Aktivace na základě služby Active Directory v systému Windows Server 2012

Mnoho velkých organizací používá k aktivaci systému Windows speciální službu správy klíčů. Server správy klíčů (KMS), nainstalován na vyhrazeném hostiteli a aktivován speciálním klíčem společnosti Microsoft. V budoucnu mohou být všechny počítače společnosti aktivovány ne prostřednictvím serveru Microsoft, ale přímo prostřednictvím tohoto serveru KMS. Připomeňme, že když je počítač aktivován na serveru KMS, zachová si stav aktivace po dobu 180 dnů, po kterém musí být klient znovu aktivován pokaždé na dalších 180 dnů.

Windows Server 2012 představil nový aktivační model pro klienty se systémem Windows 8, Windows Server 2012 a Office 2013, který má nahradit KMS. Nová role s názvem Aktivní Adresář Na základě Aktivace (ADBA). Tato technologie umožňuje aktivovat počítače (samozřejmě s Win8 a Win2012), které jsou jednoduše zahrnuty do domény (jak zahrnout Windows 8 do domény AD). Na rozdíl od aktivace KMS není aktivace pomocí ADBA vázána na konkrétní hostitele (kms server), ale na celou AD službu, která je výhodnější z hlediska zajištění odolnosti aktivační služby proti chybám, navíc není nutné otevírat další porty na podnikových firewallech ( Připomínám vám, že pro aktivaci KMS musí mít klient přístup k serveru kms na portu 1688), potřebujete pouze standardní přístup LDAP k nejbližšímu řadiči domény (měl by to být běžný řadič domény rw, nikoli řadič RODC). Hostitelé jsou aktivováni službou ADBA po dobu stejných 180 dnů a pokud je počítač součástí domény, obnovení aktivace nastane automaticky interakcí s jakýmkoli dostupným řadičem domény. Při odebrání počítače aktivovaného aktivací na základě služby Active Directory z domény se přirozeně aktivace zruší. Upozorňujeme, že služba ADBA umožňuje klientům aktivaci v celé doménové struktuře služby AD..

Pro správu ADBA existuje speciální konzole Sada pro správu aktivace svazku 3.0 (VAMT). Další informace o VAMT 3.0, kde si jej můžete stáhnout a jak jej použít pro správu licencí..

Nainstalujte a nakonfigurujte aktivaci založenou na Active Directory

Aby aktivace založená na Active Directory fungovala, je nutné rozšířit schéma AD na Windows Server 2012 (jak aktualizovat schéma pomocí adprep.exe je popsáno v článku Aktualizace AD ​​na Windows Server 2012). Samostatný řadič se systémem Windows Server 2012 není třeba zvyšovat.

Poté na serveru se systémem Windows Server 2012 musíte roli nainstalovat Služby aktivace svazku. To lze provést pomocí standardní konzoly Server Manager výběrem Přidat role a funkce -> Další-> Nexa označte roli Služby aktivace svazku.

Služby aktivace svazkulze také nainstalovat pomocí následujícího příkazu PowerShell:

Install-WindowsFeature VolumeActivation -IncludeManagementTools

Po instalaci role spusťte konzolu pro správu Nástroje pro aktivaci svazku (Správce serveru-> Nástroje-> Nástroje pro aktivaci svazku) Pokud je konfigurace z klienta Windows 8, musíte nainstalovat RSAT pro Windows 8, v tomto balíčku je obsažena konzola Nástroje pro aktivaci svazku.

V okně Nástroje pro aktivaci svazku vyberte jako způsob aktivace klientů Aktivace založená na Active Directory.

Chcete-li aktivovat produkty MS pomocí ADBA, musíte do role serveru Služby aktivace svazků přidat příslušné klíče. Dále je třeba zadat klíč KMS vydaný vaší organizací (stejný klíč se používá pro KMS a ADBA), jeho název (v budoucnu vám umožní pohodlnější práci s mnoha klíči).

Dalším krokem je povolení aktivace podpory ADAP pro celou doménovou strukturu a aktivace licenčních klíčů pro objem na serverech Microsoft (telefonicky nebo online). Klíče VLK můžete také aktivovat staromódním způsobem pomocí rozhraní příkazového řádku a skriptu slmgr.vbs (podrobnosti viz článek Instalace a aktivace serveru KMS).

Po replikaci všech nových objektů v AD jsou všichni klienti se systémy Windows 8 a Windows Server 2012, kteří jsou zahrnuti v doméně a jsou nakonfigurováni pro použití sdílených klíčů VLK (přítomnost těchto klíčů říká OS, že k aktivaci dojde pomocí serveru KMS nebo prostřednictvím služby ADBA). přijímat informace z AD a jsou automaticky aktivovány. Na klientech nemusíte nic konfigurovat. Kompletní seznam klíčů GVLK najdete zde..

Mělo by být zřejmé, že v doméně není na řadičích domény spuštěn dedikovaný server ADBA nebo služba ADBA. Jedná se o pasivní proces, při kterém klienti vyhledávají služby Active Directory, vyhledávají atributy, které potřebují, a automaticky aktivují.

Zkusme zjistit, kde jsou informace o aktivaci ADBA uloženy ve službě Active Directory.?

Při rozšiřování schématu na Windows Server 2012 (popsané výše) se v AD objeví nové objekty, které mohou klienti použít k vyhledávání a aktivaci produktů v doméně. Tyto atributy jsou uloženy v konfiguračním kontejneru doménové struktury. CN = Aktivační objekty, CN = Microsoft SPP, CN = Služby, CN = Konfigurace .

Přímé úpravy objektů v této části se nedoporučují, pro tyto účely používejte pouze nástroj pro aktivaci svazku.

Aktuální stav aktivace zákazníka lze zkontrolovat příkazem:

slmgr.vbs -dlv

Řetězec Aktivace Objekt jméno: KMS AD Aktivace - říká, že klient je aktivován pomocí ADBA.

Atributy skriptu Slmgr.vbs jsou rozšířeny o další parametry odpovědné za aktivaci pomocí služby AD.

  • /aktivace reklam online [ProductKey]
  • /ad-Activation-Apply-get-iid [ProductKey]
  • /ad-Activation-apply-cid [ProductKey] [ConfirmationID]
  • /ao-list
  • / del-ao

V případě, že chybí potřebné atributy služby Active Directory, se klient pokusí aktivovat následující dostupnou metodou - aktivace KMS, pokus o nalezení záznamu SRV serveru KMS v DNS (jak najít server kms v doméně).

Pokud počítač vyloučíte z domény, aktivace zmizí během následujícího cyklu kontroly informací o licenci (při restartování počítače nebo při restartování služby Software Protection).

Dnes jsme tedy přišli na to, jak nakonfigurovat aktivaci klienta se systémy Windows 8 a Windows Server 2012 pomocí ADBA (server KMS již pro ně není zapotřebí!). Schopnost aktivovat ADBA nevylučuje možnost mít server KMS a schopnost aktivovat na něm klienty, zejména protože neexistuje podpora pro aktivaci ADBA pro starší OS (Windows 2008 / R2 / Vista / 7)..