MAK」タグアーカイブ

VAMT を使用したライセンス管理 – Part2

プロキシ ライセンス認証

今回はネットワークが隔離された環境を想定して、MAK ライセンス認証を VAMT を使用して行ってみます。環境としては、隔離された環境に VAMT を配置します。そして、製品の検出、コンピューターのライセンス情報収集、プロダクトキーのインストールまでを行います。

ここまでの手順は前回投稿した

VAMT を使用したライセンス管理 – Part1

を参考にしていただければいいかと思います。

VAMT データの .cilx ファイルへのエクスポート

隔離された環境の VAMT で [Actions] ウィンドウの [Export list] をクリックし、[Export List] ダイアログ ボックスを開きます。

[Export List] ダイアログ ボックスの [Browse] をクリックして .cilx ファイルがある場所を参照するか、データのエクスポート先の .cilx ファイル名を入力します。

[Export options] のデータ型オプションの中から、次のいずれかのオプションを選びます。

[Export products and product keys]
[Export products only]
[Export proxy activation data only]

[Export proxy activation data only]オプションを選ぶと、プロキシ Web サービスがマイクロソフトから CID を取得するために必要なライセンス情報のみがエクスポートされます。この場合、エクスポート先の .cilx ファイルに個人を特定できる情報 (PII) が含まれることはありません。このオプションは、企業のセキュリティ ポリシーで、分離されたラボの外へコンピューターまたはユーザーを特定できる情報を転送することが許可されておらず、コア ネットワークの VAMT ホストへ転送する .cilx ファイルにこの種類のデータを含めないようにする必要がある場合に使います。

エクスポート対象の製品を選び、データベースからのデータ セット全体を選んでいない場合は、[Export selected product rows only] チェック ボックスをオンにします。

Export List

[Save] をクリックします。データをエクスポートする間、VAMT に進行状況を表すメッセージが表示されます。エクスポートが正常に完了したことを示すメッセージが表示されたら、[OK] をクリックします。

ホスト コンピューターのハード ドライブ上のファイルに一覧をエクスポートした場合は、ディスク ドライブ、CD、DVD、USB 記憶装置などのリムーバブル メディアにそのファイルをコピーします。

インターネットに接続された VAMT でマイクロソフトからの確認 ID の取得

インターネットに接続された VAMT で [Actions] ウィンドウの [Acquire confirmation IDs for CILX] をクリックし、[Acquire confirmation IDs for file] ダイアログ ボックスを開きます。

[Acquire confirmation IDs for file] ダイアログ ボックスで、隔離された VAMT からエクスポートした .cilx ファイルを指定します。VAMT がマイクロソフトに問い合わせ、CID を収集している間、”Acquiring Confirmation IDs” というメッセージが表示されます。

CID の収集処理が完了すると、正常に取得できた確認 ID の数と ID の保存先ファイルの名前が示された “ボリューム ライセンス認証管理ツール” メッセージが VAMT に表示されます。[OK] をクリックして、このメッセージを閉じます。

CID の収集処理

隔離された VAMT へ.cilxファイルのインポート

.cilx ファイルをコピーし、隔離された VAMT へ貼り付けます。[Actions] ウィンドウの [Import list] をクリックして、[Import List] ダイアログ ボックスを開きます。

[Import list] ダイアログ ボックスで、CID を保存した .cilx ファイルの場所を参照し、ファイルを選んでから [Open] をクリックします。[OK] をクリックするとファイルがインポートされ、ファイルからのデータがデータベース内のデータと競合する場合は、データベースのデータが上書きされます。

インポート01

CID の適用と分離されたラボのコンピューターのライセンス認証

[Selected Items] メニューの [Activate] をクリックします。次に、[Apply Confirmation ID] をクリックし、適切な資格情報オプションを選びます。[Alternate Credentials] オプションをクリックすると、代わりに使うユーザー名とパスワードを入力するように求められます。

