批量激活技术参考指南Windows 7 和 Windows Server 2008 R2

批量激活技术参考指南

Windows 7 和 Windows Server 2008 R2

Microsoft Corporation 发布日期：2009 年 7 月

摘要

本参考指南面向其组织计划部署 Windows? 7 和 Windows Server? 2008 R2 操作系统的 Volume Activation 版本的信息技术 (IT) 实施人员。它是 Volume Activation Planning Guide（批量激活规划指南）、Volume Activation Deployment Guide（批量激活部署指南）和 Volume Activation Operations Guide（批量激活操作指南）的姊妹篇。

本文档以及其中引用的任何文档仅供参考，Microsoft 在本文档中未做任何明示或隐含的担保。本文档中的信息（包括 URL 和其他 Internet 网站参考）如有更改，恕不另行通知。使用本文档的全部风险或后果均由用户承担。除非另有说明，否则本文档举例所言公司、组织、产品、域名、电子邮件地址、徽标、人物、地点和事件均为虚构。Microsoft 无意将他们与任何真实的公司、组织、产品、域名、电子邮件地址、徽标、人物、地点或事件相关联，也不应推定为存在任何此类关联。使用者必须遵守所有适用的版权法律。在适用法律不限制版权权利的前提下，未经 Microsoft Corporation 明确书面许可，不得出于任何目的、以任何形式或借助任何手段（电子、机械、影印、录制或其他手段）对本文档任何部分进行复制、存储、引入检索系统或进行传播。

Microsoft 可能拥有本文档所涉及的专利权、专利申请权、商标权、版权或其他知识产权。除非 Microsoft 在任何书面许可协议中明确规定，否则提供本文档并不表示授予您上述专利权、商标权、版权或其他知识产权。 ? 2009 Microsoft Corporation。

Microsoft、Active Directory、Hyper-V、Windows、Windows Server 和 Windows Vista 是 Microsoft 集团公司的商标。 此处提及的实际公司和产品的名称可能是其各自所有者的商标。

目录

简介 ....................................................................................................................... 1 用户体验 .................................................................................................................. 2 Slmgr.vbs 选项 ........................................................................................................ 5 注册表设置 ............................................................................................................. 12 组策略对象设置 ....................................................................................................... 15 KMS 激活计时 ......................................................................................................... 17 KMS 发现搜索顺序 ................................................................................................... 18 激活方案 ................................................................................................................ 19 KMS 方案 .......................................................................................................... 19

单站点网络的默认 KMS 实施 .............................................................................. 19 复杂的全局网络中的 KMS 实施 ........................................................................... 20 MAK 方案 .......................................................................................................... 23 MAK 独立激活 ................................................................................................ 24 MAK 代理激活 ................................................................................................ 28 VAMT 对 KMS 激活提供的支持 ........................................................................... 34 将 KMS 转换为使用 MAK 激活 ........................................................................... 35

产品的 KMS 主机密钥 ............................................................................................... 37 激活策略值 ............................................................................................................. 39 KMS 客户端安装密钥 ................................................................................................ 40 激活错误代码 .......................................................................................................... 42 Windows 事件日志 .................................................................................................. 51 WMI 属性和方法 ...................................................................................................... 55 术语表 ................................................................................................................... 64 资源链接 ................................................................................................................ 65

简介

本指南为 Volume Activation Planning Guide（批量激活规划指南）、Volume Activation Deployment Guide（批量激活部署指南）和 Volume Activation Operations Guide（批量激活操作指南）提供了技术参考信息。有关 Microsoft? Volume Activation 及其组件的概述信息，请参阅 Volume Activation Planning Guide（批量激活规划指南）。该参考资料包含： ? 用户体验 ? Slmgr.vbs 选项 ? 注册表设置

? 组策略对象 (GPO) 设置 ? 密钥管理服务 (KMS) 激活计时 ? KMS 发现搜索命令 ? 激活方案

? 产品的 KMS 主机密钥 ? 激活策略值

? KMS 客户端安装密钥 ? 激活错误代码 ? Windows? 事件日志

? Windows Management Instrumentation (WMI) 属性和方法 ? 术语表 ? 资源

注：有关使用 Volume Activation 的其他软件的支持信息，请参考专门为这些应用程序编写的文档。

本指南使用以下惯例：

? 命令行和命令行选项显示为粗体。

? 命令行选项中的占位符两边带有尖括号 (<>)。 ? 可选命令行选项的两边带有方括号 ([])。 ? 注册表子项和值名称显示为粗体。

1

用户体验

Windows? 7 和 Windows Server? 2008 R2 显示专为特定激活问题定制的通知和对话框。表 1 介绍了这些通知和对话框是如何与各个问题相对应的。

注：Windows Server 2008 核心版本不提供通知用户体验。

表 1. 通知状态的气球和对话框

问题 新安装的 Windows 副本在激活宽限期结束时仍未被激活。 通知气球 相应的对话框 2

问题 先前激活的 Windows 副本检测到计算机硬件或基本输入/输出系统 (BIOS) 发生了更改，需要重新激活 Windows。并且，已经激活的 KMS 客户端不会在 180 天内重新自行激活。 使用 KMS 激活的 Windows 在 180 天外加 30 天的宽限 期内未续订其激活。 通知气球 立即激活 WindowsX相应的对话框 更换硬件或驱动程序后需要重新激活 Windows。 单击此消息可开始激活。 3

问题 联机激活失败，或检测 到企图使 Windows 的未授权副 本绕过产品 激活的激活 破解行为。 通知气球 相应的对话框 Windows 检测到某个 Windows 许可组件发 生了更改。 Windows 检测到其许 可文件发生 了更改。 4

Slmgr.vbs 选项

由于 Windows 7 和 Windows Server 2008 R2 两种系统的 WMI 有所不同，因此 Slmgr.vbs 脚本不适合跨平台使用。不支持使用 Slmgr.vbs 从 Windows Vista? 操作系统来管理 Windows 7 或 Windows Server 2008 R2 系统。如果试图管理 Windows 7 或 Windows Server 2008 R2 中的下层系统，则会生成一个特定的版本不匹配错误。例如，运行 cscript slmgr.vbs /dlv 会产生以下输出结果：

Microsoft (R) Windows Script Host Version 5.8

Copyright (C) Microsoft Corporation。All rights reserved.

远程计算机不支持此版本的 SLMgr.vbs

要管理远程客户端，请使用批量激活管理工具 (VAMT) 1.2 或更高版本，或创建可识别平台间差异的自定义 WMI 脚本。有关 Volume Activation 的 WMI 属性和方法的更多信息，请参阅本参考指南后面的“WMI 属性和方法”一节。

以下内容介绍了 Slmgr.vbs 脚本的语法，表 2 介绍了各个命令行选项：

slmgr.vbs [计算机名 [用户名] [密码]] [<选项>]

