Windows Vista 啟用方式

台灣微軟大型企業業務暨經銷事業群專案技術部技術經理 蔡有為

Agenda 什麼是 VA 2.0? 規劃 Windows Vista 的啟用方式 啟用每台 Windows Vista 的方法與步驟 問題與討論

什麼是 Volume Activation 2.0 ？

VA 2.0 是 Windows Vista 和 Longhorn Server 的新要求，它要求每個經由大量授權合約取得的 Windows 授權都需要啟用

VA 2.0 的目標 :改進大量授權客戶的使用經驗關閉重要的盜版漏洞

為甚麼要推出新的大量授權啟用方式？ 保護客戶的軟體資產

避免客戶誤用盜版防止授權金鑰外洩盤點軟體資產更容易

更方便的管理與佈署安裝 Windows 時不需要輸入金鑰完整的報表

○ 事件紀錄○ 授權狀態

Volume Activation 2.0 兩種類型的金鑰

多重啟用金鑰 Multiple Activation Key (MAK) 金鑰管理服務金鑰 Key Management Service (KMS) Key

提供三種啟用的方式 MAK 獨立啟用

○ 每台電腦自行透過 Internet 連線至微軟或以電話聯絡微軟來啟用 MAK Proxy 啟用

○ 由一台電腦收集其他電腦的資訊，以代理方式透過網路連線至微軟來啟用，只有 Proxy 電腦需要 Internet 連線 KMS 啟用

○ 由企業自行安裝的金鑰管理服務來啟用，不需要 Internet 連線○ 已啟用之用戶端，最少六個月 (180 天 ) 內必須連線到金鑰管理服務主機以重新啟用

PS: Volume Activation 必須使用大量授權媒體 ( 大量授權版本的 Windows Vista Business 和 Windows Vista Enterprise )

在那裡取得大量授權金鑰？ Microsoft eOpen ：

https://eopen.microsoft.com/tw/default.asp 微軟大量授權服務 (MVLS) ：

https://licensing.microsoft.com/eLicense/L1028/default.asp

Microsoft 啟用撥接中心：台灣 : (02) 8771-7276 或 (02) 8771-7276

Microsoft eOpen

MAK MAK 獨立啟用`

MAK Independentclient

`

VAMT host

Microsoft

Internet

1. 派送金鑰的方法 :1. 使用 VAMT 從遠端派送金鑰2. 從遠端或本機下指令 (slmgr.vbs)3. 將 MAK 金鑰預藏在安裝媒體中4. Windows 啟用精靈，手動輸入 MAK 金鑰

2. 啟用 MAK 的方法 :1. 從遠端或本機下指令 (slmgr.vbs)2. Windows 啟用精靈透過一次 SSL 連線至網際網路啟用3. 經由電話啟用 (slui.exe 4)

1

2

使用 slmgr.vbs 派送 / 啟用 MAK金鑰 遠端或本機安裝 MAK 金鑰 :

以系統管理員權限帳戶登入並開啟一個命令視窗，執行下列指令碼：○ cscript \windows\system32\slmgr.vbs <IP Address> -ipk

<Multiple Activation Key> 啟用

○ cscript \windows\system32\slmgr.vbs –ato

VAMT 下載網址 :http://www.microsoft.com/downloads/details.

aspx?familyid=12044DD8-1B2C-4DA4-A530-80F26F0F9A99&displaylang=en

可安裝平台 :Windows Server 2003 SP1Windows Vista BusinessWindows Vista EnterpriseWindows XP SP2

Demo: Volume Activation Management Tool

使用 VAMT: Add MAK Key

使用 VAMT: Add Computers

使用 VAMT: 派送金鑰及 MAKMAK 獨立啟用

VAMT Client Configuration

Create a registry value for remote computers in workgroup:

1.On the client computer, create the following registry key using regedit.exe.2.Navigate to HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system3.Enter the following details:

