Nếu môi trường mạng của bạn hỗ trợ giao thức cập nhật động DNS và cho phép các máy tính tự động xuất bản các service, việc triển khai KMS host có thể sẽ chỉ cần rất ít nỗ lực. Nếu tổ chức có nhiều hơn một KMS host hoặc mạng không hỗ trợ cập nhật động, các nhiệm vụ cấu hình bổ sung có thể cần thiết.
Triển khai kích hoạt KMS (Phần 1)
Phần 1: Triển khai kích hoạt KMS cho Windows 10, Windows 8.1, Windows Server 2012 R2, Windows Server 2016
Cảnh báo
Một số thủ tục trong phần này yêu cầu thay đổi registry. Vấn đề có thể xảy ra nếu registry được sửa đổi không chính xác, bằng cách sử dụng Registry Editor hoặc phương pháp khác, và để giải quyết những vấn đề này, bạn có thể buộc phải cài đặt lại hệ điều hành. Microsoft không thể đảm bảo rằng những vấn đề này có thể được giải quyết vì việc sửa đổi registry có rủi ro tiềm ẩn.
Phần còn lại của phần này mô tả các tác vụ chính sau đây:
Định cấu hình KMS host
Software License Manager, đôi khi được gọi là SL Manager (Slmgr.vbs), là một tập lệnh được sử dụng để cấu hình và lấy thông tin Volume Activation. Tập lệnh này có thể được chạy cục bộ trên máy tính đích hoặc chạy từ xa bằng một máy tính khác, nhưng nó sẽ được chạy từ một command prompt. Nếu một người dùng cơ bản chạy Slmgr.vbs, một số dữ liệu giấy phép có thể bị thiếu hoặc không chính xác, và nhiều hoạt động bị ngăn cấm.
Slmgr.vbs có thể sử dụng Wscript.exe hoặc Cscript.exe, do đó quản trị viên có thể chỉ định sẽ sử dụng công cụ tập lệnh nào. Nếu không có công cụ tập lệnh nào được chỉ định, Slmgr.vbs sẽ chạy bằng công cụ tập lệnh mặc định, wscript.exe.
Lưu ý: KMS yêu cầu loại bỏ tường lửa trên máy chủ KMS. Nếu sử dụng cổng TCP mặc định, hãy kích hoạt KMS Traffic Exception trong Windows Firewall. Nếu sử dụng tường lửa khác, hãy mở cổng TCP 1688. Nếu không sử dụng cổng mặc định, hãy mở cổng TCP tùy chỉnh trong tường lửa.
Software Licensing Service phải được khởi động lại để mọi thay đổi có hiệu lực. Để khởi động lại Software Licensing Service, hãy sử dụng Microsoft Management Console (MMC) Services hoặc có thể chạy lệnh sau tại command prompt:
net stop sppsvc && net start sppsvc
Slmgr.vbs yêu cầu ít nhất một tham số. Nếu tập lệnh được chạy không có tham số, tập lệnh sẽ hiển thị thông tin trợ giúp. Bảng 1 liệt kê các tùy chọn dòng lệnh Slmgr.vbs cùng với mô tả của từng tùy chọn. Hầu hết các tham số trong bảng 1 sẽ giúp cấu hình KMS host. Tuy nhiên, các tham số /sai và /sri được truyền cho các KMS clients sau khi chúng tiếp xúc với máy chủ. Cú pháp chung của Slmgr.vbs như sau:
slmgr.vbs /parameter
Bảng 1 - Các tham số Slmgr.vbs
Tham số
Mô tả
/sprt PortNumber
Đặt cổng giao tiếp TCP trên KMS host. Thay thế PortNumber bằng số cổng TCP để sử dụng. Cài đặt mặc định là 1688.
/cdns
Vô hiệu hóa tính năng xuất DNS tự động bởi KMS host.
/sdns
Cho phép xuất DNS tự động bởi KMS host.
/cpri
Giảm mức độ ưu tiên của tiến trình KMS host.
/spri
Đặt mức độ ưu tiên của tiến trình KMS host thành Normal.
/sai ActivationInterval
Thay đổi tần suất KMS client tự kích hoạt khi không thể tìm thấy KMS host. Thay thế ActivationInterval bằng số phút. Cài đặt mặc định là 120.
