On voit tout de suite l’intérêt et la pertinence d’implémenter un serveur KMS au sein de l’infrastructure VDI.
Mais qu’est-ce qu’un KMS?
Depuis le lancement de Windows Vista & Windows Server 2008, Microsoft a introduit une nouvelle stratégie d'activation de licence en volume pour éviter toute fuite de clé de licence hors de l'entreprise, mais surtout pour se protéger du «piratage» en évitant l’abus et l’illégalité de licences. Il en découle que tous les systèmes d'exploitation, à partir de Windows Vista et Windows Server 2008 doivent être activés via un programme de licence en volume pour que Microsoft puisse contrôler l’activité des clés de produits.
Ces nouvelles spécifications vont permettent d'automatiser le processus d'activation via deux méthodes d'activation :
- MAK pour Multiple Activation Keyou Clé d'Activation Multiple.
- KMS pourKey Management ServiceouService de Gestion des Clés.
La gestion des licences par la méthode MAK s’adresse surtout aux TPE /PME qui disposent d’un parc de moins de 25 machines ou d’un petit site distant avec quelques postes de travail. Cette méthode n’est donc pas préconisée dans les environnements de virtualisation du poste de travail qui vont rapidement implémenter un nombre important de postes utilisateurs.
KMS est un service qui permet l'activation des produits Microsoft en volume pour un nombre très important de poste utilisateurs (de serveurs aussi, mais ce n’est pas l’objet de ce billet). C'est donc la solution idéale pour les environnements de virtualisation du poste de travail. De plus, il suffira d'une seule clé KMS pour pouvoir activer l'ensemble des machines de son environnement virtuel.
Contrairementà la méthode MAK, le serveur KMS ne s'active qu'une seule et unique fois depuis les serveurs Microsoft. Les postes utilisateurs qui auront besoin d'être activés sur le réseau s'activeront de manière automatique, donc transparente pour l’utilisateur, auprès du serveur KMS implémenté sur la plateforme virtuelle en interne, et non plus sur les serveurs Microsoft depuis Internet.
Gestion du mécanisme d’échanges pour l’activation de licence
Ce paragraphe explique les différentes étapes de la chaine KMS pour l’activation des licences.
Schéma de principe
Gestion de l’activation de la licence KMS
Après l’installation et la configuration du serveur KMS, les étapes d’enregistrement sont les suivantes:
Détail du processus d’enregistrement:
- Acquisition de la licence KMS et installation sur le serveur KMS
- Activation chez Microsoft. L’activation de fait une seule fois.
- Enregistrement des références du serveur KMS dans le serveur DSN
Gestion de l’activation du poste de travail
Une fois ces étapes terminées, l’activation de la licence du poste de l’utilisateur va se gérer au travers du réseau interne (plus besoin de passer par Internet), de façon automatique et transparente pour l’utilisateur. Le détail du mécanisme d’échange pour l’activation de la licence du poste de travail (en rouge sur le schéma) est présenté ci-dessous.
Détail du processus d’enregistrement:
- Le poste de travail, via le service « Software Licensing » tente de contacter l’hôte KMS. Deux méthodes de découverte sont possibles selon la manière dont a été configuré le client:
- Par connexion directe : Le service vérifie dans la base de registre locale si un hôte KMS est spécifié. S’il trouve son nom, on passe à la deuxième étape.
- Par l’auto-découverte: Le service tente d’identifier l’hôte KMS en effectuant une requête DNS.
- Le Product ID de l’hôte KMS
- Les fréquences d’activation
- Le CMID (Client Machine ID)
Pour éviter l’utilisation abusive de serveurs KMS hors contexte professionnel, Microsoft a mis en place une politique de sécurité au sein de la gestion KMS qui nécessite d’avoir un minimum de 25 postes client et(ou) 5 serveurs pour activer le serveur KMS auprès des serveurs d’activation de Microsoft.