1. Value Name: LocalAccountTokenFilterPolicy

2. Type: DWORD3. Value Data: 1

使用 使用 VAMTVAMT 進行 進行 MAK ProxyMAK Proxy 啟用啟用MAK proxy MAK proxy 啟用會安裝 啟用會安裝 MAK MAK 到用戶端電腦上、取得安裝識別碼 到用戶端電腦上、取得安裝識別碼 (IID)(IID) 、代表用戶端來傳送 、代表用戶端來傳送 IID IID 到 到 MicrosoftMicrosoft ，，並取得一個確認識別碼 並取得一個確認識別碼 (CID)(CID) ，之後工具將透過安裝對應的 ，之後工具將透過安裝對應的 CID CID 來啟用用戶端。來啟用用戶端。

`

VAMT hostMicrosoft

2. Apply MAK and collect Installation ID (IID) using WMI optionally export to XML file

`

MAK Proxy client

1. Find Windows Vista machine(s) from Active Directory (LDAP) or through network discovery APIs

4. Activate MAK Proxy client(s) by applying CID optionally import updated XML file first. Significant hardware changes will require reactivation.

Active Directory

Internet

3. Connect to Microsoft over Internet (SSL) and obtain corresponding Confirmation ID (CID). Optionally update XML file with CIDs

1 23 4

使用 使用 VAMTVAMT 進行 進行 MAK Proxy MAK Proxy 派送金鑰VAMT-1 位於無法與 Internet 連線的區域

使用 使用 VAMT VAMT 匯出 匯出 CILCILVAMT-1 位於無法與 Internet 連線的區域

使用 使用 VAMT VAMT 取得 取得 CIDCIDVAMT-2 位於可與 Internet 連線的區域

匯入 VAMT-1 的 CIL

使用 使用 VAMT VAMT 匯出 匯出 CILCILVAMT-2 位於可與 Internet 連線的區域

使用 使用 VAMT VAMT 套用 套用 CIDCIDVAMT-1 位於無法與 Internet 連線的區域

匯入 VAMT-2 的 CIL

VAMT: Computer StatusVAMT: Computer Status

Build LAB 2

Build LAB 1

Build LAB 1

Build LAB 2

Build LAB 1

Build LAB 1

Group

Enterprise

Enterprise

Business

Enterprise

Enterprise

Edition

Unlicensed

OOT Grace

OOB Grace

Licensed

Licensed

License State

Labs2

Labs1

Labs1

Labs1

Labs1

Domain/Workgroup

KMS Client

MAK

MAK

MAK

KMS Client

Key Type

LAB6

LAB5

LAB4

LAB3

LAB2

LAB1

HostnameStatus

Failed – Apply CID (0x123456)

Success – Get CID

Success – Apply MAK

Refresh

Current Action

MAK/KMS 啟用的硬體容許範圍Component class name Weight

CD-ROM/CD-RW/DVD-ROM 1

Display adapter 1

RAM amount range (for example, 0–512 MB, 512 MB–1 GB, 2–4 GB) 1

Audio adapter 2

Network adapter Media Access Control (MAC) address 2

Small computer system interface (SCSI) adapter 2

Integrated device electronics (IDE) adapter 3

Processor 3

BIOS identification (0 always matches) 9

Physical operating system hard drive device serial number 11

超過 25 點就必須重新啟用

MAK FAQ 如何盡量減少 MAK 的消耗？

延長 Vista 軟體評估期 (slmgr.vbs –rearm) ，減少重灌 Vista 次數 ( 線上啟用一定會消耗 MAK)VAMT 重複幫相同 Client 啟用不會重複扣點使用電話啟用，重灌不會重複扣點

如何避免 MAK 金鑰外洩？將 MAK 金鑰加密藏在安裝光碟中 ( 秘訣)

為何 MVLS, eOpen 網頁上沒有 MAK 金鑰？請按下 “要求金鑰” 按鈕

為何在網頁申請MAK 後，啟用數量明顯不足？Please mailto:MAKADD@microsoft.com

如果 MAK 金鑰外洩了，怎麼辦？

MAK Q&A

KMS KMS 啟用啟用Internet

KMS Hosting Machine

Vista clients

1. Setup KMS service inside corporate network, and activate KMS once2. Client systems (>25) automatically connect to KMS and request

activation 3. KMS activates the client systems for 180 days upon each connection4. Systems silently re-connect regularly (default 7 days) to renew

activation

One time KMS activation

VPN

KMS 啟用 KMS 主機

可以是 Vista 或者 Windows Server 2003 或將來的 LongHorn 透過 KMS 金鑰啟用

○ 同一個 KMS 金鑰可在 6 部電腦上各重複啟用 10 次。如果您打算啟用更多的 KMS 主機，請向 Microsoft 啟用撥接中心要求更多的次數 KMS 預設使用的 port – 1688/TCP DNS 註冊 (for KMS Client 自動探索 )

