Anleitung: Key Management Service (KMS) installieren und konfigurieren
Kostenloses eHandbook: Überblick und Praxistipps zu vSphere 6.5. Scripting mit PowerCLI 6.5, neue HA-Features und FT nutzen, u.v.m. Download »
(Anzeige)
In größeren Firmen wäre der Aufwand zu groß, wenn man jede Kopie von Windows oder Office manuell aktivieren müsste. Deshalb gibt es dafür eine zentrale Lösung, den Key Management Service (KMS). Diese Anleitung beschreibt, wie man ihn unter Windows Server 2016 einrichtet.
Microsoft vertreibt Windows und Office unter verschiedenen Lizenztypen, die entweder gar nicht oder mit jeweils bestimmten Verfahren aktiviert werden müssen.
- OEM: Diese Lizenz bekommt man beim Kauf eines Computers. Ein solches vorinstalliertes Windows muss man nicht mehr aktivieren, das hat bereits der OEM getan.
- Retail: Diesen Typus bekommt man beim Kauf eines Betriebssystems ohne Hardware. Die Aktivierung erfolgt üblicherweise interaktiv direkt bei Microsoft.
- MAK: Mutiple Activation Key, dieser Schlüssel kann auf mehreren Systemen gleichzeitig eingesetzt werden. Allerdings sollte man die maximale Anzahl an Aktivierungen nicht überschreiten, da der Key ansonsten von Microsoft gesperrt werden kann.
- KMS: Dieser Schlüssel wird im LAN für die Aktivierung von Clients eingesetzt. Davon müssen mindestens 25 im Netzwerk vorhanden sein, bei Windows Server beträgt das Minimum 5 Maschinen.
Client-OS kann keine Server aktivieren
Sobald KMS im Netzwerk verfügbar ist, bauen die Clients keine direkte Verbindung mehr zu Microsoft auf, um das Betriebssystem zu aktivieren, sondern nutzen dafür den Key Management Service. Diesen Vorgang wiederholen sie spätestens alle 180 Tage, um die Aktivierung zu erneuern. Es ist dann der KMS, welcher über das Internet mit dem Hersteller in Kontakt tritt.
Die Wahl eines Server-OS als KMS-Host hat den Vorteil, dass man damit auch Windows Server aktivieren kann. Läuft der Dienst auf Windows 8.1 oder 10, dann berücksichtigt er nur Client-Betriebssysteme. Wer allerdings nur einen Schlüssel für Client-Volumenlizenzen hat, muss KMS auf einem Client-OS betreiben.
Installation auf Windows Server 2016
Windows Server enthält seit der Version 2012 die Rolle Volumenaktivierungsdienste. Sie umfasst standardmäßig auch einen Wizard, der die KMS-Konfiguration vereinfacht. Das grundsätzliche Vorgehen hat sich in Server 2016 nicht verändert.
Wie üblich, kann man die Rolle über den Server Manager oder die PowerShell hinzufügen. Microsoft ermuntert dazu, den Service auf Rechnern zu installieren, auf denen auch andere Dienste wie etwa die AD DS laufen.
Im Server Manager startet man den zuständigen Assistenten unter Verwalten => Rollen und Features hinzufügen und aktiviert im Dialog nach der Server-Auswahl die Option Volumenaktivierungsdienste. Der Wizard öffnet dann einen weiteren Dialog, in dem man die Installation der Tools bestätigt, welche für die Rolle benötigt werden.
Die PowerShell-Variante würde so aussehen:
Install-WindowsFeature -Name VolumeActivation -IncludeManagementTools
Konfiguration über GUI-Tool
Nach Abschluss dieses Schritts starten man die Volumenaktivierungstools, wobei der Wizard im Server Manager im letzten Dialog nach der Installation einen entsprechenden Link enthält.
Im ersten Dialog nach den Hinweisen wählt man das gewünschte Verfahren aus, in unserem Fall ist das der Schlüsselverwaltungsdienst (KMS). Dort gibt man gleich den Namen des vorgesehenen Hosts an, wobei dies auch ein Remote-PC sein kann.
Als nächstes muss man den KMS-Key eingeben. Diesen erhält man im Microsoft-Lizenzportal (Volume Licensing Service Center). Er darf auf bis zu 6 Hosts installiert werden.
Im Anschluss daran erfolgt die Aktivierung, wobei man sich hier zwischen der Online- und Telefonvariante entscheiden kann. In der darauf folgenden Zusammenfassung klickt man auf Schließen, um KMS mit den Vorgabewerten zu starten.
Alternativ lassen sich im Anschluss an die Basiskonfiguration mehrere Einstellungen über den Wizard anpassen. Dazu zählen:
- Volume License Activation Interval (per Vorgabe 2 Stunden)
- Volume License Renewal Interval (Default 7 Tage)
- KMS TCP Listening Port (Standardmäßig 1688)
- Zu welchen Profilen die Firewall-Ausnahme für KMS hinzugefügt werden soll
- DNS Records (per Vorgabe aktiviert), um den SVR-Eintrag für KMS im DNS zu schreiben oder dies manuell zu erledigen.
KMS über Kommandozeile einrichten
Wie bisher lässt sich KMS alternativ auf der Kommandozeile konfigurieren. Dieses Verfahren benötigt man, wenn man den Dienst auf einem Client-OS einrichten möchte. Hierfür ist das Script slmgr.vbs zuständig, mit dem man die KMS-Schlüssel so hinzufügt:
slmgr.vbs /ipk <KMS-Schlüssel>
Ob der Vorgang erfolgreich verlaufen ist, kann man mit
slmgr.vbs /dlv
überprüfen. Anschließend muss man den Schlüssel aktivieren. Das kann online über
slmgr.vbs /ato
erfolgen. Bevorzugt man die telefonische Aktivierung, dann gibt man auf der Eingabeforderung
slui.exe 4
ein.
