Aufbau einer KMS Infrastruktur
|
by Thorsten Christoffers on 03/19/2009 | 23 Comments | 32,101 Views
|
In meinem ersten Blogeintrag werde ich über etwas schreiben worüber ich in einem aktuellen Projekt “gestolpert” bin. Es geht um das Thema der Lizensierung von Betriebssysteme ab der Version Windows Vista und Windows Server 2008.
Hierbei gibt es ja zwei Arten von Schlüsseltypen. Einmal der Multi Activation Key (MAK) Schlüssel und auf der anderen Seite der Key Management Service (KMS) Schlüssel. Bei der Verwendung des MAK Schlüssels ändert sich nichts gegenüber der VL Lizensierung in älteren Betriebssystemen. Vor Windows Vista / Windows 2008 war der Schlüssel immer an den Datenträger gebunden. D.h. für die Installation eines Windows XP mit VL Schlüssel brauchte man einen Datenträger aus dem VL Programm. Dies hat sich bei den aktuellen Betriebssystemen geändert und ist ein enormer Vorteil. Man braucht ab jetzt nur noch einen Datenträger. Da die einzelnen Windowsversionen als WIM Files auf einer DVD ausgeliefert werden, kann man sich pro Betriebssystem ein Image erstellen in dem alle Versionen vorliegen. In meinen Fall ist dies besonders im SCCM Bereich sehr sinnvoll da ich hier nur noch ein WIM Image pro Betriebssystem importieren muss. Die einzelnen Versionen kann man dann in einer Tasksequenze je nach Bedarf auswählen. Es gibt auch die Möglichkeit bei den installierten und aktivierten Systemen den Schlüsseltyp zu ändern. Hierzu hat Daniel Melanchthon einen sehr guten Blogeintrag geschrieben.
In meinem aktuellen Projekt stand ich nun vor der Herausforderung, dass die neuen Dell Optiplex Maschinen per SCCM mit Windows Vista betankt werden sollten. Der MAK Schlüssel wurde in der Tasksequenz eingegeben. Die Installation funktionierte auch ohne Probleme. Aber der Kunde wollte die Lizensierung auf die KMS Methode umstellen. Also habe ich schnell mal das Volume Activation Management Tool (VAMT) 1.1 heruntergeladen und auf einem Server installiert. Hierbei ist wichtig, dass der Rechner eine Verbindung zum Internet hat, da der KMS Server sich alle 180 Tage bei MS meldet. Jetzt stellten sich uns aber ein paar Fragen:
1.) Aber wie funktioniert dies den nun genau?
2.) Was sind die Mindestvoraussetzungen?
2.) Wo muss jetzt überall ein Schlüssel eingetragen werden?
3.) Wo sieht man den aktuellen Lizenzstatus der Maschinen?
Wenn man nun die VAMT Konsole das erste Mal startet sieht alles sehr “übersichtlich” aus. D.h. es werden keine Systeme angezeigt.
Wie man der Hilfe entnehmen kann, funktioniert dieses Tool für MAK Schlüssel und KMS Schlüssel. Also brauchten wir einen Weg um den KMS Clients den Weg zum KMS Host aufzuzeigen. Hierzu muss auf diesem Server erst Mal der KMS Schlüssel eingegeben werden. Diesen Schlüssel findet man im Lizenzportal von Microsoft: Microsoft Volume Licensing
Wichtig ist hierbei, dass es 3 verschiedene Typen von KMS Schlüssel gibt. Je nachdem auf welchem System der Schlüssel installiert wurde können andere Betriebsysteme aktiviert werden. In der folgenden Tabelle kann man genau erkennen welche Vorraussetzungen gegeben sein müssen:
|
Volume |
KMS Key | KMS can be hosted on |
Windows product editions activated by this KMS |
| Vista VL | KMS |
Windows Vista |
Windows Vista Business |
| Server Group A | KMS_A |
Windows Web Server 2008 |
Windows Web Server 2008 |
| Server Group B | KMS_B |
Windows Web Server 2008 |
Windows Server 2008 Standard |
| Server Group C | KMS_C |
Windows Web Server 2008 |
Windows Server 2008 Datacenter |
Anbei eine kurze an Anleitung wie man den KMS Host installiert:
| 1 |
Den KMS Schlüssel eingeben: C:\windows\system32\slmgr.vbs -ipk <KMS Key> |
| 2 | Den Server bei Microsoft aktivieren: C:\windows\system32\slmgr.vbs –ato  |
