Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

Volume Activation 2.0 : Présentation et Implémentation

 Voici un article que j'ai écris sur l'activation des postes en entreprise par le biais de Volume Activation 2. Vous pouvez aussi retrouver cet article sur le site du Laboratoire Supinfo des technologies Microsoft : http://www.laboratoire-microsoft.org/articles/VolumeActivation2_-_Presentation-Implementation/

 

Si vous lisez cet article, c’est que vous avez plus ou moins entendu parler de Volume Activation ou de Windows Product Activation.
Vous faites sûrement parti d’un Service Informatique qui a déjà commencé le déploiement de clients Windows Vista, Windows 7 ou de Windows Server 2008, et Windows Server 2008 R2. Vous avez donc déjà pu voir que le mode d’activation sous ces systèmes d’exploitation a changé par rapport à celui utilisé par ses prédécesseurs.
Avec l’arrivée de Windows Vista, le vieillissant mode d’activation de Windows XP a été renouvelé. En effet, celui-ci posait des problèmes quand au piratage des licences. Néanmoins, ce nouveau système d’activation pose de nouvelles problématiques et l’implémentation en entreprise n’est pas aussi simple qu’on peut le croire. Il est donc nécessaire de revoir entièrement sa stratégie d’Activation.

 

Cet article va donc vous présenter Volume Activation 2.0 pour Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.
Vous verrez les différentes méthodes et scénarii offerts par VA 2.0 pour l’activation en entreprise ainsi que les différents types de clés que vous pouvez utiliser.

 

1. Windows Product Activation : Explications


 

Cette partie présentera Windows Product Activation dans son fonctionnement et toutes les composantes qui l’en constitue.

 1.1 Pourquoi l’Activation ?

 

 L’Activation est un processus visant à authentifier et valider l’achat de son produit.
Le but premier de l’activation est de réduire le piratage et la propagation de copies illégales de logiciel entrainant une perte pour l’éditeur.
Le piratage est une infraction aux règles spécifiées dans le CLUF (Contrat de Licence d’utilisateur final) du logiciel, entraînent le plus souvent l’installation du produit sans l’accord de l’éditeur ou sans avoir acheté le droit d’utilisation de celui-ci.
En général, une licence donne le droit à l’installation sur un seul poste (à part dans le cas de Licence en Volume).
En ce qui concerne l’utilisateur, l’activation lui garantit l’authenticité de son achat et de pouvoir bénéficier de toutes les fonctionnalités du produit. L’utilisateur peut activer son produit de manière totalement anonyme.
Avec l’arrivée de Windows Vista, c’est la méthode Windows Product Activation qui se charge de vérifier que le système d’exploitation est installé sur un nombre limité d’ordinateurs.





 

 1.2 Comment ça marche ? 

 

Avec Windows XP, c’est Windows Genuine Advantage qui faisait seul office de système d’activation.
Celui-ci ayant été contourné par les pirates malgré d’incessantes mises à jour, Microsoft a décidé de changer son système d’activation avec l’arrivée de Windows Vista en introduisant : Windows Product Activation.
Bien souvent, le processus d’activation se fait par le biais d’une vérification de la clé produit (Product Key ou Product ID).
La clé produit est un ensemble de chiffres ou de lettres permettant d’identifier le produit ou l’édition du produit.
Cette clé produit se situe souvent avec le produit et peut être demandé lors de son installation ou durant son utilisation.
Généralement, celle-ci est formée de 25 caractères alphanumériques séparés en cinq blocs (par exemple, YE84D-12345-JSD20-SUPIN-FO85D).

Lors de la phase d’installation, Windows génère aussi un identifiant matériel (Hardware ID) non unique à partir des informations générales qui se trouvent dans les composants du système :

  • Cartes graphiques
  • Adaptateurs IDE et SCSI
  • Cartes réseau, incluant l'adresse MAC
  • La taille de la Mémoire vive
  • Le type de processeur et son numéro de série
  • Les Disques durs
  • Les lecteurs CD-ROM/CD-RW/DVD-ROM …

 

A noter que d’autres informations sont envoyées, telles que la langue (dans un but unique de statistique), l’adresse IP permettant de vérifier l’endroit d’où est émis la requête (Windows Vista Starter Edition ne pouvant être activé qu’a partir de certaines zones géographiques), la date actuelle.
Pour assurer la confidentialité des informations vous concernant, le numéro d'identification de matériel est crypté sous forme d’une chaine alphanumérique non réversible. Il n’est donc pas possible de retracer l’ordinateur ou l’utilisateur qui les a envoyées.