選んだ製品に対して CID をインストールしている間、VAMT に [Applying Confirmation Id] ダイアログ ボックスが表示されます。VAMT で CID のインストールが終了すると、ダイアログ ボックスの [Action Status] 列に状態が表示されます。[Close] をクリックして、ダイアログ ボックスを閉じます。ダイアログ ボックスが表示されたときに、[Automatically close when done] チェック ボックスをオンにしておくこともできます。

CIDライセンス認証01

状態は、中央のウィンドウの製品の一覧ビューの [Status of Last Action] 列にも表示されます。これで隔離された環境のコンピューターに対してライセンス認証を行うことができます。

CIDライセンス認証02

 

 

 

VAMT を使用したライセンス管理 – Part1

VAMT を使用したライセンス管理

ボリューム ライセンス認証管理ツール (VAMT: Volume Activation Management Tool) を使用して MAK や KMS の認証を管理することができます。通常はボリュームライセンス認証ツールを使用して管理しますが、こちらのツールで管理できるのは AD 認証および KMS になります。

よって VAMT を使用する理由としては隔離された環境や MAK の管理をしたい場合ではないでしょうか。

2015年3月現在、VAMTのバージョンは3.1になります。バージョン3.0との機能的な違いはありませんが、バージョン3.1には複数の重要な修正プログラムと更新プログラムが含まれています。

VAMT は、Windows 8.1 Update 用 Windows アセスメント & デプロイメント キット (Windows ADK)に同梱されています。VAMT は SQL サーバーが必要ですので既存環境にない場合は一緒に SQL Server Express もインストールしましょう。

VAMTの要件も確認しておきましょう。

VAMTのインストール

 インストールが完了したらDBと接続します。初回起動時に作成します。

VAMTのDB作成

VAMTを使用した認証

ドメインに参加しているコンピューターであれば、KMS サーバーを使用することができるでしょう。そこで今回は、ワークグループのクライアントに対して VAMT を使用した MAK による認証を行ってみます。

クライアントの準備

ワークグループのクライアントコンピューターを VAMT で管理するためには次の手順が必要です。

  • クライアント コンピューターのファイアウォールで例外が設定されている必要があります。
  • ワークグループ内のコンピューターに対してレジストリ キーが作られ、適切に設定されている必要があります。設定されていない場合、Windows(R) ユーザー アカウント制御 (UAC) でリモート管理操作が許可されません。

FW設定はWMIを許可します(すべてのプロファイルであるドメイン、プライベート、パブリックを選択します)。

  • Windows Management Instrumentation (非同期受信)
  • Windows Management Instrumentation (DCOM 受信)
  • Windows Management Instrumentation (WMI 受信)

FW

VAMT がアクセスできるように以下のレジストリを編集します。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system

値の名前: LocalAccountTokenFilterPolicy
種類: DWORD
値のデータ: 1

コマンドで行う場合は次の通り

reg add “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system” /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

これでクライアント側の準備完了です。

製品の検出

[Discover Products] ダイアログ ボックスの [Search for computers in the Active Directory] をクリックして検索オプションを表示し、使う検索オプションをクリックします。Active Directory ドメイン内のコンピューターの検索、個々のコンピューター名または IP アドレスによる検索、ワークグループ内のコンピューターの検索、または一般的なライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリによる検索を行うことができます。

製品の検出

コンピューターのライセンス情報収集

現在のライセンス情報を収集します。 [Update license status] をクリックし、資格情報オプションをクリックします。更新する製品で、コンピューターへのログオンに使った管理者の資格情報と異なる資格情報が必要な場合にのみ、[Alternate Credentials] をクリックします。

 状態の検出

ライセンス認証のためにプロダクト キーが必要なコンピューターを簡単に見つけることができるように、製品の一覧を並べ替えることができます。中央のウィンドウの上部のメニュー バーの [Group by] をクリックし、次に [Product][Product Key Type]、または [License Status] をクリックします。

[Product Keys] ノードをクリックし、右側のウィンドウの [Add Product Keys] をクリックして、[Add Product Keys] ダイアログ ボックスを開きます。更に、[Refresh product key data online] をクリックしてマイクロソフトへの問い合わせを実行し、MAK が対応しているライセンス認証カウントの残りの数を取得します。

