KMS – Key Management Service – Installation und Konfiguration

Dieser Artikel erschien zuerst auf gruppenrichtlinien.de.

Gruppenrichtlinien und Deployment liegen thematisch ganz eng bei einander. Ich stolpere oft über den KMS (Key Management Service) zur Aktivierung vom Betriebssystem und Office.
Vor allem stolpere ich, weil mir lange Zeit nicht klar war, dass das VAMT (Volume Activation Management Tool) das unnötigste und sinnloseste Werkzeug ist, das man für den KMS einsetzen kann.

Die Fakten:

• Es ist schon alles auf dem Server vorhanden. Die slmgr.vbs ist onboard. Diese konfiguriert den Dienst Software Protection (sppsvc), der letztlich die KMS-Funktion bietet.
• Die Installation und Konfiguration des KMS inkl. der Aktvierung des eigenen KMS-Product-Keys ist nur in der CMD (Eingebaeaufforderung) möglich. Die Aktivierung kann wie auch beim Einzelprodukt übers Internet oder übers Telefon erfolgen. (slui.exe)
• Der KMS kann erst mal nur sein eigenes Betriebssystem und das passende Client-OS aktivieren. Für weitere Produkte (neuere Betriebsysteme oder Office) benötigt er ein Update.
• VAMT ist ein eigenständiges Monitoring-/Inventarisierungs-Produkt. Es liest nicht die aktuelle Konfiguration/Datenbank des KMS-Hosts aus, sondern baut eine eigene auf und ist wirklich nur ein weitere Datenbank/Informationsquelle. Der KMS funktioniert komplett ohne diese.
• VAMT nutzt RPC Calls, dafür sind lokale Administratorrechte notwendig, um den Status des jeweiligen Rechners abzufragen. Es liest, wie schon gesagt,  nicht den aktuellen KMS-Host aus.
• Man kann im VAMT seine eigenen Keys hinterlegen. Diese dienen nur zur manuellen Aktivierung eines Clients, falls dieser sich nicht automatisch aktiviert. Das Tool macht praktisch über einen RPC-Call ein slmgr.vbs /ATO xxxxx-xxxxx-xxxxx-xxxxx-xxxxx
• Die im VAMT hinterlegten Product-Keys können nicht über das VAMT aktiviert werden. Die "produktiven" werden nicht im VAMT verwaltet. Diese liegen im KMS. Ein weiterer Beweis, dass das VAMT komplett eigenständig ist.

VAMT ist nur ein Add-on, ohne echten Sinn und Zweck. Für Inventarisierung gibt es 1000 bessere Tools. Dafür muss ich mir keine SQL Instanz (in der VAMT Version 3.0 notwendig) installieren. Völlig unnötig.

Es gibt 4 Seriennummergruppen für Betriebssysteme:

• Client VL (Clients VL)
• Group A (Web und HPC)
• Group B (Standard und Enterprise)
• Group C (Datacenter)

Änderung in Windows Server 2012: es ist keine Enterprise Version mehr vorhanden.

Ein Group-B-Key kann alle Client-VL- und Group-A-Systeme aktivieren. Ein Group C kann alle Group A,B und Client VL aktivieren. Je "höher" die Lizenz, desto mehr Versionen können mit einem einzigen Key aktiviert werden. Bester Weg: Man hat einen Server-KMS-Key für die aktuellste Serverversion aus der Group C! Dieser kann jedes andere OS aktivieren.

DNS-Konfiguration

Der KMS wird im Unternehmen über einen DNS-Eintrag von den Clients gefunden, diesen Service Record könnt ihr per Hand erstellen:

http://technet.microsoft.com/en-us/library/ff793405.aspx

DNS Verwaltung -> Forward Lookup Zone -> _tcp -> "weitere neue Einträge" -> "Dienstidentifizierung (SRV)" -> "." (Punkt am Ende des Hostnamens.!)

KMS-Host-Installation auf einem Server 2008 R2

Konfiguration für Windows Server 2012, Office 2010 und Office 2013:

Der Server 2008 R2 kann nur Server 2008, Vista, Windows 7 und Server 2008R2 aktivieren. Er benötigt ein Update um neuere OS aktivieren zu können, der Server 2012 benötigt das logischerweise nicht für das Betriebsystem.

Benötigte Software:

Update adds support for Windows 8 and Windows Server 2012 to Windows Server 2008, Windows 7, and Windows Server 2008 R2 KMS hosts
http://www.microsoft.com/de-de/download/details.aspx?id=34826
-> Windows6.1-KB2757817-x64.msu   

Microsoft Office 2010 KMS Host License Pack
http://www.microsoft.com/en-us/download/details.aspx?id=25095
-> KeyManagementServiceHost_en-us.exe

Microsoft Office 2013 Volume License Pack
http://www.microsoft.com/en-nz/download/details.aspx?id=35584
-> office2013volumelicensepack_x86_en-us.exe

Der Vorgang:

Ich habe hier den Prozess komplett in der CMD nachgestellt. Wer mag, kann die Installation- ID und die am Telefon genannte Activation-ID auch etwas leichter in einem GUI-FrontEnd eintippen. Die 6er Blöcke sind etwas leichter zu lesen als die komplette Kette ohne Trennzeichen.