| 3 | Den Status der Konfiguration überprüfen: C:\windows\system32\slmgr.vbs –dli  |
| 4 | Danach wird automatisch der SRV Eintrag für den KMS Host im DNS gesetzt . Hierzu müssen die dynamischen Updates für diese Zone erlaubt sein!  Es kann aber auch ein manueller Eintrag in einer DNS Zone gesetzt werden. Dieser muss in der Zone unterhalb von _tcp mit den Werten von dem vorigen Bild gesetzt werden. Der KMS Client wertet die Flags “Priority” und Weight” nicht aus und muss deshalb nicht gesetzt werden. |
| 4a | Standardmäßig setzt der KMS Host den Eintrag nur in seiner DNS Zone. Es kann aber in der Registry ein Schlüssel gesetzt werden wo die zusätzlichen DNS Zonen eingetragen werden und zwar im Zweig: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL Hier muss ein Multi-String Value erstellt werden und zwar mit dem Namen DnsDomainPublishList. In diesen Schlüssel trägt man dann alle Zonen ein und startet den KMS Dienst neu. Zur Aktualisierung der Zonen im DNS benötigt der KMS Host Schreibrechte in jeder Zone. |
| 4b | Auch kann ein KMS Client “gezwungen” werden sich bei einem bestimmten KMS Server zu melden, dies funktioniert über folgenden Befehl: C:\windows\system32\slmgr.vbs <KMS Client> <Username> <Passwort> –skms <KMS Server> Danach wertet der Client die DNS Einträge nicht mehr aus und verbindet sich automatisch mit dem KMS Host. |
| 5 | Die KMS Client Maschinen sind automatisch für den KMS Dienst eingerichtet und müssen nicht mehr angepasst werden. |
| 6 | Den Status an den Clients kann man sich wie folgt ansehen: C:\windows\system32\slmgr.vbs <KMS Client> <Username> <Passwort> –dlv  |
Danach haben wir nach und nach die neuen Clients in der VAMT Konsole gesehen:
Leider wurden die Clients nicht automatisch aktiviert. Dabei hatten wir am Abend zuvor extra 25 Maschinen aufgesetzt und in das Netz gehangen. In der Auflistung war zu erkennen, dass 4 Maschinen schon aktiviert waren. Was war an diesen anders? In der Spalte Type konnte man erkennen, dass diese vom Typ KMS Host waren. Also musste jemand diese Maschinen mit dem KMS Key installiert haben. KMS Clients brauchen aber keinen KMS Key und dürfen auch keinen eingetragen haben da diese sonst als KMS Server arbeiten. Es darf ein KMS Key auch nur auf 6 Maschinen installiert werden und auf dieser Maschine darf der Key jeweils maximal 10 mal aktiviert werden. Also brauchten wir eine Lösung um aus dem Windows Vista wieder ein KMS Client zu machen. Wie weiter oben schon angesprochen, hat Daniel Melanchthon einen sehr guten Artikel zum Thema KMS / MAK geschrieben. Hierbei listet er auch die Initialen KMS Schlüssel auf. Wenn man den passenden Schlüssel für das passende Betriebssystem auswählt kann man mit dem folgenden Befehl den Schlüssel eintragen:
C:\windows\system32\slmgr.vbs <KMS Client> <Username> <Passwort> -ipk <Standardkey>
Dieser Schlüssel ist auch auf dem Datenträger der VL DVD im Unterordner “sourcen” in der Datei PID.txt zufinden.
Danach aktiviert man den KMS Client mit folgenden Befehl an dem KMS Server:
C:\windows\system32\slmgr.vbs <KMS Client> <Username> <Passwort> –ato
Wenn der Client per DNS Eintrag den KMS Server findet aktiviert sich das System automatisch. Gegebenenfalls muss noch eine Ausnahme in der Firewall für den Port 1688 eingetragen werden. Danach erscheint der Client auch wieder als KMS Client. Wenn dann der Schwellwert von 25 Vista Maschinen überschritten ist und der KMS Server eine Verbindung zum Internet hat funktioniert die Aktivierung der Clients auch völlig automatisch. Das Ergebnis sieht dann wie folgt in der VAMT Konsole aus:
Nach dem durchsuchen des Active Directory , merkten wir das einige Maschinen mit dem KMS Key installiert waren. Um diese wieder in einen KMS Client zu wandeln, muss auf all diesen Systemen der KMS Schlüssel zurückgesetzt werden.
