ІТ-інфраструктура для вашого підприємства
Огляд технології Volume Activation
В технології VA2 при відновленні операційної системи використовують один з двох методів активації: ключ багаторазової активації Multiple Activation Key (MAK) або службу управління ключами Key Management Service (KMS). Перший метод в цілому схожий на VLK, але має деякі суттєві особливості - так, ключ MAK має обмеження на кількість активацій, а VLK - немає. Кожен екземпляр MAK при активації повинен перевірятися Microsoft, в той час як при використанні VLK перевірка необов'язкова. Служба KMS являє собою систему клієнт-сервер, яка активує декількох клієнтів без участі користувачів цієї системи. На відміну від активації за методом MAK, будь-яка система, яка використовує KMS, не повинна спеціально встановлювати з'єднання з серверами Microsoft. Зазвичай служба KMS активує ліцензію в Microsoft від імені клієнта. У компанії Microsoft вважають, що середні і великі організації, що використовують VA, будуть застосовувати KMS для активації більшої частини своїх систем.
Перш ніж докладно вивчати активацію по методам KMS і MAK, розглянемо п'ять можливих станів ліцензії для клієнтів VA. Відзначимо, що тільки перший стан не вимагає ніяких дій. Перше і найпростіше стан Licensed (ліцензоване) - це коли клієнт активований і працює нормально. Наступне стан - початковий пільговий період, Initial Grace або Out-Of-Box Grace. Цей період настає після початкової установки клієнта VA. Стан Out-of-Tolerance Grace настає в разі зміни апаратних засобів на активованої системі. Стан Non-Genuine Grace виникає, коли система, на якій встановлено керуючий елемент ActiveX для перевірки по Windows Genuine Advantage (WGA), дає збій правильної активації - Genuine Activation. Всі ці стани ліцензії мають пільговий період, grace period, який триває 30 днів. Нарешті, стан Unlicensed (неліцензованих) - коли система працює в режимі обмеженої функціональності reduced functionality mode (RFM).
Відзначимо, що Vista SP1 в стані Unlicensed поводиться інакше. Якщо використовується система без активації або система з вичерпаним пільговим періодом активації в 30 днів, то при записі системи на 31-й день з'являється діалогове вікно на чорному тлі, в якому пропонується або відразу почати активацію системи, або відкласти процес активації. У першому випадку зберігаються всі можливості системи, у другому випадку система виводить робочий стіл, який виглядає як раніше, але фон залишається чорним і в правому куті над системним лотком з'являється попередження про те, що екземпляр системи Windows - неліцензійний.
Архітектура Key Management Service
Служба KMS системи активації VA складається з одного або декількох серверів KMS, які активують клієнтів, налаштованих на використання KMS. Ці клієнти визначають сервер KMS будь-яким зручним способом і просять сервер їх активувати. Сервер KMS використовує спеціальний ключ KMS для активації в Microsoft і потім діє як представник, який активує своїх клієнтів, причому клієнтські системи можуть не звертатися в Microsoft з метою активації. Сервер може провести активацію для необмеженого числа клієнтів, тому Microsoft, як правило, дає тільки один ключ KMS на організацію. У компанії створили систему KMS з максимальною розширюваністю, тому система вимагає мінімального числа серверів KMS.
Хоча KMS годиться для установки на Vista, я не користувався цією можливістю. Краще задіяти сервер KMS в серверному варіанті операційної системи. Така важлива інфраструктурна служба повинна бути встановлена на існуючий сервер або додана разом з додатковим робочим сервером.
-ipk - встановити ключ захисту програмного продукту;
-dli - показати ліцензійну інформацію;
-xpr - термін закінчення даного ліцензійного стану;
-skms - пряме підключення (а не автовизначення).
Спочатку для установки хоста KMS слід встановити версію операційної системи з корпоративної ліцензією. Версія операційної системи з корпоративної ліцензією не передбачає введення ліцензійного ключа при її установці. Коли установка завершиться, введіть наступну команду для введення ключа KMS, наданого Microsoft:
Якщо сервер KMS не підключений до Internet, можна зателефонувати в Microsoft і виконати здебільшого автоматичний процес активації, вводячи
а потім слідувати інструкціям на екрані.
Можуть розміщуватись та розгортатись KMS
Після установки і запуску сервера KMS треба подбати про те, щоб клієнти могли його знайти. Можна примусово направити клієнтів на сервер (це пряме підключення) або клієнти можуть самі знайти сервер (автовизначення). Для прямого підключення на клієнті KMS просто запустіть
Коли автовизначення буде виконано, клієнт KMS запросить у DNS список серверів, які містять запис _VLMCS для зони, членом якої він є. Сервер DNS посилає список серверів KMS у випадковому порядку, клієнт вибирає один з них і намагається встановити з ним сеанс зв'язку. Якщо спроба вдається, клієнт запам'ятовує сервер і намагається використовувати його при наступній спробі оновлення. Якщо нове з'єднання встановити не вийшло, клієнт знову вибирає сервер випадковим чином. Процес визначення KMS нагадує процес визначення контролера домену DC, який також шукає запис SRV, але він простіше. Наприклад, клієнт не може шукати хости KMS по сайту, оскільки це не потрібно простішими службами KMS. Крім того, KMS не використовує вагу і пріоритет, які є параметрами записи SRV для сортування списку результатів.