KMS 用戶端 安裝 Vista 過程中不需輸入金鑰，所有大量授權的 Vista 預設為透過 KMS 啟用 至少 25 台 Windows Vista 或 5 台 Longhorn Server 用戶端將使用下列的兩個方法之一找到 KMS 主機：

○ 自動探索： KMS 用戶端會使用網域名稱服務記錄，以自動找到本機的 KMS 主機。○ 指定 KMS 主機位址：透過 slmgr.vbs 可指定 KMS 主機位置和通訊連接埠

BIOS 中 若有 ACPI_SLIC Table 但沒有有效的 Windows maker將無法使用 KMS 方式啟用

安裝 KMS 主機 安裝在 Windows Server 2003 上 :

下載 KMS for Windows Server 2003 安裝在 Windows Vista 上 :

安裝 Vista - 選擇您要的大量授權媒體。在安裝過程中不需要產品金鑰。 啟用電腦、登入，然後以提高的特殊權限來啟用命令視窗。

安裝您的 KMS 金鑰。請勿使用 Windows 介面來執行此事。執行下列指令碼：cscript C:\windows\system32\slmgr.vbs -ipk <KMS Key>

利用 Microsoft 啟用 KMS 主機，您可以使用線上啟用或電話啟用：針對線上啟用 (您必須能夠從該電腦存取網際網路 ) ，請執行下列指令碼：

cscript C:\windows\system32\slmgr.vbs -ato 針對電話啟用 ( 如果您無法存取網際網路 ) ，請執行下列指令，並遵循螢幕上的指示：

slui.exe 4 

在用戶端手動指定 KMS 主機 在 KMS 用戶端中，登錄 KMS 主機的完整網域名稱 (FQDN

cscript \windows\system32\slmgr.vbs -skms <KMS_FQDN>[:<port>]

您也可以選擇性地使用 IP 或 NetBIOScscript \windows\system32\slmgr.vbs -skms <IPv4

Address><:port>cscript \windows\system32\slmgr.vbs -skms <IPv6

Address><:port>cscript \windows\system32\slmgr.vbs -skms

<MachineName><:port> 要為已登錄來使用特定 KMS 的用戶端電腦重新啟用自動探索，請執行下列的內建指令碼：

cscript \windows\system32\slmgr.vbs –ckms

精簡功能模式 (RFM)(RFM)RFM entered when Windows has not been activated within 30 day grace period. This can happen when:

電腦無法在 30 天的限定期限之內啟用，或是在為期 180 天的 KMS 啟用期間之後，無法於 30 天的限定期限之內重新啟用Significant hardware changes which require re-activationTampering of the OS has been detected

在 RFM 中，將會在使用者登入後，提供多項用來啟用的選項。如果電腦沒有在一小時內重新啟用，則會強制使用者登出。

KMS KMS 啟用的情境與時間點啟用的情境與時間點

Microsoft Confidential 30

Grace Activated RFMGrace

AutomaticActivation Requests

(2 hrs by def)

Automatic ActivationRenewalRequests

(7 days by def)

30 days Re-activation after expiration180 days

(Each renewal extends thisto the full 180 days)

30 days UserUnable

toLog On

AutomaticActivation Requests

(2 hrs by def)

1. Machine automatically activates and re-activates within grace or expiration period

2. Machine goes out of 30 day grace period (or tolerance period) and into reduced functionality mode (RFM, which disables interactive log-on)

3. Admin user installs MAK key and activates within 30 day grace (activation does not expire)

KMS 主機 Sizing 問題 一次 KMS 要求外加 TCP 工作階段的安裝和分割，傳送的位元組少於 250 Bytes 唯一額外的網路流量為自動探索，每個用戶端電腦通常只需執行一次自動探索 在嘗試啟用時，用戶端電腦每隔兩個小時 ( 預設值 ) 會發出一個 KMS 要求 啟用之後，則每七天發出一個 一台 KMS 主機就可以支援數十萬個 KMS 用戶端 以下列出了規劃 KMS 主機的一些考量：