Hierzu werde ich in einem folge Blogeintrag schreiben wie wir dies per SCCM automatisiert haben.
Wenn man also weiß wie diese KMS Infrastruktur in der Praxis funktioniert, kann man sich eine Menge Arbeit sparen und man muss den Kollegen den Vista Key nicht mehr mitgeben und kann diesen somit vor Verlust schützen.
So damit ist mein erster Blogeintrag (endlich) fertig und ich würde mich über ein paar Kommentare freuen! ;-)
Wie man in meinen Blogeintrag lesen kann, sind bei Windows 7 ein paar Änderungen hinzugekommen.
- 1 of 128
- next ›
+++ Profile Migrator 2 - Ein neuer Desktop, ein frisches Benutzerprofile und alle bewährten Einstellungen und Daten. Jetzt kostenlos und unbefristet testen!
23 responses for "Aufbau einer KMS Infrastruktur" |
Aktuelle Artikel
Über den Autor
 |
Thorsten Christoffers Consultant Blogs about System Center … deep inside |
Most viewed
| 32,101 Views |
Aufbau einer KMS Infrastruktur |
| 8,121 Views |
KMS Unterstützung in Windows 7 |
| 7,478 Views |
Windows 7 RTM per SCCM erfolgreich ausgerollt |
[...] mainly on topics
[...] mainly on topics related to Microsoft System Center. If you can read German, check out his first article on the Key Management Service (KMS) for [...]
[...] Problem , dass viele
[...] Problem , dass viele Systeme mit einem KMS Schlüssel aktiviert wurden. Wie in meinem Artikel beschrieben, darf der KMS Schlüssel aber nur auf dem KMS Host installiert werden. Das Problem [...]
Vielen Dank für die gute
Vielen Dank für die gute Anleitung!
Möglicherweise magst du noch was dazu sagen, wie KMS mit einem Internetzugang über einen Proxy umgeht bzw. wie man in einer Mehr-Domänen-Umgebung KMS implementieren kann?
Das wäre klasse!
Hallo cabra, der Proxy
Hallo cabra,
der Proxy Server sollte für den KMS Client nicht von Bedeutung sein. Der KMS Client sucht sich seinen KMS Server über das DNS und hierbei über den SRV Eintrag "_VLMCS". Hierbei muss dann nur sichergestellt werden, dass der KMS Server auf dem Layer 3 (OSI) ereichbar ist und das der Port 1688 frei ist. Wenn der Standardport geändert wurde muss natürlich dieser ereichbar sein.
Die mehr Domänenumgebung kann man auf dei verschiedene Wege umsetzen.
- Entweder setzt man die anderen DNS Domänen per Registry (Punkt 4a)
- Oder der Client wird "gezwungen" einen bestimmten KMS Server anzusprechen. (Punkt 4b)
- Man kann aber auch die DNS Zonen Einträge (SRV Einträge) von Hand setzen, dann finden die KMS Clients auch Ihren KMS Server. (Punkt 4)
Es freut mich das die Anleitung gut ist und das es etwas Feedback gibt. Ich dachte schon, dass nur der Google robot die ganzen Hits generiert hat! ;-)
Prima! Endlich ein Artikel
Prima! Endlich ein Artikel der diese Materie etwas mehr beleuchtet. Danke!
Ein sehr guter Artikel.
Ein sehr guter Artikel. Hinter einer Grundsatzfrage laufe ich aber schon länger her und finde keine Antwort darauf: Ich kaufe 50 PCs mit einer Vista / 7 OEM-Version. Kann ich dann einfach den KMS-Key aus meinem Select-Vertrag nehmen und damit die PCs aufsetzen, diese werden über KMS aktiviert und fertig.
Der Select-Vertrag weiß ja nicht, dass ich im Besitz von 50 Lizenzen bin, die ich als OEM mitgekauft habe. Oder überprüft der KMS das garnicht?
Hallo tobi, der KMS Server
Hallo tobi,
der KMS Server kann leider keine OEM Lizenzen prüfen. Der KMS steht ja auch nur als Enterpriseprodukt zur Verfügung und prüft in diesem Zusammenhang nur "Enterpriselizenzen" Ihre OEM Lizenzen müßten Sie in Ihrem Fall an 50 Maschinen als MAK Key direkt eingeben. Dies könnten Sie zwar automatisieren, ist aber kein eleganter Weg. Deswegen rät auch Microsoft seinen Kunden, nicht die (preiswerten) OEM Lizenzen im Enterpriseumfeld zukaufen, sondern auf die bekannten Lizenzverträge zu schwenken.
