Vous êtes sur la page 1sur 3

Page 1 sur 3

Volume Activation 2.0 : Prsentation et Implmentation

http://www.laboratoire-microsoft.org/articles/VolumeActivation2_-_Presentation-Implementation/

Imprimer cet Article

Jean-Sbastien DUCHNE
LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT
Consultant Infrastructure / MVP SCCM
Tous les articles de cet auteur

2. Windows Product Activation : Implmentation


2.2 Activation en Entreprise
2.2.2 Activation par Key Management Service (KMS)
2.2.2.1 Prsentation

Nous avons vu prcdemment que la mthode dactivation par cl MultipleActivation est trs limite dans le cadre dune grosse infrastructure.
La plupart du temps, il est ncessaire dutiliser un autre systme appel Key Management Service (KMS ou Service gestionnaire de cls).
Ce systme permet lactivation des clients sans quils aient besoin de contacter Microsoft. Lentreprise na besoin que dune seule cl (licence en volume)
pour lensemble des postes de son parc.
Cette cl sera installe sur un seul hte KMS, qui communiquera avec les serveurs dactivation de Microsoft la premire fois. Cet hte naura donc plus
besoin de contacter Microsoft par la suite.
Par dfaut les ordinateurs disposant de Windows Vista ou + et Windows Server 2008 ou + (les clients KMS) tenteront automatiquement de sactiver auprs
dun serveur KMS toutes les deux heures.
Une fois activ, le client devra se ractiver priodiquement tous les 180 jours (ou 210 en comptant la priode de grce).
Les clients activs ressayeront donc de contacter le serveur KMS tous les 7 jours.
Si lactivation russit, la priode de 180 jours sera renouvele.
Si lactivation choue et que la priode des 180 jours est dpasse, le client passera en mode de fonctionnalits rduites.
La fonctionnalit dhte KMS (= Serveur KMS) est disponible sur Windows Vista, Windows 7, Windows Server 2008 et Windows Server 2008 R2.
Mais attention ! KMS dispose dun seuil dactivation minimum qui compte le nombre de requte dactivation sur les 30 derniers jours.
En effet, ce seuil dactivation nest pas modifiable et il assure que le systme KMS nest utilis quen entreprise et ne sert pas des fins de piratage.
Au moins 5 ordinateurs physiques sont ncessaires pour activer les serveurs KMS sous Windows Server 2008 ou Windows Server 2008 R2 et au moins 25
pour activer les serveurs KMS sous Windows Vista ou Windows 7.
Notez que dans les deux cas, les requtes peuvent tre originaires de Windows Vista (ou Windows7) et Windows Server 2008 (ou Windows Server 2008 R2).
Vous avez pu voir prcdemment que les machines virtuelles nentrent pas en compte dans la prise en compte du seuil dactivation. Il est cependant (une fois
le seuil dactivation atteint) possible dactiver des machines virtuelles par le biais de KMS.
Nous avons vu plus tt que lors dune activation, cest le client qui doit contacter son serveur KMS. De ce fait, la problmatique suivante mane : Comment le
client sait quelle machine contacter ?
Il existe deux mthodes de dcouverte :
l

Lauto-dcouverte : Le client utilise un enregistrement DNS de type SRV (Service) afin de contacter le serveur KMS. Cette mthode ncessite donc
lutilisation dun serveur DNS. Le client va donc contacter le serveur DNS afin de connatre lenregistrement : named _vlmcs._TCP pointant sur le
serveur KMS.
Notez que le serveur KMS tentera automatiquement de crer cet enregistrement SRV en utilisant la mthode denregistrement automatique DNS.
Si cette fonctionnalit nest pas active, il est ncessaire de crer lenregistrement la main.

Par connexion directe : il est possible dutiliser le script Windows Software Licensing Management Tool ou Slmgr.vbs afin de spcifier un serveur
KMS sur le client.

Vous devez utiliser la commande suivante : cscript %systemroot%\system32\slmgr.vbs skms <Serveur-KMS>


Nous avons vu le fonctionnement de KMS, nous allons voir dans la partie suivante linstallation et la configuration dun serveur KMS.