注：有关使用 Volume Activation 的其他软件的支持信息，请参阅专门为这些应用程序编写的文档。

表 2. Slmgr.vbs 命令行选项

选项 [计算机名] [用户] 说明 远程计算机的名称（默认为本地计算机） 远程计算机上具有所需特权的帐户 5

选项 [密码] 全局选项 /ipk 产品密钥 说明 远程计算机上具有所需特权的帐户的密码 尝试安装 5×5 产品密钥。此参数提供的产品密钥被确认为有效且适用于已安装的操作系统。否则，将返回错误。 如果密钥有效且适用，则会安装此密钥。如果已安装了密钥，则将以静默方式替换之前的密钥。 为了避免许可证服务中的不稳定情况，应重新启动系统或软件保护服务。 必须通过提升的命令提示符运行此操作，或必须将标准用户操作注册表值设置为允许无特权的用户额外访问软件保护服务。 对于零售版本和安装了 KMS 主机密钥或多次激活密钥 (MAK) 的批量系统，/ato 会提示 Windows 尝试联机激活。 对于安装了通用批量许可证密钥 (GVLK) 的系统，此选项会提示尝试进行 KMS 激活。已经设置为暂停自动尝试 KMS 激活 (/stao) 的系统，仍然会在运行 /ato 时尝试 KMS 激活。 参数 [激活 ID] 扩展了 /ato 支持，可识别计算机上安装的 Windows 版本。指定 [激活 ID] 参数将隔离此选项对与该激活 ID 相关联的版本产生的影响。运行 Slmgr.vbs /dlv All 可获取已安装的 Windows 版本的激活 ID。如果您需要支持其他应用程序，请参阅该应用程序提供的指南以了解详细说明。 KMS 激活不需要提升特权。但是，联机激活需要提升，或必须将标准用户操作注册表值设置为允许无特权的用户额外访问软件保护服务。 /ato [激活 ID] 6

选项 /dli [激活 ID | All] 说明 显示许可证信息。 默认情况下，/dli 会显示已安装的有效 Windows 版本的许可证信息。指定 [激活 ID] 参数会显示与此激活 ID 相关联的指定版本的许可证信息。指定参数为 [All] 将显示所有适用的已安装产品的许可证信息。 此操作不需要提升特权。 显示详细的许可证信息。 默认情况下，/dlv 会显示已安装的操作系统的许可证信息。指定 [激活 ID] 参数会显示与此激活 ID 相关联的指定版本的许可证信息。指定 [All] 参数会显示所有适用的已安装产品的许可证信息。 此操作不需要提升特权。 显示产品的激活过期日期。默认情况下，这涉及当前的 Windows 版本并主要对 KMS 客户端有用，因为 MAK 和零售激活是永久性的。 指定 [激活 ID] 参数会显示与此激活 ID 相关联的指定版本的激活过期日期。 此操作不需要提升特权。 某些服务操作要求注册表在全新体验 (OOBE) 操作过程中包含有产品密钥。/cpky 选项从注册表中删除了产品密钥，以防止此密钥被恶意代码盗用。 对于部署密钥的零售安装，建议最好运行此选项。MAK 和 KMS 主机密钥不需要运行此选项，因为对于这些密钥来说这是默认行为。只有其他类型的密钥才需要运行此选项，因为在这些情况中，默认行为不是从注册表中清除密钥。 必须通过提升的命令提示符运行此操作。 /dlv [激活 ID | All] /xpr [激活 ID] 高级选项 /cpky 7

选项 /ilc <许可证文件> 说明 此选项可安装所需参数指定的许可证文件。这些许可证可能会作为一种疑难解答措施进行安装（以支持基于令牌的激活），或作为手动安装机载应用程序的一部分安装。 此过程中不进行许可证验证：许可证验证超出了 Slmgr 的范围。而是在运行时由软件保护服务进行验证。 必须通过提升的命令提示符运行此操作，或必须将标准用户操作注册表值设置为允许无特权的用户额外访问软件保护服务。 此选项重新安装存储在 %SystemRoot%\\system32\\oem 和 %SystemRoot%\\System32\\spp\\tokens 中的所有许可证。这些都是安装过程中存储的“已知良好的”副本。 “受信存储”中任何匹配的许可证都将被替换。但不会替换任何其他许可证，例如，受信任的颁发机构 (TA) 颁发许可证 (IL)（应用程序的许可证）等。 必须通过提升的命令提示符运行此操作，或必须将标准用户操作注册表值设置为允许无特权的用户额外访问软件保护服务。 此选项会重置激活计时器。/rearm 过程也被称作 sysprep/ generalize。 如果 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SoftwareProtectionPlatform\\SkipRearm 注册表子项等于 1，则不会执行此操作。有关此注册表子 项的详细信息，请参阅本指南后面的“注册表设置” 一节。 必须通过提升的命令提示符运行此操作，或必须将标准用户操作注册表值设置为允许无特权的用户额外访问软件保护服务。 /rilc /rearm 8

选项 /upk [激活 ID] 说明 此选项会卸载当前 Windows 版本的产品密钥。重新启动后，除非安装了新的产品密钥，否则系统将处于未许可状态。 您也可以使用 [激活 ID] 参数指定已安装的其他产品。 必须通过提升的命令提示符运行此操作。 批量许可：KMS 客户端选项 /skms 名称[:端口] |:端此选项可指定要联系的 KMS 主机的名称和端口（可选）。设置口 [激活 ID] [激活 ID] 此值会禁用 KMS 主机的自动检测。 如果 KMS 主机只使用了 Internet 协议版本 6 (IPv6)，则必须将地址格式指定为 [主机名]：端口。IPv6 地址包含冒号 (:)，这将会被 Slmgr.vbs 脚本错误地解析。 必须通过提升的命令提示符运行此操作。 /ckms [激活 ID] 此选项可删除注册表中指定的 KMS 主机名、地址和端口信息，并还原 KMS 自动发现行为。 必须通过提升的命令提示符运行此操作。 此选项会启用 KMS 主机缓存（默认），这会在初次发现运行中的 KMS 主机后阻止使用域名系统 (DNS) 优先级和权重。如果系统不再与运行中的 KMS 主机联系，则会再次尝试发现。 必须通过提升的命令提示符运行此操作。 此选项会禁用 KMS 主机缓存。此设置会在每次尝试 KMS 激活时指示客户端使用 DNS 自动发现（使用优先级和权重时建议采用此项）。 必须通过提升的命令提示符运行此操作。 /skhc /ckhc KMS 主机配置 9

选项 /sai <间隔> 说明 此选项设置未激活的客户端尝试连接 KMS 的间隔（以分钟为单位）。该激活间隔必须在 15 分钟到 30 天之间，但建议使用默认值（2 小时）。 KMS 客户端最初从注册表获取此间隔，但在收到第一个 KMS 响应后转换为 KMS 设置。 必须通过提升的命令提示符运行此操作。 此选项设置已激活的客户端尝试连接 KMS 的续订间隔（以分钟为单位）。该续订间隔必须在 15 分钟到 30 天之间。此选项最初在 KMS 服务器和客户端上均进行了设置。默认值为 10080 分钟（7 天）。 KMS 客户端最初从注册表获取此间隔，但在收到第一个 KMS 响应后转换为 KMS 设置。 必须通过提升的命令提示符运行此操作。 此选项可设置 KMS 主机上用于侦听客户端激活请求的端口。默认 TCP 端口为 1688。 必须通过提升的命令提示符运行此操作。 启用 KMS 主机的 DNS 发布（默认）。 必须通过提升的命令提示符运行此操作。 禁用 KMS 主机的 DNS 发布。 必须通过提升的命令提示符运行此操作。 将 KMS 优先级设置为标准（默认）。 必须通过提升的命令提示符运行此操作。 将 KMS 优先级设置为低。 使用此选项可最小化相互托管环境中的 KMS 争用。请注意，这可能导致 KMS 不足，是否会导致 KMS 不足取决于其他哪些应用程序或服务器角色处于活动状态。请谨慎使用。 必须通过提升的命令提示符运行此操作。 /sri <间隔> /sprt <端口> /sdns /cdns /spri /cpri 基于令牌的激活配置 10

