第1章 激活规划考虑 1.1 激活方式选择 1.1.1 采用KMS激活

KMS可在企业的本地网络上激活操作系统，而无需将单个计算机连接到 Microsoft?。为此，KMS采用客户端/服务器模式的实施方法。KMS客户端通过连接到KMS服务器（称为KMS主机）进行激活。KMS主机驻留在企业的本地网络上。关于KMS整个激活过程请参考下图：

1.1.1.1 KMS激活阀值

KMS既可以激活物理计算机，也可以激活虚拟计算机。但若要进行KMS激活，网络必须有最低数目的物理计算机，称之为激活阈值。只有在达到此阈值后，KMS客户端才可以激活。为了确保达到激活阈值，KMS主机会计算网络中请求激活的物理计算机的数目。此激活请求计数包括 Windows Vista 和 Windows Server 2008 计算机。不过，安装这两种操作系统的计算机会分别在达到各自的阈值后才开始激活。

l Windows Server 2008KMS客户端阈值是 5 台物理计算机。

l Windows Vista KMS客户端阈值是 25 台物理计算机。

l 虚拟计算机不包括在激活计数内，但会在满足物理计算机阈值后由KMS激活。

1.1.1.2 激活计数缓存

为跟踪激活阈值，KMS主机会跟踪请求激活的KMS客户端。每台连接到KMS主机的KMS客户端都被授予一个唯一客户端标识符 (CMID)（保存在KMS主机上的表格中）。每个激活请求可以在表格中保留 30 天。当客户端续订其激活时，缓存的 CMID 将从表格中删除，并创建新的记录，再次进入 30 天的周期。如果KMS客户端在 30 天内未更新激活，相应的 CMID 将从表格中删除且激活计数减 1。

KMS主机会缓存KMS客户端激活所需 CMID 数目两倍的 CMID。例如，在具有 Windows Vista 客户端的网络上，KMS激活阈值为 25。KMS主机会缓存最近 50 次激活的 CMID。Windows Server 2008 的KMS激活阈值是 5。只有 Windows Server 2008 KMS客户端与其联系的KMS主机会缓存最近 10 次激活的 CMID。如果以后有 Windows Vista 与该KMS主机联系，它将增加缓存大小至 50 以适应更高的激活计数要求。

1.1.1.3 KMS激活续订期

KMS激活有效期为 180 天。这称为激活有效间隔。KMS客户端必须通过至少每 180 天连接到KMS主机一次来续订激活，以保持激活状态。默认情况下，KMS客户端计算机每隔 7 天尝试续订其激活。在续订客户端激活之后，激活有效间隔重新开始。

1.1.1.4 发布KMS服务

KMS服务使用DNS中的服务(SRV)资源记录(RR)来存储KMS主机的位置并与其通信。默认情况下，KMS主机会自动发布KMS客户端需要查找的信息并使用动态 DNS(DDNS) 与其连接。

1.1.1.5 KMS客户端搜索服务器

默认情况下，KMS客户端查询 DNS服务器以获取KMS服务信息。当KMS客户端第一次查询 DNS服务器以获取KMS服务信息时，它从由 DNS返回的SRV 资源记录列表中随机选择KMS主机。如果所选KMS主机未响应，则KMS客户端计算机从其SRV 资源记录列表中删除该KMS主机并从该列表中随机选择另一个KMS主机。在KMS主机响应之后，KMS客户端计算机缓存KMS主机的名称并将其用于后续的激活和续订尝试。如果缓存的KMS主机未响应随后的续订，则KMS客户端计算机通过联系 DNS服务器获取KM×××V 记录来搜索新的KMS。

客户端计算机通过 TCP（默认情况下使用 TCP 端口 1688）使用匿名远程过程调用 (RPC) 连接到KMS主机来进行激活。此连接是匿名的。客户端计算机在建立与KMS主机的 TCP 会话之后会发送一个请求数据包。KMS主机会响应激活计数。如果该计数达到或超过操作系统的激活阈值，则会激活该客户端并结束会话。续订请求也遵循此过程。

1.1.1.6 KMS客户端规划

默认情况下，运行 Windows Vista 和 Windows Server 2008 批量授权版本的计算机是不需要附加配置的KMS客户端。KMS客户端可通过查询 DNS获取发布KMS服务的SRV 记录自动找到KMS主机。如果企业的网络环境没有使用SRV 记录，则管理员可以将KMS客户端手动配置为使用特定KMS主机。

1.1.2 采用MAK激活

MAK 用于通过 Microsoft 装载的激活服务进行一次性激活。每个MAK密钥都有预定的允许激活数目。此数目基于企业的批量许可协议，与企业组织的确切许可证计数并不相符。每个将MAK与Microsoft装载的激活服务结合使用的激活均计入激活限额。

使用 MAK激活计算机的方法有两种：

l MAK 独立激活

l MAK 代理激活

MAK 独立激活要求每台计算机通过Internet 或电话独立连接到 Microsoft 进行激活。MAK代理激活允许将一台计算机连接到 Microsoft，并让其代表多台计算机发送集中激活请求。可使用批量激活管理工具(VAMT)来配置MAK代理激活。

MAK 可以用于单个计算机，或与可以使用 Microsoft 部署解决方案批量复制或可供下载的映像一起使用。MAK也可以用于最初配置为使用KMS激活的计算机（如果该计算机的激活将要或已经达到其宽限期或激活有效间隔的截止时间）。