Clés clients KMS Système et Office (GVLK)
Clé client KMS système
Par défaut, les éditions de licence en volume de Windows Vista ®, Windows ® 7 et Windows Server ® 2008 ou Windows Server 2008 R2 sont déjà préparées à l’activation par KMS. La clé client KMS est déjà installée dans les éditions de licence en volume de ces produits. Vous n'avez pas besoin d'entrer une clé pour activer un produit comme un client KMS, sauf si vous convertissez un produit MAK-activé en activation par KMS
Pour convertir une machine licenciée avec une clé client MAK vers une licence volume KMS, il suffit d'installer une clé client KMS (ça marche aussi dans l’autre sens), exécutez:
- cscript slmgr.vbs /IPK CleCliKms où «CleCliKms» est l'une des clés clients KMS indiquées dans le tableau ci-dessous.
Après l'installation de la clé client KMS, activer le poste client KMS en exécutant:
- cscript slmgr.vbs /ato
Edition du système d’exploitation | Clés clients KMS |
Windows7 | |
Windows 7 Professional | FJ82H-XT6CR-J8D7P-XQJJ2-GPDD4 |
Windows 7 Professional N | MRPKT-YTG23-K7D7T-X2JMM-QY7MG |
Windows 7 Enterprise | 33PXH-7Y6KF-2VJC9-XBBR8-HVTHH |
Windows 7 Enterprise N | YDRBP-3D83W-TY26F-D46B2-XCKRJ |
Windows 7 Enterprise E | C29WB-22CC8-VJ326-GHFJW-H9DH4 |
Windows Server2008R2 | |
Windows Server 2008 R2 HPC Edition | FKJQ8-TMCVP-FRMR7-4WR42-3JCD7 |
Windows Server 2008 R2 Datacenter | 74YFP-3QFB3-KQT8W-PMXWJ-7M648 |
Windows Server 2008 R2 Enterprise | 489J6-VHDMP-X63PK-3K798-CPX3Y |
Windows Server 2008 R2 for Itanium-Based Systems | GT63C-RJFQ3-4GMB6-BRFB9-CB83V |
Windows Server 2008 R2 Standard | YC6KT-GKW9T-YTKYR-T4X34-R7VHC |
Windows Web Server 2008 R2 | 6TPJF-RBVHG-WBW2R-86QPH-6RTM4 |
Clé client KMS Office
Les clés clients KMS sont préinstallées sur tous les produits en volume Office2010. Si vous avez entré une clé MAK pour un produit et que vous souhaitez repasser à la méthode d’activation KMS, utilisez la clé client KMS appropriée indiquée dans le tableau ci-dessous.
La méthode recommandée pour entrer la clé consiste à utiliser l’outil VAMT 2.0 .
Vous pouvez également le faire en lignes de commande. Pour la conversion, exécuter :
- cscript “C:\Program Files\Microsoft Office\Office14\ospp.vbs” /inpkey:CleCliKms où «CleCliKms» est l'une des clés clients KMS indiquées dans le tableau ci-dessous.
Pour l’accès au serveur KMS exécuter:
- cscript “C:\Program Files\Microsoft Office\Office14\ospp.vbs” /SETHST:DnsName ou «DnsName» est le nom du serveur DNS (Cela est nécessaire si vous voulez configurer votre nom de serveur de KMS manuellement)
Après l'installation de la clé client KMS, activer Office 2010 en exécutant:
- cscript “C:\Program Files\Microsoft Office\Office14\ospp.vbs” /act
Pour les suites Office2010, une seule clé est requise pour tous les produits de la suite. Par exemple, si vous utilisez Microsoft Office Professionnel Plus2010, vous devez entrer uniquement la clé Office Professionnel Plus2010 correspondant à la suite entière.