Enfin, lors du processus d’activation (Windows Product Activation), la clé produit et l’identifiant matériel sont envoyés à Microsoft. La clé produit ne peut être associée à plus d’un identifiant matériel.

  • Si l’activation vérifie que la clé produit n’a pas été enregistrée à un identifiant matériel et quelle correspond au produit et à l’édition installée, les deux identifiants sont enregistrés par Microsoft et l’installation est activée.
    A la suite de ça, un identifiant d’installation est généré  à partir des deux identifiants précédemment cités.
    Ce nouvel identifiant est constitué de 20 chiffres de la forme 12345-123-1234567-12345 et représente le produit et l’instance de l’installation du produit.
  • A contrario si le processus d’activation trouve que la clé produit est déjà associée à un identifiant matériel et si les deux identifiants correspondent à ceux envoyés par le client, Microsoft autorise l’activation une fois de plus.
    Dans tous les autres cas (si l’identifiant matériel enregistré par Microsoft est différent de celui envoyé par le client),  l’activation échoue et il est nécessaire de contacter le support de Microsoft.

Nous avons vu plus haut que c’est avec un ensemble de composants système que l’identifiant matériel est généré. Si vous êtes amené à changer un composant, celui-ci n’entraine pas l’échec de l’activation. Par contre, si vous changez l’ensemble de votre configuration matériel ou plus d’un composant, il vous sera nécessaire de contacter le support afin de réactiver la clé produit.


 





 

 1.3 Les états de licences 

 

Il existe cinq états de licence différents : Activé, Grâce, Authentique, Notification, Sans licence. Ces états sont le reflet du niveau d’activation et d’authenticité du système.

  • Activé : Lorsque le système est activé, il bénéficie de toutes les fonctionnalités qui sont offertes dans son édition.
  • Grâce : Lorsqu’un ordinateur a été installé mais n’a pas été activé, il est dans la période de grâce. Il bénéficie de toutes les fonctionnalités du système. Cette période de 30 à 60 Jours en fonction du système.
  • Authentique est un état de licence associé à Windows Genuine Advantage qui donne accès à certains services en ligne (Téléchargement de certains HotFixes, Programmes etc …).
    On distingue trois types d’état liés à ce niveau d’état :
    • Non authentique : Le système a reçu un ticket du service de validation en ligne indiquant qu’il ne s’agit pas d’un original.
    • Authentique local : Le système a reçu un ticket de validation.
    • Authentique : Le système a reçu un ticket du service de validation en ligne indiquant qu’il s’agit d’un original.
  • Notification : Le but des notifications est de différentier une copie authentique activée de Windows Vista des autres, tout en maintenant les fonctionnalités du système comme l’ouverture de session, l’accès au bureau habituel, etc. Le mode de fonctionnalités réduites (RFM) a été remplacé dans Windows Vista SP1 par un système de notifications.
  • Mode de fonctionnalités Réduites (RFM) est un état spécifique qui est actif lorsque le système n’a pas été activé et qu’il a dépassé la période de grâce lui étant affecté. Ce mode affecte les fonctionnalités des ordinateurs exécutant Windows Vista (sans Service Packs). Pour les systèmes supérieurs à Windows Vista sans Service Packs, cet état de licence n’est pas disponible.





 

 1.4 Les différents types de licences 

 

Il est possible d’obtenir une licence (de Windows Vista, Windows Server 2008, Windows 7, et Windows Server 2008 R2) par le biais de trois intermédiaires :

  • Les fabricants d’ordinateurs (OEM)
  • La vente au détail (Retail)
  • Les licences en volume (Volume Licence)

Attention ! Chaque licence a ses canaux d’obtention. Par exemple, l’édition Enterprise de Windows Vista ne peut être obtenue que par le biais d’une licence en volume.



 

   1.4.1 Fabricants d’Ordinateurs OEM 

 

Lorsque vous achetez un ordinateur auprès d’un fabricant d’ordinateurs OEM, la plupart proposent une version de Windows avec le matériel.
Le fabricant procède avant la livraison du matériel à une activation OEM en associant Windows avec le BIOS de la machine.
L’utilisateur n’a besoin de n’accomplir aucune action pour que son système soit opérationnel et actif.