Автовизначення KMS інтегрується з DNS, а не Active Directory (AD) і працює не тільки з Windows DNS, як у випадку служби DNS, інтегрованої з AD. Будь-сервер DNS, що підтримує записи SRV (по RFC 2782) і динамічні оновлення (по RFC 2136), буде підтримувати автовизначення клієнта KMS і публікацію записів KMS SRV. BIND 8.x і 9.x підтримує як записи SRV, так і DDNS.
Додаткова інформація по KMS
Сервер KMS не відслідковує всіх своїх ліцензованих клієнтів, він записує тільки останні 50 активацій, щоб перевірити, чи правильно працює служба. Він не звертає уваги на інші хости KMS в мережі або загальну інформацію по активації між ними. Таким чином, немає верхньої межі за кількістю активацій, які може виконати кожен сервер після досягнення свого активационного порога, і число ліцензій не є обмеженням для ресурсів мережі. Шість серверів KMS можна активувати одним ключем VLK, а кожен сервер KMS можна повторно реактивировать дев'ять разів (наприклад, якщо один сервер KMS треба відремонтувати).
Ключі багаторазової активації
Робоча мережу. Це основна внутрішня мережа підприємства. Складіть список лісів і доменів середовища Windows AD в робочій мережі, розбивши її на групи наступним чином:
основний корпоративний ліс (ліси);
допоміжні лісу або один і більше основних лісів;
ліси, з якими не встановлено довірчі відносини (наприклад, підрозділи розробки і виробництва);
Мережі з захистом даних. У цих мережах з доступом через брандмауер до робочої мережі передбачається відсутність доступу в Internet. Необхідно перевірити середу Windows; напевно, не всяка мережу з захистом даних може бути робочої мережею.
Ізольовані мережі. Такі мережі з обмеженим доступом або без доступу до зовнішніх мереж, як правило, мають близько 25 облікових записів.
Ізольовані клієнти. Ці клієнти не мають доступу до електронної пошти або іншу програму, які повинні бути підключені до звичайних мережевих структур корпорації (наприклад, демонстраційні ноутбуки групи продажів).
Я раджу користуватися KMS з автоматичним виявленням в DNS для довірених основних і допоміжних лісів, оскільки ця конфігурація легко можна реалізувати. Зареєструйте KMS у всіх інших доменах в лісі і довірених лісах, щоб клієнти могли користуватися DNS для знаходження цієї служби. У припущенні, що більшість клієнтів знаходяться в цих лісах, така конструкція дозволить клієнтам відразу активуватися за допомогою KMS. Ця схема також передбачає, що компанія має централізовану ІТ-модель з обмеженим числом не пов'язаних відносинами довіри лісів в робочій мережі. Якщо ж такі ліси все-таки є (наприклад, для розробки або тестування) в робочій мережі, то їх адміністратори повинні вручну реєструвати записи A і записи SRV на хості KMS з метою забезпечення роботи автоматичного виявлення. Швидше за все, сервер KMS не матиме прав оновлювати DNS в не пов'язаному відносинами довіри ліс. Додати записи вручну просто, і оновлювати ці записи при модифікації конфігурації доменів або лісу потрібно теж вручну.
Клієнти робочих груп на робочій мережі повинні користуватися KMS через автоматичне виявлення, однак простота такого виявлення залежить від серверів DNS, якими користуються клієнти робочої групи. Якщо вони користуються службою DNS в лісі серверів KMS, їм вдасться легко знайти KMS.
Якщо на підприємстві використовується стандартизований варіант операційної системи, то може підійти просте рішення, яке полягає в тому, що створюється два записи CNAME з ім'ям хоста, наприклад kms.yourcompany.com. Нехай ці записи CNAME мають посилання на різні сервери KMS, щоб створити основну циклічну конфігурацію, в якій випадковим чином вибирається якийсь один сервер. Налаштуйте свою клієнтську операційну систему на пряме підключення до KMS на ім'я kms.yourcompany.com. Всі клієнти будуть весь час використовувати ім'я kms.yourcompany.com. Можна буде керувати тим, який сервер KMS представлений через CNAME, при цьому не потрібно проводити автоматичне виявлення або реєстрацію записи SRV в багатьох зонах DNS.
Поділіться матеріалом з колегами і друзями