Voir ce lien sur le site Microsoft
Edition d’Office 2010 | Clés clients KMS |
Suites | |
Office Professionnel Plus2010 | VYBBJ-TRJPB-QFQRF-QFT4D-H3GVB |
Office Standard2010 | V7QKV-4XVVR-XYV4D-F7DFM-8R6BM |
Office Home and Business2010 | D6QFG-VBYP2-XQHM7-J97RH-VVRCK |
Produits autonomes | |
Access2010 | V7Y44-9T38C-R2VJK-666HK-T7DDX |
Excel2010 | H62QG-HXVKF-PP4HP-66KMR-CW9BM |
SharePoint Workspace2010 | QYYW6-QP4CB-MBV6G-HYMCJ-4T3J4 |
InfoPath2010 | K96W8-67RPQ-62T9Y-J8FQJ-BT37T |
OneNote2010 | Q4Y4M-RHWJM-PY37F-MTKWH-D3XHX |
Outlook2010 | 7YDC2-CWM8M-RRTJC-8MDVC-X3DWQ |
PowerPoint2010 | RC8FX-88JRY-3PF7C-X8P67-P4VTT |
Project Professional2010 | YGX6F-PGV49-PGW3J-9BTGG-VHKC6 |
Project Standard2010 | 4HP3K-88W3F-W2K3D-6677X-F9PGB |
Publisher2010 | BFK7F-9MYHM-V68C7-DRQ66-83YTP |
Word2010 | HVHB3-C6FV7-KQX9W-YQG79-CRY7T |
Visio Standard 2010 | 767HD-QGMWX-8QTDB-9G3R2-KHFGJ |
Visio Professional 2010 | 7MCW8-VRQVK-G677T-PDJCM-Q8TCP |
Visio Premium 2010 | D9DWC-HPYVV-JGF4P-BTWQB-WX8BJ |
Prérequisd'installation et déploiement
Après cette introduction plutôt théorique, je vais vous parler des trois prérequisqui doivent être remplis pour pouvoir déployer un serveur KMS.
Le serveur KMS
Machine physique ou virtuelle exécutant au minimum Windows Vista /Seven ou Windows Server 2008 / R2
La clé KMS
La clé KMS Windows (Windows7, Server 2008/R2) doit être récupérer depuis le site de Microsoft. La gestion des clés KMS s’appuie sur le principe des groupes de clés de Microsoft.
On distingue 4 groupes de clés pour les licences en Volume:
- LV Vista/Seven: Il inclut Windows Vista/Windows7 Professionnel et Enterprise
- Groupe de Serveurs A: Il inclut l’édition Web de Windows Server 2008/Windows Server 2008 R2
- Groupe de Serveurs B: Il inclut les éditions Standard et Enreprise de Windows Server 2008/Windows Server 2008 R2 avec ou sans le composant Hyper-V
- Groupe de Serveurs C: Il inclut l’édition Datacenter de Windows Server 2008/Windows Server 2008 R2 avec ou sans le composant Hyper-V ainsi que Windows Server 2008 pour les systèmes Itanium
Les clés CAM et KMS ont un fonctionnement différent:
- Les clés CAM (MAK): Clés d’activation Multiple ont un fonctionnement latéral.
C'est-à-dire qu’elles ne peuvent activer des produits que de leur propre groupe. - Les clés KMS sont hiérarchiques.
Elles peuvent activer des produits de leur groupe de licence plus les groupes inférieurs à celui-ci.
Par exemple, une clé de groupe B peut activer des produits du groupe A ainsi que les produits du groupe Vista VL.
Important:
Sur un serveur KMS, on ne peut pas avoir plus de deux clés :
- Une clé Windows: Si vous souhaitez gérer des licences KMS pour des postes Windows 7 et des serveurs Windows 2008 R2, il faudra mettre une clé de groupe B
- Une clé Office: Si vous souhaitez gérer des licences KMS pour Office 2010 Pro Plus et Office 2010 Standard, il faudra mettre une clé Office Pro Plus.