KMS 在積極處理要求時，運算週期相當地密集。在要求處理過程中，單一處理器電腦上的 CPU 使用量可能會隨時達到 100% KMS 記憶體使用量取決於傳入的要求數量，可能從 10 MB 到

25 MB 不等 網路預先配置最低 大型組織可能需要多部 KMS 主機來處理負載平衡和重複性

KMS FAQ KMS 啟用過程有任何身分驗證機制嗎？

沒有， KMS connection 完全是匿名的 KMS 主機如何算出已有 25 台 Clients? 兩台以上 KMS 主機之間有任何連線？

沒有，各自獨立計算自己的 n-count VPC 等虛擬機器可以算在 25 台裡面嗎？

不行 我已經誤用 KMS Key 裝了很多台 Vista Client ，怎麼辦？ 我可以把 KMS 主機直接放在 Internet 上，讓每個成員都可以不用驗證身分就能存取嗎？

絕對不行

KMS Q&A

VA2.0 佈署前規劃

1. 準備 :目標環境考慮因素(1)問題 考慮因素目標網路中將部署多少部電腦？ KMS 要求至少要有 25 部電腦連線到 KMS 主機， Windows Vista 用戶端電腦才能啟用網路是否支援 TCP/IP 連線？ KMS 啟用需要 TCP/IP 連線 ( 連接埠 TCP/1688 預設

值 ) 。 KMS 啟用的要求和回應大約需要 250 個位元組。請考慮慢速和 / 或高延遲連結的定期啟用影響目標環境中的電腦是否擁有網際網路連線能力？針對自動的 MAK 獨立啟用，每部電腦都需要連線到網際網路的連線能力目前的網域名稱系統 (DNS) 服務是否支援 SRV 記錄和 DDNS ？

KMS 所使用的預設自動發行和自動探索功能需要動態的 DNS 和 SRV 記錄支援。 Microsoft Windows 2000 或以上版本的 DNS 和 BIND 8.x 或更新版本可完整支援這些功能

基礎架構分析問題

1. 準備 :目標環境考慮因素 (2)原則 對於啟用的影響高安全性網路 ( 不允許外部資料傳輸 )

任何種類的資料並無法跨越網路邊界來傳輸OEM 啟用可能是這些案例中的最佳解決方案受限制的網際網路存取 存取網際網路時會受限的位置KMS 或 MAK 啟用可用於啟用

安全性原則考慮因素

連線類型 特性連線 這類電腦一般會連線到網路遠端加上定期連線 這類電腦位於「實地」，通常是透過虛擬私人網路 (VPN) 或造訪本地辦公室來進行依需要的組織網路連線遠端加上有限連線 這類電腦位於「實地」，並且沒有直接存取網路，但是可能會以 Web 型態來存取組織資源中斷連線 這類電腦可能從來不曾連線到網路，或連線機會非常地少 (像是一年少於兩次 )

連線類型

2. 將電腦對應至啟用解決方案 :情境應用範例由 OEM partner 為我們事先安裝 Windows Vista 使用 OEM ( 不需

KMS 或是 MAK)

我們的使用者處在一個管理良好的網路環境且經常連結到網域 使用 KMS

我們有多個網域 , 跨國環境且超過 100,000 連結的 PCs 使用 KMS

我們有在外工作的 sales人員且一年少於兩次連到公司網路 使用 MAK

我們有個駐外辦公室，這個辦公室擁有自己的網路環境且使用者數量少於 25個 使用 MAK

我們將士兵送上戰場，但是這些士兵可能需要在沒有網路與電話的狀態下重新安裝或重新啟用 Windows Vista使用 MAK (with Conf ID)

我們有個超過 1,000 台 PC 的 lab 完全沒有對外的連線 使用 MAK (with bulk activation)

我們有遠端使用者，這些使用者只有慢速且昂貴的網路連線 使用 MAK 或 KMS (modify interval)

