Anleitung: Key Management Service (KMS) installieren und konfigurieren

    , 21.11.2017
    Tags: ,

    Key Management ServerIn größeren Fir­men wäre der Auf­wand zu groß, wenn man jede Kopie von Windows oder Office manuell akti­vieren müsste. Des­halb gibt es dafür eine zen­trale Lösung, den Key Management Service (KMS). Diese Anleitung beschreibt, wie man ihn unter Windows Server 2016 ein­richtet.

    Microsoft vertreibt Windows und Office unter verschiedenen Lizenztypen, die entweder gar nicht oder mit jeweils bestimmten Verfahren aktiviert werden müssen.

    • OEM: Diese Lizenz bekommt man beim Kauf eines Computers. Ein solches vorinstalliertes Windows muss man nicht mehr aktivieren, das hat bereits der OEM getan.
    • Retail: Diesen Typus bekommt man beim Kauf eines Betriebssystems ohne Hardware. Die Aktivierung erfolgt üblicherweise interaktiv direkt bei Microsoft.
    • MAK: Mutiple Activation Key, dieser Schlüssel kann auf mehreren Systemen gleichzeitig eingesetzt werden. Allerdings sollte man die maximale Anzahl an Aktivierungen nicht überschreiten, da der Key ansonsten von Microsoft gesperrt werden kann.
    • KMS: Dieser Schlüssel wird im LAN für die Aktivierung von Clients eingesetzt. Davon müssen mindestens 25 im Netzwerk vorhanden sein, bei Windows Server beträgt das Minimum 5 Maschinen.

    Client-OS kann keine Server aktivieren

    Sobald KMS im Netzwerk verfügbar ist, bauen die Clients keine direkte Verbindung mehr zu Microsoft auf, um das Betriebs­system zu aktivieren, sondern nutzen dafür den Key Management Service. Diesen Vorgang wiederholen sie spätestens alle 180 Tage, um die Aktivierung zu erneuern. Es ist dann der KMS, welcher über das Internet mit dem Hersteller in Kontakt tritt.

    Die Wahl eines Server-OS als KMS-Host hat den Vorteil, dass man damit auch Windows Server aktivieren kann. Läuft der Dienst auf Windows 8.1 oder 10, dann berücksichtigt er nur Client-Betriebs­systeme. Wer allerdings nur einen Schlüssel für Client-Volumen­lizenzen hat, muss KMS auf einem Client-OS betreiben.

    Installation auf Windows Server 2016

    Windows Server enthält seit der Version 2012 die Rolle Volumen­aktivierungs­dienste. Sie umfasst standardmäßig auch einen Wizard, der die KMS-Konfiguration vereinfacht. Das grundsätzliche Vorgehen hat sich in Server 2016 nicht verändert.

    Wie üblich, kann man die Rolle über den Server Manager oder die PowerShell hinzufügen. Microsoft ermuntert dazu, den Service auf Rechnern zu installieren, auf denen auch andere Dienste wie etwa die AD DS laufen.

    Die Rolle Volumenaktivierungsdienste mit dem Server Manager hinzufügen.

    Im Server Manager startet man den zuständigen Assistenten unter Verwalten => Rollen und Features hinzufügen und aktiviert im Dialog nach der Server-Auswahl die Option Volumen­aktivierungs­dienste. Der Wizard öffnet dann einen weiteren Dialog, in dem man die Installation der Tools bestätigt, welche für die Rolle benötigt werden.

    Installation der Volumenaktivierungsdienste samt Tools

    Die PowerShell-Variante würde so aussehen:

    Install-WindowsFeature -Name VolumeActivation -IncludeManagementTools

    Konfiguration über GUI-Tool

    Nach Abschluss dieses Schritts starten man die Volumen­aktivierungs­tools, wobei der Wizard im Server Manager im letzten Dialog nach der Instal­lation einen entsprechenden Link enthält.

    Start der Volumenaktivierungstools nach Abschluss der Rollen-Installation

    Im ersten Dialog nach den Hinweisen wählt man das gewünschte Verfahren aus, in unserem Fall ist das der Schlüssel­verwaltungs­dienst (KMS). Dort gibt man gleich den Namen des vorgesehenen Hosts an, wobei dies auch ein Remote-PC sein kann.

    Auswahl der Aktivierungsmethode in den Volumen­aktivierungs­tools

    Als nächstes muss man den KMS-Key eingeben. Diesen erhält man im Microsoft-Lizenzportal (Volume Licensing Service Center). Er darf auf bis zu 6 Hosts installiert werden.