/sri RenewalInterval
Thay đổi tần suất KMS client cố gắng gia hạn kích hoạt, bằng cách liên hệ với KMS host. Thay thế RenewalInterval bằng số phút. Cài đặt mặc định là 10080 (7 ngày). Cài đặt này sẽ ghi đè cài đặt KMS client cục bộ.
/dli
Truy xuất số kích hoạt KMS hiện tại từ KMS host.
Chạy Slmgr.vbs từ xa
Để chạy Slmgr.vbs từ xa, quản trị viên phải cung cấp các tham số bổ sung. Chúng phải bao gồm tên của máy tính đích, cũng như tên người dùng và mật khẩu của tài khoản admin cục bộ trên máy tính đích. Nếu chạy từ xa mà không có tên người dùng và mật khẩu được chỉ định, tập lệnh sẽ sử dụng thông tin đăng nhập của người dùng đang chạy tập lệnh.
Cú pháp sau đây cho thấy các tham số bổ sung cần thiết để chạy Slmgr.vbs từ xa:
slmgr.vbs TargetComputerName [username] [password] /parameter [options]
Cấu hình Windows Firewall cho các hoạt động từ xa của Software License Manager
Slmgr.vbs sử dụng Windows Management Instrumentation (WMI), vì vậy các quản trị viên phải cấu hình Windows Firewall để cho phép lưu lượng WMI:
Chú ý: Theo mặc định, Windows Firewall Exceptions trong Private and Public profiles chỉ áp dụng ngoại lệ cho lưu lượng truy cập có nguồn gốc trên mạng con cục bộ. Để mở rộng ngoại lệ và áp dụng nó cho nhiều mạng con, hãy thay đổi cài đặt trong Windows Firewall và Advanced Security hoặc, nếu đã tham gia vào AD DS domain, hãy chọn Domain Profile.
Điều khiển từ xa hoạt động của các máy tính đích
Quản trị viên có thể cho phép Slmgr.vbs chạy từ xa với các máy tính làm việc theo nhóm. Để làm như vậy, hãy tạo giá trị DWORD:
LocalAccountTokenFilterPolicy
trong registry subkey
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem
trên KMS client. Đặt giá trị này thành 0x01.
Định cấu hình DNS
Các phần sau đây mô tả các khái niệm để cấu hình DNS hoạt động với Volume Activation:
Nếu sử dụng nhiều hơn một KMS host, hãy xem phần 'Thay đổi quyền DNS mặc định cho bản ghi SRV'.
Để cho phép KMS client sử dụng các DNS server khác nhau nhằm tìm KMS host, hãy xem phần “Xuất bản sang nhiều domain DNS”.
Để thêm thủ công các bản ghi tài nguyên SRV cho KMS host, hãy xem phần 'Tạo thủ công bản ghi SRV trong DNS', 'Tạo thủ công bản ghi SRV trong BIND DNS Server 8.2 trở lên' và 'Vô hiệu hóa chức năng xuất bản ghi KMS SRV vào DNS'.
Lưu ý: Thay đổi DNS có thể không được phản ánh cho đến khi tất cả các DNS server đã được sao chép.
Thay đổi quyền DNS mặc định cho bản ghi SRV
Nếu bạn chỉ sử dụng một KMS host, bạn có thể không cần cấu hình quyền trong DNS. Hành vi mặc định là cho phép máy tính tạo bản ghi tài nguyên SRV và sau đó cập nhật nó. Tuy nhiên, nếu bạn có nhiều hơn một KMS host (trường hợp thông thường), các KMS host khác sẽ không thể cập nhật bản ghi tài nguyên SRV, trừ khi quyền mặc định SRV được thay đổi.
Quy trình cấp cao sau đây là một ví dụ từ môi trường của Microsoft. Nó không cung cấp các bước chi tiết, có thể khác nhau đôi chút với các tổ chức khác nhau, và nó không phải là cách duy nhất để đạt được kết quả mong muốn.
Tạo một nhóm bảo mật toàn cầu trong Active Directory, sẽ được sử dụng cho các KMS host của bạn. Ví dụ là Key Management Service Group. Thêm các KMS host của bạn vào nhóm này. Tất cả chúng phải có cùng một domain.
Khi KMS host đầu tiên được tạo, nó sẽ tạo bản ghi SRV gốc. Nếu KMS host đầu tiên không thể tạo bản ghi tài nguyên SRV, thì có thể tổ chức của bạn đã thay đổi quyền mặc định. Trong trường hợp này, hãy tạo thủ công bản ghi tài nguyên SRV như trong phần “Tạo bản ghi SRV theo cách thủ công trong DNS”.
