locked
KMS (Key Management Service) - Déploiement & Configuration RRS feed

  • Discussion générale

  • Bonjour tout le monde,

    Je vous présenterai à travers cet article le KMS pour Key Management Service ou service de gestion des clés, son déploiement ainsi que les différentes commandes & outils de gestion et d'administration.

    @Echo "Bonne lecture :)"

    Qu'est ce qu'un KMS ?

    Dès la sortie de Windows Vista & Windows 2008, Microsoft a introduit une nouvelle stratégie d'activation de licence en volume pour éviter toute fuite de clé de licence vers l'extérieur de l'entreprise et surtout éviter toute sorte d'utilisation abusive et illégale de licences et donc se protéger de tout acte de piratage ou autre.

    De ce fait tout système d'exploitation à partir de Windows Vista /Windows 2008 doit être activé via un programme de licence en volume pour que Microsoft puisse contrôler les clés de produits activés. 

    A noter que cette exigence concerne les machines physiques et virtuelles.

    Ces nouvelles spécifications nous permettent d'automatiser le processus d'activation via deux méthodes d'activation :

    Je cite :

    MAK pour Multiple Activation Key ou Clé d'Activation Multiple (cette méthode ne se pas traitée dans cet article).

    KMS pour Key Management Service ou service de gestion des clés.

    J'ouvre une parenthèse pour faire un rappel rapide sur la méthode MAK : "cette méthode concerne surtout les TPE /PME disposant d'un S.I de moins de 25 machines ou un petit site distant de quelques postes de travail et/ou serveurs. De plus cette méthode n'active qu'un nombre spécifique d'ordinateur, et ce, via les serveurs de Microsoft, vous aurez compris, il n'y a pas de service à installer ni à configurer pour mettre en place ce genre de solution".

    KMS est un service permettant l'activation des produits Microsoft en volume d'un nombre très important de machines clientes et/ou serveurs. C'est une solution idéale pour les entreprises disposant d'une "grosse"  infrastructure système Windows avec plusieurs centaines de postes de travail et/ou serveurs physiques ou virtuels.

    Il suffit que l'entreprise dispose d'une seule clé KMS pour pouvoir activer l'ensemble des machines de son infrastructure.

    Contrairement à la méthode MAK, le serveur KMS s'active qu'une seule et unique fois depuis les serveurs Microsoft ensuite toutes les machines ayant besoin d'être activée sur le réseau s'activeront automatiquement auprès de votre serveur KMS interne.

    Pre-requis d'installation et déploiement

    Trois prérequis doivent être remplis pour pouvoir déployer votre serveur KMS :

    => Machine physique ou virtuelle exécutant au minimum Windows Vista /Seven /2008 ou 2012 Server qui fera Office de serveur KMS.

    Note : pour faire tourner un serveur KMS sur un Windows XP ou Windows 2003, vous devez télécharger et installer quelques correctifs depuis le site de Microsoft.

    => La clé KMS Windows (7 ou Windows 2008): à récupérer depuis le site de Microsoft (Important : la clé KMS Windows 7 permet d'activer des clients Windows Vista /7 mais pas des serveurs Windows 2008 /R2, par contre une clé KMS W2008 Server permet d'activer des clients V/7 & serveurs Windows 2008/R2) ====> c'est le principe des groupes de clés de Microsoft "voir image ci-après" :

    => Ouverture port 1688 : une ouverture des flux entre le serveur et les machines (en bidirectionnelle) à activer sur le port 1688 est obligatoire (Note : vous pouvez changer port et spécifier autre numéro de port | Nous verrons cette procédure un peu plus loin dans cet article ^_^).

    Mise en place d'un KMS

    * Deux techniques :

    => Via "GUI" : interface graphique dans les propriétés système de la machine /serveur. 

    => Via "CLI" : ligne commande via l'outil slmgr


    Je vous conseille la deuxième méthode parce qu'elle vous permettra d'automatiser le processus d'installation quand il s'agit d'un déploiement en masse d'une infrastructure KMS.

