cliente pode ser removido mais cedo do que 30 dias.

O tipo de computador cliente que está a tentar ativar define o tamanho total da cache. Por exemplo, se um anfitrião KMS receber pedidos de ativação apenas de servidores, a cache contém apenas 10 IDs de cliente, o dobro do limiar necessário de 5. No entanto, se um computador cliente com o cliente Windows contactar esse anfitrião KMS, o KMS aumenta o tamanho da cache para 50 para acomodar o limiar mais elevado. O KMS nunca reduz o tamanho do cache.

Conectividade do Serviço de Gerenciamento de Chaves

A ativação via KMS exige conectividade TCP/IP. Por padrão, os clientes e hosts KMS usam o DNS para publicar e localizar o KMS. As predefinições podem ser utilizadas, o que requer pouca ou nenhuma ação administrativa. No entanto, os anfitriões KMS e os computadores cliente podem ser configurados manualmente com base na configuração da rede e nos requisitos de segurança.

Renovação da ativação do Serviço de Gerenciamento de Chaves

As ativações feitas pelo KMS são válidas por 180 dias (o intervalo de validade da ativação). Para permanecerem ativados, os computadores cliente KMS devem renovar a ativação conectando-se ao host KMS pelo menos uma vez a cada 180 dias. Por padrão, os computadores clientes KMS tentam renovar suas ativações a cada sete dias. Se a ativação do KMS falhar, o computador cliente repetirá a cada duas horas. Depois de a ativação de um computador cliente ser renovada, o intervalo de validade da ativação começa novamente.

Publicação do Serviço de Gerenciamento de Chaves

O KMS usa registros de recurso de serviços (SRV) no DNS para armazenar e comunicar os locais dos hosts KMS. Os hosts KMS usam o protocolo de atualização dinâmica DNS, se disponível, para publicar os registros de recurso de serviços (SRV) do KMS. Se a atualização dinâmica não estiver disponível ou o anfitrião KMS não tiver direitos para publicar os registos de recursos, é necessário realizar uma das seguintes ações:

• Os registos DNS têm de ser publicados manualmente.
• Os computadores cliente têm de ser configurados para ligar a anfitriões KMS específicos.

Descoberta de cliente do Serviço de Gerenciamento de Chaves

Por padrão, os computadores cliente KMS consultam o DNS para obter informações do KMS. Na primeira vez em que um computador cliente KMS consulta o DNS para obter informações do KMS, ele escolhe aleatoriamente um host KMS na lista de registros de recurso de serviços (SRV) que o DNS retorna. O endereço de um servidor DNS que contém os registos de recursos do serviço (SRV) pode ser listado como uma entrada sufixa em computadores cliente KMS. Esta funcionalidade permite que um servidor DNS anuncie os registos de recursos do serviço (SRV) para KMS e computadores cliente KMS com outros servidores DNS principais para o localizar.

Os parâmetros de prioridade e peso podem ser adicionados ao valor do registro DnsDomainPublishList do KMS. Estabelecer agrupamentos de prioridade de anfitrião KMS e ponderação dentro de cada grupo permite especificar o anfitrião KMS que os computadores cliente devem experimentar primeiro e equilibrar o tráfego entre vários anfitriões KMS. Todas as versões atualmente suportadas do Windows e do Windows Server fornecem estes parâmetros de prioridade e ponderação.

Se o anfitrião KMS selecionado por um computador cliente não responder, o computador cliente KMS remove esse anfitrião KMS da lista de registos de recursos de serviço (SRV) e seleciona aleatoriamente outro anfitrião KMS da lista. Quando um host KMS responder, o computador cliente KMS armazenará em cache o nome do host KMS e o usará nas próximas tentativas de ativação e renovação. Se o anfitrião KMS em cache não responder numa renovação subsequente, o computador cliente KMS deteta um novo anfitrião KMS ao consultar o DNS para registos de recursos do serviço KMS (SRV).

Por predefinição, os computadores cliente ligam-se ao anfitrião KMS para ativação através de RPCs anónimos através da porta TCP 1688, embora a porta predefinida possa ser alterada. Depois de um computador cliente estabelecer uma sessão TCP com o anfitrião KMS, o computador cliente envia um único pacote de pedido. O host KMS responde com a contagem de ativação. Se a contagem cumprir ou exceder o limiar de ativação, o computador cliente é ativado e a sessão é fechada. O computador cliente KMS usa esse mesmo processo para solicitações de renovação. São usados 250 bytes para a comunicação de cada parte.

Configuração do servidor de Sistema de Nomes de Domínio

O recurso de publicação automática padrão do KMS requer o registro de recurso de serviços (SRV) e o suporte para o protocolo de atualização dinâmica DNS. O comportamento predefinido do computador cliente KMS e a publicação do registo de recursos do serviço KMS (SRV) são suportados em:

• Um servidor DNS com software Microsoft.
• Servidor DNS que suporta registos de recursos de serviço (SRV) (por Pedido de Comentários [RFC] 2782 do Internet Engineering Task Force [IETF] e atualizações dinâmicas (por IETF RFC 2136).