Hallo, kurz zur
Hallo,
kurz zur OEM-Thematik:
Es gibt keinen günstigeren Weg, an eine "volle" Lizenz für Windows-Produkte zu kommen. In den Volumenlizenzprogrammen sind Betriebssysteme nur als Upgrade erhältlich. Wie kommt also eine OEM-Version in das KMS?
Eigentlich ganz einfach:
Volumenlizenzkunden haben das Recht auf das "Re-Imaging". Man kann damit eine "OEM-Variante" eines Betriebssystems durch die "Volumenlizenz-Variante" ersetzen, sofern Produkt, Edition und Version übereinstimmen (Es kann also die Vista Business Software aus dem Volumenlizenzvertrag anstelle der OEM Vista Business Variante installiert werden. Z.B. bei einem Vista HOME OEM ist das jedoch nicht zulässig!).
Auch der Kauf eines OEM-Produktes und eines OS-Updates über das Lizenzprogramm ist möglich.
Damit funktioniert dann die Einbindung in´s KMS und vor allem die Standardisierung der Desktops.
Hinweis:
Durch die Verwendung des VL-Produktes kann der Garantieanspruch an den Gerätehersteller eingeschränkt oder ganz ausgeschlossen werden, da Gerät und OEM-Software als eine Einheit verkauft werden!
Alle Details zum Re-Imaging-Recht sind hier zu finden:
http://download.microsoft.com/download/3/D/4/3D42BDC2-6725-4B29-B75A-A5B...
Frohes Schaffen!
Ralph
Hallo Ralph, der Weg ist
Hallo Ralph,
der Weg ist schon der Richtige. Der günstigste Weg ist, die OEM Lizenzen mit SA aufzuwerten und dann im Microsoft Activiation Center für Deinen KMS Key aktivieren zu lassen. Danach erhältst Du einen neuen KMS Schlüssel, welchen Du dann in Deinen KMS Server einspielen musst. Danch stehen diese Lizenzen auch in der KMS Struktur zur Verfügung.
Gruß
Thorsten
Hallo Thorsten, das
Hallo Thorsten,
das Re-Imaging-Recht hat jeder Kunde mit einem aktiven Volumenlizenzvertrag, der den Pool "Systeme" beinhaltet.
Der Kauf von Software Assurance ist dafür nicht erforderlich.
Oder kurz: KMS ist für OEM-Produkte auch ohne Software Assurance nutzbar, das Activation Center muß dafür nicht kontaktiert werden.
Die Software Assurance ist aber wiederum Voraussetzung, um z.B. das (günstigere) "VECD für SA" zu kaufen, Viste Enterprise zu installieren, SA-Benefits zu nutzen etc.
Daher sollte man sich mit diesen Varianten schon eingehender befasst haben, bevor man die Entscheidung über pro/contra SA-Nachkauf trifft.
Ralph
Hi, kann mir jemand sagen
Hi,
kann mir jemand sagen wie ich einen zweiten KMS-Host implementiere?
Muss ich hier genau so vorgehen wie bei dem ersten, nur das ich den zweiten KMS-Host ducrh den ersten aktivieren lasse?
Wird bei dem zweiten dann auch der selbe Key eingetragen wie beim ersten?
Viele Grüße
Rolf
Hallo Rolf, wenn Du einen
Hallo Rolf,
wenn Du einen zweiten KMS Dienst in der gleichen (DNS) Domäne aufsetzen möchtest, kannst Du wie folgt vorgehen:
1.) Einen neuen Server zur Vefügung stellen.
2.) Den KMS Dienst mit dem vorhandenen KMS Key installieren Es können aber maximal 6 KMS Host mit einem Key aktiviert werden.
3.) Der KMS Host über das Internet aktivieren.
4.) Der KMS Dienst schreibt seine Service Informationen ins DNS.
5.) Die Clients finden den neuen Server nun auch über das DNS.
Nur muss bei diesem Server auch der Schwellwert betrachtet werden. D.h. erst wenn 25 Clients oder 3 Server sich zur Aktivierung gemeldt haben, wird der KMS Host aktiv. Es gibt keinen Abgleich der Datenbanken zwischen verschienden KMS Hosts.
Ich hoffe das Dir dies weiter hilft!