    I. via interface graphique :

    Suivez les instructions ci-après pour rendre votre machine un serveur KMS :

    1. Aller dans démarrer 

    2. Clique-droit sur Ordinateur, ensuite sélectionnez Propriétés

    3. Cliquez ensuite sur le bouton situé en bat de la page "Modifier la clé de produit (Product Key)" pour les OS en FR ou "Change the product Key" pour les OS en EN (voir figure ci-après).

    4. Saisissez ensuite votre clé KMS, cliquez sur suivant et suivez l'assistant (voir figure ci-après)

    5. Enfin, vous devez activer votre serveur KMS pour une seule fois soit via Internet ou par Téléphone.

    Une fois activé, votre serveur KMS sera prêt à recevoir et à répondre aux requêtes des clients et serveurs demandant une activation.


    IMPORTANT :

    Pour que votre serveur KMS soit opérationnel et soit capable d'activer vos OS, Microsoft exige la chose suivante :

    1. Pour activer des serveurs depuis votre serveur KMS interne : AU MOINS 5 SERVEURS PHYSIQUES OU VIRTUELS (5 requêtes) DOIVENT DEMANDER L'ACTIVATION POUR QUE LE SERVEUR KMS PUISSE RÉPONDRE A LEURS DEMANDES ET ENFIN DEVIENT OPERATIONNEL.

    2. Pour activer des machines clients (poste de travail) : AU MOINS 25 MACHINES CLIENTES (25 requêtes) DOIVENT ETRE RECUS PAR LE KMS POUR QU'IL PUISSE ACTIVER VOS POSTE DE TRAVAIL SOUS WINDOWS VISTA /SEVEN OU W8.

    Petit retour d'expérience :

    Ne tentez d'envoyer 5 requêtes (5 réactivations) depuis le même serveur ou 25 requêtes depuis une machine cliente pour activer votre KMS, le service détecte les demandes en filtrant les adresses MAC, j'ai déjà essayé mais ça ne marche pas :) histoire de vous faire gagner du temps.

    II. via slmgr

    II.1 : installation

    1. Allez dans Démarrer (sur la machine ou serveur qui fera office de KMS Server)

    2. Saisissez cmd (vous devez lancer cmd.exe avec des droits administration locale de la machine ou admin du domaine).

    3. Sur l'invite de commande saisissez : cscript c:\Windows\System32\slmgr.vbs /ipk xxxxx-xxxxx-xxxxx-xxxxx-xxxxx (remplacez les xxxxx-.... par votre clé KMS.

    Si tout se passe bien, vous devez avoir un message qui ressemble à ça :

    Microsoft Windows Script Host Version x.y
    Copyright Microsoft Corporation. All rights reserved.
    Installed product key xxxxx-xxxxx-xxxxx-xxxxx-xxxxx successfully



    Petite parenthèse : Si les politiques de sécurité imposées par votre DSI vous empêchent d'exposer votre serveur à Internet pour pouvoir l'activer via Internet, vous pouvez l'activer en téléphonant au service de licence de Microsoft.

    Procédure :

    a. Toujours sous l'invite de commande, saisissez la commande suivante :  cscript c:\Windows\System32\slmgr /slui.exe

    b. L'assistant d'activation apparaît, cliquez sur autre options d'activation => activation par téléphone.

    II.2 Port 1688

    Comme mentionné précédemment, le port utilisé par défaut par le KMS est le 1688, en revanche, vous pouvez le changer en utilisant la commande suivante :

    Sur l'invite de commande, saisissez : cscript c:\Windows\System32\slmgr /sprt xxxx (d'ou xxxx est le nouveau numéro de port).

    Noter qu'après chaque modification au niveau du KMS Server, un redémarrage du service de licence logiciel (Software Licensing Service) est requis.

