批量激活部署指南W7W08R.docx
《批量激活部署指南W7W08R.docx》由会员分享,可在线阅读,更多相关《批量激活部署指南W7W08R.docx(18页珍藏版)》请在冰豆网上搜索。
批量激活部署指南W7W08R
批量激活部署指南
Windows7和WindowsServer2008R2
MicrosoftCorporation
发布日期:
2009年6月
摘要
批量激活可以帮助批量许可用户将激活过程自动化并加以管理。
本文档是为已计划部署批量激活而且现在准备了解并执行该部署所需过程的信息技术(IT)执行人员编写的。
本文档以及其中引用的任何文档仅供参考,Microsoft在本文档中未做任何明示或隐含的担保。
本文档中的信息(包括URL和其他Internet网站参考)如有更改,恕不另行通知。
使用本文档的全部风险或后果均由用户承担。
除非另有说明,否则本文档举例所言公司、组织、产品、域名、电子邮件地址、徽标、人物、地点和事件均为虚构。
Microsoft无意将他们与任何真实的公司、组织、产品、域名、电子邮件地址、徽标、人物、地点或事件相关联,也不应推定为存在任何此类关联。
使用者必须遵守所有适用的版权法律。
在适用法律不限制版权权利的前提下,未经MicrosoftCorporation明确书面许可,不得出于任何目的、以任何形式或借助任何手段(电子、机械、影印、录制或其他手段)对本文档任何部分进行复制、存储、引入检索系统或进行传播。
Microsoft可能拥有本文档所涉及的专利权、专利申请权、商标权、版权或其他知识产权。
除非Microsoft在任何书面许可协议中明确规定,否则提供本文档并不表示授予您上述专利权、商标权、版权或其他知识产权。
© 2009MicrosoftCorporation。
Microsoft、ActiveDirectory、Windows、WindowsServer和WindowsVista是Microsoft集团公司的商标。
此处提及的实际公司和产品的名称可能是其各自所有者的商标。
目录
目录3
简介5
KMS激活6
配置KMS主机6
远程运行Slmgr.vbs8
为远程软件许可证管理器操作配置Windows防火墙9
针对工作组计算机的远程操作10
配置DNS10
针对SRV记录更改默认DNS权限11
发布到多个DNS域12
在DNS中手动创建SRV记录13
在BIND8.2或更高版本的DNS服务器中手动创建SRV记录14
禁止将KMSSRV记录发布到DNS15
安装KMS主机16
配置KMS客户端17
手动指定KMS主机18
启用KMS客户端的自动发现19
向KMS客户端添加带后缀的条目20
部署KMS客户端21
手动激活KMS客户端22
MAK客户端与KMS客户端的相互转换23
将零售版本转换为批量激活版本24
MAK激活25
将KMS客户端转换为使用MAK激活25
在安装操作系统过程中安装MAK26
在安装操作系统之后安装MAK27
禁用自动激活28
激活MAK客户端28
通过Internet激活MAK客户端29
通过代理服务器激活MAK客户端30
使用电话激活MAK客户端31
使用VAMT激活MAK客户端32
禁用自动激活33
将MAK与DeploymentWorkbench集成33
重新激活计算机34
附录A:
可选配置35
启用标准用户激活35
禁用激活通知35
激活功能的注册表项更改35
附录B:
无人参与安装文件示例37
简介
本指南对Microsoft®批量激活部署概念进行了说明。
批量激活包含两种技术(密钥管理服务(KMS)和多次激活密钥(MAK)),允许批量许可用户激活Windows®7和WindowsServer®2008R2操作系统的批量许可版本。
批量许可服务中心(网址为
在计划使用批量激活时,组织必须选择KMS、MAK或两者的任意组合。
选择哪种激活方法取决于组织的需求和网络基础结构。
有关规划批量激活部署的详细信息,请参阅VolumeActivationPlanningGuide(批量激活规划指南)。
注:
本文档提供针对Windows7和WindowsServer2008R2操作系统的批量激活部署指南。
