部署KMS激活服务

一、安装KMS 主机

若要启用KMS 功能，KMS 密钥安装在上一台KMS 主机;然后，通过Internet 或通过电话使用Microsoft 的激活服务激活了主机。运行Windows 7 或Windows Server 2008 R2 的计算机可以同时充当KMS 主机。Windows Vista、Windows Server 2003 和Windows Server 2008 还可以充当KMS 主机。KMS 主机可以激活的KMS 客户端都依赖于用来激活KMS 主机的主机密钥。有关KMS 主机密钥的详细信息，请参阅批量激活规划指南。

安装和使用提升的命令提示符激活Windows 7 或Windows Server 2008 R2 的计算机上的KMS 密钥：

●若要安装KMS 密钥，请键入slmgr.vbs /ipk在命令提示符下。

●若要在线激活，请键入slmgr.vbs /ato在命令提示符下。

●若要通过电话激活，请键入slui.exe 4在命令提示符下。

在激活的KMS 密钥后, 重新启动软件保护服务。

Windows 7 和Windows Server 2008 R2 显示警告[图1] 中显示任何时间的管理员使用UI 安装KMS 主机密钥(用户不会看到此警告如果它们使用Slmgr.vbs 脚本安装KMS 主机密钥）。此消息可以防止意外地在管理员不想要的KMS 主机的计算机上安装KMS 密钥。

若要验证正确配置KMS 主机，请检查KMS 计数以查看它是否增加。在KMS 主机上的命令提示符窗口中，键入slmgr.vbs /dli 以显示当前的KMS 计数。管理员还可以检查应用程序和服务日志文件夹中的密钥管理服务日志的事件ID 12290。密钥管理服务日志记录激活KMS 客户端请求。每个事件显

示的计算机的名称和每个激活请求的时间戳。

二、配置DNS

1.更改为SRV 记录的默认DNS 权限

如果您使用的只有一台KMS 主机，您可能不需要在DNS 中配置的权限。默认行为是允许的计算机来创建一条SRV 资源记录，然后对其进行更新。但是，如果您有多个KMS 主机(的常见情况），其他主机将无法更新的SRV 资源记录，除非更改SRV 默认权限。

下面的高级过程是从Microsoft 的环境的一个示例。它并不表示授予可能有所不同到另一个组织的详细的步骤和它不是唯一的方法来实现所需的结果在将用于您的KMS 主机的Active Directory () 中创建一个全局安全组。密钥管理服务Group.Add 每个的KMS 主机到此组是一个示例。它们必须全部加入同一个域。

一旦创建后的第一个KMS 主机，它将创建原始的SRV 记录。如果第一个KMS 主机不能创建的SRV 资源记录，则可能是因为您的组织已更改的默认权限。在这种情况下，手动创建作为"手动创建SRV 记录在DNS"描述部分的SRV 资源记录。

设置为允许更新由全局安全组的成员的SRV 组的权限。

注意：域管理员可以委派给管理员在组织中前面的步骤执行的能力。若要这样做，请在Active Directory 中创建一个安全组、为若要更改的SRV 记录，该组授予的权限，然后添加委托。

2.将发布到多个DNS 域

默认情况下，KMS 主机注册仅在该主机所属于的DNS 域中。如果网络

环境中具有只有一个DNS 域，不不需要任何进一步的操作。

如果有多个DNS 域名，则可以为发布其SRV RR 时要使用的KMS 主机创建的DNS 域的列表。设置此注册表值将挂起的KMS 主机的默认行为仅在作为主DNS Suffix.Optionally 指定的域中的发布、优先级和权重将参数添加到DnsDomainPublishListKMS 的注册表值。此功能使管理员能够建立KMS 主机优先级组和每个组来定义该KMS 主机首先尝试并平衡多个KMS 主机之间的通信中的权重。

注意：直到已将复制的所有DNS 服务器可能不会反映DNS 更改。过于频繁地所做的更改（时间< 复制时间) 如果在尚未复制的服务器上执行更改可以保留较旧的记录。

若要在多个DNS 域中自动发布KMS，请将每个DNS 域后缀添加到KMS 应为多字符串注册表值发布者为准DnsDomainPublishList中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\SoftwareProtectionPlatform。更改后的值，请重新启动软件授权服务来创建SRV Rr。

注意：此密钥从Windows Vista 位置已更改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\SL

配置一台KMS 主机以将发布到多个域之后, 将导出注册表项，然后将其导入到其他KMS 主机上的注册表。若要验证此过程成功，请检查每台KMS 主机上的应用程序事件日志。事件ID 12294 指示KMS 主机已成功创建SRV Rr。事件ID 12293 表示创建SRV Rr 的尝试不成功。有关错误代码的完整

列表，请参阅批量激活操作指南。

3.在DNS 中手动创建SRV 记录

如果环境不支持动态更新，SRV Rr 必须手动创建要发布KMS 主机。不支持动态更新的环境应禁用发布服务器上所有KMS 主机，以防止从收集失败的DNS 发布事件的事件日志。若要禁用自动发布，请使用Slmgr.vbs 脚本与/cdns命令行选项。请参阅有关Slmgr.vbs 脚本的详细信息的"配置KMS"部分。

