Anleitung: Key Management Service (KMS) installieren und konfigurieren

    Key Management ServerIn größeren Fir­men wäre der Auf­wand zu groß, wenn man jede Kopie von Windows oder Office manuell akti­vieren müsste. Des­halb gibt es dafür eine zen­trale Lösung, den Key Management Service (KMS). Diese Anleitung beschreibt, wie man ihn unter Windows Server 2016 ein­richtet.

    Microsoft vertreibt Windows und Office unter verschiedenen Lizenztypen, die entweder gar nicht oder mit jeweils bestimmten Verfahren aktiviert werden müssen.

    • OEM: Diese Lizenz bekommt man beim Kauf eines Computers. Ein solches vorinstalliertes Windows muss man nicht mehr aktivieren, das hat bereits der OEM getan.
    • Retail: Diesen Typus bekommt man beim Kauf eines Betriebssystems ohne Hardware. Die Aktivierung erfolgt üblicherweise interaktiv direkt bei Microsoft.
    • MAK: Mutiple Activation Key, dieser Schlüssel kann auf mehreren Systemen gleichzeitig eingesetzt werden. Allerdings sollte man die maximale Anzahl an Aktivierungen nicht überschreiten, da der Key ansonsten von Microsoft gesperrt werden kann.
    • KMS: Dieser Schlüssel wird im LAN für die Aktivierung von Clients eingesetzt. Davon müssen mindestens 25 im Netzwerk vorhanden sein, bei Windows Server beträgt das Minimum 5 Maschinen.

    Client-OS kann keine Server aktivieren

    Sobald KMS im Netzwerk verfügbar ist, bauen die Clients keine direkte Verbindung mehr zu Microsoft auf, um das Betriebs­system zu aktivieren, sondern nutzen dafür den Key Management Service. Diesen Vorgang wiederholen sie spätestens alle 180 Tage, um die Aktivierung zu erneuern. Es ist dann der KMS, welcher über das Internet mit dem Hersteller in Kontakt tritt.

    Die Wahl eines Server-OS als KMS-Host hat den Vorteil, dass man damit auch Windows Server aktivieren kann. Läuft der Dienst auf Windows 8.1 oder 10, dann berücksichtigt er nur Client-Betriebs­systeme. Wer allerdings nur einen Schlüssel für Client-Volumen­lizenzen hat, muss KMS auf einem Client-OS betreiben.

    Installation auf Windows Server 2016

    Windows Server enthält seit der Version 2012 die Rolle Volumen­aktivierungs­dienste. Sie umfasst standardmäßig auch einen Wizard, der die KMS-Konfiguration vereinfacht. Das grundsätzliche Vorgehen hat sich in Server 2016 nicht verändert.

    Wie üblich, kann man die Rolle über den Server Manager oder die PowerShell hinzufügen. Microsoft ermuntert dazu, den Service auf Rechnern zu installieren, auf denen auch andere Dienste wie etwa die AD DS laufen.

    Die Rolle Volumenaktivierungsdienste mit dem Server Manager hinzufügen.

    Im Server Manager startet man den zuständigen Assistenten unter Verwalten => Rollen und Features hinzufügen und aktiviert im Dialog nach der Server-Auswahl die Option Volumen­aktivierungs­dienste. Der Wizard öffnet dann einen weiteren Dialog, in dem man die Installation der Tools bestätigt, welche für die Rolle benötigt werden.

    Installation der Volumenaktivierungsdienste samt Tools

    Die PowerShell-Variante würde so aussehen:

    Install-WindowsFeature -Name VolumeActivation -IncludeManagementTools

    Konfiguration über GUI-Tool

    Nach Abschluss dieses Schritts starten man die Volumen­aktivierungs­tools, wobei der Wizard im Server Manager im letzten Dialog nach der Instal­lation einen entsprechenden Link enthält.

    Start der Volumenaktivierungstools nach Abschluss der Rollen-Installation

    Im ersten Dialog nach den Hinweisen wählt man das gewünschte Verfahren aus, in unserem Fall ist das der Schlüssel­verwaltungs­dienst (KMS). Dort gibt man gleich den Namen des vorgesehenen Hosts an, wobei dies auch ein Remote-PC sein kann.

    Auswahl der Aktivierungsmethode in den Volumen­aktivierungs­tools

    Als nächstes muss man den KMS-Key eingeben. Diesen erhält man im Microsoft-Lizenzportal (Volume Licensing Service Center). Er darf auf bis zu 6 Hosts installiert werden.

    Schlüssel in die Volumen­aktivierungs­tools eingeben

    Im Anschluss daran erfolgt die Aktivierung, wobei man sich hier zwischen der Online- und Telefon­variante entscheiden kann. In der darauf folgenden Zusammen­fassung klickt man auf Schließen, um KMS mit den Vorgabewerten zu starten.

    Nachträgliche Konfiguration der KMS-Einstellungen

    Alternativ lassen sich im Anschluss an die Basis­konfiguration mehrere Einstellungen über den Wizard anpassen. Dazu zählen:

    • Volume License Activation Interval (per Vorgabe 2 Stunden)
    • Volume License Renewal Interval (Default 7 Tage)
    • KMS TCP Listening Port (Standardmäßig 1688)
    • Zu welchen Profilen die Firewall-Ausnahme für KMS hinzugefügt werden soll
    • DNS Records (per Vorgabe aktiviert), um den SVR-Eintrag für KMS im DNS zu schreiben oder dies manuell zu erledigen.