    Schlüssel in die Volumen­aktivierungs­tools eingeben

    Im Anschluss daran erfolgt die Aktivierung, wobei man sich hier zwischen der Online- und Telefon­variante entscheiden kann. In der darauf folgenden Zusammen­fassung klickt man auf Schließen, um KMS mit den Vorgabewerten zu starten.

    Nachträgliche Konfiguration der KMS-Einstellungen

    Alternativ lassen sich im Anschluss an die Basis­konfiguration mehrere Einstellungen über den Wizard anpassen. Dazu zählen:

    • Volume License Activation Interval (per Vorgabe 2 Stunden)
    • Volume License Renewal Interval (Default 7 Tage)
    • KMS TCP Listening Port (Standardmäßig 1688)
    • Zu welchen Profilen die Firewall-Ausnahme für KMS hinzugefügt werden soll
    • DNS Records (per Vorgabe aktiviert), um den SVR-Eintrag für KMS im DNS zu schreiben oder dies manuell zu erledigen.

    KMS über Kommandozeile einrichten

    Wie bisher lässt sich KMS alternativ auf der Kommando­zeile konfigurieren. Dieses Verfahren benötigt man, wenn man den Dienst auf einem Client-OS einrichten möchte. Hierfür ist das Script slmgr.vbs zuständig, mit dem man die KMS-Schlüssel so hinzufügt:

    slmgr.vbs /ipk <KMS-Schlüssel>

    Ob der Vorgang erfolgreich verlaufen ist, kann man mit

    slmgr.vbs /dlv

    überprüfen. Anschließend muss man den Schlüssel aktivieren. Das kann online über

    slmgr.vbs /ato

    erfolgen. Bevorzugt man die telefonische Aktivierung, dann gibt man auf der Eingabeforderung

    slui.exe 4

    ein.

    KMS-Hosts über DNS publizieren

    Standardmäßig finden Clients die KMS-Hosts über DNS. Den dafür nötigen SRV Resource Record (RR) für _vlmcs schreibt KMS selbständig in die DNS-Datenbank, wenn dynamische Updates aktiviert sind und der betreffende Server über die nötigen Rechte verfügt.

    Installiert man mehr als einen KMS-Host in einer Domäne, dann ist der erste davon bei den Default-Einstellungen eines Windows-DNS-Servers in der Lage, den SRV RR zu anzulegen und zu aktualisieren.

    Allen folgenden KMS-Hosts bleibt das verwehrt. In diesem Fall sollte man alle KMS-Hosts in einer AD-Sicherheits­gruppe zusammen­fassen und dieser die nötigen Rechte für den SRV-Eintrag geben.

    Wenn ein Unternehmen Dynamic DNS deaktiviert hat, dann muss man den SRV RR manuell anlegen. Dabei sollte man auf den KMS-Hosts mittels

    slmgr.vbs /cdns

    das DNS-Publishing deaktivieren.

    Ob ein DNS-Eintrag für KMS vorhanden ist, lässt sich mit dem Befehl

    nslookup -type=SRV _vlmcs._tcp

    leicht feststellen.

    Öffentliche Schlüssel für OEM-Versionen

    Damit Clients über KMS aktiviert werden können, müssen sie mit einem Generic Volume License Key (GVLK) installiert worden sein. Wenn die Installations­medien über ein Programm für die Volumen­lizenzierung erworben wurden, dann enthalten sie bereits einen GVLK.

    Wenn man etwa OEM- oder Retail-Versionen über KMS aktivieren möchte, dann muss man einen GVLK verwenden, der von Microsoft allgemein zugänglich gemacht wird. Für Windows Server 2016 sehen diese so aus:

    BetriebssystemKMS Schlüssel
    Windows Server 2016 Datacenter CB7KF-BWN84-R7R2Y-793K2-8XDDG
    Windows Server 2016 Standard WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY
    Windows Server 2016 Essentials JCKRF-N37P4-C2D82-9YXRT-4M63B

    Weitere Schlüssel sind bei Microsoft unter diesem Link zu finden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links

    12 Kommentare

    Roger Vögeli (Besucher) sagt:
    22. November 2017 - 8:16

    Dieser Artikel könnte noch mit folgenden zwei Hinweise aufgewertet werden.
    Das Tool Volume Activation Management Tool (VAMT) von Microsoft mit der grafisch aufbereiteten Version ist sehr übersichtlich.