    Pour ce faire

    => Allez dans Démarrer => saisissez services.msc => repérez le service en question et redémarrez-le

    OU

    => Lancez tout simplement la commande suivante sous cmd.exe net stop slsvc && net start slsvc  | ou net stop slsvc ensuite net start slsvc  

    II. 3 Testez votre KMS Server

    Une fois installé, votre KMS Server publie automatiquement son SRV Records sur les DNS Server, vous pouvez vérifier ça en lançant la commande suivante :

    nslookup -type=srv _vlmcs._tcp

    le résultat obtenu devrait ressemble à ça :

    C:\Users\Hicham>nslookup -type=srv _vlmcs._tcp
    Server:  DC.lab.local
    Address:  x.y.z.a

    _vlmcs._tcp.mycompagny.local SRV service location:
      priority   = 0
      weight = 0
      port    = 1688
      svr hostname   = kms03.lab.local
    _vlmcs._tcp.lab.local SRV service location:
      priority   = 0
      weight = 0
      port    = 1688
      svr hostname   = kms01.lab.local
    kms01.lab.local internet address = x.y.z.b
    kms02.lab.local internet address = x.y.z.c

    Petit retour d'expérience : ça peut arriver que l'enregistrement ne s'effectue pas dans l'immédiat, sachez que vous pouviez le forcer en utilisant la commande suivante : cscript c:\Windows\System32\slmgr /sdns => cette commande vous permet de forcer l'activation de la publication automatique niveau DNS.

    II.4 Vérifiez le statut de votre KMS Server

    Pour vérifier le statut de votre serveur KMS, utilisez la commande suivante :

    cscript c:\Windows\System32\slmgr /dli

    III. Conclusion:Nous avons vu à travers cette article qu'est ce qu'un KMS, son utilité-installation-configuration et les différentes commandes pour l'administrer.

    C'est une solution idéale et très pratique quand vous êtes amené à activer des produits Microsoft en Volume au sein de votre infrastructure. 

    j'espère que cet article pourra vous être utile.

    N'hésitez pas à le voler si vous appréciez ce travail, vos remarques, suggestions et commentaires sont bien évidemment les bienvenus.

    Hicham KADIRI.


    Hicham KADIRI | IT Consultant /Director. MCP - MCSA - MCTS - MCSE - MCITP - MCT




    jeudi 21 mars 2013 22:18

Toutes les réponses

  • bonjour

    merci pour le partage

    slts


    Share to advance

    dimanche 9 juin 2013 06:49
  • Bonjour,

    Je t'en prie Nabil.

    Cordialement,

    Hicham.K


    Hicham KADIRI | IT Consultant /Director. MCP - MCSA - MCTS - MCSE - MCITP - MCT

    dimanche 9 juin 2013 12:45
  • Rajoutons juste un petit point sur les DNS. L'enregistrement SRV sur le domaine ou le serveur KMS est crée a automatiquement un enregistrement SRV, c'est celui qui est testé ci dessus.

    Si vous êtes dans un environnement multi domaine et ou multi forêt, vous pouvez créer manuellement l'enregistrement de service (SRV) sur les différents domaines afin d'utiliser un serveur KMS pour l'ensemble.

    Voir :

    http://technet.microsoft.com/en-us/library/ff793405.aspx :Manually Create SRV Records in DNS

    Enfin sur Windows 2012 le service d'activation en volume s'intègre à active directory...

    Et merci pour la présentation.


    dimanche 9 juin 2013 18:44
  • Bonjour P barth,

    En effet, nous pouvons créer un record SRV pour le KMS Server dans le cas d'une infra AD multi domaine/forêt OU des fois quand le KMS Server n'arrive pas à créer ce record automatiquement au niveau du DNS.

    Je suis en train de préparer un article sur tout le jeu d'outils V.A 2.0 (Volume Activation) sur Windows 2012 Server et aussi un user guide de l'outil VAMT (VA Management Tool).

    Je vous en prie Bernard.

    Bien à vous,


    Hicham KADIRI | IT Consultant /Director. MCP - MCSA - MCTS - MCSE - MCITP - MCT

    dimanche 9 juin 2013 19:26
  • P comme  Philippe ...

    lol

    dimanche 9 juin 2013 20:24
  • Merci, ça m'as été très utile!

    Cordialement

    Ouahid


    Ouahid BENDEDDOUCHE Administrateur systemes et reseaux

    mercredi 4 juin 2014 07:39
  • Je vous en prie Ouahid, 

    Merci pour ce retour.

    A+

    HK.