Cette méthode d’activation appelée Activation OEM 2.0 est valide tant que l’utilisateur réinstalle son système à l’aide de l’image système fournie par le fabricant.



 

   1.4.2 Vente au détail 

 

La vente au détail correspond à des produits achetés en magasin donnant le droit à une licence individuelle (on appelle ça aussi une « Version Boite »).
L’activation s’effectue de manière classique (par Internet ou par téléphone) lors de l’utilisation du produit.
Chaque produit est identifié par une clé produit unique attachée sur son emballage.



 

   1.4.3 Licence en volume 

 

Le système de licence en volume de Microsoft propose des programmes personnalisés adaptés à la taille de l’entreprise.

Pour devenir un client en volume, vous devez établir un contrat de licence en volume avec Microsoft.
Seuls deux moyens légaux sont disponibles pour acquérir une licence de bureau Microsoft complète pour un nouveau système informatique. Le premier, et le plus économique, est une pré-installation par le fabricant du système informatique.
L’autre option est l’acquisition d’un produit commercialisé complet en boîte.

Les programmes de licence de volume Microsoft s’adressent à tous les types d’entreprises :

  • Petites et Moyennes Entreprises : Microsoft propose deux programmes :
    • Programme Open Value propose un contrat de licence permettant le paiement annuel. Il se décline en trois sous options :
      • Open Value : Achat de n’importe quel groupe de cinq licences au minimum pour des clients ou des serveurs.
      • Open Value Entreprise : Achat standardisé de produits pour plateforme PME ou PRO de cinq licences au minimum.
      • Open Value Souscription : Similaire à l’option Entreprise mais sous forme d’abonnement (les licences ne sont pas perpétuelles).
    • Programme Open permettant d’acquérir les logiciels à la carte, c'est-à-dire le nombre que vous souhaitez sans engagement de durée.

  •  Grandes Entreprises :
    • Programme Select propose aux entreprises d’acheter les logiciels selon leurs besoins en proposant des tarifs avantageux pour de gros volumes.
    • Programme Select Plus est une extension du programme Select. Il permet d’établir un contrat qui n’expire pas (contrairement au programme Select qui expire tous les 3 ans).
    • Programme Accord Entreprise permet aux entreprises possédant plus de 250 postes clients de déployer les mêmes logiciels sur la totalité du parc informatique.
  •  Etablissements Scolaires et secteur public :
    • Open Education
    • Select Education
    • Accord School
    • Accord Campus

Voir les différentes conditions de ces programmes sur : http://www.microsoft.com/France/acheter/education/modesachat/default.mspx

 

On distingue 4 groupes de clés pour les licences en Volume :

  • LV Vista/Seven : inclut Windows Vista/Windows 7 Professionnel et Enterprise
  • Groupe de Serveurs A inclut l’édition Web de Windows Server 2008/Windows Server 2008 R2
  • Groupe de Serveurs B inclut les éditions Standard et Enreprise de Windows Server 2008/Windows Server 2008 R2  avec ou sans le composant Hyper-V
  • Groupe de Serveurs C inclut l’édition Datacenter de Windows Server 2008/Windows Server 2008 R2  avec ou sans le composant Hyper-V ainsi que Windows Server 2008 pour les systèmes Itanium

 

Les clés CAM et KMS ont un fonctionnement différent :

  • Les clés CAM (MAK) : Clés d’activation Multiple ont un fonctionnement latéral.
    C'est-à-dire qu’elles ne peuvent activer des produits que de leur propre groupe.
  • Les clés KMS sont hiérarchiques.
    Elles peuvent activer des produits de leur groupe de licence plus les groupes inférieurs à celui-ci.
    Par exemple, une clé de groupe B peut activer des produits du groupe A ainsi que les produits du groupe Vista VL.

 1.5 Windows sans Activation 

 

Nous avons vu le fonctionnement de Windows Product Activation et les différents types de licence que l’on peut rencontrer.
Mais quand est-il si vous n’activer pas votre système d’exploitation ?