Por exemplo, as versões 8.x e 9.x do nome de domínio da Internet Berkeley oferecem suporte a registros de recurso de serviços (SRV) e à atualização dinâmica. O host KMS deve ser configurado para que ele tenha as credenciais necessárias para criar e atualizar os seguintes registros de recurso nos servidores DNS: serviço (SRV), host IPv4 (A) e host IPv6 (AAAA) ou os registros que precisam ser criados manualmente. A solução recomendada para fornecer ao host KMS as credenciais necessárias é criar um grupo de segurança no AD DS e adicionar todos os hosts KMS a esse grupo. Num servidor DNS que esteja a executar software Microsoft, certifique-se de que este grupo de segurança tem controlo total sobre o registo _VLMCS._TCP. Este requisito tem de ocorrer em cada domínio DNS que contenha os registos de recursos do serviço KMS (SRV).

Ativando o primeiro host do Serviço de Gerenciamento de Chaves

Os hosts KMS na rede precisam instalar uma chave KMS e, em seguida, ser ativados com a Microsoft. Instalação de uma chave KMS habilita o KMS no host KMS. Depois de instalar a chave KMS, conclua a ativação do host KMS por telefone ou online. Para além desta ativação inicial, um anfitrião KMS não comunica nenhuma informação à Microsoft. As chaves KMS só são instaladas em hosts KMS, nunca em computadores cliente KMS individuais.

Ativando hosts subsequentes do Serviço de Gerenciamento de Chaves

Cada chave KMS pode ser instalada em até seis hosts KMS. Esses hosts podem ser computadores físicos ou máquinas virtuais. Depois de um anfitrião KMS ser ativado, o mesmo anfitrião pode ser reativado até nove vezes com a mesma chave. Se a organização precisar de mais de seis anfitriões KMS, podem ser pedidas ativações adicionais para a chave KMS de uma organização ao chamar um Centro de Ativação de Licenciamento em Volume da Microsoft para pedir uma exceção.

Como funciona a chave de ativação múltipla

Uma MAK é utilizada para ativação única com os serviços de ativação alojada da Microsoft. Cada MAK tem um número predeterminado de ativações permitidas. Este número baseia-se em contratos de licenciamento em volume e pode não corresponder à contagem exata de licenças da organização. Cada ativação que usa uma MAK com o serviço de ativação hospedado da Microsoft é contabilizada no limite de ativação.

Os computadores podem ser ativados através de uma MAK de duas formas:

• Ativação independente de MAK. Cada computador se conecta independentemente e é ativado com a Microsoft pela Internet ou por telefone. A ativação independente MAK é mais adequada para computadores dentro de uma organização que não mantêm uma ligação à rede empresarial. A ativação independente de MAK é mostrada na Figura 16.

  

  Figura 16. Ativação independente de MAK

• Ativação de proxy de MAK. A ativação de proxy de MAK permite uma solicitação de ativação centralizada em nome de vários computadores com uma conexão com a Microsoft. A ativação mak proxy pode ser configurada com a VAMT. A ativação de proxy de MAK é apropriada para ambientes em que preocupações com a segurança restringem o acesso direto à Internet ou à rede corporativa. Também é adequado para laboratórios de desenvolvimento e teste que não têm esta conectividade. A ativação de proxy de MAK com a VAMT é mostrada na Figura 17.

  

  Figura 17. Ativação de proxy de MAK com a VAMT

A MAK é recomendada para:

• Computadores que raramente ou nunca se ligam à rede empresarial.
• Ambientes em que o número de computadores que necessitam de ativação não cumpre o limiar de ativação KMS.

A MAK pode ser utilizada para computadores individuais ou com uma imagem que pode ser duplicada ou instalada através de soluções de implementação da Microsoft. A MAK também pode ser utilizada num computador que foi originalmente configurado para utilizar a ativação KMS. Mudar do KMS para uma MAK é útil para mover um computador da rede principal para um ambiente desligado.

Arquitetura e ativação da Chave de Ativação Múltipla (MAK)

A ativação independente de MAK instala uma chave do produto MAK em um computador cliente. A chave instrui esse computador para se ativar com servidores da Microsoft pela Internet.

Na ativação do proxy MAK, a VAMT:

• Instala uma chave de produto MAK num computador cliente.
• Obtém o ID de instalação a partir do computador de destino.
• Envia o ID de instalação para a Microsoft em nome do cliente.
• Obtém um ID de confirmação.

Em seguida, a ferramenta ativa o computador cliente instalando a ID de confirmação.

Ativando como usuário padrão

As versões atualmente suportadas do Windows não necessitam de privilégios de administrador para ativação. No entanto, ainda é necessária uma conta de administrador para outras tarefas relacionadas com a ativação ou licença, como "rearm".

Conteúdo relacionado

• Ativação em Volume para Windows.