Gestion des licences KMS en environnement VDI

On voit tout de suite l’intérêt et la pertinence d’implémenter un serveur KMS au sein de l’infrastructure VDI.

Mais qu’est-ce qu’un KMS ?

Depuis le lancement de Windows Vista & Windows Server 2008, Microsoft a introduit une nouvelle stratégie d'activation de licence en volume pour éviter toute fuite de clé de licence hors de l'entreprise, mais surtout pour se protéger du « piratage » en évitant l’abus et l’illégalité de licences. Il en découle que tous les systèmes d'exploitation, à partir de Windows Vista et Windows Server 2008 doivent être activés via un programme de licence en volume pour que Microsoft puisse contrôler l’activité des clés de produits. 

Ces nouvelles spécifications vont permettent d'automatiser le processus d'activation via deux méthodes d'activation :

1. MAK pour Multiple Activation Key ou Clé d'Activation Multiple.
2. KMS pour Key Management Service ou Service de Gestion des Clés.

La gestion des licences par la méthode MAK s’adresse surtout aux TPE /PME qui disposent d’un parc de moins de 25 machines ou d’un petit site distant avec quelques postes de travail. Cette méthode n’est donc pas préconisée dans les environnements de virtualisation du poste de travail qui vont rapidement implémenter un nombre important de postes utilisateurs.

KMS est un service qui permet l'activation des produits Microsoft en volume pour un nombre très important de poste utilisateurs (de serveurs aussi, mais ce n’est pas l’objet de ce billet). C'est donc la solution idéale pour les environnements de virtualisation du poste de travail. De plus, il suffira d'une seule clé KMS pour pouvoir activer l'ensemble des machines de son environnement virtuel.

Contrairement à la méthode MAK, le serveur KMS ne s'active qu'une seule et unique fois depuis les serveurs Microsoft. Les postes utilisateurs qui auront besoin d'être activés sur le réseau s'activeront de manière automatique, donc transparente pour l’utilisateur, auprès du serveur KMS implémenté sur la plateforme virtuelle en interne, et non plus sur les serveurs Microsoft depuis Internet.

Gestion du mécanisme d’échanges pour l’activation de licence

Ce paragraphe explique les différentes étapes de la chaine KMS pour l’activation des licences.

Schéma de principe

Gestion de l’activation de la licence KMS

Après l’installation et la configuration du serveur KMS, les étapes d’enregistrement sont les suivantes :

Détail du processus d’enregistrement :

1. Acquisition de la licence KMS et installation sur le serveur KMS
2. Activation chez Microsoft. L’activation de fait une seule fois.
3. Enregistrement des références du serveur KMS dans le serveur DSN

Gestion de l’activation du poste de travail

Une fois ces étapes terminées, l’activation de la licence du poste de l’utilisateur va se gérer au travers du réseau interne (plus besoin de passer par Internet), de façon automatique  et transparente pour l’utilisateur. Le détail du mécanisme d’échange pour l’activation de la licence du poste de travail (en rouge sur le schéma) est présenté ci-dessous.

Détail du processus d’enregistrement :

1. Le poste de travail, via le service « Software Licensing » tente de contacter l’hôte KMS. Deux méthodes de découverte sont possibles selon la manière dont a été configuré le client :
• Par connexion directe : Le service vérifie dans la base de registre locale si un hôte KMS est spécifié. S’il trouve son nom, on passe à la deuxième étape.
• Par l’auto-découverte : Le service tente d’identifier l’hôte KMS en effectuant une requête DNS.
2. Le client forme alors sa demande d’activation en créant son CMID (Client Machine ID), puis en signant sa requête avec de l’encryptions AES et l’envoie à l’hôte KMS en TCP sur le port 1688 (C’est le port par défaut qu’utilise par KMS). Cette requête est réémise toute les deux heures en cas d’échec pour un poste en période de grâce, ou tous les sept jours pour un poste déjà activée via KMS.
3. Après avoir reçu la requête d’activation, l’hôte KMS ajoute le CMID (Client Machine ID) à sa table KMS. A noter que seuls les 50 derniers clients ayant demandés une activation sont présents dans cette table. Ceci permet à l’hôte KMS de s’assurer de son bon fonctionnement.
4. L’hôte KMS renvoie ensuite au client le décompte d’activations (C’est le nombre de demande d’activation déjà effectuées).
5. A la réception de la réponse, le client évalue le décompte d’activations et la compare à la stratégie de License. Si le décompte a dépassé le nombre minimal de demandes d’activation, le client s’active et stocke :
• Le Product ID de l’hôte KMS
• Les fréquences d’activation
• Le CMID (Client Machine ID)

Pour éviter l’utilisation abusive de serveurs KMS hors contexte professionnel, Microsoft a mis en place une politique  de sécurité au sein de la gestion KMS qui nécessite d’avoir un minimum de 25 postes client et(ou) 5 serveurs pour activer le serveur KMS auprès des serveurs d’activation de Microsoft.