Si vous n’activez pas votre système d’exploitation après l’avoir installer, vous disposez d’un délai de 30 jours pour Windows Clients (Windows Vista et Windows 7) et 60 jours pour Windows Server (Windows Server 2008 et Windows Server 2008 R2) pour activer votre système.
Durant cette période appelée Période de grâce (Grace Period) vous disposez de l’ensemble des fonctionnalités offertes par le système d’exploitation.
Jusqu’aux trois derniers jours de la période de grâce, lors de chaque ouverture de session, Windows par le biais d’une bulle de notification vous demandera de procéder à l’activation de votre système.
Lors des premiers deux jours correspondant à la période des trois derniers jours, l’utilisateur est notifié toutes les quatre heures.
Le dernier jour, la notification apparaît toutes les heures.

 

Une fois la période de grâce écoulée, Windows passe en mode de fonctionnalités réduites.
Le Mode de fonctionnalités Réduites (RFM) est un état spécifique actif lorsque le système n’a pas été activé et qu’il a dépassé la période de grâce lui étant affecté. Ce mode affecte les fonctionnalités des ordinateurs exécutant Windows Vista (sans Service Packs).
Pour les systèmes supérieurs à Windows Vista Service Pack 1, cet état de licence n’est pas disponible et c’est l’état de Notification qui devient Actif.

 

2. Windows Product Activation : Implémentation

Nous allons voir les différentes implémentations de Windows Product Activation. Nous ne traiterons pas de l’activation OEM puisqu’elle est faite par le fabricant. L’utilisateur n’ayant besoin d’accomplir aucune action pour activer son système.

 2.1 Activation au détail

L’activation au détail correspond à l’achat d’une licence auprès d’un revendeur. Il existe deux types d’activation possible :

  • L’activation par Internet
  • L’activation par Téléphone

Nous allons décrire ces deux activations en détail :

   2.1.1 Par Internet

Ouvrez le  « Panneau de Configuration » => « System and Security », cliquez sur « System » :

 

Puis cliquez sur « Activate Windows Now » si vous avez déjà renseigné la clé lors de l’installation ou faites « Change product Key » pour la renseigner :


 

Faites « Next » pour lancer le processus :


 

Si l’activation réussit, vous devez disposez d’un écran comme suit :


 

Dans le cas contraire, procurez vous une clé valide ou appelez le support afin de procéder à une activation par téléphone.



 

   2.1.2 Par Téléphone

Note : déconnectez votre ordinateur de sa connexion Internet si vous souhaitez passer par l’activation téléphonique

Suivez la même procédure que précédemment mais une fois le processus d’activation lancé celui-ci va échouer puisque vous ne bénéficiez pas d’une connexion Internet :

Sélectionnez « Show me other ways to activate » puis « Use the automated phone system » :

 


 

Sélectionnez le pays où vous vous situez :


 

Appelez le numéro indiqué et entrez le numéro d’installation (Installation ID). Le processus d’activation téléphonique va générer un numéro de confirmation que vous allez devoir renseignez dans cette fenêtre :


 

Après ces étapes, votre système est activé :

 

 2.2 Activation en Entreprise

 

Vous l’avait vu précédemment, la solution d’activation au détail n’est pas envisageable pour une entreprise. De ce fait, les entreprises utilisent des licences en volume.
Auparavant, l’activation n’était requise que pour les logiciels Microsoft achetés dans des magasins et auprès de fabricants d’ordinateurs OEM. Les licences de système d’exploitation acquises via des programmes de licence en volume ne nécessitaient aucune activation.
En outre, les méthodes d’activation alors disponibles rendaient difficile le contrôle des clés produit qui accompagnaient les éditions en volume de logiciels Microsoft.
De ce fait, les clés produit en volume pour Windows XP et Windows Server 2003 étaient facilement compromises et devenaient la première source de logiciels piratés.
Pour résoudre ce problème, Microsoft a introduit une nouvelle stratégie d’activation à la sortie de Windows Vista et Windows Server 2008.

Dans le cadre de cette stratégie, toutes les éditions des systèmes d’exploitation à partir de Windows Vista et Windows Server 2008 doivent être activées, y compris celles obtenues via un programme de licence en volume.
Ces exigences s’appliquent aux ordinateurs physiques et virtuels exécutant Windows. Volume Activation 2.0 est une solution permettant aux entreprises de pallier à ces nouvelles spécifications.
Il permet d’automatiser le processus d’activation par le biais de deux méthodes :

  • Clé d’Activation Multiple (MAK)
  • Key Management Service (KMS)

 

Attention ! Ces méthodes d’activation ne sont disponibles que pour la version Entreprise ou Professionnel puisque vous devez bénéficier d’une Volume Licence ou d’une clé MultipleActivation.