    Hicham KADIRI | Just Another IT Guy

    mercredi 4 juin 2014 08:07
  • Bonjour Hicham,

    Merci pour ce magnifique topic très clair coté serveur KMS.

    En revanche une question me taraude : Quand on fait un master pour le déploiement via WDS ou autres méthodes avec pour option d'activation KMS, doit on inclure la clé KMS directement dans le master (fichier unattend) ou doit on mettre une clé générique  ou rien dans le master?

    Merci,

    R Le zen 

    mercredi 4 juin 2014 08:49
  • Bonjour R  Le Zen,

    Merci pour ce retour :).

    Ci-après la réponse à ta question :

    #la clé KMS est à inclure dans un master avant déploiement, c'est ce que je recommande d'ailleurs.

    #deux solutions :

      -> la spécifier dans le paramètre ProductKey (depuis la console Windows SIM) pour l'inclure dans le fichier de réponse (unattend)

      -> la spécifier à l'aide de l'outil DISM.exe en utilisant le paramètre /Set-ProductKey

    Quand une clé KMS est déjà installée dans une image master, après déploiement, l'activation se fera automatiquement auprès du serveur KMS, bien evidemment si celui ci est disponible sur le réseau et son record (SRV) niveau DNS est créé.

    j'espère avoir répondu à ta question.

    A+

    HK.


    Hicham KADIRI | Just Another IT Guy

    mercredi 4 juin 2014 09:05
  • Merci HK pour cette lumière express que tu fais jaillir sur ce processus qui était jusqu'ici très sombre pour moi. :-)

    Très cool ! Merci.

    Le Zen

    mercredi 4 juin 2014 12:40
  • Mais je t'en prie J.

    Goodluck pour le déploiement ^___^

    ++
    HK.



    Hicham KADIRI | Just Another IT Guy

    mercredi 4 juin 2014 12:49
  • Bonjour HK,

    Encore moi pour une ultime question.

    Actuellement nous avons deux (2 groupes de clés KMS).

    - Client VL pour Windows 7,

    - Et une clé KMS win2k8 std/ent donc "groupe B"

    quelle clé dois-je inclure dans mon master Windows 7 svp?

    Sachant que le serveur KMS est sur l'OS Windows serveur 2008 R2 avec une clé kms Windows 2008 std/ent.

    Merci

    Le Zen

    jeudi 5 juin 2014 11:49
  • Re Bonjour Le Zen,

    En fait, dans une infrastructure KMS, on distingue deux types de clés :

    => Clé de Licence en Volume KMS "Serveur" (à récupérer depuis l'espace Centre licence en volume de MS) : cette clé KMS est à installer sur le serveur KMS, dans votre cas, elle est installée sur un SRV 2008 STD => par contre, une clé KMS Server W2008 Standard ne permet pas d'activer Windows 7, il te faut au minima une clé KMS Windows 2008 R2.

    => Clé KMS client : est à installer sur le(s) client(s) KMS à activer auprès du serveur KMS. ces clés KMS Client sont publiques, tu trouveras la liste complète des clés à cet URL :

    http://technet.microsoft.com/fr-fr/library/jj612867.aspx

    Il ne faut pas confondre entre clé KMS Server & clé KMS client 

    ! : clé KMS server (fournit après achat de contrat de licence en volume)

    ! : clé KMS client, publiée gratuitement sur Internet.

    Sans une clé KMS server, les clés KMS client ne valent rien du tout parce que ces clés publiques sont utilisées uniquement avec un serveur KMS.

    Donc pour revenir à votre question, sur l'image master à déployer, il faut tout simplement se referer à l'article :

    http://technet.microsoft.com/fr-fr/library/jj612867.aspx

    Reperez la clé KMS client publique correspond à la version de l'OS et l'installer sur le master, par exemple nous allons déployer du Windows 7 Pro dans lequel nous voulons inclure une clé KMS client pour une activation KMS après deploiement, eh bien d'après le tableau la clé KMS client à installer sur un Windows 7 pro est :

    FJ82H-XT6CR-J8D7P-XQJJ2-GPDD4

    Enfin, et comme illustré dans l'imae, une clé KMS Server W2008 STD permet d'activer uniquement Windows Vista mais pas Windows 7.