Đặt quyền cho nhóm SRV để cho phép các thành viên của nhóm bảo mật toàn cầu cập nhật.
Lưu ý: Quản trị viên domain có thể ủy quyền khả năng thực hiện các bước trước cho quản trị viên trong tổ chức. Để làm như vậy, hãy tạo một nhóm bảo mật trong Active Directory, cho phép nhóm đó thay đổi bản ghi SRV và sau đó thêm các thành viên vào.
Xuất bản sang nhiều domain DNS
Theo mặc định, KMS host chỉ được đăng ký trong DNS domain chứa host. Nếu môi trường mạng chỉ có một DNS domain, bạn không cần thực hiện thêm bất kỳ hành động nào.
Nếu có nhiều hơn một tên miền DNS, một danh sách các DNS domain có thể được tạo cho một KMS host sử dụng, khi xuất bản RR SRV của nó. Đặt giá trị registry này sẽ tạm dừng hành vi mặc định của KMS host đối với việc xuất bản trong domain được chỉ định làm hậu tố DNS chính. Có thể thêm thông số về mức độ ưu tiên và trọng số vào giá trị registry DnsDomainPublishList cho KMS. Tính năng này cho phép quản trị viên thiết lập nhóm ưu tiên KMS host và trọng số trong mỗi nhóm để xác định KMS host nào truy cập đầu tiên và cân bằng giữa nhiều KMS host.
Lưu ý: Thay đổi DNS có thể không được phản ánh cho đến khi tất cả các DNS server được sao chép. Các thay đổi được thực hiện quá thường xuyên có thể để lại các bản ghi cũ hơn, nếu thay đổi được thực hiện trên một server chưa được sao chép.
Để tự động xuất bản KMS trong nhiều DNS domain, thêm mỗi hậu tố DNS domain vào bất kỳ KMS nào sẽ xuất giá trị registry đa chuỗi:
DnsDomainPublishList trong HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSoftwareProtectionPlatform
Sau khi thay đổi giá trị, khởi động lại Software Licensing Service để tạo các SRV RR.
Lưu ý: Key này đã thay đổi vị trí sang HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSL từ Windows Vista.
Sau khi định cấu hình KMS host để xuất sang nhiều domain, hãy xuất registry key và sau đó nhập nó vào registry trên các KMS host bổ sung. Để xác minh rằng thủ tục này đã thành công, hãy kiểm tra Application event log (Nhật ký sự kiện ứng dụng) trên mỗi KMS host. Event ID 12294 chỉ ra rằng KMS host đã tạo thành công các SRV RR. Event ID 12293 chỉ ra rằng cố gắng tạo SRV RR không thành công.
Tạo bản ghi SRV theo cách thủ công trong DNS
Nếu môi trường không hỗ trợ cập nhật động, các SRV RR phải được tạo thủ công để xuất bản KMS host. Các môi trường không hỗ trợ cập nhật động nên vô hiệu hóa việc xuất bản trên tất cả các KMS host để ngăn việc thu thập các bản ghi khi xuất bản DNS không thành công. Để tắt tính năng tự động xuất bản, hãy sử dụng tập lệnh Slmgr.vbs với tùy chọn dòng lệnh /cdns. Xem phần “Cấu hình KMS” để biết thêm thông tin về kịch bản lệnh Slmgr.vbs.
Lưu ý: Các SRV RR được tạo thủ công có thể cùng tồn tại với SRV RR mà KMS host tự động xuất bản trong các domain khác, miễn là tất cả các bản ghi được duy trì để ngăn xung đột.
Sử dụng DNS Manager, trong vùng tra cứu chuyển tiếp thích hợp, tạo SRV RR mới bằng cách sử dụng thông tin thích hợp cho vị trí đó. Theo mặc định, KMS nghe trên cổng TCP 1688 và service là _VLMCS. Bảng 2 chứa các thiết lập mẫu cho một SRV RR.
Tên
Cài đặt
Service
_VLMCS
Giao thức
_TCP
Số cổng
1688
Host cung cấp service
FQDN của KMS host
Tạo thủ công bản ghi SRV trong BIND DNS Server 8.2 trở lên
Nếu tổ chức sử dụng DNS host không phải của Microsoft, các SRV RR cần thiết có thể được tạo, miễn là DNS host tuân thủ với Berkeley Internet Name Domain (BIND) 8.2 trở lên. Khi tạo bản ghi, bao gồm thông tin được hiển thị trong bảng 3. Các thiết lập mức độ ưu tiên và trọng yếu được hiển thị trong bảng 3 chỉ được Windows 7 và Windows Server 2008 R2 sử dụng.