选项 /lil 说明 列出已安装的基于令牌的激活颁发许可证。 /ril 删除某个已安装的基于令牌的激活颁发许可证。 必须通过提升的命令提示符运行此操作。 /stao /ctao /ltc 设置仅基于令牌激活的标志，禁用自动 KMS 激活。 必须通过提升的命令提示符运行此操作。 清除仅基于令牌激活的标志（默认），启用自动 KMS 激活。 必须通过提升的命令提示符运行此操作。 列出可激活已安装软件的基于令牌的有效激活证书。 /fta <证书指纹> [PIN] 使用已识别的证书强制进行基于令牌的激活。当使用受硬件（如智能卡）保护的证书时，将提供可选的个人识别号 (PIN) 以解锁没有 PIN 提示的私钥。） 11

注册表设置

表 3 介绍了 Volume Activation 支持的注册表设置。 表 3. 注册表设置

注册表子项：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\ CurrentVersion\\SoftwareProtectionPlatform 值 Activation\\AlternateURL 类型 REG_SZ 说明 范围 包含管理员提供的 URL（可选）。所有 如果填充了此密钥，则某些激活对话框将包含一个会在默认浏览器中打开的新链接：在线了解有关激活的详细信息。 将此值设置为非零值可阻止 KMS KMS 主机自动发布到 DNS。 格式：域名, <优先级>, <权重> KMS 包含一个 KMS 用以自动发布其 DNS 服务 (SRV) 记录的完全限定域的列表（可选）。KMS 主域会一直使用，因此不必在此处包含该域。这取决于 DisableDnsPublishing 值。 优先级和权重参数可选。如果未提供，则会在 SRV 记录中将这些参数设置为 0。 将此值设置为非零值可最小化相互托KMS 管环境中的 KMS 争用。请注意，在系统繁忙时，这可以避免 KMS 主机维持足够数目。 DisableDnsPublishing DnsDomainPublishList REG_DWORD REG_MULTI_SZ EnableKmsLowPriority REG_DWORD 12

KeyManagementServiceListeningPort KeyManagementServiceName REG_SZ 在 KMS 主机上设置此值可强制 KMS KMS 侦听指定的 TCP 端口。如果未指定此值，主机将使用 TCP 端口 1688。 设置此值可强制 KMS 客户端使用KMS 客特定的 KMS 主机。无默认值。 户端 如果指定了 AppID 或 SKU-ID，则会在存储此值的子项中创建以下内容： ..\\SoftwareProtectionPlatform\\APPID_GUID\\KeyManagementServiceName 设置此值可强制 KMS 客户端在与 KMS 客KMS 通信时使用特定 TCP 端口。户端 如果未指定此值，客户端将使用端口 1688。 如果指定了 AppID 或 SKU-ID，则会在存储此值的子项中创建以下内容： ..\\SoftwareProtectionPlatform\\APPID_GUID\\KeyManagementServicePort 设置此值可使 Microsoft Operations KMS Manager (MOM) 2005 自动发现 KMS。如果 KMS 在计算机上不再可用，请删除此值。 默认情况下此值不存在，默认值为 所有（不0，需要提升。创建此值并将其设仅仅适用置为 1，可使标准用户安装产品密于 KMS） 钥，且无需提升即可激活并重新装备计算机。 也可通过 GPO 配置此设置，GPO 存储在 \\policies 注册表子项下。 REG_SZ KeyManagementServicePort REG_SZ KeyManagementServiceVersion REG_SZ UserOperations REG_DWORD 13

VLActivationInterval REG_DWORD 此值最初在 KMS 服务器和客户端KMS 客上均进行了设置。默认值为 120 分户端和 钟（2 小时）。KMS 客户端最初从服务器 注册表获取此间隔，但在收到第一个 KMS 响应后转换为 KMS 设置。最小值为 15 分钟，最大值为 43,200 分钟（30 天）。 此值最初在 KMS 服务器和客户端KMS 客上均进行了设置。默认值为 户端和 10,080 分钟（7 天）。KMS 客户服务器 端最初从注册表获取此间隔，但在收到第一个 KMS 响应后转换为 KMS 设置。因此，从来不会使用客户端设置。最小值为 15 分钟，最大值为 43,200 分钟（30 天）。 VLRenewalInterval REG_DWORD 注册表子项：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\ CurrentVersion\\SoftwareProtectionPlatform\\Activation 值 Manual 类型 REG_DWORD REG_DWORD 说明 0 = 允许自动联机激活（默认） 1 = 禁用自动激活 范围 MAK 和 KMS 主机，而不是 KMS 客户端 NotificationDisabled 0 = 将显示激活通知和气球（默认） 所有（不仅仅1 = 隐藏所有与激活相关的通知（如适用于 KMS） 果 Windows 未处于通知或未许可状态）。不推荐。 14

组策略对象设置

表 4 介绍了组织可用来阻止操作系统在通知状态下将桌面更改为黑色的组策略设置。 表 4. 组策略对象设置

策略名称 用户配置 -> 管理模板 -> 控制面板 -> 个性化 -> 阻止更改桌面背景 说明 阻止用户添加或更改桌面的背景设计。 默认情况下，用户可以使用“个性化”或“显示控制面板”项中的桌面背景页面向其桌面添加背景设计（墙纸）。 如果您启用此设置，用户将无法更改任何桌面背景设置。 要为组指定墙纸，请使用桌面墙纸设置。 注：您还须启用桌面墙纸设置以阻止用户更改桌面墙纸。有关详细信息，请参考 http://support.microsoft.com/kb/Q327998 上的 Microsoft 帮助和支持文章“管理员在组策略中选择‘阻止更改墙纸’后更改桌面墙纸设置”。 此外，请参见仅允许使用位图墙纸设置。 用户配置 -> 管理模板 -> 桌面 -> 桌面 -> 桌面墙纸 指定在所有用户桌面上显示的桌面背景（“墙纸”）。 使用此设置可指定用户桌面上的墙纸，并阻止用户更改图像或其显示。可以将您指定的墙纸存储为位图 (*.bmp) 文件或 JPEG (*.jpg) 文件。 要使用此设置，请键入存储墙纸图像的文件的完全限定路径和文件名。您可以键入本地路径（如 C:\\Windows\\web\\wallpaper\\home.jpg）或通用命名约定 (UNC) 路径（如 \\\\Server\\Share\\Corp.jpg）。如果在用户登录时指定的文件不可用，则不会显示墙纸。用户无法指定备用墙纸。您还可以使用此设置将墙纸图像指定为居中、平铺或拉伸。用户无法更改此指定。 如果您禁用此设置或不对其进行配置，则不会显示墙纸。但是，用户可以自行选择墙纸。 此外，请参见同一位置中的仅允许使用位图墙纸设置和“用户配置\\管理模板\\控制面板”中的阻止更改墙纸设置。 注：此设置不适用于远程桌面服务器会话。 15

策略名称 用户配置 -> 管理模板 -> 控制面板 -> 个性化 -> 阻止更改桌面图标 说明 阻止用户更改桌面图标。 默认情况下，用户可通过“个性化”或“显示控制面板”项中的桌面图标设置对话框来显示、隐藏或更改桌面图标。 如果您启用此设置，则用户无法更改任何桌面图标。 对于 Windows Vista 之前的操作系统，此设置还会隐藏“显示控制面板”项中的桌面选项卡。 16

KMS 激活计时

KMS 激活计时可通过两个设置进行控制：激活计时器和续订计时器：

? KMS 激活间隔 确定 KMS 客户端在其被激活之前、在宽限期和通知状态期间尝试激活的频率。

通过运行 slmgr.vbs /sai 间隔在客户端上设置此值。间隔以分钟为单位，默认值为 120 分 钟。有关详细信息，请参阅“Slmgr.vbs 选项”和“注册表设置”。当系统与 KMS 主机联系后，KMS 主机设置将覆盖本地客户端设置。