    Seit Windows Server 2012R2 gibt es ausserdem die "Automatic Virtual Machine Activation (AVMA) Diese Methode hat gegenüber KMS einige Vorteile.
    Somit lassen sich auch Hosts aktivieren welche nicht einer Domäne angehören.
    Hier findet Ihr ein paar Hinweise.
    https://technet.microsoft.com/en-us/library/dn303421(v=ws.11).aspx

    Freundliche Grüsse

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut sagt:
    22. November 2017 - 11:22

    Hallo Herr Vögeli, danke für die Anregung! VAMT sehe ich am ehesten als Tool zur Inventarisierung beim Einsatz von MAK, siehe dazu meinen Beitrag. Bei KMS bietet es m.E. keinen so großen Nutzen. AVMA ist sicher ein spannendes Thema, merke es mir vor :-)

    Georg (Besucher) sagt:
    22. November 2017 - 9:22

    Guter Artikel.
    Mich würde noch interessieren, wie man von MAK auf KMS wechseln kann, wenn man KMS erst neu installiert hat.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut sagt:
    22. November 2017 - 11:10

    Hallo Georg, das ist relativ einfach. Wir haben vor längerer Zeit in diesem Beitrag beschrieben, wie man zwischen MAK und KMS wechselt.

    Besart (Besucher) sagt:
    22. November 2017 - 13:08

    Hallo,

    Wie verhält sich das Ganze mit einem 2012er Server?
    Kann man mit einem 2016er Server auch 2012er Server aktivieren?
    Evtl. wäre es hilfreich, wenn Ihr auch eine Art Matrix hier publizieren würdet.

    Danke :)

    Georg (Besucher) sagt:
    22. November 2017 - 13:31

    Ist der KMS Server WIN2016 dann kann man auch andere Betriebssysteme activieren. Ich habe damit WIN2016, WIN2012R2 und WIN7 aktiviert.
    Hier der Link: https://docs.microsoft.com/en-us/windows-server/get-started/server-2016-...

    Am einfachsten geht das mit dem VAMT Tool.

    Wichtig, die Aktivierung funktioniert erst wenn der Count mindestens 25 beträgt. Auf dem KMS Host folgendes eingeben slmgr /dli

    MARCO (Besucher) sagt:
    21. Februar 2018 - 11:22

    Bei mir sagt er immer "access denied" nach dem Bild KMS Host verwalten

    Klaus (Besucher) sagt:
    16. Mai 2018 - 14:00

    Hallo Herr Sommergut,
    wir wechseln gerade den KMS Host von Server 2008 R2 auf Server 2016. Da alles neu auf dem Server 2016 installiert ist und der Server 2008 R2 nicht mehr als KMS fungiert, hat der Server 2016 noch wenig Aktivierungen (Windows 7 und 10 unter 25 St.). Melden sich die anderen 400 Clients nach Ablauf ihrer Aktivierungszeit beim neuen KMS Host an, so dass dann bald wieder 25 Aktivierungen vorhanden sind und somit neue Clients dann gleich aktiviert werden? Zu diesem Thema Wechsel von einem KMS Host zu anderen hätte ich noch gerne mehr Informationen was dabei zu beachten ist.

    Klaus

    felix (Besucher) sagt:
    22. Juni 2018 - 23:34

    Hallo,

    ist es möglich einen eizigen KMS zu betreiben, der Windows 7 und 10 Clients aktivieren kann ?
    Vor paar Jahren gab es da wohl Einschränkungen....
    Auf welche Server Versionen muss es dann installiert werden ?

    Ralf (Besucher) sagt:
    13. Juni 2019 - 16:08

    Wir versuchen gerade den Wechsel des KMS Server von 2008R2 auf 2016, aber stehen von ungeklären Fragen:
    Benötige ich auf dem neuen KMS Host einen KMS Schlüssel für Server 2016 wenn ich damit nur Win 7 und Win 10 Clients aktivieren möchte?
    Bisher haben die Server 2016 selber nur MAK Schlüssel.

    Frank Gischler (Besucher) sagt:
    15. Juli 2019 - 14:19

    Ich habe das Problem, dass die Clients sich als VLMCS ins DNS eintragen.
    Wie kommt das? Irgendwann habe ich hier dann 500 VLMCS Server :-)
    Gruss
    Frank

    JoWagnee (Besucher) sagt:
    6. Juli 2020 - 8:52

    Guten Tag,
    ich suche nach einem Weg den KMS-Key auf alle Clients im Netzwerk zu verteilen, damit diese sich auf beim Host aktivieren. Kann mir da einer einen Ratschlag geben? Danke :)