不过,本指南可解决两代产品之间的互操作性问题。
有关针对WindowsVista®和WindowsServer2008部署批量激活的详细信息,请参阅
注:
本指南介绍了运行脚本和修改注册表的过程。
这些权限可以委派给选定的信息技术(IT)执行人员,而更改产品密钥和执行激活的权限甚至可以分配给用户,但Microsoft不推荐这样做。
如果激活失败,请参阅批量激活操作指南,获取疑难解答方面的帮助。
本指南包含错误代码参考,并提供常见问题的解决步骤。
KMS激活
KMS激活需要的管理干预极少。
如果网络环境包含动态域名系统(DDNS)并且允许计算机自动发布服务,则部署KMS主机是非常容易的事情。
如果组织具有多台KMS主机,或者网络不支持DDNS,则可能需要执行额外的配置任务。
警告:
本节中的一些过程需要更改注册表。
如果使用注册表编辑器或使用其他方法错误地修改了注册表,则可能会发生问题。
一旦发生这些问题,则可能需要重新安装操作系统。
Microsoft不保证这些问题能够得以解决。
IT专业人员修改注册表需自行承担风险。
本节的剩余部分将描述下列关键任务:
1.配置KMS主机
2.配置DNS
3.安装KMS主机
4.配置KMS客户端
配置KMS主机
软件许可证管理器,有时称为SL管理器(Slmgr.vbs),是一种用于配置和检索批量激活信息的脚本。
此脚本可以在目标计算机本地运行,也可以从另一台计算机远程运行,但它应在升级的命令提示符下运行。
如果标准用户运行Slmgr.vbs,则某些许可证数据可能会缺失或不正确,许多操作也将被禁止。
Slmgr.vbs可以使用Wscript.exe或Cscript.exe,而管理员可以指定要使用哪个脚本引擎。
如果没有指定脚本引擎,Slmgr.vbs将使用默认脚本引擎wscript.exe运行。
注:
KMS要求在KMS主机上应用一项防火墙例外。
如果使用的是默认TCP端口,请在Windows防火墙中启用KMS通信例外。
如果使用的是其他防火墙,请打开TCP端口1688。
如果使用非默认端口,请在防火墙中打开自定义的TCP端口。
必须重新启动软件授权服务才能使更改生效。
要重新启动软件授权服务,请使用Microsoft管理控制台(MMC)服务管理单元,也可以在升级的命令提示符下运行以下命令:
netstopsppsvc&&netstartsppsvc
Slmgr.vbs至少需要一个参数。
如果此脚本不带参数运行,则会显示此脚本的帮助信息。
表1列出了slmgr.vbs的命令行选项,并提供了每个选项的说明。
表1中的大多数参数都用于配置KMS主机。
不过,当KMS客户端与主机联系之后,参数/sai和/sri将传递到这些客户端。
Slmgr.vbs的一般语法如下所示:
slmgr.vbs/parameter
表1Slmgr.vbs参数
参数
说明
/sprtPortNumber
设置KMS主机上的TCP通信端口。
用您要使用的TCP端口号替换PortNumber。
默认设置为1688。
/cdns
禁用KMS主机的自动DNS发布。
/sdns
启用KMS主机的自动DNS发布。
/cpri
降低KMS主机进程的优先级。
/spri
将KMS主机进程的优先级设置为标准。
/saiActivationInterval
更改KMS客户端在找不到KMS主机的情况下尝试自行激活的频率。
用分钟数替换ActivationInterval。
默认设置为120。
/sriRenewalInterval
更改KMS客户端尝试通过联系KMS主机续订其激活的频率。
用分钟数替换RenewalInterval。
默认设置为10080(7天)。
该设置将覆盖本地的KMS客户端设置。
/dli
从KMS主机检索当前KMS激活计数。
远程运行Slmgr.vbs
要远程运行Slmgr.vbs,管理员必须提供附加参数。
其中必须包括目标计算机的计算机名,以及在目标计算机上拥有本地管理员权限的用户帐户的用户名和密码。
如果在没有指定用户名和密码的情况下远程运行Slmgr.vbs,则该脚本将使用运行该脚本的用户的凭据。
下面的语法显示远程运行Slmgr.vbs所需的附加参数:
slmgr.vbsTargetComputerName[用户名][密码]/parameter[可选]
为远程软件许可证管理器操作配置Windows防火墙
Slmgr.vbs使用WindowsManagementInstrumentation(WMI),因此管理员必须配置Windows防火墙,以允许WMI通信:
∙对于单一子网,在Windows防火墙中允许WindowsManagementInstrumentation(WMI)例外。
∙要允许跨多个子网进行WMI通信,应允许连接WindowsManagement
Instrumentation(ASync-In)、WindowsManagementInstrumentation(DCOM-In)和WindowsManagementInstrumentation(WMI-In)。
另外,还应允许在此范围内进行远程访问。
配置这些设置时,请使用高级安全Windows防火墙,即“管理工具”文件夹。
注:
默认情况下,专用和公用配置文件中的Windows防火墙例外仅应用于源自本地子网的通信。
要扩展例外以将其应用到多个子网,请在高级安全Windows防火墙中更改例外设置;如果加入了ADDS域,请选择域配置文件。
针对工作组计算机的远程操作
管理员可以允许Slmgr.vbs针对属于某个工作组的计算机远程运行。
为此,请在KMS客户端的注册表子项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Policies\System中创建DWORD值LocalAccountTokenFilterPolicy。
请将该值设置为0x01。
配置DNS
以下各节介绍了配置DNS以用于批量激活的相关概念:
∙如果使用多台KMS主机,请参阅“针对SRV记录更改默认DNS权限”一节。
∙要允许KMS客户端使用不同的DNS服务器来查找KMS主机,请参阅“发布到多个DNS域”一节。
∙要为KMS主机手动添加SRV资源记录,请参阅以下各节:
“在DNS中手动创建SRV记录”、“在BIND8.2或更高版本的DNS服务器中手动创建SRV记录”和“禁止将KMSSRV记录发布到DNS”。
注:
在所有DNS服务器均复制完之前,DNS更改可能不会反映出来。
针对SRV记录更改默认DNS权限
如果仅使用一台KMS主机,则可能无需在DNS中配置权限。
默认行为是允许某台计算机创建一个SRV资源记录,然后对其进行更新。
不过,如果使用多台KMS主机(通常情况),除非更改SRV默认权限,否则其他主机将无法更新SRV资源记录。
下面的概要过程是Microsoft自身环境中的一个示例。
它未提供详细的步骤,因为不同组织所采取的具体步骤可能会有所不同,并且它不是实现预期结果的唯一途径:
5.在ActiveDirectory®中创建一个将用于KMS主机的全局安全组。
例如,KeyManagementServiceGroup。
6.将每台KMS主机添加到该组。
所有主机均必须加入同一域中。
7.一旦创建了第一台KMS主机,就会为其创建原始SRV记录。
如果第一台KMS主机无法创建SRV资源记录,这可能是由于贵组织更改了默认权限。
在这种情况下,请按照“在DNS中手动创建SRV记录”一节中所述,手动创建SRV资源记录。
8.设置SRV组的权限,以允许全局安全组成员执行更新。
注:
域管理员可以将执行上述步骤的权限委派给组织中的管理员。
为此,请在ActiveDirectory中创建一个安全组,将更改SRV记录的权限授予该组,然后在该组中添加代理人。
发布到多个DNS域
默认情况下,KMS主机仅在其所属的DNS域中注册。
如果网络环境中仅包含一个DNS域,则无需进一步操作。
如果存在多个DNS域名,则可以创建一个DNS域列表,供KMS主机发布其SRVRR时使用。
设置此注册表值将只在指定为“主DNS后缀”的域中暂停KMS主机的默认发布行为。
将priority和weight参数添加到KMS的DnsDomainPublishList注册表值中(可选)。
通过此功能,管理员可以在每个组中创建KMS主机优先级组和权重,以指定首先尝试连接哪台KMS主机,并平衡多台KMS主机之间的通信。