? KMS 续订间隔 确定 KMS 客户端尝试在被激活后通过 KMS 进行重新激活的频率。使用 slmgr

/sri 间隔 设置此值。间隔以分钟为单位进行设置。默认值为 10,080 分钟（7 天）。可以在客户端上设置此值，但是它将被 KMS 主机提供的值覆盖。

在运行过程中，KMS 客户端会在启动时尝试与 KMS 主机联系，而且会在联系失败后每隔一个激活间隔再次尝试。默认情况下，此操作每两小时执行一次。当 KMS 激活成功后，客户端将收到 KMS 主机的续订间隔并进行存储，Windows 激活状态将持续 180 天。激活续订以滑动窗口的形式运行，类似于动态主机配置协议 (DHCP) 租赁。客户端激活状态将持续 180 天，但是仍然会每隔一个续订间隔（默认为 7 天）尝试重新激活。如果激活成功，则将重置 180 天的周期。如果激活失败，系统将监控网络更改或其他限定的事件以触发下一次尝试。15 分钟后，系统停止监控限定事件，但是仍然会每隔一个激活间隔尝试一次。

如果在 180 天的周期内未成功重新激活，则客户端将转换为容差宽限期外 (OOT)。如果在转换为 OOT 后的 30 天内没有进行激活，则系统将进入通知模式。

17

KMS 发现搜索顺序

当启用 KMS 自动发现（默认）且未禁用 KMS 主机缓存时，KMS 客户端将按照以下顺序来确定使用哪个 KMS（它们将尝试每个步骤，直到具有正确密钥的已激活 KMS 主机作出响应）： ? HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\

SoftwareProtectionPlatform\\AppID\\SKUID\\KeyManagementServiceName REG_SZ 注册表值中特定于 SKU 的值

? HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\

SoftwareProtectionPlatform\\AppID\\KeyManagementServiceName REG_SZ 注册表值中特定于 AppID 的值

? HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\

SoftwareProtectionPlatform\\KeyManagementServiceName REG_SZ 注册表值中的全局值

? 特定于 SKU 的缓存 KMS 主机（这是在上次成功激活 KMS 时使用的主机的缓存标识） ? DNS 自动发现（遵照权重和优先级设置） 如果缓存的 KMS 未作出响应，则会执行搜索。

18

激活方案

以下几节介绍用于 KMS 和 MAK 激活的密钥方案。

KMS 方案

KMS 可支持简单网络、单站点网络和全局网络。以下方案显示： ? KMS 的默认实施。

? 扩展到支持全局网络的实施。 单站点网络的默认 KMS 实施

Contoso 拥有 100 个 Windows 7 Enterprise 客户端和一套包含 Windows Vista、Windows Server 2008 和 Windows Server 2008 R2 的混合系统。如图 1 所示，Contoso 是一个扁平的域 (Contoso.com)。DNS 服务器以其默认配置运行 Microsoft DNS。此配置支持动态 DNS 注册和可删除陈旧记录的 DNS 记录清理。

图 1. 单站点网络的默认 KMS 实施

Contoso 购买了一份可提供 KMS B 密钥的许可协议，该密钥将激活 Contoso 的所有系统。信息技术 (IT) 管理员使用在提升的命令提示符下本地运行的以下命令，在两台运行 Windows Server 2008 R2 的 KMS 主机上安装 Contoso 的 KMS 主机密钥 (CSVLK)：

19

Slmgr.vbs /ipk

IT 管理员随后在名为 KMS 主机 的 Active Directory? 域服务 (AD DS) 中创建一个安全组。管理员将服务器 KMS_1 和 KMS_2 添加为 KMS 主机成员。

通过 Internet 针对 Microsoft 激活主机 KMS_1：Slmgr.vbs /ato。KMS_1 自动将其 SRV 资源记录 (RR) 发布到 DNS。IT 管理员访问 DNS 服务器，查找 _vlmcs._tcp.contoso.com 的 RR，并更改它的权限以授予 KMS 主机对该记录的读取、写入和删除权限。现在通过 Internet 针对 Microsoft 激活主机 KMS_2：Slmgr.vbs /ato。

最后，管理员确认在 Windows 防火墙中启用了 KMS 主机排除。需要启用密钥管理服务防火墙例外。

Contoso 网络上的 KMS 客户端查询 DNS 并接收两台 KMS 主机的 SRV 记录。客户端选择其中一个主机，然后接受激活（一旦 KMS 数量超过了阈值）。有关 KMS 数量要求的详细信息，请参阅“激活策略值”一节。 复杂的全局网络中的 KMS 实施

如图 2 所示，Contoso 扩展到了两个域：east.contoso.com 和 west.contoso.com。通过带有防火墙的广域网 (WAN) 链接，可以在两个网络之间进行私人网络通信。此链接的带宽有限，因此在 WAN 链接的两端复制资源（包括 DNS）以尽可能地减少流量。

20

west.contoso.comeast.contoso.comWAN 链路KMS_W1KMS_W2DNSDNSKMS_E1KMS_E2 图 2. 复杂的全局网络中的 KMS 实施

Contoso 使用基于图像的部署。其客户端系统在 Windows Vista 上是标准的，但是 Windows Vista 系统将被 Windows 7 客户端替换。

用户的地理位置会定期变化，因此他们的网络连接会从一个域更改为另一个域。DHCP 会动态提供客户端的 IP 寻址，包括指定本地 DNS 主机、本地网关地址等。

为了向现有的 Windows Vista 客户端和新的 Windows 7 客户端提供激活支持，Contoso 安装了四个 KMS 主机（使用其 KMS B 密钥）。其中两台 KMS 主机在 east.contoso.com 中配置，另外两台则在 west.contoso.com 中配置。

IT 管理员配置 KMS 主机，以便使 DNS SRV 记录将 east 域中的 Windows 7 和 Windows Server 2008 R2 客户端驱动到 KMS_E1（如果可用）或 KMS_E2。如果两个均不可用，则客户端将先尝试 KMS_W1，然后尝试 KMS_W2。同样，还会配置 west 域中的 DNS，以便使 west 域中的 Windows 7 客户端会优先联系 KMS_W1，然后再联系 KMS_W2，并且只有当这些操作都失败后才会尝试使用 WAN 链接远端的 KMS_E1 和 KMS_E2 进行激活。 IT 管理员通过更改以下配置（参见表 5）来完成此操作：

21

? 将 KMS_E* 主机添加到安全组 KMS_E。该组即获得对记录 _vlmcs._tcp.east.contoso.com

的读取、写入和删除权限。

? 将 KMS_W* 主机添加到安全组 KMS_W。该组即获得对记录 _vlmcs._tcp.west.contoso.com

的读取、写入和删除权限

? 配置 DHCP 服务器，以将 east.contoso.com 和 west.contoso.com 添加到所有客户端的

DNS 后缀搜索列表。

? 将 east 和 west 域之间的防火墙配置为允许在端口 1688 上向 KMS 主机进行 RPC 通信。 表 5. KMS 主机配置

说明 配置 east.contoso.com SRV 优先级和权重，以便使客户端在尝试联系 KMS_W* 主机之前先联系 KMS_E* 主机（如果可用）。通信将分为以下两部分：75% 到 KMS_*1 主机，25% 到 KMS_*2 主机。 配置 west.contoso.com SRV 优先级和权重，以便使客户端在尝试联系 KMS_E* 主机之前先联系 KMS_W* 主机（如果可用）。通信将分为以下两部分：75% 到 KMS_*1 主机，25% 到 KMS_*2 主机。 配置 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SoftwareProtectionPlatform DnsDomainPublishList= KMS_E1, 10, 75 KMS_E2, 10, 25 KMS_W1, 90, 75 KMS_W2, 90, 25 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SoftwareProtectionPlatform DnsDomainPublishList= KMS_W1, 10, 75 KMS_W2, 10, 25 KMS_E1, 90, 75 KMS_E2, 90, 25 主机 KMS_E1 KMS_E2 KMS_W1 KMS_W2 22

