部署KMS激活服务

1、一、 安装 KMS 主机若要启用 KMS 功能，KMS 密钥安装在上一台 KMS 主机;然后，通过 Internet 或通过电话使用 Microsoft 的激活服务激活了主机。 运行 Windows 7 或 Windows Server 2008 R2 的计算机可以同时充当 KMS 主机。Windows Vista、 Windows Server 2003 和 Windows Server 2008 还可以充当 KMS 主机。 KMS 主机可以激活的 KMS 客户端都依赖于用来激活 KMS 主机的主机密钥。 有关 KMS 主机密钥的详细信息，请参阅批量激活规划指南。安装和使用提升的命令提示符激

2、活 Windows 7 或 Windows Server 2008 R2 的计算机上的 KMS 密钥：l 若要安装 KMS 密钥，请键入slmgr.vbs /ipk <KmsKey>在命令提示符下。l 若要在线激活，请键入slmgr.vbs /ato在命令提示符下。l 若要通过电话激活，请键入slui.exe 4在命令提示符下。在激活的 KMS 密钥后, 重新启动软件保护服务。Windows 7 和 Windows Server 2008 R2 显示警告 图 1 中显示任何时间的管理员使用 UI 安装 KMS 主机密钥 (用户不会看到此警告如果它们使用 Slmgr.vbs 脚本安装

3、 KMS 主机密钥）。 此消息可以防止意外地在管理员不想要的 KMS 主机的计算机上安装 KMS 密钥。若要验证正确配置 KMS 主机，请检查 KMS 计数以查看它是否增加。 在 KMS 主机上的命令提示符窗口中，键入 slmgr.vbs /dli 以显示当前的 KMS 计数。 管理员还可以检查应用程序和服务日志文件夹中的密钥管理服务日志的事件 ID 12290。 密钥管理服务日志记录激活 KMS 客户端请求。 每个事件显示的计算机的名称和每个激活请求的时间戳。二、 配置DNS1. 更改为 SRV 记录的默认 DNS 权限如果您使用的只有一台 KMS 主机，您可能不需要在 DNS 中配置的权限

4、。 默认行为是允许的计算机来创建一条 SRV 资源记录，然后对其进行更新。 但是，如果您有多个 KMS 主机 (的常见情况），其他主机将无法更新的 SRV 资源记录，除非更改 SRV 默认权限。下面的高级过程是从 Microsoft 的环境的一个示例。 它并不表示授予可能有所不同到另一个组织的详细的步骤和它不是唯一的方法来实现所需的结果在将用于您的 KMS 主机的 Active Directory () 中创建一个全局安全组。 密钥管理服务 Group.Add 每个的 KMS 主机到此组是一个示例。 它们必须全部加入同一个域。一旦创建后的第一个 KMS 主机，它将创建原始的 SRV 记录。 如

5、果第一个 KMS 主机不能创建的 SRV 资源记录，则可能是因为您的组织已更改的默认权限。 在这种情况下，手动创建作为"手动创建 SRV 记录在 DNS"描述部分的 SRV 资源记录。设置为允许更新由全局安全组的成员的 SRV 组的权限。注意：域管理员可以委派给管理员在组织中前面的步骤执行的能力。 若要这样做，请在 Active Directory 中创建一个安全组、 为若要更改的 SRV 记录，该组授予的权限，然后添加委托。2. 将发布到多个 DNS 域默认情况下，KMS 主机注册仅在该主机所属于的 DNS 域中。 如果网络环境中具有只有一个 DNS 域，不不需要任何进一

6、步的操作。如果有多个 DNS 域名，则可以为发布其 SRV RR 时要使用的 KMS 主机创建的 DNS 域的列表。 设置此注册表值将挂起的 KMS 主机的默认行为仅在作为主 DNS Suffix.Optionally 指定的域中的发布、 优先级和权重将参数添加到DnsDomainPublishListKMS 的注册表值。 此功能使管理员能够建立 KMS 主机优先级组和每个组来定义该 KMS 主机首先尝试并平衡多个 KMS 主机之间的通信中的权重。注意：直到已将复制的所有 DNS 服务器可能不会反映 DNS 更改。 过于频繁地所做的更改 （时间 < 复制时间) 如果在尚未复制的服务器上执

7、行更改可以保留较旧的记录。若要在多个 DNS 域中自动发布 KMS，请将每个 DNS 域后缀添加到 KMS 应为多字符串注册表值发布者为准DnsDomainPublishList中HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSoftwareProtectionPlatform。 更改后的值，请重新启动软件授权服务来创建 SRV Rr。注意：此密钥从 Windows Vista 位置已更改HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSL配置一台 KM

8、S 主机以将发布到多个域之后, 将导出注册表项，然后将其导入到其他 KMS 主机上的注册表。 若要验证此过程成功，请检查每台 KMS 主机上的应用程序事件日志。 事件 ID 12294 指示 KMS 主机已成功创建 SRV Rr。 事件 ID 12293 表示创建 SRV Rr 的尝试不成功。 有关错误代码的完整列表，请参阅批量激活操作指南。3. 在 DNS 中手动创建 SRV 记录如果环境不支持动态更新，SRV Rr 必须手动创建要发布 KMS 主机。 不支持动态更新的环境应禁用发布服务器上所有 KMS 主机，以防止从收集失败的 DNS 发布事件的事件日志。 若要禁用自动发布，请使用 Slm