 

   2.1.1 Activation par Multiple Activation Key (MAK)

     2.1.1.1 Présentation

La méthode « Clé d’activation Multiple » est utilisée dans un environnement disposant moins de 25 ordinateurs (typiquement un petit site distant).
Avec ce type d’activation, vous utilisez une clé afin d’activer un nombre spécifique d’ordinateurs.
Cette solution utilise les serveurs d’activation de Microsoft afin d’activer les postes client.
Le service d’activation de Microsoft prend en compte le nombre d’activation faite avec une clé MAK.
Ce nombre est limité et défini par le contrat passé avec Microsoft.
Il est possible d’installer ces clés individuellement sur chaque ordinateur ou de l’inclure dans une image système (typiquement une image WIM).

On distingue deux sous-méthodes :

  • Activation MAK indépendante : Avec cette méthode d’activation, la clé d’activation multiple doit être entrée (lors de l’installation ou après celle-ci par le biais de l’assistant vu plus haut ou à distance avec Volume Activation Management Tool) sur chaque ordinateur pour être activée. Lorsque la clé est renseignée, chaque ordinateur doit s’activer manuellement auprès de Microsoft via Internet ou par téléphone.
  •  Activation MAK par proxy : L’activation MAK par proxy permet d’activer des ordinateurs (entre 4 et 24) qui n’ont pas accès à Internet sans pour autant passer du temps à effectuer l’activation par téléphone. Avec cette méthode d’activation, on utilise VAMT (Volume Activation Management Tool) afin de collecter et stocker les numéros d’installation (Installation ID) de chaque ordinateur dans un fichier XML.
    Ensuite, avec un ordinateur disposant d’Internet, il est nécessaire d’utiliser VAMT afin de se connecter à Microsoft et obtenir les numéros de confirmation (Confirmation ID) associés aux numéros d’installation.
    Ces numéros de confirmation sont sauvegardés dans un fichier XML qui sera utilisé par le biais de VAMT afin d’activer les ordinateurs isolés. Cette méthode permet de centraliser les requêtes d’activation.

     2.1.1.2 Implémentation

Je passe l’installation de Volume Activation Management Tool qui ne nécessite aucune configuration particulière.
Vous devez aussi posséder une clé de type MultipleActivation et l’ordinateur hébergeant VAMT doit pouvoir accéder à Internet.
VAMT a la possibilité de se baser sur Active Directory.

Notez que VAMT est disponible en version 1.2 dans l’outil Windows Automated Installation Kit pour Windows 7 (WAIK)

 

        2.1.1.2.1 Prise en main de VAMT 

Attention ! Par mesure de sécurité, VAMT ne sauvegarde pas la liste des ordinateurs (et leur statut) à la fermeture du programme. Vous devez manuellement sauvegarder la liste.

Lancez VAMT :


 

Ajoutez des ordinateurs en cliquant droit sur « User Defined Groups » et en sélectionnant « Add Computers ».

Dans la nouvelle fenêtre, donnez un nom de groupe et sélectionnez la façon dont vous souhaitez ajouter les clients :

  • En entrant manuellement les noms d’hôte ou les adresses IP
  • En cherchant les ordinateurs dans Active Directory
  • En cherchant les ordinateurs dans un Workgroup


Vous pouvez aussi entrer un filtre pour les noms d’ordinateur dans le cas d’une recherche.


 

Une fois la recherche faite ou les ordinateurs ajoutés, VAMT a pris en compte l’enregistrement de ceux-ci :


 

Rafraichissez le statut des ordinateurs en cliquant droit sur le groupe et en sélectionnant « Refresh Computer Status » :


 

Le processus de rafraichissement commence :


 

Une fois terminé, vous disposez du statut d’activation de chaque ordinateur.



 

        2.1.1.2.2 Ajouter une clé MAK

Cette étape consiste à ajouter des clés MAKs de manière à les distribuer aux clients.

Cliquez sur l’onglet « Options » et sélectionnez « Manage MAKs » :


 

La fenêtre de gestion des clés s’ouvre, cliquez sur « Add » pour ajouter :


 

Renseignez une clé produit MAK et une description puis cliquez sur « Validate » pour vérifier la clé et enfin ajoutez-la.