プロダクトキー

プロダクトキーのインストール

[Products] の一覧ビュー ウィンドウで、キーをインストールする必要がある製品をそれぞれ選びます。複数の製品を選ぶには、Ctrl キーまたは Shift キーを使います。

キーインストール1

右側のウィンドウの [Selected Items] メニューの [Install product key] をクリックし、[Install Product Key] ダイアログ ボックスを開きます。[Select Product Key] ダイアログ ボックスに、インストールに使うことができるキーが表示されます。

[Recommended MAKs] の下には、選んだ製品に応じて、VAMT によって推奨される 1 つ以上の MAK が表示されます。MAK をインストールする場合は、推奨されたプロダクト キーを選ぶことも、[All Product Keys List] の別の MAK を選ぶこともできます。

MAK 以外をインストールする場合は、[All Product Keys] ボックスの一覧のプロダクト キーを選びます。インストールするプロダクト キーを選び、[Install Key] をクリックします。一度にインストールできるのは 1 つのキーのみです。

この際、クライアントにアクセスするので現在の資格情報と異なる場合は、[Use Alternate Credentials] にチェックを入れることを忘れないでください。

キーインストール3

 クライアントに接続するためのダイアログボックスが表示されるので、ユーザーID、パスワードを入力し、[OK] をクリックします。

キーインストール4

その後、キーがインストールされます。

キーインストール5

クライアントのライセンス認証

選んだコンピューターを右クリックして [Action] メニューを表示し、[Activate][Online activate] の順にポイントすることもできます。現在の資格情報を使ってプロダクト キーのライセンス認証を実行する場合は、[Current credential] をクリックし、現在使っている管理者の資格情報と異なる資格情報が必要な製品のライセンス認証を実行する場合は、[Alternate credential] オプションをクリックします。

[Activate] オプションを使うと、インターネット経由でマイクロソフトの製品ライセンス認証サーバーに接続し、選んだ製品のライセンス認証を要求します。操作が完了するまで、VAMT には、[Activating products] ダイアログ ボックスが表示されます。

アクティベーション1

これでオンラインアクティベーション完了です。

アクティベーション2

 

 

KMS サーバーのインストールと運用について – Part3

各 OS の KMS クライアントのキー (GVLK) 一覧

当初 MAK でライセンス認証していたが、KMS に変更したい場合は KMS クライアントキー(GVLK)を入力します。

slmgr -ipk < KMS キー>

そして、ライセンス認証を行います。

slmgr -ato

これで、KMS クライアントの認証が完了します。

各 OS ごとに GVLK は異なりますので、そのリストを下記に記載しておきます。

[table id=5 /]

[table id=6 /]

[table id=7 /]

[table id=8 /]

KMS サーバーのインストールと運用について – Part2

ボリュームライセンス認証の計画

Windows 8.1 および Windows Server 2012 R2 で提供される KMS キーはクライアントとサーバーの2種類が提供されています。

KMS キー製品グループがクライアントの場合は、全てのエディションのクライアント OS の認証をサポートしています。

クライアント KMS キーを使用して、KMS ホストを構築できる Windows のバージョンは、Windows Vista、Windows 7 および Windows 8 のクライアント OS に限られます。当然ながら、クライアントで構成した KMS ホストではサーバーの認証はサポートしません。

KMS キー製品グループがサーバーの場合は、全てのエディションのクライアント OS およびサーバー OS の認証をサポートしています。よって、サーバーの KMS キーはクライアント KMS キーを包括していることになります。

サーバー KMS キーを使用して、KMS ホストを構築できるWindows Serverのバージョンは、Windows Server 2008 以上のサーバー OS になります。

[table id=4 /]

*のOSを使用してKMSホストを構成する際は更新プログラムを適用する必要があります。

既存のKMSサーバーが存在する場合

Windows 8.1 および Windows Server 2012 R2 で提供される KMS キーを既存の KMS サーバーにインストールするには、更新プログラムを適用する必要があります。

