多激活密钥
MAK不需要特定的基础结构。您的公司申请并支付一个MAK的费用即可获得特定数量的激活。您可以借助无人参与文件使用MAK激活目标系统;通过Windows界面手动操
作或通过脚本来实现。每个MAK安装必须使用微软的激活服务器进行验证才能成功完成。通常,您将使用直接激活,即客户机自身直接通过微软激活,也可以通过Web 或电话。Web激活非常简单并且工作方式与以前的激活(例如,WindowsXP激活)的工作方式相同。通过电话激活要求您拨打电话号码并读出或在您的电话上输入数字序列,之后接线员会给出您输入到相应的激活数字序列。
如果您的客户机没有直接访问Internet(例如,在保证安全的实验室中)的权限,或者没有MAK 激活所需的管理权限,微软提供了一种代理激活方法,该方法需要使用批量激活管理工具。可以从微软下载页面 (www.microsoft.com/downloads) 下载VAMT,VAMT专为在封闭的网络之间移动的笔记本电脑以及在具有Internet访问权限的网络量身定做。
在封闭的网络上时,VAMT将其上安装的一个或多个MAK应用于其发现的Windows Server 2008和Windows Vista客户机。有关VAMT的详细信息,请参阅与VAMT安装文件一起打包的产品指南。
如果需要重新构建系统,则可以使用和以前相同的 MAK——但它的“密钥使用的次数”将加 1。同样,您不能在以前的构建中重新使用相同的 MAK。例如,如果您收到来自已经安装Windows Server 2008或Windows Vista的OEM的一个系统,则该系统已预先安装了MAK,您已经作为系统成本的一部分为其支付费用。如果您将系统为标准化重新构建,则不能重新使用此MAK;必须使用您自己的MAK,必须丢弃OEM的MAK。
设计原则
尽管使用 KMS 和 MAK比较复杂而且容易混淆,但遵循几个设计原则可以帮助您完全理解它。构建 VA2 基础结构时要记住的最重要的原则是使其简单。简单的配置易于创建、配置和维护。此外,您应该尝试最大程度地减少您所使用的KMS 数量。如果技术上和行政上可能的话,可以让整个企业只拥有一组 KMS 主机。此外,尝试将 KMS 的客户机数量最大化。最后,使 VAMT 代理配置的数量最少。为了遵循这些原则,将您的 Windows 系统分为以下几个类别非常有帮助:生产网络、具有对生产网络的防火墙访问权限的安全网络、具有很少或没有外部网络的访问权限的隔离网络以及断开连接的客户机。
生产网络。这是公司的 Intranet。清查生产网络上的Windows 环境的 AD 林和域,并按照如下方式对其进行分类:
- 主要的公司林
- 信任一个或多个主要林的辅助林
- 不受信任的林(例如,开发、制造)
- 工作组
安全网络。对于对生产网络具有防火墙访问权限的安全网络,假设没有 Internet 访问权限。而且,制作 Windows 环境清单;安全网络可能不会与生产网络具有相同数量的类别。
隔离网络。对于具有很少或没有对外部网络的访问权限的隔离网络来说,将网络分类为具有少于 25 个的客户机或多于 25 个的客户机。
断开连接的客户机。断开连接的客户机没有电子邮件访问权限或者任何应用程序都需要常规企业网络连接(例如,销售团队的演示用笔记本电脑)。
建议
建议您对企业林和辅助的受信任林使用具有 DNS 自动发现的 KMS,因为该配置最容易实现。在您的林和受信任林的所有其它域中注册 KMS,以便客户机可以使用 DNS 来查找服务。假设您的大部分客户机都位于这些林中,该设计允许客户机直接通过KMS激活。该配置还假设您的公司具有一个集中的 IT 模型,该模型具有有限数量的不受信任的林,这类似于微软的环境——微软具有非常少的林。如果在生产网络上有不受信任的林(例如,开发或测试),则这些管理员必须手动注册KMS主机的A记录和SRV记录,自动发现才能工作。KMS主机可能没有权限更新不受信任的林中的DNS。尽管手动添加记录非常简单,但是您必须之后使用域和林配置手动更新记录。
生产网络上的工作组客户机应该通过自动发现使用 KMS,但是它的简单性在于工作组客户机所使用的DNS服务器。如果他们使用KMS主机林的DNS服务,则他们可以轻松查找KMS。
对于对生产网络具有一定访问权限的安全网络,可以采用分层的方法。首先,将防火墙配置为允许TCP端口1688,以便安全网络客户机可以联系 KMS 主机。然后,如果您使用名称而不使用IP地址(推荐),则主机必须能够通过 DNS 解析该名称。对KMS使用自动发现还是直接连接取决于网络的DNS配置;如果网络具有其自己的DNS,则网络管理员必须手动注册KMS主机的A记录和SRV记录。在整个公司中保持一致的DNS基础结构非常重要,因为这样可以避免不一致的错误和复制工作。同样,KMS端口1688应该永远不会向公司外部公开;通过公网访问KMS主机与分发免费的 VLK 相同。
没有外部访问权限的安全网络将更加难以配置。如果网络中的客户机少于25台,则必须使用MAK并通过VAMT工具激活客户机。该方法的一个问题是,您必须允许位于外部
网络上的笔记本电脑位于安全网络上。如果您拥有25台以上的客户机,则可以使用KMS并通过电话激活它。但是这种方法也有自己的缺点,因为将KMS密钥分发给除了几个受信任的管理员之外的任何人是不安全的。安全网络配置的一个变化是可以在其中立即重新构建系统的安全网络(例如,客户机测试实验室)。这种情况下,可以只考虑从不激活系统(如果这些系统存在的时间少于90天),因为您可以使用slmgr.vbs脚本的rearm选项(例如,LMGR .VBS /REARM)重置产品激活计时器最多三次。
对于使用标准构建的公司,一种简单的方法是使用kms.yourcompany .com这样的主机名创建两个DNS规范名称(CNAME) 记录。让这些CNAME记录中的每个记录都引用不同的 KMS 主机,以创建一个基本的循环配置,这样在该配置中可以随机选择主机。使用kms .yourcompany.com作为KMS名称将客户机配置为直接连接。然后所有客户机都将一直使用kms.yourcompany.com。您可以控制此CNAME代表哪些KMS主机,并且无需处理自动发现或在多个DNS区域中注册SRV记录。
遵循基本原则
VA的概念容易造成混淆并且比较复杂,但如果您计划部署Windows Server 2008或Windows Vista,则需要使用它。尽管VA2相对复杂,但是遵循我的基本设计建议将简化您的实现过程。