 

Une fois ajoutée, vous pouvez vérifier le nombre d’activation restant auprès des serveurs Microsoft en cliquant sur « Refresh Remaining Count » :



 

        2.1.1.2.3 Activation MAK indépendante 

 

Notez que pour une activation MAK de type indépendante, le client doit pouvoir accéder au service d’activation de Microsoft et donc bénéficier d’un accès à Internet.

Cliquez droit sur l’ordinateur (ou le groupe d’ordinateur) à activer et sélectionnez « MAK Independant Activate » :


 

La fenêtre permettant d’installer et d’activer une clé MAK sur des ordinateurs s’ouvre :


 

Il vous est possible d’installer une clé MAK et de sélectionner celle que vous souhaitez installer.

Vous pouvez aussi choisir de forcer l’activation du client.

Lancer le processus en cliquant sur OK et confirmez l’avertissement donné par VAMT :


 

Le processus d’installation et d’activation de la clé commence :

 


 

Une fois la clé installée et l’ordinateur activé, le statut de la licence passe en « Licensed »


 

Vous pouvez ensuite noter que lorsque le client est activé, le nombre d’activation restante auprès des serveurs de Microsoft a baissé :

 



 

        2.1.1.2.4 Activation MAK par proxy

Dans ce cas de figure c’est l’ordinateur où est installé VAMT qui va faire le relai entre le client (qui ne dispose pas d’Internet) et les serveurs d’activation de Microsoft. Veillez donc à ce que l’ordinateur ayant VAMT dispose d’internet.

De la même manière que précédemment, cliquez droit sur l’ordinateur (ou le groupe d’ordinateurs) à activer et sélectionnez « MAK Proxy Activate ».

La fenêtre s’ouvre. Vous pouvez choisir d’installer la clé, d’obtenir le numéro de confirmation à partir de Microsoft, et de l’appliquer sur le client afin de confirmer l’activation :


 

Pour connaître le processus suivi dans cette activation, lisez la partie présentation de l’activation MAK par proxy.

Une fois le processus lancé, il va suivre des étapes similaires à celui d’une activation indépendante :

 


 

A la fin de la procédure le client ne disposant pas d’Internet a pu être activé auprès de Microsoft.

Notez que quelque soit la méthode d’activation, il est possible d’entrer la clé MAK à la main sur le client et de l’activer manuellement ou par le biais de VAMT.

L’activation MAK est recommandée pour les ordinateurs qui se connectent rarement au réseau de l'entreprise et pour les environnements dont le nombre d’ordinateurs physiques est inférieur au seuil d’activation de KMS.
L’activation indépendante MAK est recommandée pour les ordinateurs d’une organisation sans connexion au réseau d’entreprise.
L’activation MAK par proxy convient aux environnements disposant d’un accès direct sécurisé à Internet ou au réseau d’entreprise.
Cependant cette solution reste limitée lorsque vous disposez de plus de 100 clients à activer. Pour cela, Microsoft a implémenté une autre solution d’activation appelée Key Management Service.

 

 2.2.2 Activation par Key Management Service (KMS)

     2.2.2.1 Présentation 

 

Nous avons vu précédemment que la méthode d’activation par clé MultipleActivation est très limitée dans le cadre d’une grosse infrastructure.
La plupart du temps, il est nécessaire d’utiliser un autre système appelé Key Management Service (KMS ou Service gestionnaire de clés).
Ce système permet l’activation des clients sans qu’ils aient besoin de contacter Microsoft. L’entreprise n’a besoin que d’une seule clé (licence en volume) pour l’ensemble des postes de son parc.
Cette clé sera installée sur un seul hôte KMS, qui communiquera avec les serveurs d’activation de Microsoft la première fois. Cet hôte n’aura donc plus besoin de contacter Microsoft par la suite.

Par défaut les ordinateurs disposant de Windows Vista ou + et Windows Server 2008 ou + (les clients KMS) tenteront automatiquement de s’activer auprès d’un serveur KMS toutes les deux heures.
Une fois activé, le client devra se réactiver périodiquement tous les 180 jours (ou 210 en comptant la période de grâce).
Les clients activés réessayeront donc de contacter le serveur KMS tous les 7 jours.
Si l’activation réussit, la période de 180 jours sera renouvelée.
Si l’activation échoue et que la période des 180 jours est dépassée, le client passera en mode de fonctionnalités réduites.