然后，管理员确认 Windows 防火墙例外是否设置为允许 KMS 客户端通信，并配置客户端计算机（如表 6 所示）。 表 6. KMS 客户端配置

说明 禁用 KMS 主机缓存 设置用户 URL，将有 激活问题的用户直接 转至 Contoso 技术 支持中心 配置 Slmgr /ckhc HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SoftwareProtectionPlatform\\Activation AlternateURL = http://contoso.com/help 客户端参考计算机进行 KMS 激活，然后运行 sysprep /generalize。关闭系统，并通过 Windows 7 的 Windows 自动安装工具包 (Windows AIK) 中的 ImageX 对其进行映像。Windows AIK 可从 http://go.microsoft.com/fwlink/?LinkId=136976 上下载。

MAK 方案

以下几节介绍了 MAK 激活的各种方案，这些方案均基于图 3 中所示的方案。此图显示了大型企业中的典型网络环境和工作组环境。

23

图 3. 企业环境

在核心网络环境中，所有计算机均位于一个由 AD DS 管理的通用网络中。“安全区域”代表具有额外防火墙保护的安全性更高的核心网络计算机。

“隔离实验室”环境是一个物理上与核心网络隔离的工作组，其中的计算机不能访问 Internet。网络安全策略规定，不得将可以识别特定计算机或用户的信息传输到隔离实验室之外。 MAK 独立激活

VAMT 允许通过从集中控制台分发 MAK 来自动进行 MAK 部署和激活，如图 2 所示。VAMT 会通过查询 Microsoft 激活服务器来获取给定 MAK 的剩余激活次数，然后列出环境中所有使用 MAK 激活的系统的激活状态。此计数是一个即时快照，不是实时计数。VAMT 版本 1.2 包含在 Windows AIK 中。

24

在此方案中，VAMT 在图 3 所示的核心网络环境中部署。它安装在可通过网络访问所有客户端计算机的中央计算机上。VAMT 主机和客户端计算机均可访问 Internet。以下说明介绍了执行独立激活的步骤：

1. 在已联网的主机上安装 VAMT 并启动：

a. 在主机上安装 Windows AIK。

b. 单击“开始”，然后单击 VAMT 以打开 VAMT 控制台。

2. 在目标计算机上配置 Windows Management Instrumentation (WMI) 防火墙例外。确

保已为所有目标计算机启用了 WMI 防火墙例外（如图 4 所示）。

图 4. Windows Management Instrumentation (WMI) 例外 3. 向计算机信息列表 (CIL) 添加计算机：

a. 在 VAMT 控制台上，单击操作，然后单击添加计算机以显示添加计算机对话框。

25

b. 输入计算机组名称（如核心网络组），以识别要激活的计算机组。

c. 单击下拉列表，选择搜索选项。您可以在工作组中或 AD DS 域中搜索计算机，也可以按

单个计算机名或 IP 地址搜索计算机。

d. 如果您要按单个计算机名或 IP 地址进行搜索，请在该下拉列表下的文本框中输入相关

信息。

e. 如果您要在域或工作组中进行搜索，请在针对这些选项显示的其他下拉列表中选择域或工

作组。使用按计算机名筛选字段可在域或工作组中搜索特定计算机。 f. 单击确定。

VAMT 通过轻型目录访问协议 (LDAP) 来查询 Active Directory 目录服务 (AD DS)，并将其找到的计算机添加到 CIL。

4. 从发现的计算机中收集状态信息：

a. 如要使 VAMT 在某个计算机上执行一项操作，则其必须具有该计算机的当前许可证状态

数据。通过在计算机列表视图窗格中直接选择一台或多台计算机来收集单个计算机的状态信息。要对整个组执行操作，请在树状视图窗格中选择“状态未知”节点或“用户定义组”\\“核心网络组”节点。

b. 右键单击组或所需计算机，然后单击刷新计算机状态。

c. 如果您要激活的计算机要求提供不同于您当前所用凭据的管理员凭据，请选择使用备用

凭据。 d. 单击确定。

e. 根据提示，提供域管理员帐户（用来收集该域中所有计算机的状态信息）和密码。

当 VAMT 收集所有所选计算机的状态信息时，将显示收集计算机信息对话框。此过程结束后，VAMT 控制台的计算机列表视图窗格中会显示已刷新的各个计算机的状态信息。

注：要检索所选计算机的许可状态，VAMT 必须对远程计算机具有管理权限，且必须能够通过 Windows 防火墙访问 WMI。此外，对于工作组计算机，还须创建注册表密钥以在用户帐户控制 (UAC) 下启用远程管理操作。有关配置系统以进行 VAMT 远程管理的详细信息，请参阅 VAMT 帮助。

26

5. 添加 MAK，并确定其剩余激活计数：

a. 单击选项，然后单击管理 MAK 以打开管理 MAK 密钥对话框。 b. 单击添加，输入 MAK。 c. 输入 MAK，然后单击验证。

验证后，将自动填充版本字段。 d. 提供一段有意义的说明，然后单击添加。

此时，管理 MAK 密钥对话框中将列出 MAK。

e. 单击刷新剩余计数，以从 Microsoft 中检索列出的 MAK 的剩余激活数量（此步骤需要连

接 Internet）。 f. 单击退出，关闭对话框。 6. 安装 MAK 并激活客户端计算机：

a. 通过单击树状视图窗格中的组或选择列表视图窗格中的单个计算机来选择要激活的计算机。 b. 右键单击所选组或计算机，然后单击 MAK 独立激活以显示 MAK 独立激活对话框。 c. 从安装 MAK 列表中选择相应的 MAK。

d. 选择安装 MAK (覆盖现有密钥) 和立即激活复选框，以指示所选计算机通过 Internet

联系 Microsoft Windows 激活来立即激活。

如果这些复选框的文本旁显示星号 (*)，则说明此操作将仅适用于适用的计算机。例如，安装了 Windows Vista 零售版本的计算机无法使用 MAK 激活。

27

e. 如果您要激活的计算机要求提供不同于您当前所用凭据的管理员凭据，请选择使用备用

凭据。 f. 单击确定。

VAMT 会依次显示分配产品密钥对话框和激活计算机对话框，直到完成所需的操作。如果您选中了使用备用凭据，则系统将在这些对话框显示之前提示您输入凭据。

MAK 代理激活

在此方案中，VAMT 用于激活隔离实验室环境（如图 3 所示）中的工作组计算机。对于此类与大型网络完全隔离的工作组来说，您可以执行 MAK 代理激活，方法是：在隔离工作组中的计算机上安装第二个 VAMT，并使用可移动介质在该计算机和另一个可以访问 Internet 的 VAMT 主机之间传输 VAMT CIL。有关配置系统以进行 VAMT 远程管理的详细信息，请参阅 VAMT 帮助。以下步骤介绍了如何使用 VAMT 工具进行代理激活： 1. 在隔离实验室中的工作组计算机上安装 VAMT：

a. 在隔离实验室工作组中的主机上安装 Windows AIK。

该计算机可以运行 Windows XP with Service Pack 2 (SP2)、Windows Server 2003、 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2。 b. 单击“开始”，然后单击 VAMT 以打开 VAMT 控制台。