Tên
Cài đặt
Tên
_vlmcs._tcp
Loại
SRV
Mức độ ưu tiên
0
Mức độ trọng yếu
0
Cổng
1688
Tên Host
FQDN của KMS host
Để cấu hình BIND DNS Server 8.2 trở lên hỗ trợ xuất bản tự động KMS, hãy cấu hình BIND server để cho phép cập nhật RR từ KMS host. Ví dụ, thêm dòng sau vào định nghĩa vùng trong named.conf:allow-update { any; };
Lưu ý: Một mệnh lệnh cho phép cập nhật cũng có thể được thêm vào trong các tùy chọn named.conf, nhằm cho phép cập nhật động cho tất cả các vùng được lưu trữ trên server này.
Vô hiệu hóa chức năng xuất bản ghi KMS SRV vào DNS
KMS host tự động xuất bản bằng cách tạo SRV RR trong DNS. Để vô hiệu hóa việc xuất bản DNS tự động bởi một KMS host, hãy sử dụng kịch bản lệnh Slmgr.vbs với tùy chọn dòng lệnh /cdns.
Sử dụng kịch bản lệnh Slmgr.vbs để tắt tính năng tự động xuất bản DNS được ưu tiên, nhưng bạn cũng có thể thực hiện tác vụ này bằng cách tạo một giá trị DWORD mới có tên là DisableDnsPublishing trong registry và đặt giá trị của nó thành 1. Giá trị này nằm tại HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSoftwareProtectionPlatform trong registry. Để kích hoạt lại hành vi mặc định xuất bản ghi KMS SRV vào DNS, hãy đặt giá trị thành 0.
Cài đặt KMS host
Để kích hoạt chức năng KMS, một KMS key được cài đặt trên một KMS host; sau đó, host được kích hoạt qua Internet hoặc bằng điện thoại sử dụng các dịch vụ kích hoạt của Microsoft. Các máy tính chạy Windows 7 hoặc Windows Server 2008 R2 đều có thể hoạt động như các KMS host. Windows Vista, Windows Server 2003 và Windows Server 2008 cũng có thể đóng vai trò là KMS host. Các KMS client mà một KMS host có thể kích hoạt phụ thuộc vào host key được sử dụng để kích hoạt KMS host.
Hãy cài đặt và kích hoạt KMS key trên máy tính Windows 7 hoặc Windows Server 2008 R2 bằng cách sử dụng command prompt:
Windows 7 và Windows Server 2008 R2 hiển thị cảnh báo bất kỳ khi nào quản trị viên cài đặt KMS host key bằng cách sử dụng giao diện người dùng (Người dùng sẽ không thấy cảnh báo này nếu họ cài đặt KMS host key bằng cách sử dụng kịch bản lệnh Slmgr.vbs). Thông báo này giúp ngăn chặn việc vô tình cài đặt một KMS key trên máy tính mà quản trị viên không có ý định sử dụng làm KMS host.
Để xác minh rằng KMS host được cấu hình đúng, hãy kiểm tra số KMS để xem liệu nó có đang tăng hay không. Trong cửa sổ Command Prompt trên KMS host, gõ slmgr.vbs /dli để hiển thị số KMS hiện tại. Quản trị viên cũng có thể kiểm tra nhật ký Key Management Service trong thư mục Applications and Services Logs cho Event ID 12290. Nhật ký Key Management Service ghi lại yêu cầu kích hoạt từ KMS client. Mỗi sự kiện sẽ hiển thị tên của máy tính và dấu thời gian của mỗi yêu cầu kích hoạt.
Cấu hình KMS client
Phần này mô tả các khái niệm để cài đặt và cấu hình máy tính như các KMS client. Theo mặc định, các phiên bản Volume License của Windows Vista, Windows 7, Windows Server 2008 và Windows Server 2008 R2 là các KMS client. Nếu các máy tính mà tổ chức muốn kích hoạt bằng cách sử dụng KMS đang sử dụng một trong các hệ điều hành này và mạng cho phép tự động phát hiện DNS, bạn sẽ không cần cấu hình thêm nữa.