La fonctionnalité d’hôte KMS (= Serveur KMS) est disponible sur Windows Vista, Windows 7, Windows Server 2008 et Windows Server 2008 R2.

Mais attention ! KMS dispose d’un seuil d’activation minimum qui compte le nombre de requête d’activation sur les 30 derniers jours.
En effet, ce seuil d’activation n’est pas modifiable et il assure que le système KMS n’est utilisé qu’en entreprise et ne sert pas à des fins de piratage.

Au moins 5 ordinateurs physiques sont nécessaires pour activer les serveurs KMS sous Windows Server 2008 ou Windows Server 2008 R2 et au moins 25 pour activer les serveurs KMS sous Windows Vista ou Windows 7.

Notez que dans les deux cas, les requêtes peuvent être originaires de Windows Vista (ou Windows7) et Windows Server 2008 (ou Windows Server 2008 R2).

Vous avez pu voir précédemment que les machines virtuelles n’entrent pas en compte dans la prise en compte du seuil d’activation. Il est cependant (une fois le seuil d’activation atteint) possible d’activer des machines virtuelles par le biais de KMS.

Nous avons vu plus tôt que lors d’une activation, c’est le client qui doit contacter son serveur KMS. De ce fait, la problématique suivante émane : Comment le client sait quelle machine contacter ?

Il existe deux méthodes de découverte :

  • L’auto-découverte : Le client utilise un enregistrement DNS de type SRV (Service) afin de contacter le serveur KMS. Cette méthode nécessite donc l’utilisation d’un serveur DNS. Le client va donc contacter le serveur DNS afin de connaître l’enregistrement : named _vlmcs._TCP pointant sur le serveur KMS.

    Notez que le serveur KMS tentera automatiquement de créer cet enregistrement SRV en utilisant la méthode d’enregistrement automatique DNS.
    Si cette fonctionnalité n’est pas activée, il est nécessaire de créer l’enregistrement à la main.
  • Par connexion directe : il est possible d’utiliser le script Windows Software Licensing Management Tool ou Slmgr.vbs afin de spécifier un serveur KMS sur le client.

Vous devez utiliser la commande suivante : « cscript %systemroot%\system32\slmgr.vbs –skms  <Serveur-KMS> »

Nous avons vu le fonctionnement de KMS, nous allons voir dans la partie suivante l’installation et la configuration d’un serveur KMS.

 

     2.2.2.2 Installation et Configuration d’un Serveur KMS

Pour cette partie, vous devez disposez d’une clé (licence en volume) et d’une machine hôte (Windows Vista ou Windows 7 ou Windows Server 2008 ou Windows Server 2008 R2) servant de serveur KMS.

Notez qu’un module servant de serveur KMS pour Windows Server 2003 est disponible.

Nous allons installer la clé de licence en volume sur le serveur KMS.
Pour cela, ouvrez une invite de commande et tapez la commande « cscript %systemroot%\system32\slmgr.vbs –ipk  <Volume-Key> » :

 

Il faut ensuite activer le serveur KMS en utilisant Internet (Notez qu’il est possible de l’activer par téléphone) : « cscript %systemroot%\system32\slmgr.vbs –ato  »

Veillez aussi à ce que le port dédié à KMS (1688/TCP par défaut) soit ouvert sur les firewalls du serveur et du client.

Notez que vous pouvez utiliser VAMT afin de connaître le statut des clients KMS.

 

L’avantage de cette méthode est quelle permet une automatisation complète du processus d’activation et ne nécessite donc pas une intervention humaine.
Cependant, les clients KMS doivent se réactiver auprès du serveur KMS. Il est donc nécessaire de s’assurer que ce serveur KMS sera toujours disponible afin que tous les clients puissent se réactiver sans problème.

     2.2.2.3 Sécurisation du Serveur KMS

La question qui doit sûrement vous trotter dans la tête c’est : « Si un client externe se connecte sur mon réseau, il aura accès aux enregistrements DNS et donc pourra s’activer auprès du serveur KMS ? »

La réponse est OUI, le processus d’échange entre le client KMS et son serveur n’inclut pas d’étape d’authentification et d’autorisation.
Le client n’a donc pas à prouver son identité afin d’accéder au service.