注:
在所有DNS服务器均复制完之前,DNS更改可能不会反映出来。
如果在尚未复制的服务器上过于频繁地执行更改(时间<复制时间),则将保留较旧的记录。
要在多个DNS域中自动发布KMS,请将KMS应发布到的每个DNS域的后缀添加到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
SoftwareProtectionPlatform中的多字符串注册表值DnsDomainPublishList。
更改该值后,重新启动软件授权服务,以创建SRVRR。
注:
此项已从WindowsVista®中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SL位置进行更改。
将KMS主机配置为发布到多个域之后,导出注册表项,然后将其导入到其他KMS主机的注册表中。
要验证此过程是否成功,请检查每台KMS主机上的应用程序事件日志。
事件ID12294表明KMS主机已成功创建SRVRR。
事件ID12293表明创建SRVRR的尝试失败。
有关错误代码的完整列表,请参阅批量激活操作指南。
在DNS中手动创建SRV记录
如果环境不支持DDNS,则必须手动创建SRVRR,以发布KMS主机。
不支持DDNS的环境应禁止发布到所有KMS主机,以防事件日志收集失败的DNS发布事件。
要禁用自动发布,请将Slmgr.vbs脚本与/cdns命令行选项一起使用。
有关Slmgr.vbs脚本的详细信息,请参阅“配置KMS”一节。
注:
只要保持所有记录不互相冲突,手动创建的SRVRR就可以与其他域中KMS主机自动发布的SRVRR共存。
在适当的正向查找区域中,通过DNS管理器使用该位置的相应信息创建一个新的SRVRR。
默认情况下,KMS侦听TCP端口1688,服务为_VLMCS。
表2列出了SRVRR的示例设置。
表2SRV资源记录
名称
设置
服务
_VLMCS
协议
_TCP
端口号
1688
提供服务的主机
KMS主机的FQDN
在BIND8.2或更高版本的DNS服务器中手动创建SRV记录
如果组织使用非MicrosoftDNS服务器,那么,只要该DNS服务器符合BerkeleyInternetNameDomain(BIND)8.2或更高版本的规范,就可以创建所需的SRVRR。
创建记录时,请包含表3中显示的信息。
表3中显示的优先级和权重设置仅用于Windows7和WindowsServer2008R2。
表3SRVRR信息
名称
设置
名称
_vlmcs._tcp
类型
SRV
优先级
0
权重
0
端口
1688
主机名
KMS主机的FQDN
要将BIND8.2或更高版本的DNS服务器配置为支持KMS自动发布,请将BIND服务器配置为允许来自KMS主机的RR更新。
例如,将下面一行添加到named.conf中的区域定义中:
allow-update{any;};
注:
也可以将allow-update语句添加到named.conf.options中,以允许此服务器上托管的所有区域使用DDNS。
禁止将KMSSRV记录发布到DNS
KMS主机通过在DNS中创建SRVRR来自动发布其是否存在。
要禁止KMS主机自动发布DNS,请将Slmgr.vbs脚本与/cdns命令行选项一起使用。
首选操作是使用Slmgr.vbs脚本来禁用自动DNS发布,但您也可以通过以下方法来执行此
任务:
在注册表中创建一个名为DisableDnsPublishing的新DWORD值,然后将其值
设置为1。
该值在注册表中的位置为HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
WindowsNT\CurrentVersion\SoftwareProtectionPlatform。
要重新启用将KMSSRV记录发布到DNS的默认行为,请将该值设置为0。
安装KMS主机
要启用KMS功能,应将KMS密钥安装在某台KMS主机上,然后通过Internet或电话,使用Microsoft的激活服务激活主机。
运行Windows7或WindowsServer2008R2的计算机都可以用作KMS主机。
