多激活密鑰
MAK不需要特定的基礎結構。您的公司申請並支付一個MAK的費用即可獲得特定數量的激活。您可以藉助無人蔘與文件使用MAK激活目標系統;通過Windows界面手動操
作或通過腳本來實現。每個MAK安裝必須使用微軟的激活服務器進行驗證才能成功完成。通常,您將使用直接激活,即客戶機自身直接通過微軟激活,也可以通過Web 或電話。Web激活非常簡單並且工作方式與以前的激活(例如,WindowsXP激活)的工作方式相同。通過電話激活要求您撥打電話號碼並讀出或在您的電話上輸入數字序列,之後接線員會給出您輸入到相應的激活數字序列。
如果您的客戶機沒有直接訪問Internet(例如,在保證安全的實驗室中)的權限,或者沒有MAK 激活所需的管理權限,微軟提供了一種代理激活方法,該方法需要使用批量激活管理工具。可以從微軟下載頁面 (www.microsoft.com/downloads) 下載VAMT,VAMT專爲在封閉的網絡之間移動的筆記本電腦以及在具有Internet訪問權限的網絡量身定做。
在封閉的網絡上時,VAMT將其上安裝的一個或多個MAK應用於其發現的Windows Server 2008和Windows Vista客戶機。有關VAMT的詳細信息,請參閱與VAMT安裝文件一起打包的產品指南。
如果需要重新構建系統,則可以使用和以前相同的 MAK——但它的“密鑰使用的次數”將加 1。同樣,您不能在以前的構建中重新使用相同的 MAK。例如,如果您收到來自已經安裝Windows Server 2008或Windows Vista的OEM的一個系統,則該系統已預先安裝了MAK,您已經作爲系統成本的一部分爲其支付費用。如果您將系統爲標準化重新構建,則不能重新使用此MAK;必須使用您自己的MAK,必須丟棄OEM的MAK。
設計原則
儘管使用 KMS 和 MAK比較複雜而且容易混淆,但遵循幾個設計原則可以幫助您完全理解它。構建 VA2 基礎結構時要記住的最重要的原則是使其簡單。簡單的配置易於創建、配置和維護。此外,您應該嘗試最大程度地減少您所使用的KMS 數量。如果技術上和行政上可能的話,可以讓整個企業只擁有一組 KMS 主機。此外,嘗試將 KMS 的客戶機數量最大化。最後,使 VAMT 代理配置的數量最少。爲了遵循這些原則,將您的 Windows 系統分爲以下幾個類別非常有幫助:生產網絡、具有對生產網絡的防火牆訪問權限的安全網絡、具有很少或沒有外部網絡的訪問權限的隔離網絡以及斷開連接的客戶機。
生產網絡。這是公司的 Intranet。清查生產網絡上的Windows 環境的 AD 林和域,並按照如下方式對其進行分類:
- 主要的公司林
- 信任一個或多個主要林的輔助林
- 不受信任的林(例如,開發、製造)
- 工作組
安全網絡。對於對生產網絡具有防火牆訪問權限的安全網絡,假設沒有 Internet 訪問權限。而且,製作 Windows 環境清單;安全網絡可能不會與生產網絡具有相同數量的類別。
隔離網絡。對於具有很少或沒有對外部網絡的訪問權限的隔離網絡來說,將網絡分類爲具有少於 25 個的客戶機或多於 25 個的客戶機。
斷開連接的客戶機。斷開連接的客戶機沒有電子郵件訪問權限或者任何應用程序都需要常規企業網絡連接(例如,銷售團隊的演示用筆記本電腦)。
建議
建議您對企業林和輔助的受信任林使用具有 DNS 自動發現的 KMS,因爲該配置最容易實現。在您的林和受信任林的所有其它域中註冊 KMS,以便客戶機可以使用 DNS 來查找服務。假設您的大部分客戶機都位於這些林中,該設計允許客戶機直接通過KMS激活。該配置還假設您的公司具有一個集中的 IT 模型,該模型具有有限數量的不受信任的林,這類似於微軟的環境——微軟具有非常少的林。如果在生產網絡上有不受信任的林(例如,開發或測試),則這些管理員必須手動註冊KMS主機的A記錄和SRV記錄,自動發現才能工作。KMS主機可能沒有權限更新不受信任的林中的DNS。儘管手動添加記錄非常簡單,但是您必須之後使用域和林配置手動更新記錄。
生產網絡上的工作組客戶機應該通過自動發現使用 KMS,但是它的簡單性在於工作組客戶機所使用的DNS服務器。如果他們使用KMS主機林的DNS服務,則他們可以輕鬆查找KMS。
對於對生產網絡具有一定訪問權限的安全網絡,可以採用分層的方法。首先,將防火牆配置爲允許TCP端口1688,以便安全網絡客戶機可以聯繫 KMS 主機。然後,如果您使用名稱而不使用IP地址(推薦),則主機必須能夠通過 DNS 解析該名稱。對KMS使用自動發現還是直接連接取決於網絡的DNS配置;如果網絡具有其自己的DNS,則網絡管理員必須手動註冊KMS主機的A記錄和SRV記錄。在整個公司中保持一致的DNS基礎結構非常重要,因爲這樣可以避免不一致的錯誤和複製工作。同樣,KMS端口1688應該永遠不會向公司外部公開;通過公網訪問KMS主機與分發免費的 VLK 相同。
沒有外部訪問權限的安全網絡將更加難以配置。如果網絡中的客戶機少於25臺,則必須使用MAK並通過VAMT工具激活客戶機。該方法的一個問題是,您必須允許位於外部
網絡上的筆記本電腦位於安全網絡上。如果您擁有25臺以上的客戶機,則可以使用KMS並通過電話激活它。但是這種方法也有自己的缺點,因爲將KMS密鑰分發給除了幾個受信任的管理員之外的任何人是不安全的。安全網絡配置的一個變化是可以在其中立即重新構建系統的安全網絡(例如,客戶機測試實驗室)。這種情況下,可以只考慮從不激活系統(如果這些系統存在的時間少於90天),因爲您可以使用slmgr.vbs腳本的rearm選項(例如,LMGR .VBS /REARM)重置產品激活計時器最多三次。
對於使用標準構建的公司,一種簡單的方法是使用kms.yourcompany .com這樣的主機名創建兩個DNS規範名稱(CNAME) 記錄。讓這些CNAME記錄中的每個記錄都引用不同的 KMS 主機,以創建一個基本的循環配置,這樣在該配置中可以隨機選擇主機。使用kms .yourcompany.com作爲KMS名稱將客戶機配置爲直接連接。然後所有客戶機都將一直使用kms.yourcompany.com。您可以控制此CNAME代表哪些KMS主機,並且無需處理自動發現或在多個DNS區域中註冊SRV記錄。
遵循基本原則
VA的概念容易造成混淆並且比較複雜,但如果您計劃部署Windows Server 2008或Windows Vista,則需要使用它。儘管VA2相對複雜,但是遵循我的基本設計建議將簡化您的實現過程。