2.2.2.2 Installation et Configuration dun Serveur KMS

Pour cette partie, vous devez disposez dune cl (licence en volume) et dune machine hte (Windows Vista ou Windows 7 ou Windows Server 2008 ou
Windows Server 2008 R2) servant de serveur KMS.
Notez quun module servant de serveur KMS pour Windows Server 2003 est disponible.
Nous allons installer la cl de licence en volume sur le serveur KMS.
Pour cela, ouvrez une invite de commande et tapez la commande cscript %systemroot%\system32\slmgr.vbs ipk <Volume-Key> :

http://www.labo-microsoft.org/articles/VolumeActivation2_-_Presentation-Implement... 05/09/2013

Page 2 sur 3

Il faut ensuite activer le serveur KMS en utilisant Internet (Notez quil est possible de lactiver par tlphone) : cscript %systemroot%\system32\slmgr.vbs
ato

Veillez aussi ce que le port ddi KMS (1688/TCP par dfaut) soit ouvert sur les firewalls du serveur et du client.
Notez que vous pouvez utiliser VAMT afin de connatre le statut des clients KMS.

Lavantage de cette mthode est quelle permet une automatisation complte du processus dactivation et ne ncessite donc pas une intervention humaine.
Cependant, les clients KMS doivent se ractiver auprs du serveur KMS. Il est donc ncessaire de sassurer que ce serveur KMS sera toujours disponible afin
que tous les clients puissent se ractiver sans problme.

2.2.2.3 Scurisation du Serveur KMS

La question qui doit srement vous trotter dans la tte cest : Si un client externe se connecte sur mon rseau, il aura accs aux enregistrements DNS et donc
pourra sactiver auprs du serveur KMS ?
La rponse est OUI, le processus dchange entre le client KMS et son serveur ninclut pas dtape dauthentification et dautorisation.
Le client na donc pas prouver son identit afin daccder au service.
Il est en premier lieu ncessaire de scuriser laccs au serveur KMS par le biais du firewall dentreprise afin que des personnes extrieures au rseau ne

http://www.labo-microsoft.org/articles/VolumeActivation2_-_Presentation-Implement... 05/09/2013

Page 3 sur 3

puissent y accder.
La mise en place dune stratgie de contrle daccs au rseau interne est ncessaire mais difficile mettre en uvre.
Pour cela, il est ncessaire disoler le serveur par le biais de diffrentes solutions disolation.
Celles-ci restreindront laccs au serveur et ncessiteront au moins une phase dauthentification et dautorisation.
Il va de soit que lutilisation dune architecture Active Directory est ncessaire pour authentifier les clients.
La mise en place dune stratgie IPSec est la meilleure mthode de scurisation et disolation de votre serveur.
Pour rappel, IPsec bloque le trafic manent des ordinateurs non connus.
Je vous renvoi vers la documentation Technet pour connatre la procdure de mise en place de cette solution : http://technet.microsoft.com/enus/library/cc723923.aspx

Cet Article vous a plu ? Voici quelques informations supplmentaires !

Introduction
1. Windows Product Activation : Explications
1.1 Pourquoi lActivation ?
1.2 Comment a marche ?
1.3 Les tats de licences
1.4 Les diffrents types de licences
1.4.1 Fabricants dOrdinateurs OEM
1.4.2 Vente au dtail
1.4.3 Licence en volume
1.4.4 Windows sans Activation ?
2. Windows Product Activation : Implmentation
2.1 Activation au dtail
2.1.1 Par Internet
2.1.2 Par Tlphone
2.2 Activation en Entreprise
2.2.1 Acrivation par Multiple Activation Key (MAK)
2.2.1.1 Prsentation
2.2.1.2 Implmentation
2.2.1.2.1 Prise en main de VAMT
2.2.1.2.2 Ajouter une cl MAK
2.2.1.2.3 Activation MAK indpendante
2.2.1.2.4 Activation MAK par proxy
2.2.2 Activation par Key Management Service (KMS)
2.2.2.1 Prsentation
2.2.2.2 Installation et Configuration dun Serveur KMS
2.2.2.3 Scurisation du Serveur KMS
2.3 Informations supplmentaires
2.3.1 Dsactiver la fonctionnalit Windows Anytime Upgrade
2.3.2 Dsactiver lactivation automatique des clients KMS
2.3.3 Activer lauto-dcouverte des clients KMS
2.3.4 Description des diffrents statuts de licence dans VAMT
2.3.5 Cration manuelle de lenregistrement SRV pour KMS
2.3.6 Documentations Utiles
Conclusion
(c) Laboratoire Microsoft

http://www.labo-microsoft.org/articles/VolumeActivation2_-_Presentation-Implement... 05/09/2013