2. 將電腦對應至啟用解決方案 :

準則 啟用類型 電腦個數欲啟用的電腦總數 N/A 100,000

無法每 180 天至少連線一次的電腦個數 MAK -3,000

所包含電腦個數少於 25 台的環境中的電腦個數 MAK -1,000

會經常連線到網路的電腦個數 KMS -95,000

所包含電腦個數多於 25 台，並且沒有網際網路連線能力的中斷連線環境中的電腦個數 KMS -250

所包含電腦個數少於 25 台，並且沒有網際網路連線能力的中斷連線環境中的電腦個數 MAK -750

剩下的電腦計數應該為零   0

啟用對應工作表範例

演練 : 真實環境中如何選擇啟用類型

3.日常管理和報告檢視 Microsoft 授權網站來監視所使用的 MAK 啟用個數In Vista and Windows Server “Longhorn”Volume Activation Management Tool

Used for MAK Proxy activation and reportingCan import/export management tool data

Event Logs on every machine and on the KMS MachineCan be mined remotely by any management tool

Public API, WMI interfaces, and open license store for reporting on license & activation stateIntegration with Microsoft System Center and other Management ToolsKMS Management Pack for MOM 2005Integrated into System Center 3/07 releaseIntegrated into System Center 7/07 release with canned reports

KMS MP for MOM: 啟用計數摘要

KMS MP for MOM: 電腦超過啟用時限

從 KMS 轉換為 MAK 的步驟 從 MAK 轉換為 KMS 的步驟 從 RFM 復原 從非正版中復原 疑難排解啟用問題

4. 支援服務 : 常見的需求 / 問題

More resource Windows Vista Volume Activation 2.0 技術指南

http://www.microsoft.com/taiwan/technet/windowsvista/plan/volact.mspx

Volume Activation 2.0 逐步指南http://www.microsoft.com/taiwan/technet/

windowsvista/plan/volact1.mspx Volume Activation 2.0 常見問題

http://www.microsoft.com/taiwan/technet/windowsvista/plan/faq.mspx

下載技術說明文件和其他支援教材http://www.microsoft.com/taiwan/technet/

windowsvista/plan/download.mspx

Windows Vista VA2.0 佈署步驟Step 1: Acquire Volume License Key and Media- Acceptance Letter- Online Portal (eOpen, MVLS, etc)- Phone call to CSR

Step 2: Enable KMS service- Install VLK on Vista machine- VLK is encrypted and kept in trusted store- Check DNS registration and TCP port availability- KMS regularly checks network size and automatically activates clients- Clients must re-activate at least once every 210 days- Current state reported via MOM and reporting tools

Step 3: Deploy Vista clients- Use same techniques as XP- Imaging, DVD, Install Point- Activation service already running

Step 4: Roll out Multiple Activation Keys (MAKs) as needed- Obtain and refill via Online Portal- Limit of activations based on agreement- Add to image or script to deploy to users- Activated against MS online or via telephone- No re-activation at 180 days

Step 5: Monitor KMS and create reports as needed- KMS ships with MOM pack- Reporting data can be collected from KMS and clients via API

Vista PC w/ KMS on

Vista PCVista PC

Vista PC

Vista PC

Vista PC

Vista PC

IT Pro

Vista PC

Vista PC

Vista PC

相關軟體下載 : KMS for Windows Server 2003 (x64)

http://www.microsoft.com/downloads/details.aspx?FamilyId=F500D97B-8648-49B8-AF7C-C65A47E83256&displaylang=en

KMS for Windows Server 2003 (x86) http://www.microsoft.com/downloads/details.aspx?

FamilyID=81d1cb89-13bd-4250-b624-2f8c57a1ae7b&DisplayLang=en

Volume Activation Management Tool 1.0 http://www.microsoft.com/downloads/details.aspx?

familyid=12044DD8-1B2C-4DA4-A530-80F26F0F9A99&displaylang=en

KMS Management Pack for MOM 2005 http://www.microsoft.com/downloads/details.aspx?

FamilyId=F500D97B-8648-49B8-AF7C-C65A47E83256&displaylang=en

Business Desktop Deployment 2007 http://go.microsoft.com/fwlink/?LinkId=62043

Q&A