cat-windows-server

How-To: Key Management Service (KMS) mit Windows Server 2008

WINDOWS SERVER

Im vorhergehenden Artikel wurde beschrieben, wie Volume Activation 2.0 von Microsoft funktioniert. Von der Theorie geht es nun zur Praxis. Im nachfolgenden Artikel wird beschrieben, wie ein Key Management Service (KMS) in Betrieb genommen werden kann. Damit diese Form der Aktivierung eingesetzt werden kann, sind im Minimum 25x Windows Vista, oder 5x Windows Server 2008 im Netzwerk erforderlich. Die Aktivierung mittels KMS ist so konzipiert, dass der Eingriff durch ein Administrator auf ein Minimum beschränkt ist.

DNS Server

KMS-Hosts erstellen automatisch einen “Service Record” (SRV) auf dem DNS-Server. Wird “Dynamic DNS” (DDNS) unterstützt, ist keine weitere Konfiguration erforderlich. Wenn allerdings mehrere KMS-Hosts eingesetzt werden, kann jeweils nur der erste Host den DNS-Record erstellen. Die nachfolgenden KMS-Hosts können den Record nur ändern, wenn die Berechtigungen auf dem DNS-Server entsprechend angepasst wurden:

  1. In Active Directory eine Global Security Group für die KMS-Hosts anlegen.
  2. In die Security Group sämtliche KMS-Host (Computer Accounts) hinzufügen.
  3. Die Berechtigung auf dem DNS-Server anpassen, damit Mitglieder der Security Group Host Updates durchführen können.
  4. Der SRV_Record kann nun durch den KMS-Host angelegt werden.

Per Default ist DDNS auf einem Windows DNS-Server aktiviert (Dynamic Updates: Secure only). Wenn diese Funktion in einem Netzwerk nicht zur Verfügung steht, kann der SRV-Record auch ohne weiteres manuell angelegt werden:

  1. Im DNS Manager den DNS-Server auswählen und die “Forward Lookup Zones” erweitern.
  2. Auf der entsprechenden Domain mittels Rechtsklick “Other New Records… ⇒ Service Location (SRV)” anwählen und mit “Create New Record…” bestätigen.
  3. Folgende Werte müssen nun eingetragen werden
    • Service: _VLMCS
    • Protocol: _TCP
    • Port number: 1688
    • Host offering this service: <FQDN des KMS-Host>
  4. Mit “OK” wird der SRV-Record angelegt.

Die automatische Veröffentlichung durch den KMS-Host kann zudem mit dem Befehl “slmgr.vbs /cdns” deaktiviert werden. Das Script legt folgenden Key in der Registry an:

Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL
Entry: DisableDnsPublishing
Type: DWORD Value: 1

Wird der Eintrag von 1 (Disabled) auf 0 (Enabled) gesetzt, ist DNS-Publishing wieder aktiviert. Ob nun der DNS-Record vorhanden ist und entsprechend funktioniert, kann mit nslookup getestet werden: nslookup -type=srv _vlmcs._tcp.intra.server-talk.eu. Als Output sollte etwas in dieser Form geliefert werden

_vlmcs._tcp.intra.server-talk.eu SRV service location:
priority = 0
weight = 0
port = 1688
svr hostname = DC01.intra.server-talk.eu
DC01.intra.server-talk.eu internet address = 192.168.1.101

KMS-Host

Nachdem die Vorbereitung auf dem DNS-Server abgeschlossen sind, kann die “Installation” des KMS-Host vorgenommen werden:

  1. Auf dem zukünftigen KMS-Host einen Command Prompt als Administrator ausführen.
  2. Die Installation des KMS-Key erfolgt mit dem Befehl “cscript C:\windows\system32\slmgr.vbs /ipk 12345-12345-12345-12345-12345
  3. Die Aktivierung des KMS-Key bei Microsoft stehen folgende Methoden zur Verfügung:
    • Internet: “cscript C:\windows\system32\slmgr.vbs /ato
    • Phone: “slui.exe 4
  4. Nach erfolgreichem Abschlus der Aktivierung muss der “Software Licensing” Service neu gestartet werden “net stop slsvc && net start slsvc

Mit slmgr stehen noch viele weitere Möglichkeiten zur Verfügung, wie nachfolgende Tabelle zeigt:

Ist es geplant den KMS Host auf Windows Server 2003 zu betreiben, so muss das Update 948003 installiert werden. Damit wird die Funktionalität des Key Management Service 1.1 hinzugefügt.

Firewall

Per Default verbinden die Clients mittels “Remote Procedure Calls over TCP”. Die Verbindung über TCP-Port 1688 muss bei der Firewall entsprechend zugelassen werden. Bei Bedarf kann diese Port Nummer auch angepasst werden. Bei einem Windows Server 2008 muss in der “Windows Firewall” der Zugriff auf “Windows-Verwaltungsinstrumentation (WMI)” und den “Key Management Service” aktiviert werden. Dies kann sehr einfach mit dem Befehl “netsh advfirewall firewall set rule group="Windows Management Instrumentation (WMI)" new enable=yes” und netsh advfirewall firewall set rule group="Key Management Service" new enable=yes” konfiguriert werden.

VAMT

Für die Verwaltung der Lizenzen stellt Microsoft das Tool “Volume Activation Management Tool” (VAMT) zum Download bereit. Mit dem Tool lassen sich die Computer Accounts zum Beispiel aus dem Active Directory auslesen und den Lizenzierungs-Stand anzeigen und bei Bedarf notwendige Schritte einleiten. Da die Informationen nicht in einer Database gespeichert werden, ist es zu empfehlen am Ende die aktuellen Daten mit “File ⇒ Save As…” in ein CIL-File zu exportieren. Zu einem späteren Zeitpunkt lässt sich dieses über “File ⇒ Open” wieder einlesen.

[InfoBoxNote]Ein aktualisierter Artikel zu Key Management Service (KMS) mit Windows Server 2008 R2 gibt es hier.[/InfoBoxNote]

Weitere Informationen

Windows , Windows Server 2008

, , ,

About the Author

Michel Luescher ist bei Microsoft Corporation als Solution Architect im Center of Excellence (CoE) für Datacenter & Cloud Infrastructure tätig. Michel ist Speaker und Blogger rund um das Thema Microsoft Cloud und bei Microsoft zudem Subject Matter Expert (SME) für Hyper-V + System Center Virtual Machine Manager.

Hinterlasse eine Antwort.