Active Directory-based activation в Windows Server 2012

Во многих крупных организациях для активации ОС Windows используется специальная служба управления ключами Key Management Server (KMS), установленная на выделенном хосте и активированныая специальным ключом Microsoft. В дальнейшем все компьютеры компании можно активировать не через сервера Microsoft, а напрямую через этот KMS сервер. Напомним, что при активации компьютера на сервере KMS, он сохраняет статус активации в течении 180 дней, по истечении которых клиент каждый раз должен проходить повторную активацию на следующие 180 дней.

В Windows Server 2012 появилась новая модель активации клиентов с ОС Windows 8, Windows Server 2012, а также пакетом Office 2013, предназначенная для замены KMS. Новая роль называется Active Directory Based Activation (ADBA). Данная технология позволяет активировать компьютеры (естественно, с Win8 и Win2012), которые просто включили в состав домена (как включить компьютер Windows в домен AD). В отличии от KMS-активации, активация с помощью ADBA завязана не на конкретный хост (kms-сервер), а целиком на службу AD, что предпочтительнее с точки зрения обеспечения отказоустойчивости службы активации, кроме того, отпадает необходимость открывать дополнительные порты на корпоративных файерволах (напомню для KMS-активации клиент должен по порту 1688 иметь доступ kms сервер), нужен лишь стандартный LDAP доступ к ближайшему контролеру домена (это должен быть обычный rw- контроллер домена, а не RODC контроллер). Хосты активируются службой ADBA на те же 180 дней, и если машина входит в состав домена, продление активации происходит автоматически путем взаимодействия с любым доступным контроллером домена. Естественно, при выводе машины, активированной с помощью Active Directory-based activation из домена, активация пропадает. Отметим, что ADBA позволяет активировать клиентов в пределах всего леса AD.

Для управления ADBA существует специальная консоль Volume Activation Management Toolkit 3.0 (VAMT). Подробнее что такое VAMT 3.0, где ее можно скачать и как использовать для управления лицензиями.

Установка и настройка Active Directory Based Activation

Для работы Active Directory-based Activation необходимо расширить схему AD до Windows Server 2012 (как обновить схему с помощью adprep.exe описано в статье Обновляем AD до Windows Server 2012). Отдельный контроллер с Windows Server 2012 поднимать не нужно.

Затем на сервере с ОС Windows Server 2012 необходимо установить роль Volume Activation Services. Сделать это можно с помощью стандартной консоли Server Manager, выбрав пункт Add Roles and Features ->Next->Next и отметьте роль Volume Activation Services. установка службы активации в домене Volume Activation Services на Windows Server 2012

Службу Volume Activation Services также можно установить с помощью следующей команды PowerShell:

Install-WindowsFeature VolumeActivation –IncludeManagementTools

 

После установки роли, запустите консоль управления Volume Activation Tools (Server Manager->Tools->Volume Activation Tools). Если настройка происходит с десктопной версии Windows, необходимо установить RSAT для Windows 10, консоль Volume Activation Tools входит в этот пакет.

В окне Volume Activation Tools в качестве способа активации клиентов выберите Active Directory-Based Activation.

Установка в windows 2012 active directory based activation

Чтобы активировать продукты MS с помощью ADBA, необходимо в серверную роль Volume Activation Services добавить соответствующие ключи. Далее нужно ввести выданный вашей организации ключ KMS (для KMS и ADBA используется один и тот же ключ), его имя (позволяет в дальнейшем более удобно работать со множеством ключей).

Активация ключа KMS Host key - по Microsoft Volume Licensing

Следующий этап – включение поддержки ADAP-активации для всего леса и активация ключей volume license на серверах Microsoft (по телефону или онлайн). Активировать VLK ключи можно также и по старинке с помощью интерфейса командной строки и скрипта slmgr.vbs (подробнее процедура описана в статье Установка и активация KMS сервера).

активация adba в active directory

После репликации всех новых объектов в AD, все клиенты с Windows 8 и Windows Server 2012, которые включены в домен и настроены на использование общих VLK ключей (наличие этих ключе говорит ОС о том, что активация будет происходить с помощью сервера KMS или по ADBA), получают информацию из AD и автоматически активируются. На клиентах дополнительно ничего настраивать не нужно. Полный список GVLK ключей можно найти здесь.

Следует понимать, что в домене нет выделенного сервера ADBA, или службы ADBA, запущенной на контролерах домена. Это пассивный процесс, при котором клиенты опрашивают Active Directory, обнаруживают нужные атрибуты и автоматически активируются.

Попробуем разобраться, где же в Active Directory хранится информация об активации ADBA?

При расширении схемы до Windows Server 2012 (об этом рассказывалось выше), в AD появляются новые объекты, которые клиенты могут использовать для поиска и активации продуктов в домене. Данные атрибуты хранятся в контейнере конфигурации леса CN=Activation Objects,CN=Microsoft SPP,CN=Services,CN=Configuration .

Расширение схемы в AD для поддержки активации Windows 8 и Win 2012 в домене

Напрямую объекты в этом разделе редактировать не рекомендуется, для этих целей использовать только утилиту Volume Activation Tool.

Текущий статус активации клиентов можно проверить с помощью команды:

slmgr.vbs –dlv

Строка Activation Object name: KMS AD Activation — говорит о том, что клиент активирован с помощью ADBA.

Activation Object name: KMS AD Activation в slmgr

Атрибуты скрипта slmgr.vbs расширены дополнительными параметрами, отвечающими за активацию через AD.

  • /ad-activation-online [ProductKey]
  • /ad-activation-apply-get-iid [ProductKey]
  • /ad-activation-apply-cid [ProductKey][ConfirmationID]
  • /ao-list
  • /del-ao

Новые параметры slmgr

В том случае, если нужные атрибуты Active Directory отсутствуют, клиент пытается активироваться следующим доступным методом — KMS-активацией, пытаясь в DNS найти SRV запись KMS сервера (как обнаружить сервер kms в домене).

При исключении компьютера из домена, активация пропадет при следующем цикле проверки лицензионной информации (при перезагрузке компьютера или при перезапуске службы Software Protection Service).

Итак, сегодня мы разобрались с настройкой активации клиентов с Windows 8 и Windows Server 2012 с помощью ADBA (KMS сервер для них больше не нужен!). Возможность активации ADBA не исключает возможности наличий KMS сервера и возможность активации клиентов на нем, тем более, пока отсутствует поддержка активации ADBA для старых ОС (Windows 2008/R2/Vista/7).


Предыдущая статья Следующая статья


Комментариев: 2 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)