Tableau récapitulatif
Ouverture port 1688
Une ouverture des flux entre le serveur et les machines (en bidirectionnelle) doit être obligatoirement activée sur le port 1688. C’est le port par défaut attribué aux échanges entre le poste et le serveur KMS. Il peut être modifié si on le souhaite. Voici la commande qui permet ce changement:
cscript %systemroot%\system32\slmgr.vbs /sprt "numéro de port"
Installation de la plateforme KMS
Activation KMS pour le système
Installation de la clé sur le serveur KMS
Allez dans Démarrer de la machine ou serveur qui fera office de serveur KMS
Saisissez cmd (vous devez lancer cmd.exe avec des droits administrateur)
Sur l'invite de commande saisissez :
- cscript %systemroot%\system32\slmgr.vbs /ipk Volume-Key (ou «Volume-Key» est votre clé KMS)
Activation du serveur KMS
Il faut ensuite activer le serveur KMS en utilisant Internet. Saisissez la commande suivante:
- cscript %systemroot%\system32\slmgr.vbs /ato
Nota: Il est possible de l’activer par téléphone si vous n’avez pas accès à Internet pour quelque raison que ce soit. Saisissez la commande suivante:
- cscript %systemroot%\system32\slmgr.vbs /slui.exe . L'assistant d'activation apparaît, cliquez sur autre options d'activation et choisissez l’activation par téléphone.
Gestion du Pare-feu
Aller dans les options de votre pare-feu et choisir l’option «Autoriser un programme via le Pare-feu Windows». Autoriser le service «Key Management Service» à communiquer à travers le pare-feu. J’autorise le scope du domaine pour n’accepter que les activations des machines du domaine.
Le port par défaut est 1688, mais vous pouvez le changer par la commande:
- cscript %systemroot%\system32\slmgr.vbs /sprt wxyz (ou wxyz est le nouveau numéro de port).
Dès qu’une modification est appliquée au niveau de serveur KMS, un redémarrage du service de licence logiciel (Software Licensing Service) est requis.
Il est possible de redémarrer le service des deux manières suivantes:
- Par le gestionnaire de service (services.msc). Recherchez le service et redémarrez-le
- Par la commande suivante :
- net stop slsvc && net start slsvc (ou«net stop slsvc» et ensuite «net start slsvc»)
Tests et vérifications
Sur le contrôleur de domaine, vérifier les entrées DNS. Comme l’hôte KMS s’enregistre automatiquement sur le DNS, l’enregistrement du serveur KMS «_VLMC» doit être présent.
Maintenant que le serveur KMS a bien référencé son enregistrement dans les DNS, nous pouvons tester le bon fonctionnement de l’enregistrement par la commande:
- nslookup -type=srv _vlmcs._tcp
Le résultat devrait ressembler à ça :
Si l’enregistrement ne s’effectue pas rapidement, il est possible de le forcer par la commande:
- cscript %systemroot%\system32\slmgr.vbs /sdns
Cette commande permet de forcer l'activation de la publication automatique au niveau du DNS.
Vérifier le statut de votre serveur KMS par la commande suivante :
- cscript %systemroot%\system32\slmgr.vbs /dli (ou /dlv)
Activation KMS pour Office 2010
Maintenant que le serveur KMS est installé, il faut déclarer la licence KMS d’Office 2010.
Téléchargez l’Outil d’installation de l’hôte KMS Microsoft Office 2010 (version Française)
Exécuter le fichier téléchargé «KeyManagementServiceHost.exe».
L’installation commence et se fait dans une invite de commande.
A la question «Voulez-vous entrer une clé …», cliquez sur «Yes»
Saisir la clé KMS puis «OK»
Sur le serveur KMS, assurez-vous que le port 1688 est bien ouvert et que le service KMS est autoriser à communiquer au travers du Pare-feu.
Vous démarrez l'installation d'Office 2010, la clé d'activation KMS est déjà par défaut préinstallée. L'installation va rechercher le nom DNS de l’hôte KMS pour s’activer.
Pour gérer les activations et avoir le statut, utilisez l’outil VAMT