建议将 MAK 用于很少或几乎不连接到企业网络的计算机和需要激活的物理计算机的数目未达到KMS激活阈值的环境。MAK独立激活最适合于组织内不需要与企业网络保持连接的计算机。MAK代理激活适合于可能因安全原因限制直接访问Internet或企业网络的环境。它也适合于缺少此类连接的开发和测试实验室。

MAK的整个激活过程如下图所示:

1.1.2.1 批量激活管理工具 (VAMT)

VAMT是一个独立应用程序，它从多个系统收集激活请求并将它们批量发送给 Microsoft。VAMT允许使用 Active Directory (AD)、工作组名、IP 地址或计算机名指定一组计算机来激活。在收到激活确认代码后，VAMT 将其分发回请求激活的系统。由于 VAMT会同时在本地存储这些确认代码，因此它在重新映像之后可以重新激活先前激活的系统，而无需连接到 Microsoft。VAM工具的管理界面如下图所示：

1.2 激活场景分析

中行办公网络中可能存在多种网络场景所以我们将根据不同的实例场景分析不同的激活解决方案。每个场景都有推荐的激活解决方案，但是某些环境可能有最适合不同解决方案的基础结构或策略要求。

VA 2.0 中提供的每种方法都是最适合特定网络配置的方法。要为企业的组织选择最佳的激活方法，企业需要评估网络环境以确定不同的计算机组是如何连接到网络的。与企业网络的连接情况、Internet 访问以及定期连接到企业网络的计算机数目都是需要确定的一些重要特征。出于客户端连接多样化的需要，多数大中型组织都会将多种激活方法结合使用。

对于能顺畅连接到组织核心网络或者能定期连接（例如，位于异地的计算机）的计算机，建议使用KMS激活方法。对于因位于异地而连接受限或由于安全限制而无法连接到核心网络的计算机，建议将 MAK 激活作为激活方法。

1.2.1 核心办公网络

对于核心网络中的计算机，推荐采用集中的KMS激活方法。此解决方案适合于多个网段中的计算机能顺畅连接，并且能连接到 Internet 的网络。在下图 中，核心网络有一台KMS主机。KMS主机使用 DDNS发布KMS服务。KMS客户端查询DNS获取KM×××V记录，并在连接到其中一台KMS主机后激活自身。KMS主机直接通过 Internet 激活。

1.2.2 隔离办公网络

许多组织的网络被分成多个安全区域。一些网络由于具有敏感信息而被隔离在高安全性区域，而其他网络由于处于不同物理位置而与核心网络分隔。

1.2.2.1 高安全性区域

高安全性区域是由限制与其他网络通信的防火墙分隔的网络的一部分。如果允许高安全性区域中的计算机访问核心网络，企业可以使用位于核心网络中的KMS主机来激活高安全性区域中的计算机。这样，高安全性网络中的客户端计算机的数目不必达到任何KMS激活阈值。如果使用此配置，则防火墙必须允许 TCP 端口1688从高安全性区域传出信息，然后传回RPC回复。如果未授予防火墙这些例外权限，而且高安全性区域中物理计算机的数目足以达到KMS激活阈值，则可以将本地KMS主机添加到高安全性区域。

图 2 所示为企业安全策略不允许高安全性区域中的计算机与核心网络之间进行任何通信的环境。由于高安全性区域有足够的计算机满足KMS激活阈值，因此高安全性区域有自己本地的KMS主机。该KMS主机本身通过电话激活。

如果由于高安全性区域的计算机很少而不适合使用KMS，建议使用 MAK 独立激活。每台计算机均可通过电话单独向 Microsoft 激活。

在此方案中，也可以使用VAMT进行MAK代理激活。由于高安全性区域中的计算机无法访问 Internet，因此VAMT可以使用 Active Directory、计算机名、IP地址或工作组成员对其进行搜索VAMT使用WMI安装MAK产品密钥和CID 并检索MAK客户端的状态。由于此通信不允许经过防火墙，因此高安全性区域中必须有本地VAMT主机。

1.2.2.2 分支机构位置

下图所示为支持3个分支机构的客户端计算机的企业网络。站点A在本地KMS主机中使用KMS，因为它拥有25台以上的客户端计算机，而它与核心网络没有安全的TCP/IP连接。站点B使用MAK激活，因为KMS不支持Windows Vista KMS客户端计算机少于25台的站点，且该站点不是通过安全链接与核心网络连接的。站点C使用KMS，因为它是通过专用广域网的安全连接到核心网络的，而且使用核心网络的KMS客户端已达到激活阈值。

1.2.3 断开连接的单个计算机

中行的某些用户可能处于远程位置或漫游到许多位置。此方案常见于漫游客户端，如位于异地但又不在分支机构位置的销售人员或其他用户的计算机。此方案也可以应用于与核心网络无连接或只能间歇性连接的远程分支机构位置。

断开连接的计算机可以使用KMS或 MAK，这取决于计算机连接到核心网络的频率。KMS激活适合这样的计算机：直接或通过 ××× 连接到核心网络，每隔 180 天至少连接一次，而且该核心网络也使用KMS激活。MAK 独立激活（通过电话或 Internet）用于很少或从不连接到核心网络的计算机。下图所示为使用 MAK 独立激活（通过 Internet 和电话）的断开连接的客户端。

针对上面三种场景对于激活方式和服务器数量的默认推荐如下图所示：