Gruß
Thorsten
Hallo Thorsten, eine blöde
Hallo Thorsten,
eine blöde Frage zum Thema KMS - benötigt man für den Server auch Windows CAL für jede Windows 7 Workstation, die man über den KMS Dienst aktivieren möchte? Hintergrund ist, dass wir Windows Server eigentlich nicht einsetzen (Novell Netware) und wir ungern CAL für den Server kaufen würden, wenn es nicht unbedingt nötig ist.
mfg
Matthias
Hallo Mathias, das Thema ist
Hallo Mathias,
das Thema ist zu komplex um hier doofe Fragen stellen zu können! ;-)
Also sobald ein Client auf einen Windows Server zugreift, brauchst man eine CAL. Dies bedeutet auch wenn der Client "nur" zum Aktiveren den Server kontaktiert, braucht dieser eine CAL. Bei jedem Server sind ja mindestens 5 CAL´s dabei, leider weiß ich nicht von wievielen Clients wir hier reden!?
Falls Ihr auf Grund Eurer Infrastruktur dies nicht lizensieren möchtet, bleibt Dir noch der Weg über die MA Keys. Hierzu benötigst Du dann keine CAL´s
Gruß
Thorsten
Vielen Dank für diese
Vielen Dank für diese ausführliche Anleitung, nun weiss ich nicht nur, wie das ganze System funktioniert sondern auch noch wie man es implementiert.
Echt top, weiter so.
Grüsse
Alain
Hallo Thorsten, Du schreibst,
Hallo Thorsten,
Du schreibst, dass ein Internet Zugang erforderlich ist.
Ich bin gerade bei der Implementierung eines KMS Servers. Laut den Protokollen ist dieser auch installiert und funktioniert, aber ich schaffe es nicht, das sich ein Server an dem KMS registriert.
Internetzugang hat der KMS nicht. Hier habe ich die Registrierung per Telefon durchgeführt.
DNS Einträge sind OK, aber auch das binden an den KMS führte nicht zum Erfolg.
Ist der Internetzugang zwingend erforderlich ?
Vielen Dank für einen Tip !
Bernd
Hallo Bernd, Du brauchst
Hallo Bernd,
Du brauchst mindestens drei Server Systeme, damit sich der KMS aktiviert.
Soweit es mir bekannt ist, braucht der KMS Server alle 180 Tage eine Verbindung zu MS. Denn es müssen die Schlüssel ja geprüft und validiert werden.
Gruß
Thorsten
Bei der Gelegenheit möchte
Bei der Gelegenheit möchte ich darauf hinweisen, dass das VAMT Tool in der Version 2.0.67.0 einen Bug hat. Das führt dazu, dass die Proxy Aktivierung fehlschlägt wenn der verwendete Server auf dem das VAMT läuft, das deutsche Zahlenformat eingestellt hat. Dadurch meldet es als Version 2,0,67,0 an den MS Server. Abhilfe schafft das Vertauschen von Punkt und Komma in den Systemeinstellungen.
Bei der Gelegenheit möchte
Bei der Gelegenheit möchte ich darauf hinweisen, dass das VAMT Tool in der Version 2.0.67.0 einen Bug hat. Das führt dazu, dass die Proxy Aktivierung fehlschlägt wenn der verwendete Server auf dem das VAMT läuft, das deutsche Zahlenformat eingestellt hat. Dadurch meldet es als Version 2,0,67,0 an den MS Server. Abhilfe schafft das Vertauschen von Punkt und Komma in den Systemeinstellungen.
Ich hab letzte Woche auch
Ich hab letzte Woche auch einen KMS-Server bei uns installiert und es blieben einige Fragen offen. Danke, nun bin ich wieder ein wenig schlauer! ;-)
Hallo, gerne doch! ;-)
Hallo,
gerne doch! ;-)
Hallo LeMa, vielen Dank für
Hallo LeMa,
vielen Dank für den Hinweis.
Wir haben für ein VDI-Projekt
Wir haben für ein VDI-Projekt auch einen KMS-Server für Win7 installiert. Dieser läuft auch tiptop. Nun wollen wir auch noch Office2010 darauf aktivieren. Dazu gibt es ja div. Anleitungen, jedoch führt keine zum Ziel. Das Office startet immer mit einem "roten Balken" sprich, es wurde nicht aktiviert.
Hat jemand noch einen Tip, der nicht in den offiziellen Dokumentationen steht?
vielen Dank vorab schon einmal