c. 在目标计算机上配置 Windows Management Instrumentation (WMI) 防火墙例外。

确保已对所有目标计算机启用了 WMI 防火墙例外。

2. 向 CIL 添加计算机：

a. 在 VAMT 控制台上，单击操作，然后单击添加计算机以打开添加计算机对话框。 b. 输入组名称（如隔离实验室组），以识别要激活的计算机组。

28

c. 选择工作组选项，指定工作组名称，然后单击确定。

VAMT 将在工作组中搜索计算机。

注：如要使 VAMT 在工作组中发现客户端计算机，必须启用网络发现 Windows 防火墙例外。

3. 从发现的计算机中收集状态信息：

a. 如要使 VAMT 在某个计算机上执行一项操作，则其必须具有该计算机的当前许可证状态

数据。通过在计算机列表视图窗格中直接选择一台或多台计算机来收集单个计算机的状态信息。要对整个组执行操作，请在左窗格中选择“状态未知”节点或“用户定义组”\\“隔离实验室组”节点。

b. 右键单击组或所需计算机，然后单击刷新计算机状态。

c. 如果您要激活的计算机要求提供不同于您当前所用凭据的管理员凭据，请选择使用备用

凭据。

d. 单击确定。根据提示，提供在所选工作组计算机上具有本地管理权限的帐户的凭据。

当 VAMT 收集所有所选计算机的状态信息时，将显示收集计算机信息对话框。此过程结束后，VAMT 控制台的计算机列表视图窗格中会显示已刷新的各个计算机的状态信息。

注：要检索所选计算机的许可状态，VAMT 必须对远程计算机具有管理权限，且必须能够通过 Windows 防火墙访问 WMI。此外，对于工作组计算机，还须创建注册表密钥以在 UAC 下启用远程管理操作。

4. 添加 MAK：

a. 单击选项，然后单击管理 MAK 以打开管理 MAK 密钥对话框。 b. 单击添加，输入 MAK。 c. 输入 MAK，然后单击验证。

验证后，将自动填充版本字段。

29

d. 提供一段有意义的说明，然后单击添加。

此时，管理 MAK 密钥对话框中将列出 MAK。 e. 单击退出，关闭对话框。

注：由于 VAMT 未安装在可访问 Internet 的计算机上，因此将无法执行刷新剩余计数选项。此功能需要连接 Internet。

5. 在隔离实验室计算机上安装 MAK：

a. 在树状视图窗格中选择“隔离实验室”组。

b. 右键单击所选组，然后单击 MAK 代理激活以显示 MAK 代理激活对话框。 c. 从安装 MAK 列表中选择相应的 MAK。 d. 选择安装 MAK (覆盖现有密钥)。

如果此复选框的文本旁边显示星号 (*)，则说明此操作仅用于适用的计算机。例如，安装了 Windows Vista 零售版本的计算机无法使用 MAK 激活。

e. 清除从 Microsoft 获取确认 ID 复选框，因为此计算机无法访问 Internet。 f. 清除应用确认 ID 并激活复选框，因为尚未请求确认 ID (CID)。

g. 如果您要激活的计算机要求提供不同于您当前所用凭据的管理员凭据，请选择使用备用凭

据，然后单击确定。

完成请求的操作后，VAMT 将显示分配产品密钥对话框。如果您选中了使用备用凭据，则系统将在此对话框显示之前提示您输入凭据。

注：选择安装 MAK (覆盖现有密钥)复选框将强行在客户端计算机上安装 MAK。必须谨慎进行此操作。如果计算机上已安装 Windows Vista pre-SP1 版本超过 30 天，则说明其初始宽限期已过，如果下次登录前未成功完成激活，计算机将进入功能缩减模式 (RFM)。不过，您可以使用 MAK 代理激活从 RFM 恢复已正确配置的计算机，前提是该计算机能够访问 VAMT 主机。RFM 仅适用于 Windows Vista pre-SP1 版本。Windows Vista SP1 或更高版本、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 无法进入 RFM 模式。

30

6. 保存 CIL：

在此步骤中，完整的 CIL 保存在本地（即工作组）VAMT 主机上。在 MAK 代理激活中，保持此文件非常重要，因为 VAMT 会用它将 CID 应用到正确的计算机中。

a. 使用 VAMT 树状视图或列表视图窗格，选择已成功接收 MAK 的组或单个计算机。 b. 在文件菜单下，单击保存，即会显示保存计算机信息列表对话框。 c. 选择一个目录，然后输入 CIL 文件名，如 IsolatedLabGroup.CIL。 d. 单击保存。 7. 导出 CIL：

如上所述，企业的安全策略规定，不得将可以标识特定计算机或用户的信息传输到隔离实验室之外。因此，对于此类型数据，必须将其排除在 CIL 文件之外，才能将其转移到核心网络 VAMT 主机。

a. 使用 VAMT 树状视图或列表视图窗格，选择已成功接收 MAK 的组或单个计算机。 b. 右键单击所选组或计算机，然后单击导出计算机，即会显示保存计算机信息列表对话框。 c. 选择排除任何敏感环境数据。 d. 单击浏览，即会显示另存为对话框。

e. 选择一个目录，然后输入 CIL 文件名，如 IsolatedLabGroupSecureExport.CIL。 f. 单击保存。

g. 将 IsolatedLabGroupSecureExport.CIL 文件复制到可移动介质（磁盘驱动器、CD/DVD

或 USB 闪盘 [UFD]）。

注：选择排除任何敏感环境数据复选框，则可避免将个人身份信息 (PII) 保存在 CIL 中。因此，CIL 必须重新导入此 VAMT 主机和完全保存 CIL 文件，这样 Microsoft 要求的 CID 才能正确分配到“隔离实验室”组中的计算机。

31

8. 将 CIL 导入到能够访问 Internet 的 VAMT 主机上：

a. 将 IsolatedLabGroupSecureExport.CIL 从可移动介质复制到能够访问 Internet 的

VAMT 主机上的驱动器上。 b. 打开 VAMT 控制台。

c. 在文件菜单下，单击导入，即会打开打开计算机信息列表对话框。

d. 找到并选择 IsolatedLabGroupSecureExport.CIL，然后单击打开来将 CIL 加载

到 VAMT。

e. 确认计算机、组和工作组名称不可见。 9. 向 Microsoft 索要 CID：

a. 右键单击导入的计算机，然后单击 MAK 代理激活，即会打开 MAK 代理激活对话框。 b. 清除安装 MAK (覆盖现有密钥) 复选框。 c. 清除从 Microsoft 获取确认 ID 复选框。