运行WindowsVista、WindowsServer2003和WindowsServer2008的计算机也可以用作KMS主机。
KMS主机可以激活的KMS客户端取决于用于激活该KMS主机的主机密钥。
有关KMS主机密钥的详细信息,请参阅VolumeActivationPlanningGuide(批量激活规划指南)。
通过使用升级的命令提示符,在Windows7或WindowsServer2008R2计算机上安装并激活KMS密钥:
∙要安装KMS密钥,请在命令提示符下键入slmgr.vbs/ipk。
∙要联机激活,请在命令提示符下键入slmgr.vbs/ato。
∙要使用电话激活,请在命令提示符下键入slui.exe4。
激活KMS密钥后,请重新启动软件保护服务。
每当管理员使用UI安装KMS主机密钥时,Windows7和WindowsServer2008R2都会显示如图1中所示的警告(如果使用Slmgr.vbs脚本安装KMS主机密钥,则用户将看不到此警告)。
此消息可以防止无意间将KMS密钥安装在管理员不打算用作KMS主机的计算机上。
图1KMS密钥警告
要验证KMS主机配置是否正确,请检查KMS计数,确定它是否增加了。
在KMS主机的“命令提示符”窗口中,键入slmgr.vbs/dli可显示当前的KMS计数。
管理员也可以检查“应用程序和服务日志”文件夹中的“密钥管理服务”日志,查看ID为12290的事件。
“密钥管理服务”日志记录来自KMS客户端的激活请求。
每个事件显示一个激活请求所源自的计算机的名称,以及该请求的时间戳。
配置KMS客户端
本节介绍安装和配置用作KMS客户端的计算机的相关概念。
默认情况下,WindowsVista、Windows7、WindowsServer2008和WindowsServer2008R2的批量许可版本均可用作KMS客户端。
如果组织要使用KMS激活的计算机运行的是上述操作系统之一,且网络允许DNS自动发现,则不需要进行进一步配置。
如果KMS客户端配置为使用DNS来搜索KMS主机,但未收到来自DNS的SRV记录,则Windows7和WindowsServer2008R2将在事件日志中记录该错误。
手动指定KMS主机
管理员可以使用KMS主机缓存将KMS主机手动分配给KMS客户端。
手动分配KMS主机将禁用KMS客户端上的KMS自动发现。
通过运行以下命令,可将KMS主机手动分配给KMS客户端:
slmgr.vbs/skms<值>:
<端口>
其中,值是KMS主机的KMS_FQDN、IPv4Address或NetbiosName,端口是KMS主机上的TCP端口。
启用KMS客户端的自动发现
默认情况下,KMS客户端会自动尝试搜索KMS主机。
可以通过为KMS客户端手动分配KMS主机来禁用自动发现。
此操作还会将KMS主机名从KMS客户端缓存中清除。
如果禁用了自动发现,可以通过在命令提示符下运行slmgr.vbs/ckms来重新启用它。
向KMS客户端添加带后缀的条目
通过将包含SRVRR的DNS服务器的地址以带后缀条目的形式添加到KMS客户端上,管理员可以在一台DNS服务器中播发KMS主机,并允许使用其他主DNS服务器的KMS客户端查找该条目。
有关在KMS客户端上配置域后缀搜索列表的详细信息,请参阅Microsoft帮助和支持文章“如何在域名系统客户端上配置域后缀搜索列表”,网址为
部署KMS客户端
本节中的信息适用于使用Windows自动安装工具包(WindowsAIK)部署和激活Windows操作系统的批量许可用户。
使用系统准备工具(Sysprep)或下面的Slmgr.vbs脚本准备部署KMS客户端:
∙Sysprep。
在捕获映像之前,请将Sysprep与/generalize命令行选项一起运行,以重置激活计时器、安全标识符(SID)和其他重要设置。
重置激活计时器可防止映像的宽限期在部署映像之前过期。
运行Sysprep.exe不会删除已安装的产品密钥,在最小化安装期间不会提示管理员提供新密钥。
如果未进行重置,则Sysprep操作能够完成,但激活计时器并未更改,而且将返
升级会员 