注意：手动创建可以与KMS 主机将自动发布其他域中，只要所有记录需要进行都维护以避免发生冲突的SRV Rr 共存SRV Rr。

使用DNS 管理器中，在相应转发查找区域创建新的SRV RR 的位置使用相应的信息。默认情况下，KMS 侦听TCP 端口1688，并且该服务_VLMCS。表2 包含SRV RR 的示例设置。

如果组织使用非Microsoft DNS 服务器，则可以创建所需的SRV Rr，只要该DNS 服务器是否符合与Berkeley Internet 名称域(BIND) 8.2 或更高版本。在创建时该记录，包括表3 中所示的信息。Windows 7 和Windows Server 2008 R2 仅使用表3 中所示的优先级和权重设置。

若要配置以支持自动发布KMS 的BIND 8.2 或更高版本的DNS 服务器，配置要启用从KMS 主机的RR 更新的BIND 服务器。例如，将以下行添加到named.conf 中的区域定义：allow-update { any; };

注意：allow-update语句还可以添加named.conf 选项以允许动态更新此服务器上托管的所有区域中。

KMS 主机会自动通过在DNS 中创建SRV Rr 发布它们的存在。若要禁用通过KMS 主机的自动DNS 发布，请使用Slmgr.vbs 脚本与/cdns命令行选项。

使用Slmgr.vbs 脚本来禁用自动DNS 发布是首选方法，但还可以通过创建新的DWORD 值调用来执行此任务DisableDnsPublishing在注册表中，并将其值设置为1。此值是在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\SoftwareProtectionPlatform在注册表中。若要重新启用发布到DNS 的KMS SRV 记录的默认行为，请将值设置为0。

三、KMS客户端配置

本部分介绍有关安装和配置作为KMS 客户端计算机的概念。默认情况下，

批量许可版本的Windows Vista、Windows 7、Windows Server 2008 和Windows Server 2008 R2 是KMS 客户端。如果组织想要使用KMS 激活的计算机使用这些操作系统之一，并且网络允许DNS 自动发现，则需要无需进一步配置。

如果KMS 客户端配置为使用DNS 的KMS 主机中搜索，但不会收到从DNS SRV 记录，Windows 7 和Windows Server 2008 R2 事件日志中记录错误。

1.手动指定一台KMS 主机

管理员可以将一台KMS 主机到KMS 客户端手动分配使用KMS 主机缓存。手动分配一台KMS 主机禁用自动发现的KMS KMS 客户端上。KMS 主机被手动分配到KMS 客户端通过运行:/skms [Activation ID] 其中是KMS_FQDN、IPv4Address 或NetbiosName KMS 主机的和端口为KMS 主机上的TCP端口。

如果KMS 主机使用Internet 协议版本6 (IPv6) 仅，必须采用格式[hostname] 指定的地址: 端口（使用方括号）。IPv6 地址包含冒号(:)，Slmgr.vbs 脚本将错误地分析它。

2.为KMS 客户端启用自动发现

默认情况下，KMS 客户端自动尝试发现KMS 主机。可以通过手动分配到KMS 客户端的KMS 主机禁用自动发现。此操作还会清除从KMS 客户端缓存的KMS 主机名。如果禁用了自动发现，它可以重新启用通过运行slmgr.vbs /ckms在命令提示符下。

3.将作为后缀条目添加到KMS 客户端

通过添加为KMS 客户端上suffixed 条目包含SRV RR 的DNS 服务器的地址，管理员可以将播发在一台DNS 服务器上的KMS 主机和允许的KMS 客户端与其他主DNS 服务器以查找它。

4.将KMS 客户端部署

本部分中的信息是有关使用Windows 自动安装工具包(Windows AIK) 来部署和激活Windows 操作系统的批量许可客户。通过使用系统准备工具(Sysprep.exe) 为部署准备的KMS 客户端。

在捕获映像之前, 先运行Sysprep.exe 以及/generalize命令行选项以重置激活定时器、安全标识符(SID) 和其他重要设置。重置激活定时器可防止图像的宽限期过期之前部署该映像。运行Sysprep.exe 不会删除已安装的产品密钥，而管理员不可以为新的密钥提示在最小化安装过程。如果没有重新装备处于、Sysprep.exe 操作完成但不是会更改激活定时器和返回错误，说明这种情况。

当生成供内部使用（例如，构建虚拟机组织的销售部门或设置临时培训环境），演示虚拟机运行Slmgr.vbs 脚本与/rearm命令行选项扩展宽限期内另一个30 天，这反过来会重置激活定时器，但对计算机进行任何其他更改。激活定时器可以为运行Windows 7 或Windows Server 2008 R2 的计算机重置三次。

5.手动激活KMS 客户端

默认情况下，KMS 客户端自动尝试激活自己按预设的时间间隔。若要手动将它们分发给用户之前激活KMS 客户端（例如，断开连接客户端），请使用控制面板系统项中，或运行slmgr.vbs /ato在提升的命令提示符下。

Slmgr.vbs 脚本报告激活成功或失败并提供结果代码。若要执行激活，KMS 客户端必须具有在组织的网络上的KMS 主机的访问。