    KMS über Kommandozeile einrichten

    Wie bisher lässt sich KMS alternativ auf der Kommando­zeile konfigurieren. Dieses Verfahren benötigt man, wenn man den Dienst auf einem Client-OS einrichten möchte. Hierfür ist das Script slmgr.vbs zuständig, mit dem man die KMS-Schlüssel so hinzufügt:

    slmgr.vbs /ipk <KMS-Schlüssel>

    Ob der Vorgang erfolgreich verlaufen ist, kann man mit

    slmgr.vbs /dlv

    überprüfen. Anschließend muss man den Schlüssel aktivieren. Das kann online über

    slmgr.vbs /ato

    erfolgen. Bevorzugt man die telefonische Aktivierung, dann gibt man auf der Eingabeforderung

    slui.exe 4

    ein.

    KMS-Hosts über DNS publizieren

    Standardmäßig finden Clients die KMS-Hosts über DNS. Den dafür nötigen SRV Resource Record (RR) für _vlmcs schreibt KMS selbständig in die DNS-Datenbank, wenn dynamische Updates aktiviert sind und der betreffende Server über die nötigen Rechte verfügt.

    Installiert man mehr als einen KMS-Host in einer Domäne, dann ist der erste davon bei den Default-Einstellungen eines Windows-DNS-Servers in der Lage, den SRV RR zu anzulegen und zu aktualisieren.

    Allen folgenden KMS-Hosts bleibt das verwehrt. In diesem Fall sollte man alle KMS-Hosts in einer AD-Sicherheits­gruppe zusammen­fassen und dieser die nötigen Rechte für den SRV-Eintrag geben.

    Wenn ein Unternehmen Dynamic DNS deaktiviert hat, dann muss man den SRV RR manuell anlegen. Dabei sollte man auf den KMS-Hosts mittels

    slmgr.vbs /cdns

    das DNS-Publishing deaktivieren.

    Ob ein DNS-Eintrag für KMS vorhanden ist, lässt sich mit dem Befehl

    nslookup -type=SRV _vlmcs._tcp

    leicht feststellen.

    Öffentliche Schlüssel für OEM-Versionen

    Damit Clients über KMS aktiviert werden können, müssen sie mit einem Generic Volume License Key (GVLK) installiert worden sein. Wenn die Installations­medien über ein Programm für die Volumen­lizenzierung erworben wurden, dann enthalten sie bereits einen GVLK.

    Wenn man etwa OEM- oder Retail-Versionen über KMS aktivieren möchte, dann muss man einen GVLK verwenden, der von Microsoft allgemein zugänglich gemacht wird. Für Windows Server 2016 sehen diese so aus:

    BetriebssystemKMS Schlüssel
    Windows Server 2016 Datacenter CB7KF-BWN84-R7R2Y-793K2-8XDDG
    Windows Server 2016 Standard WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY
    Windows Server 2016 Essentials JCKRF-N37P4-C2D82-9YXRT-4M63B

    Weitere Schlüssel sind bei Microsoft unter diesem Link zu finden.

    6 Kommentare

    Bild von Roger Vögeli
    22. November 2017 - 8:16

    Dieser Artikel könnte noch mit folgenden zwei Hinweise aufgewertet werden.
    Das Tool Volume Activation Management Tool (VAMT) von Microsoft mit der grafisch aufbereiteten Version ist sehr übersichtlich.

    Seit Windows Server 2012R2 gibt es ausserdem die "Automatic Virtual Machine Activation (AVMA) Diese Methode hat gegenüber KMS einige Vorteile.
    Somit lassen sich auch Hosts aktivieren welche nicht einer Domäne angehören.
    Hier findet Ihr ein paar Hinweise.
    https://technet.microsoft.com/en-us/library/dn303421(v=ws.11).aspx

    Freundliche Grüsse

    Bild von Wolfgang Sommergut
    22. November 2017 - 11:22

    Hallo Herr Vögeli, danke für die Anregung! VAMT sehe ich am ehesten als Tool zur Inventarisierung beim Einsatz von MAK, siehe dazu meinen Beitrag. Bei KMS bietet es m.E. keinen so großen Nutzen. AVMA ist sicher ein spannendes Thema, merke es mir vor :-)

    Bild von Georg
    Georg sagt:
    22. November 2017 - 9:22

    Guter Artikel.
    Mich würde noch interessieren, wie man von MAK auf KMS wechseln kann, wenn man KMS erst neu installiert hat.

    Bild von Wolfgang Sommergut
    22. November 2017 - 11:10

    Hallo Georg, das ist relativ einfach. Wir haben vor längerer Zeit in diesem Beitrag beschrieben, wie man zwischen MAK und KMS wechselt.

    Bild von Besart
    Besart sagt:
    22. November 2017 - 13:08

    Hallo,

    Wie verhält sich das Ganze mit einem 2012er Server?
    Kann man mit einem 2016er Server auch 2012er Server aktivieren?
    Evtl. wäre es hilfreich, wenn Ihr auch eine Art Matrix hier publizieren würdet.

    Danke :)

    Bild von Georg
    Georg sagt:
    22. November 2017 - 13:31

    Ist der KMS Server WIN2016 dann kann man auch andere Betriebssysteme activieren. Ich habe damit WIN2016, WIN2012R2 und WIN7 aktiviert.
    Hier der Link: https://docs.microsoft.com/en-us/windows-server/get-started/server-2016-...

    Am einfachsten geht das mit dem VAMT Tool.

    Wichtig, die Aktivierung funktioniert erst wenn der Count mindestens 25 beträgt. Auf dem KMS Host folgendes eingeben slmgr /dli