Update adds support for Windows 8.1 and Windows Server 2012 R2 clients to Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, and Windows Server 2012 KMS hosts

http://support.microsoft.com/kb/2885698/en-us

更新プログラム適用後に次のコマンドを入力することでインストールができます。

slmgr /ipk < KMS キー>

Active Directory によるライセンス認証の計画

Active Directory によるライセンス認証では、追加の専用サーバーを用意する必要はないので、既存のサーバーを使用してインストール可能です。また、KMSのような認証を行うための台数の要件はないので、1台から認証可能です。ただし、次の要件があります。

  • RODCではライセンス認証を構成できない
  • AD DS 以外のディレクトリサービスと共存できない
  • Windows Server 2012 スキーマレベルが必須

よって、既に Windows Server 2012 / 2012 R2 の DC が存在する場合は要件を満たしています。

キー管理サービス (KMS) ライセンス認証の計画

KMS ホストは KMS ホスト自身のライセンス認証を行うために1度だけインターネット接続が必要です(電話でも可能)。そしてよく勘違いされる方が多いのが、クライアントが KMS ホストでライセンス認証をするとその情報をインターネットを通じてマイクロソフトに送信するというものです。実際には、KMS ホストで認証されたクライアント情報は一切マイクロソフトには送信しません。よって、KMS ホストが認証されたら、インターネット環境はなくてもライセンス認証は可能です。

1台の KMS ホストで数万台の KMS クライアントをサポートしますので、ほとんどの企業ではインフラストラクチャ全体で 2 台の KMS ホストでの運用が可能です。この KMS ホストは物理、仮想サーバー問わず機能します。ちなみに、KMSキーは最大6台の KMS ホストにインストール可能です。

ボリュームライセンスメディアの既定の状態は、KMS クライアントのキー (GVLK) が設定されています。既存のコンピューターで MAK 認証がされており、KMS 認証に切り替えたい場合は、KMS クライアントのキー (GVLK)を入力します。

KMS クライアントが KMS ホストで認証されるためには、DNS SRVレコードに下記記述が必要です。

[table id=9 /]

ドメインに参加した KMS ホストの場合は、SRVレコードは自動登録されます。(ADライセンス認証にはこのレコードは必要ありません)

仮想マシンの自動ライセンス認証

Windows Server 2012 R2 では、自動ライセンス認証 (AVMA: Automatic Virtual Machine Activation) 機能が新たに追加されています。自動ライセンス認証である AVMA は Hyper-V 上で動作する仮想マシンに対する認証プロセスであり、物理マシンでは機能しません。この認証プロセスは AVMA キーを仮想マシンに設定することによって、KMS サーバーやインターネット経由のライセンス認証を行うことなく、自動的にライセンス認証が行われます。

ただし、要件としてホストOSが Windows Server 2012 R2 Datacenter Edition でライセンス認証済みである必要があります。ゲスト OS は Windows Server 2012 R2 の各エディションのみ対応しています。

[table id=10 /]

MAK / KMS 認証上限数を超えてしまった際の対処方法

よくあるトラブルとして、KMS キーを KMS クライアントのキー (GVLK) と間違えて使用してしまい、KMS キーが認証上限数を超えてしまうことがあります。そのような場合は、ホームページで申請するか、マイクロソフトのライセンス認証窓口に問い合わせる必要があります。

MAK / KMS 認証上限数変更申請フォーム

ライセンス認証専用窓口

 

 

KMS サーバーのインストールと運用について – Part1

ボリュームアクティベーションの概要

マイクロソフトのさまざまな製品はライセンス認証を行う必要がありますが、そもそもマイクロソフトが行うライセンス認証とはソフトウェアが正規品であることを確認すると同時にプロダクトキーが悪用されていないことを確認する検証作業のことになります。

以前はライセンス認証と検証(Windows Genuine ツールを使用) を別々に行っていました。Windows Server 2012 R2 および Windows 8.1 では、ライセンス認証と検証が同時に行われています。