Für das Frontend in Start -> Ausführen oder auch in der CMD: "slui.exe 4"  aufrufen und "Deutschland" wählen:

(klick-vergrößern)

Hier nun folgend der komplette Prozess per Commandline:

a) Integration Key und Aktivierung für Betriebssysteme

aa) Integration -> /ipk

C:\Windows\System32>cscript slmgr.vbs /ipk EUER-GROUP-SERVER-VLKEY-XXXXX 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Installed product key EUER-GROUP-SERVER-VLKEY-XXXXX successfully. 

ab) Installation ID anzeigen -> /dti

diese wird bei jedem Aufruf dynamisch generiert und muss am Telefon eingegeben werden

C:\Windows\System32>cscript slmgr.vbs /dti 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Installation ID: 012345678901234567890123456789012345678901234567890123 

ac) Aktivierung des integrierten Keys -> /atp

per Telefon, Microsoft 0800 28 48 28 3. Nach dem Eintippen der Installation ID wird einem die Activation ID genannt.

C:\Windows\System32>cscript slmgr.vbs /atp 987654321098765432109876543210987654321098765432109876 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Confirmation ID for product 7b37c913-252b-46be-ad80-b2b5ceade8af deposited successfully. 

b) Office in den KMS integrieren

Das "KMS Schema" muss für die passende Office-Version erweitert werden, vorher wird der Key per /IPK als ungültig deklariert. Das Update muss PRO OFFICE VERSION erfolgen.

C:\Windows\System32>cscript slmgr.vbs /ipk EUER-OFFIC-E201X-VLKEY-XXXX 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Error: 0xC004F050 The Software Licensing Service reported that the product key is invalid 

Installation von KeyManagementServiceHost_en-us.exe und office2013volumelicensepack_x86_en-us.exe Nach der Installation des jeweiligen "Office Addons" ist die Integration erfolgreich.

ba) Integration Key Office 2010 -> /ipk

C:\Windows\System32>cscript slmgr.vbs /ipk EUER-OFFIC-E201X-VLKEY-XXXX 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Installed product key EUER-OFFIC-E201X-VLKEY-XXXX successfully. 

bb) Installations-ID für Office 2010 abfragen -> /dti 

ohne die "bfe7a195-…" würde /dti nur die ID des OS liefern

C:\Windows\System32>cscript slmgr.vbs /dti bfe7a195-4f8f-4f0b-a622-cf13c7d16864 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Installation ID: 012345678901234567890123456789012345678901234567890123 

Die bfe7a195-4f8f-4f0b-a622-cf13c7d16864 ist fix für Office 2010 vorgegeben.

bc) Aktivierung per Telefon -> /atp

Die Activation ID wird am Telefon genannt

C:\Windows\System32>cscript slmgr.vbs /atp 987654321098765432109876543210987654321098765432109876 bfe7a195-4f8f-4f0b-a622-cf13c7d16864 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Confirmation ID for product bfe7a195-4f8f-4f0b-a622-cf13c7d16864 deposited successfully.

ca) Integration Key Office 2013 -> /ipk

C:\Windows\System32>cscript slmgr.vbs /ipk EUER-OFFIC-E201X-VLKEY-XXXX 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Installed product key EUER-OFFIC-E201X-VLKEY-XXXX successfully. 

cb) Installations-ID für Office 2013 abfragen -> /dti

ohne die "2E28138A-…" würde /dti nur die des OS liefern

C:\Windows\System32>cscript slmgr.vbs /dti 2E28138A-847F-42BC-9752-61B03FFF33CD 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Installation ID: 012345678901234567890123456789012345678901234567890123 
Die 2E28138A-847F-42BC-9752-61B03FFF33CD ist fix für Office 2013 vorgegeben. 

bc) Aktivierung per Telefon -> /atp

Activation ID wird am Telefon genannt

C:\Windows\System32>cscript slmgr.vbs /atp 987654321098765432109876543210987654321098765432109876 2E28138A-847F-42BC-9752-61B03FFF33CD 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Confirmation ID for product 2E28138A-847F-42BC-9752-61B03FFF33CD deposited successfully.

Ihr könnt aus jeder Betriebsystem Version (OEM, Systembuilder, etc.) einen KMS Client machen. Dafür gibt es den sogenannten GVLK – Generic Volume License Key oder auch KMS Client Setup Key. Für Windows 7/2008R2 ist dieser in der product.ini auf jeder DVD dokumentiert. Mit diesem Key kann man zunächst einmal jedes OS installieren und dann über den KMS aktivieren. Wenn ihr keinen KMS habt, kann dieser Key natürlich nicht aktiviert werden. Es ist keine Rettung oder Universalschlüssel für "keine Seriennummer" ;-).

Für Windows 8/2012 findet ihr dies GVLKs im Technet:

Appendix A: KMS Client Setup Keys

http://technet.microsoft.com/en-us/library/jj612867.aspx