d. 清除应用确认 ID 并激活复选框，因为此 VAMT 主机与所选计算机不在同一网络上。 e. 单击确定。

VAMT 将显示在线获取确认 ID 对话框，同时将联系 Microsoft 并收集 CID。

10.从已连接到 Internet 的 VAMT 主机导出 CIL：

a. 为所有计算机检索到 CID 后，保存 CIL 文件。在 VAMT 控制台中，滚动到右侧并确认

PendingCID 列有值。

b. 在文件菜单中，单击另存为，为文件另起一个名称，如

IsolatedLabGroupSecureExportwithCID.CIL。

c. 将更新后的文件 IsolatedLabGroupSecureExportwithCID.CIL 复制到可移动介质（磁

盘驱动器、CD/DVD 或 UFD）。

11.将 CIL 导入隔离实验室中的原始 VAMT 主机：

a. 将 IsolatedLabGroupSecureExportwithCID.CIL 从可移动介质复制到隔离实验室中

VAMT 主机上的驱动器中。 b. 打开 VAMT 控制台。

c. 单击文件菜单中的打开，即会显示打开计算机信息列表对话框。

32

d. 找到并选择 IsolatedLabGroup.CIL，然后单击打开，将 CIL 加载到 VAMT 中。

此时，将在计算机列表视图窗格中显示先前搜索到的计算机及其许可证状态。 e. 单击文件菜单中的导入，浏览到包含 CID 的文件

(IsolatedLabGroupSecureExportwithCID.CIL)。 这将启动合并进程，该进程会将 CID 与计算机 IID 相匹配。

f. 在文件菜单下，单击保存，然后输入文件名，如 IsolatedLabGroupwithCID.CIL，即会

保存此文件（将 IID 与对应的 CID 相关联）。

重要提示 保存此文件对重建映像的情况至关重要。极力建议您备份此文件并保护其不被改写。

12.应用 CID 并激活隔离实验室计算机：

a. 右键单击树状视图窗格中的“隔离实验室”组，然后单击 MAK 代理激活，打开 MAK

代理激活对话框。

b. 清除安装 MAK (覆盖现有密钥) 复选框，因为所选计算机已安装了 MAK。 c. 清除从 Microsoft 获取确认 ID 复选框。

d. 选中应用确认 ID 并激活复选框，指示 VAMT 通过安装所选计算机的 CID 来将其激活。 e. 单击确定。

VAMT 将显示分配确认 ID 对话框，同时将 CID 安装在所选计算机上。

13.或者，也可以重新激活隔离实验室中已重建映像的计算机：

如果隔离实验室中的计算机已重建映像，但基础硬件并未更改，VAMT 就可使用 IsolatedLabGroupwithCID.CIL 文件重新激活它们。

a. 使用原来使用的计算机名将 Windows 重新部署到每台计算机。 b. 打开本地（工作组）VAMT 主机上的 VAMT 控制台。

33

c. 单击文件菜单中的打开，然后选择 IsolatedLabGroupwithCID.CIL 文件。

d. 在树状视图窗格中，右键单击隔离实验室组，然后单击重新应用确认 ID，即会显示

MAK 代理重新激活对话框。

e. 使安装 MAK (覆盖现有密钥) 复选框处于选中状态，确保从列表中选中了先前使用的

MAK。

f. 使重新应用确认 ID 并重新激活复选框处于选中状态，以便从

IsolatedLabGroupwithCID.CIL 文件重新应用存储的 CID。

g. 如果硬件自初始 MAK 代理激活后并未更改且您正在使用相同的 MAK 重新激活计算机，

则使要求精确的 IID 匹配复选框处于选中状态。

如果硬件已更改，但您仍希望 VAMT 使用先前存储的 CID 尝试重新激活，则清除此复选框。请注意，在此方案中，Windows 可能无法成功重新激活。

h. 如果您要激活的计算机要求提供不同于您当前所用凭据的管理员凭据，请选择使用备用凭

据复选框。 i. 单击确定。

VAMT 将显示分配产品密钥对话框，同时会将 MAK 应用到“隔离实验室”组。 VAMT 将显示分配确认 ID 对话框，同时会将 CID 安装到所选计算机上。

注：选择安装 MAK (覆盖现有密钥) 复选框将强行安装 MAK。必须谨慎进行此操作。如果 Windows Vista pre-SP1 版本已安装了 30 天以上，那么其初始宽限期已过；如果下次登录前未成功完成激活，将进入 RFM 模式。VAMT 可用于从 RFM 恢复正确配置的远程计算机，前提是必须能够通过网络访问要恢复的计算机。RFM 仅适用于 Windows Vista pre-SP1 版本。Windows Vista SP1 或更高版本、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 都无法进入 RFM 模式。

VAMT 对 KMS 激活提供的支持

在此方案中，VAMT 用于安装并激活核心网络或隔离实验室计算机上的 KMS 客户端密钥。以下所述过程假设已安装了 VAMT 并且计算机已添加到了 CIL 中。方案 1（核心网络）或方案 2（隔离实验室工作组）中的步骤 1–4 描述了这些任务。

34

1. 打开 VAMT 控制台。

2. 通过单击树状视图窗格中的组或选择列表视图窗格中的单个计算机来选择要激活的计算机。 3. 右键单击所选组或计算机，然后单击配置 KMS 激活，即会显示 KMS 配置对话框。 4. 选择安装 KMS 客户端密钥(覆盖现有密钥)，指示 VAMT 将 KMS 客户端密钥安装到客户端

计算机上。

5. 选择相应的激活选项：

? 使用 DNS 自动搜索 KMS 主机。VAMT 首先将清除目标计算机上的所有先前配置的 KMS

主机，然后指示计算机查询 DNS 以找到 KMS 主机并尝试激活。

? 使用特定 KMS 主机和端口。VAMT 设置目标计算机上指定的 KMS 主机名和端口，然后

指示计算机使用该特定 KMS 主机尝试激活。

6. 如果您要激活的计算机要求提供不同于您当前所用凭据的管理员凭据，请选择使用备用凭据

复选框，然后单击确定。

VAMT 将显示分配产品密钥对话框，并且在完成请求的操作后将显示激活计算机对话框。如果您选中了使用备用凭据复选框，则系统将在这些对话框显示之前提示您输入凭据。 将 KMS 转换为使用 MAK 激活

Windows 7 和 Windows Server 2008 R2 自动安装为 KMS 客户端。要将 KMS 客户端转换为使用 MAK 激活，需要安装 MAK。您可以在安装操作系统期间或之后的任何时间安装 MAK。 可以将 MAK 密钥安装到 Windows 7 和 Windows Server 2008 R2 的参考映像中，以使所有从该映像进行的安装都使用 MAK 激活，而不使用默认的 KMS 激活。这样便可以减少在无人参与安装文件中指定 MAK 的需要。

35

在安装操作系统过程中安装 MAK

通过将 MAK 包含到无人参与安装文件 (Unattend.xml) 中，您可以在 Windows 7 或 Windows Server 2008 R2 的初始安装过程中，将 KMS 客户端转换为 MAK 客户端。Unattend.xml 文件可与 Setup.exe 或 Windows 部署服务一起使用。有关详细信息，请参阅 Windows AIK 中的帮助文件 Unattended Windows Setup Reference（无人参与 Windows 安装程序参考），网址为 http://go.microsoft.com/fwlink/?LinkId=136976。

注：MAK 以明文格式存储在 Unattend.xml 文件中。在无人参与安装过程中，文件 Unattend.xml 或 AutoUnattend.xml 会复制到目标计算机的 %SystemRoot%\\Panther 文件夹中。不过，在安装过程结束时，安装程序会将其替换为“SENSITIVE*DATA*DELETED”。

在安装操作系统之后安装 MAK

您可以使用控制面板上的“系统”项或通过运行 Slmgr.vbs 脚本将 Windows 7 或 Windows Server 2008 R2 的批量版本配置为使用 MAK 激活。

? 要使用“系统”应用程序安装 MAK，请单击更改您的产品密钥链接，然后在更改您的产品密

钥以便激活对话框中键入 MAK。

? 要使用 Slmgr.vbs 安装 MAK，请在命令提示符下运行以下命令：

slmgr.vbs /ipk <多次激活密钥> 其中，多次激活密钥 为 MAK。

如果用户使用用户界面 (UI) 安装 MAK，则 MAK 客户端会尝试通过 Internet 一次性自行激活。如果用户使用 Slmgr.vbs 脚本安装 MAK 密钥，则 MAK 客户端不会尝试自动激活。用户可以使用 Slmgr.vbs /ato 通过 Internet 手动激活 MAK。