ボリュームアクティベーションはボリュームライセンスを購入している企業がライセンス認証を行うための認証方法になります。

そこで、マイクロソフトが提供している認証方法としては次の3つがあります。

  • Active Directory によるライセンス認証
  • キー管理サービス (KMS) ライセンス認証
  • マルチ ライセンス認証キー (MAK) ライセンス認証

Active Directory によるライセンス認証

これは Windows Server 2012 から採用された新しいライセンス認証サービスになります。よって、Windows 8以降のクライアントおよび Windows Server 2012 以降のサーバーがドメインにログオンすると自動的にライセンス認証が行われる方式になります。このライセンス認証は180日間有効で、ドメインのメンバーである限りライセンス認証は維持されます。具体的な動作としては、Software Protection サービスの開始後に実行され既定で 7 日ごとにライセンス認証が試行されます。これが、成功すると 期間が 180 日に再設定されます。

では、ドメインのメンバーでなくなった場合はどうなるか?

コンピューターまたはSoftware Protection サービスが再起動したときにライセンス認証が失敗します。よって、Active Directory によるライセンス認証を使用する要件としては次の通り

  • ドメインのメンバーである
  • 対象の OS である(Windows 8 /8.1 or Windows Server 2012 / 2012 R2)

このことから、ドメインに参加していないコンピュータや、Windows7 などの Active Directory によるライセンス認証に対応していないコンピューターは キー管理サービス (KMS) ライセンス認証、またはマルチ ライセンス認証キー (MAK) ライセンス認証を行うことになります。

キー管理サービス (KMS) ライセンス認証

KMS ライセンス認証では、KMSホストを構築する必要があります。しかし、専用サーバーである必要はありません。KMSホストは他のサービスと共存可能です。KMS ホストは、「KMS キー」をインストールすることによって構築することができます。

KMS ライセンス認証を行うには、ネットワークに最小限の数 (ライセンス認証のしきい値) の物理コンピューターもしくは仮想コンピューターが存在している必要があります。このしきい値が満たされたうえで、KMS クライアントのライセンス認証を行うことができます。ライセンス認証のしきい値が満たされていることを確認するために、KMS ホストは、ネットワーク上でライセンス認証を要求している物理コンピューターおよび仮想コンピューターの数をカウントします。

KMS ライセンス認証のしきい値は次の通りです。

  • サーバーは5台
  • クライアントは25台(サーバー台数を含む)

KMS ライセンス認証は、180 日間有効(ライセンス認証の有効期間)です。KMS クライアントは、認証状態を維持するために、少なくとも 180 日間で 1 回は KMS ホストに接続してライセンス認証を更新する必要があります。KMS クライアント コンピューターは、既定で 7 日ごとにライセンス認証を更新します。よって、クライアントはライセンス認証が更新されるたびに、ライセンス認証の有効期間が180日に更新されるので、各コンピューターはライセンス期間を気にしないで運用できます。

マルチ ライセンス認証キー (MAK) ライセンス認証

MAK はライセンス認証サービスに対して1回のみライセンス認証を行う方式です。コンピューターの大幅な変更(ハードディスク交換など)がない限り、以降のライセンス認証は必要ありません。

ただし、MAKキーにはあらかじめ許可されるライセンス認証の回数に制限がかかっています。この回数はボリュームライセンス契約に基づくもので、組織のライセンス数とは厳密には一致していません。

MAKライセンス認証は、KMSホストが構築できない環境や、KMSの要件を満たさない環境で使用します。

まとめ

ボリュームライセンスを購入している企業においては、基本的にActive Directory によるライセンス認証を構築しましょう。しかしながら、ドメインに参加していないクライアントや、キー管理サービス (KMS) ライセンス認証に対応していないクライアントのために、KMSホストも構築して2つのライセンス認証が対応できる基盤を構築するのが推奨となります。

ちなみに、KMSクライアントがAD認証およびKMS認証、両方に対応している場合はAD認証が優先されます。