Nếu KMS client được cấu hình để tìm kiếm KMS host bằng DNS nhưng không nhận các bản ghi SRV từ DNS, Windows 7 và Windows Server 2008 R2 ghi nhật ký lỗi trong nhật ký sự kiện.
Chỉ định thủ công một KMS host
Quản trị viên có thể gán thủ công một KMS host cho các KMS client bằng cách sử dụng bộ nhớ đệm KMS host. Việc gán thủ công một KMS host sẽ vô hiệu hóa tính năng tự động phát hiện KMS trên KMS client. Một KMS host được gán thủ công cho một KMS client bằng cách chạy :/skms [Activation ID] trong đó [/b] là [b]KMS_FQDN, IPv4Address hoặc NetbiosName của host và cổng là cổng TCP trên KMS host.
Nếu KMS host chỉ sử dụng giao thức Internet phiên bản 6 (IPv6), địa chỉ phải được chỉ định theo định dạng [hostname]:port (sử dụng dấu ngoặc vuông). Địa chỉ IPv6 chứa dấu hai chấm (:), sẽ được phân tích cú pháp không chính xác bởi tập lệnh Slmgr.vbs.
Bật tính năng Auto-discovery cho KMS client
Theo mặc định, các KMS client tự động phát hiện các KMS host. Tính năng Auto-discovery có thể bị tắt bằng cách gán thủ công một KMS host cho một KMS client. Hành động này cũng xóa tên KMS host khỏi bộ nhớ cache của KMS client. Nếu tính năng Auto-discovery bị vô hiệu hóa, nó có thể được kích hoạt lại bằng cách chạy slmgr.vbs /ckms tại command prompt.
Thêm mục nhập hậu tố vào KMS Clients
Bằng cách thêm địa chỉ của DNS server chứa SRV RR làm mục nhập hậu tố trên KMS client, quản trị viên có thể quảng cáo KMS host trên một DNS server và cho phép các KMS client với các DNS server chính khác tìm thấy nó.
Triển khai KMS client
Thông tin trong phần này là dành cho các khách hàng Volume Licensing sử dụng Windows Automated Installation Kit (Windows AIK) để triển khai và kích hoạt một hệ điều hành Windows. Chuẩn bị các KMS client để triển khai bằng cách sử dụng System Preparation Tool (Sysprep.exe).
Trước khi chụp ảnh, hãy chạy Sysprep.exe với tùy chọn dòng lệnh /generalize để đặt lại bộ hẹn giờ kích hoạt, mã định danh bảo mật (SID) và các cài đặt quan trọng khác. Đặt lại hẹn giờ kích hoạt sẽ ngăn thời gian gia hạn của hình ảnh hết hạn trước khi triển khai hình ảnh. Chạy Sysprep.exe không loại bỏ product key đã cài đặt và quản trị viên không được nhắc nhập key mới trong quá trình thiết lập mini. Nếu không có các rearm, việc chạy Sysprep.exe vẫn sẽ hoàn thành nhưng bộ đếm thời gian kích hoạt không thay đổi và lỗi được trả về sẽ giải thích thêm cho tình huống đó.
Khi xây dựng các máy ảo demo để sử dụng nội bộ (ví dụ, xây dựng các máy ảo cho bộ phận bán hàng của tổ chức hoặc để thiết lập môi trường đào tạo tạm thời), chạy kịch bản lệnh Slmgr.vbs với tùy chọn dòng lệnh /rearm kéo dài thời gian gia hạn thêm 30 ngày nữa, lần lượt đặt lại bộ hẹn giờ kích hoạt nhưng không có thêm bất cứ thay đổi nào khác đối với máy tính. Bộ đếm thời gian kích hoạt có thể được đặt lại ba lần cho các máy tính chạy Windows 7 hoặc Windows Server 2008 R2.
Kích hoạt thủ công KMS Client
Theo mặc định, các KMS client tự động cố gắng tự kích hoạt tại các khoảng thời gian định trước. Để kích hoạt thủ công các KMS client (ví dụ, các client đã ngắt kết nối) trước khi phân phối chúng cho người dùng, hãy sử dụng mục System Control System, hoặc chạy slmgr.vbs /ato tại command prompt. Kịch bản lệnh Slmgr.vbs báo cáo thành công hoặc thất bại và cung cấp code kết quả. Để thực hiện kích hoạt, KMS client phải có quyền truy cập vào một KMS host trên mạng của tổ chức.
Xem tiếp: Triển khai kích hoạt KMS (Phần 2)