Clés clients KMS Système et Office (GVLK)

Clé client KMS système

Par défaut, les éditions de licence en volume de Windows Vista ®, Windows ® 7 et Windows Server ® 2008 ou Windows Server 2008 R2 sont déjà préparées à l’activation par KMS. La clé client KMS est déjà installée dans les éditions de licence en volume de ces produits. Vous n'avez pas besoin d'entrer une clé pour activer un produit comme un client KMS, sauf si vous convertissez un produit MAK-activé en activation par KMS

Pour convertir une machine licenciée avec une clé client MAK vers une licence volume KMS, il suffit d'installer une clé client KMS (ça marche aussi dans l’autre sens), exécutez:

• cscript slmgr.vbs /IPK CleCliKms où « CleCliKms » est l'une des clés clients  KMS indiquées dans le tableau ci-dessous.

Après l'installation de la clé client KMS, activer le poste client KMS en exécutant :

• cscript slmgr.vbs /ato

Clé client KMS Office

Les clés clients KMS sont préinstallées sur tous les produits en volume Office 2010. Si vous avez entré une clé MAK pour un produit et que vous souhaitez repasser à la méthode d’activation KMS, utilisez la clé client KMS appropriée indiquée dans le tableau ci-dessous.

La méthode recommandée pour entrer la clé consiste à utiliser l’outil VAMT 2.0 .

Vous pouvez également le faire en lignes de commande. Pour la conversion, exécuter :

• cscript “C:\Program Files\Microsoft Office\Office14\ospp.vbs” /inpkey:CleCliKms  où « CleCliKms » est l'une des clés clients KMS indiquées dans le tableau ci-dessous.

Pour l’accès au serveur KMS exécuter :

• cscript “C:\Program Files\Microsoft Office\Office14\ospp.vbs” /SETHST:DnsName ou « DnsName » est le nom du serveur DNS (Cela est nécessaire si vous voulez configurer votre nom de serveur de KMS manuellement)

Après l'installation de la clé client KMS, activer Office 2010 en exécutant :

• cscript “C:\Program Files\Microsoft Office\Office14\ospp.vbs” /act

Pour les suites Office 2010, une seule clé est requise pour tous les produits de la suite. Par exemple, si vous utilisez Microsoft Office Professionnel Plus 2010, vous devez entrer uniquement la clé Office Professionnel Plus 2010 correspondant à la suite entière.

Voir ce lien sur le site Microsoft

Prérequis d'installation et déploiement

Après cette introduction plutôt théorique, je vais vous parler des trois prérequis qui doivent être remplis pour pouvoir déployer un serveur KMS.

Le serveur KMS

Machine physique ou virtuelle exécutant au minimum Windows Vista /Seven  ou Windows Server 2008 / R2

La clé KMS

La clé KMS Windows (Windows7, Server 2008/R2) doit être récupérer depuis le site de Microsoft. La gestion des clés KMS s’appuie sur le principe des groupes de clés de Microsoft.

On distingue 4 groupes de clés pour les licences en Volume :

1. LV Vista/Seven : Il inclut Windows Vista/Windows7 Professionnel et Enterprise
2. Groupe de Serveurs A : Il inclut l’édition Web de Windows Server 2008/Windows Server 2008 R2
3. Groupe de Serveurs B : Il inclut les éditions Standard et Enreprise de Windows Server 2008/Windows Server 2008 R2  avec ou sans le composant Hyper-V
4. Groupe de Serveurs C : Il inclut l’édition Datacenter de Windows Server 2008/Windows Server 2008 R2  avec ou sans le composant Hyper-V ainsi que Windows Server 2008 pour les systèmes Itanium

Les clés CAM et KMS ont un fonctionnement différent :

• Les clés CAM (MAK) : Clés d’activation Multiple ont un fonctionnement latéral.
  C'est-à-dire qu’elles ne peuvent activer des produits que de leur propre groupe.
• Les clés KMS sont hiérarchiques.
  Elles peuvent activer des produits de leur groupe de licence plus les groupes inférieurs à celui-ci.
  Par exemple, une clé de groupe B peut activer des produits du groupe A ainsi que les produits du groupe Vista VL.