    Windows 7 peut être activé auprès d'un serveur KMS W2008 R2 (ref : http://technet.microsoft.com/en-us/library/ff793411.aspx)

    C'est claire pour toi ?

    n'hésites pas si tu as d'autres questions.

    A+

    HK.


    Hicham KADIRI | Just Another IT Guy

    jeudi 5 juin 2014 13:28
  • Merci pour cette réactivité.

    Dans mon cas, j'ai une clé KMS B et le serveur host KSM est sur un serveur W2008 R2.

    Donc je peux inclure la clé KMS Win 7 pro publique (FJ82H-XT6CR-J8D7P-XQJJ2-GPDD4) dans mon master Win7 Pro pour l'activation via mon host KMS Win2008 R2?

    Merci.

    RLZ

    jeudi 5 juin 2014 15:25
  • Yes, exact.

    Si ton KMS host server a été activé a l'aide d'une clé KMS (Groupe B), il pourra activer tous les Windows 7 LV :). donc tu as juste qu'à inclure la clé KMS publique de W7, vérifiez dans le tableau que j'ai communiqué.

    Goodluck

    A+

    HK.


    Hicham KADIRI | Just Another IT Guy

    jeudi 5 juin 2014 16:08
  • Thanx Lot :-)
    jeudi 5 juin 2014 16:31
  • U're welcome man :).

    n'hésites pas si tu as d'autres questions

    Net send "Le Zen.TechNet.Com" "A+"

    HK.


    Hicham KADIRI | Just Another IT Guy

    jeudi 5 juin 2014 16:38
  • Bonjour Mr HK,

    Another trouble :-(.

    Mon serveur KMS tourne très bien et communique bien avec les clients "enfin mes deux clients tests".

    cependant, est-il normal que le Watermark : Windows 7 numéros 7601. cette copie de Windows n'est pas authentique soit toujours présent sur l'écran?

    l'activation manuelle du client affiche un code erreur "0xC0004F038". Code erreur = quantité < 25.

    Il me faut absolument déclarer encore 23 PC pour que toutes les machines passent en GENUINE ?

    Je croyais qu'une fais que la machine à une CMID, elle est comme pré-activée?

    Merci.

    Cdt,

    LRZ.

    mardi 10 juin 2014 10:50
  • Bonjour Le Zen,

    OUi c'est tout à fait normal, en fait ce qui se passe, c'est que vous avez réussi à installer les clés KMS publique sur vos deux machines mais pas à les activer. et c normal parce que pour qu'un KMS Server soit opérationnel et puisse commencer à activer des postes de travail, il faut au moins 25 demandes & pour activer des serveurs, il faut au moins 5 demandes.

    d'ailleurs c'est marqué dans mon article, voir cet extrait :

    IMPORTANT :

    Pour que votre serveur KMS soit opérationnel et soit capable d'activer vos OS, Microsoft exige la chose suivante :

    1. Pour activer des serveurs depuis votre serveur KMS interne : AU MOINS 5 SERVEURS PHYSIQUES OU VIRTUELS (5 requêtes) DOIVENT DEMANDER L'ACTIVATION POUR QUE LE SERVEUR KMS PUISSE RÉPONDRE A LEURS DEMANDES ET ENFIN DEVIENT OPERATIONNEL.

    2. Pour activer des machines clients (poste de travail) : AU MOINS 25 MACHINES CLIENTES (25 requêtes) DOIVENT ETRE RECUS PAR LE KMS POUR QU'IL PUISSE ACTIVER VOS POSTE DE TRAVAIL SOUS WINDOWS VISTA /SEVEN OU W8.

    De plus, je mentionne aussi qu'il faut éviter de tenter un lancement de 25 requetes (25 demandes) depuis la même machine, le serveur KMS detectera toujours une seule demande (filitrage par MAC Address).

    J'espère avoir répondu à votre question.

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy

    mardi 10 juin 2014 11:02
  • Merci, c'est très intéressant. 
    mardi 12 janvier 2016 13:59