9、gr.vbs 脚本与/cdns命令行选项。 请参阅有关 Slmgr.vbs 脚本的详细信息的"配置 KMS"部分。注意：手动创建可以与 KMS 主机将自动发布其他域中，只要所有记录需要进行都维护以避免发生冲突的 SRV Rr 共存 SRV Rr。使用 DNS 管理器中，在相应转发查找区域创建新的 SRV RR 的位置使用相应的信息。 默认情况下，KMS 侦听 TCP 端口 1688，并且该服务 _VLMCS。 表 2 包含 SRV RR 的示例设置。名称设置服务_VLMCS协议_TCP端口号1688主机提供的服务KMS主机的FQDN名如果组织使用非 Microsoft DN

10、S 服务器，则可以创建所需的 SRV Rr，只要该 DNS 服务器是否符合与 Berkeley Internet 名称域 (BIND) 8.2 或更高版本。 在创建时该记录，包括表 3 中所示的信息。 Windows 7 和 Windows Server 2008 R2 仅使用表 3 中所示的优先级和权重设置。名称设置名称_vlmcs._tcp类型SRV优先级0权重0端口1688主机名KMS主机的FQDN名若要配置以支持自动发布 KMS 的 BIND 8.2 或更高版本的 DNS 服务器，配置要启用从 KMS 主机的 RR 更新的 BIND 服务器。 例如，将以下行添加到 named.conf

11、 中的区域定义：allow-update any; ;注意：allow-update语句还可以添加 named.conf 选项以允许动态更新此服务器上托管的所有区域中。KMS 主机会自动通过在 DNS 中创建 SRV Rr 发布它们的存在。 若要禁用通过 KMS 主机的自动 DNS 发布，请使用 Slmgr.vbs 脚本与/cdns命令行选项。使用 Slmgr.vbs 脚本来禁用自动 DNS 发布是首选方法，但还可以通过创建新的 DWORD 值调用来执行此任务DisableDnsPublishing在注册表中，并将其值设置为 1。 此值是在HKEY_LOCAL_MACHINESOFTWAREM

12、icrosoftWindows NTCurrentVersionSoftwareProtectionPlatform在注册表中。 若要重新启用发布到 DNS 的 KMS SRV 记录的默认行为，请将值设置为 0。三、 KMS客户端配置本部分介绍有关安装和配置作为 KMS 客户端计算机的概念。 默认情况下，批量许可版本的 Windows Vista、 Windows 7、 Windows Server 2008 和 Windows Server 2008 R2 是 KMS 客户端。 如果组织想要使用 KMS 激活的计算机使用这些操作系统之一，并且网络允许 DNS 自动发现，则需要无需进一步配置。

13、如果 KMS 客户端配置为使用 DNS 的 KMS 主机中搜索，但不会收到从 DNS SRV 记录，Windows 7 和 Windows Server 2008 R2 事件日志中记录错误。1. 手动指定一台 KMS 主机管理员可以将一台 KMS 主机到 KMS 客户端手动分配使用 KMS 主机缓存。 手动分配一台 KMS 主机禁用自动发现的 KMS KMS 客户端上。 KMS 主机被手动分配到 KMS 客户端通过运行:/skms <Name:Port | : port> Activation ID 其中 <Name> 是 KMS_FQDN、 IPv4Address 或

14、 NetbiosName KMS 主机的和端口为 KMS 主机上的 TCP 端口。如果 KMS 主机使用 Internet 协议版本 6 (IPv6) 仅，必须采用格式 hostname 指定的地址: 端口 （使用方括号）。 IPv6 地址包含冒号 (:)，Slmgr.vbs 脚本将错误地分析它。2. 为 KMS 客户端启用自动发现默认情况下，KMS 客户端自动尝试发现 KMS 主机。 可以通过手动分配到 KMS 客户端的 KMS 主机禁用自动发现。 此操作还会清除从 KMS 客户端缓存的 KMS 主机名。 如果禁用了自动发现，它可以重新启用通过运行slmgr.vbs /ckms在命令提示符下

15、。3. 将作为后缀条目添加到 KMS 客户端通过添加为 KMS 客户端上 suffixed 条目包含 SRV RR 的 DNS 服务器的地址，管理员可以将播发在一台 DNS 服务器上的 KMS 主机和允许的 KMS 客户端与其他主 DNS 服务器以查找它。4. 将 KMS 客户端部署本部分中的信息是有关使用 Windows 自动安装工具包 (Windows AIK) 来部署和激活 Windows 操作系统的批量许可客户。 通过使用系统准备工具 (Sysprep.exe) 为部署准备的 KMS 客户端。在捕获映像之前, 先运行 Sysprep.exe 以及/generalize命令行选项以重置激活定时器、 安全标识符 (SID) 和其他重要设置。 重置激活定时器可防止图像的宽限期过期之前部署该映像。 运行 Sysprep.exe 不会删除已安装的产品密钥，而管理员不可以为新的密钥提示在最小化安装过程。 如果没有重新装备处于、 Sysprep.exe 操作完成但不是会更改激活定时器和返回错误，说明这种情况。当生成供内部使用 （例如，构建虚拟机组织的销售部门或设置临时培训环境），演示虚拟机运行 Slmgr.vbs 脚本与/rearm命令行选项扩展宽限期内另一个 30 天，这反过来会重置激活定时器，但对计算机进行任何其他更