KMS-Hosts über DNS publizieren
Standardmäßig finden Clients die KMS-Hosts über DNS. Den dafür nötigen SRV Resource Record (RR) für _vlmcs schreibt KMS selbständig in die DNS-Datenbank, wenn dynamische Updates aktiviert sind und der betreffende Server über die nötigen Rechte verfügt.
Installiert man mehr als einen KMS-Host in einer Domäne, dann ist der erste davon bei den Default-Einstellungen eines Windows-DNS-Servers in der Lage, den SRV RR zu anzulegen und zu aktualisieren.
Allen folgenden KMS-Hosts bleibt das verwehrt. In diesem Fall sollte man alle KMS-Hosts in einer AD-Sicherheitsgruppe zusammenfassen und dieser die nötigen Rechte für den SRV-Eintrag geben.
Wenn ein Unternehmen Dynamic DNS deaktiviert hat, dann muss man den SRV RR manuell anlegen. Dabei sollte man auf den KMS-Hosts mittels
slmgr.vbs /cdns
das DNS-Publishing deaktivieren.
Ob ein DNS-Eintrag für KMS vorhanden ist, lässt sich mit dem Befehl
nslookup -type=SRV _vlmcs._tcp
leicht feststellen.
Öffentliche Schlüssel für OEM-Versionen
Damit Clients über KMS aktiviert werden können, müssen sie mit einem Generic Volume License Key (GVLK) installiert worden sein. Wenn die Installationsmedien über ein Programm für die Volumenlizenzierung erworben wurden, dann enthalten sie bereits einen GVLK.
Wenn man etwa OEM- oder Retail-Versionen über KMS aktivieren möchte, dann muss man einen GVLK verwenden, der von Microsoft allgemein zugänglich gemacht wird. Für Windows Server 2016 sehen diese so aus:
| Betriebssystem | KMS Schlüssel |
|---|---|
| Windows Server 2016 Datacenter | CB7KF-BWN84-R7R2Y-793K2-8XDDG |
| Windows Server 2016 Standard | WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY |
| Windows Server 2016 Essentials | JCKRF-N37P4-C2D82-9YXRT-4M63B |
Weitere Schlüssel sind bei Microsoft unter diesem Link zu finden.
Ähnliche Beiträge
- AVMA: Windows Server in virtuellen Maschinen auf Hyper-V automatisch aktivieren
- Windows Server 2016: Zwischen Essentials, Standard und Datacenter Edition wechseln
- Windows Server 2016 Essentials: Neuerungen, Einschränkungen, Preis
- Microsoft bietet Windows Server 2016 kostenlos für VMware-Kunden
- Windows Server 2016: Lizenzierung, Editionen, Preise
8 Kommentare
Dieser Artikel könnte noch mit folgenden zwei Hinweise aufgewertet werden.
Das Tool Volume Activation Management Tool (VAMT) von Microsoft mit der grafisch aufbereiteten Version ist sehr übersichtlich.
Seit Windows Server 2012R2 gibt es ausserdem die "Automatic Virtual Machine Activation (AVMA) Diese Methode hat gegenüber KMS einige Vorteile.
Somit lassen sich auch Hosts aktivieren welche nicht einer Domäne angehören.
Hier findet Ihr ein paar Hinweise.
https://technet.microsoft.com/en-us/library/dn303421(v=ws.11).aspx
Freundliche Grüsse
Hallo Herr Vögeli, danke für die Anregung! VAMT sehe ich am ehesten als Tool zur Inventarisierung beim Einsatz von MAK, siehe dazu meinen Beitrag. Bei KMS bietet es m.E. keinen so großen Nutzen. AVMA ist sicher ein spannendes Thema, merke es mir vor :-)
Guter Artikel.
Mich würde noch interessieren, wie man von MAK auf KMS wechseln kann, wenn man KMS erst neu installiert hat.
Hallo Georg, das ist relativ einfach. Wir haben vor längerer Zeit in diesem Beitrag beschrieben, wie man zwischen MAK und KMS wechselt.
Hallo,
Wie verhält sich das Ganze mit einem 2012er Server?
Kann man mit einem 2016er Server auch 2012er Server aktivieren?
Evtl. wäre es hilfreich, wenn Ihr auch eine Art Matrix hier publizieren würdet.
Danke :)
Ist der KMS Server WIN2016 dann kann man auch andere Betriebssysteme activieren. Ich habe damit WIN2016, WIN2012R2 und WIN7 aktiviert.
Hier der Link: https://docs.microsoft.com/en-us/windows-server/get-started/server-2016-...
Am einfachsten geht das mit dem VAMT Tool.
Wichtig, die Aktivierung funktioniert erst wenn der Count mindestens 25 beträgt. Auf dem KMS Host folgendes eingeben slmgr /dli
Bei mir sagt er immer "access denied" nach dem Bild KMS Host verwalten
Hallo Herr Sommergut,
wir wechseln gerade den KMS Host von Server 2008 R2 auf Server 2016. Da alles neu auf dem Server 2016 installiert ist und der Server 2008 R2 nicht mehr als KMS fungiert, hat der Server 2016 noch wenig Aktivierungen (Windows 7 und 10 unter 25 St.). Melden sich die anderen 400 Clients nach Ablauf ihrer Aktivierungszeit beim neuen KMS Host an, so dass dann bald wieder 25 Aktivierungen vorhanden sind und somit neue Clients dann gleich aktiviert werden? Zu diesem Thema Wechsel von einem KMS Host zu anderen hätte ich noch gerne mehr Informationen was dabei zu beachten ist.
Klaus