Important:

Sur un serveur KMS, on ne peut pas avoir plus de deux clés :

1. Une clé Windows : Si vous souhaitez gérer des licences KMS pour des postes Windows 7 et des serveurs Windows 2008 R2, il faudra mettre une clé de groupe B
2. Une clé Office : Si vous souhaitez gérer des licences KMS pour Office 2010 Pro Plus et Office 2010 Standard, il faudra mettre une clé Office Pro Plus.

Tableau récapitulatif

Ouverture port 1688

Une ouverture des flux entre le serveur et les machines (en bidirectionnelle) doit être obligatoirement activée sur le port 1688. C’est le port par défaut attribué aux échanges entre le poste et le serveur KMS. Il peut être modifié si on le souhaite. Voici la commande qui permet ce changement :

cscript %systemroot%\system32\slmgr.vbs /sprt "numéro de port"

Installation de la plateforme KMS

Activation KMS pour le système

Installation de la clé sur le serveur KMS

Allez dans Démarrer de la machine ou serveur qui fera office de serveur KMS

Saisissez cmd (vous devez lancer cmd.exe avec des droits administrateur)

Sur l'invite de commande saisissez :

• cscript %systemroot%\system32\slmgr.vbs /ipk  Volume-Key  (ou « Volume-Key » est votre clé KMS)

Activation du serveur KMS

Il faut ensuite activer le serveur KMS en utilisant Internet. Saisissez la commande suivante :

• cscript %systemroot%\system32\slmgr.vbs /ato

Nota : Il est possible de l’activer par téléphone si vous n’avez pas accès à Internet pour quelque raison que ce soit. Saisissez la commande suivante :

• cscript %systemroot%\system32\slmgr.vbs /slui.exe . L'assistant d'activation apparaît, cliquez sur autre options d'activation et choisissez l’activation par téléphone.

Gestion du Pare-feu

Aller dans les options de votre pare-feu et choisir l’option « Autoriser un programme via le Pare-feu Windows ». Autoriser le service « Key Management Service » à communiquer à travers le pare-feu. J’autorise le scope du domaine pour n’accepter que les activations des machines du domaine.

Le port par défaut est 1688, mais vous pouvez le changer par la commande :

• cscript %systemroot%\system32\slmgr.vbs /sprt wxyz  (ou wxyz est le nouveau numéro de port).

Dès qu’une modification est appliquée au niveau de serveur KMS, un redémarrage du service de licence logiciel (Software Licensing Service) est requis.

Il est possible de redémarrer le service des deux manières suivantes :

• Par le gestionnaire de service (services.msc). Recherchez le service et redémarrez-le
• Par la commande suivante :
• net stop slsvc && net start slsvc (ou « net stop slsvc » et ensuite « net start slsvc »)  

Tests et vérifications

Sur le contrôleur de domaine, vérifier les entrées DNS. Comme l’hôte KMS s’enregistre automatiquement sur le DNS, l’enregistrement du serveur KMS « _VLMC » doit être présent.

Maintenant que le serveur KMS a bien référencé son enregistrement dans les DNS, nous pouvons tester le bon fonctionnement de l’enregistrement par la commande :

• nslookup -type=srv _vlmcs._tcp

Le résultat devrait ressembler à ça :

Si l’enregistrement ne s’effectue pas rapidement, il est possible de le forcer par la commande :

• cscript %systemroot%\system32\slmgr.vbs /sdns

Cette commande permet de forcer l'activation de la publication automatique au niveau du  DNS.

Vérifier le statut de votre serveur KMS par la commande suivante :

• cscript %systemroot%\system32\slmgr.vbs /dli (ou /dlv)
  

Activation KMS pour Office 2010

Maintenant que le serveur KMS est installé, il faut déclarer la licence KMS d’Office 2010.

Téléchargez l’Outil d’installation de l’hôte KMS Microsoft Office 2010 (version Française)

Exécuter le fichier téléchargé « KeyManagementServiceHost.exe ».

L’installation commence et se fait dans une invite de commande.

A la question « Voulez-vous entrer une clé … », cliquez sur « Yes »

Saisir la clé KMS puis « OK »

Sur le serveur KMS, assurez-vous que le port 1688 est bien ouvert et que le service KMS est autoriser à communiquer au travers du Pare-feu.

Vous démarrez l'installation d'Office 2010, la clé d'activation KMS est déjà par défaut préinstallée. L'installation va rechercher le nom DNS de l’hôte KMS pour s’activer.

Pour gérer les activations et avoir le statut, utilisez l’outil VAMT