36

产品的 KMS 主机密钥

表 7 介绍了每个 KMS 主机可以激活的产品。 表 7. KMS 主机密钥与其激活的产品

批量产品组 Windows Vista Windows 产品 Windows Vista Business Windows Vista Enterprise 密钥 类型 KMS 使用密钥类型激活的 产品 Windows Vista Business Windows Vista Enterprise Windows Vista Business Windows Vista Enterprise Windows 7 Professional Windows 7 Enterprise Windows 7 Windows 7 Professional Windows 7 Enterprise KMS Windows Windows Web Server? 2008 R2 Server 2008 R2 Windows Server 2008 R2 HPC 服务器组 A Edition Windows HPC Server 2008 R2 KMS_A Windows Server 2008 R2 组 A Windows Server 2008 组 A Windows Vista 批量版本 Windows 7 批量版本 KMS_B Windows Server 2008 R2 组 A Windows Server 2008 组 A Windows Server 2008 R2 组 B Windows Server 2008 组 B Windows Vista 批量版本 Windows 7 批量版本 KMS_C Windows Server 2008 R2 组 A Windows Server 2008 组 A 37

Windows Windows Server 2008 R2 Server 2008 R2 Standard 服务器组 B Windows Server 2008 R2 Enterprise Windows Windows Server 2008 R2 Server 2008 R2 Datacenter 服务器组 C 用于基于 Itanium 的系统的 Windows Server 2008 R2

批量产品组 Windows 产品 密钥 类型 使用密钥类型激活的 产品 Windows Server 2008 R2 组 B Windows Server 2008 组 B Windows Server 2008 R2 组 C Windows Server 2008 组 C Windows Vista 批量版本 Windows 7 批量版本 Windows Server 2008 R2 KMS 密钥与 Windows Server 2008 具有相同的层次结构（组 A、B、C），但 Windows Server 2008 R2 增加了 Windows Server 2008 Datacenter（无 Hyper-V?）、Windows Server 2008 Enterprise（无 Hyper-V）和 Windows Server 2 008 Standard（无 Hyper-V）。两者的主要区别在于：Windows Server 2008 R2 KMS 密钥可用来激活一个 KMS 主机，该主机进而将激活 Windows Server 2008、Windows 7 和 Windows Vista。

但 Windows Server 2008 和 Windows Vista 密钥不能激活 Windows 7 或 Windows Server 2008 R2 系统。

38

激活策略值

表 8 列出了 Windows 7 和 Windows Server 2008 R2 的策略值。 表 8. Windows 7 和 Windows Sever 2008 R2 策略值

元素 客户端值 服务器值 范围 重新装备限制 3 3 不可配置 KMS 客户端计数阈值 25 5 不可配置 KMS 激活持续时间 180 天 180 天 不可配置 KMS 主机侦听端口 1688 1688 任何处于打开状态的TCP 端口 OOB 宽限期 30 天 30 天 不可配置 OOT 宽限期 30 天 30 天 不可配置 KMS 客户端重新激活10,080 分钟 10,080 分钟 15-43,200 分钟 （以分钟为单位） （即 7 天，默 （即 7 天，默（即 30 天，默认值） 认值） 认值） 静默 KMS 重试间隔120 分钟 120 分钟 15-43,200 分钟 （KMS 激活失败后 便会重试） （默认值为 120 分钟）

39

KMS 客户端安装密钥

默认情况下，Windows 7 和 Windows Server 2008 R2 操作系统使用 KMS 进行激活。批量安装时，默认情况下将安装安装密钥，这便使系统成了 KMS 客户端。如果要将计算机从 KMS 主机、MAK 或 Windows 的零售版本转换为 KMS 客户端，请使用 slmgr /ipk <安装密钥> 安装表 9 中相应的安装密钥 (GVLK)。 表 9. KMS 客户端安装密钥

平台 操作系统版本 产品密钥 Windows 7 和 Windows Server 2008 R2 客户端 客户端 客户端 客户端 客户端 客户端 服务器 服务器 服务器 服务器 服务器 服务器 Windows 7 Professional Windows 7 Professional N Windows 7 Professional E Windows 7 Enterprise Windows 7 Enterprise N Windows 7 Enterprise E Windows Server 2008 R2 Web Windows Server 2008 R2 HPC Edition Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Datacenter 用于基于 Itanium 的系统的 Windows Server 2008 R2 FJ82H-XT6CR-J8D7P-XQJJ2-GPDD4 MRPKT-YTG23-K7D7T-X2JMM-QY7MG W82YF-2Q76Y-63HXB-FGJG9-GF7QX 33PXH-7Y6KF-2VJC9-XBBR8-HVTHH YDRBP-3D83W-TY26F-D46B2-XCKRJ C29WB-22CC8-VJ326-GHFJW-H9DH4 6TPJF-RBVHG-WBW2R-86QPH-6RTM4 FKJQ8-TMCVP-FRMR7-4WR42-3JCD7 YC6KT-GKW9T-YTKYR-T4X34-R7VHC 489J6-VHDMP-X63PK-3K798-CPX3Y 74YFP-3QFB3-KQT8W-PMXWJ-7M648 GT63C-RJFQ3-4GMB6-BRFB9-CB83V Windows Vista 和 Windows Server 2008 40

平台 客户端 客户端 客户端 客户端 服务器 服务器 服务器 服务器 服务器 服务器 服务器 服务器 操作系统版本 Windows Vista Business Windows Vista Business N Windows Vista Enterprise Windows Vista Enterprise N Windows Web Server 2008 Windows Server 2008 Standard Windows Server 2008 Standard（无 Hyper-V） Windows Server 2008 Enterprise Windows Server 2008 Enterprise（无 Hyper-V） 产品密钥 YFKBB-PQJJV-G996G-VWGXY-2V3X8 HMBQG-8H2RH-C77VX-27R82-VMQBT VKK3X-68KWM-X2YGT-QR4M6-4BWMV VTC42-BM838-43QHV-84HX6-XJXKV WYR28-R7TFJ-3X2YQ-YCY4H-M249D TM24T-X9RMF-VWXK6-X8JC9-BFGM2 W7VD6-7JFBR-RX26B-YKQ3Y-6FFFJ YQGMW-MPWTJ-34KDK-48M3W-X4Q6V 39BXF-X8Q23-P2WWT-38T2F-G3FPG Windows Server 2008 Datacenter 7M67G-PC374-GR742-YH8V4-TCBY3 Windows Server 2008 Datacenter（无 Hyper-V） 用于基于 Itanium 的系统的 Windows Server 2008 22XQ2-VRXRG-P8D42-K34TD-G3QQC 4DWFP-JF3DJ-B7DTH-78FJB-PDRHK 41

激活错误代码

表 10 针对激活 Windows 7 和 Windows Server 2008 R2 操作系统的批量版本时出现的问题提供了疑难解答帮助。 表 10. 错误代码和描述

错误代码 0xC004C001 错误消息 激活类型 可能的原因 输入的 MAK 无效。 解决步骤 验证该密钥是不是 Microsoft 提供的 MAK。 联系 Microsoft Activation Call Center（Microsoft 激活呼叫中心）以确认 MAK 是否有效。 联系 Microsoft Activation Call Center（Microsoft 激活呼叫中心）以获取新的 MAK 并安装/激活系统。 KMS 主机密钥最多可在 6 台不同的计算机上激活 10 次。如果需要增加激活次数， 请联系 Microsoft Activation Call Center（Microsoft 激活呼叫中心）。 对 MAK 设计了激活次数限制。请联系 Microsoft Activation Call Center（Microsoft 激活呼叫中心）。 激活服务器确定MAK 指定的产品密钥无效。 0xC004C003 激活服务器确定MAK 指定的产品密钥被阻止。 MAK 在激活服务器上被 阻止。 0xC004C008 激活服务器确定KMS 无法使用指定的产品密钥。 KMS 密钥 已超过激活 限制。 0xC004C020 激活服务器报告MAK 多次激活密钥已超过其限制。 MAK 已超过激活限制。 42

本文来源：https://www.bwwdw.com/article/9luo.html