Il est en premier lieu nécessaire de sécuriser l’accès au serveur KMS par le biais du firewall d’entreprise afin que des personnes extérieures au réseau ne puissent y accéder.
 La mise en place d’une stratégie de contrôle d’accès au réseau interne est nécessaire mais difficile à mettre en œuvre.

Pour cela, il est nécessaire d’isoler le serveur par le biais de différentes solutions d’isolation.
Celles-ci restreindront l’accès au serveur et nécessiteront au moins une phase d’authentification et d’autorisation.
Il va de soit que l’utilisation d’une architecture Active Directory est nécessaire pour authentifier les clients.

La mise en place d’une stratégie IPSec est la meilleure méthode de sécurisation et d’isolation de votre serveur.
Pour rappel, IPsec bloque le trafic émanent des ordinateurs non connus.

Je vous renvoi vers la documentation Technet pour connaître la procédure de mise en place de cette solution : http://technet.microsoft.com/en-us/library/cc723923.aspx

 

 

 2.3 Informations supplémentaires

   2.3.1 Désactiver la fonctionnalité Windows Anytime Upgrade

 

Il est important en entreprise de pouvoir contrôler la conformité des postes (système d’exploitation, édition installée, etc…).

Avec Windows Vista (ou +), il est possible d’upgrader son édition vers une édition supérieure à la sienne par le biais des chemins de migration mis en place par Microsoft et de l’outil Windows Anytime Upgrade.

Notez que cet outil n’est pas disponible sur l’édition Enterprise et Ultimate.

Afin de désactiver cette fonctionnalité, vous pouvez modifier une clé de registre sur le client présente dans « HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer » :

 

Si nécessaire, vous pouvez créer la clé WAU dans la clé Explorer et sa valeur (type DWORD (32bit)) Disabled portant la valeur 1.

Une fois l’opération faite, Windows Anytime Upgrade n’est plus accessible :

 

   2.3.2 Désactiver l’activation automatique des clients KMS

Attention ! Il est fortement déconseillé de désactiver cette fonctionnalité qui pourrait entrainer de sérieux problèmes sur l’ordinateur client.

Afin de désactiver cette fonctionnalité, vous pouvez modifier une clé de registre sur le client présente dans « HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SL\Activation » :

Passez la valeur de la clé « Manual » à 1.

 

   2.3.3 Activer l’auto-découverte des clients KMS

 

 

Dans la partie 2.2.2.1, je vous ai montré comment spécifier un serveur KMS à un client.

 

 

Dans cette partie, vous allez voir comment revenir à un mode d’auto-découverte.

Vous devez utiliser la commande suivante : « cscript %systemroot%\system32\slmgr.vbs –ckms  »

 

   2.3.4 Description des différents statuts de licence dans VAMT 

  • Initial Out-of-Box Grace (OOB grace) : correspond à la période de grace précédent l’activation de Windows (elle est de 30 ou 60 Jours)
  • Licensed : l’ordinateur a été activé.
  • License renewed : Le client KMS a renouvelé son activation.
  • Non-Genuine-Grace : correspond à l’ensemble des ordinateurs n’ayant pas pu valider Windows Genuine Advandage et présentant un problème d’authenticité.
  • Out of Tolerance (OOT) Grace : correspond à l’ensemble des ordinateurs ayant eu un changement significatif du matériel  entrainant une invalidation de l’activation. Ce statut correspond à tous les clients KMS n’ayant pas pu renouveler leur activation depuis plus de 180 Jours.
  • Unlicensed : correspond à l’ensemble des ordinateurs (Windows Vista sans SP) qui ont dépassé la période de grâce et son entrée dans le mode de fonctionnalités réduites.
  • Notification : équivaut à tous les ordinateurs (Windows Vista SP1 ou plus et Windows Server 2008 ou plus) n’ayant pas pu s’activer et ayant dépassé la période de grâce. Ils sont entrés en mode de Notifications.

 

   2.3.5 Création manuelle de l’enregistrement SRV pour KMS 

 

Dans cette partie, je vais détailler comment créer manuellement un enregistrement SRV pour le système KMS.

Ouvrez DNS Manager et cliquez droit sur le nom de domaine dans la partie « Forward Lookup Zones ». Sélectionnez « Other New Records… », puis créez un enregistrement de type « Service Location (SRV) » :

Entrez les informations comme suit (avec pour hostname, le FQDN du serveur KMS) :

Vérifiez que l’enregistrement a été ajouté dans le dossier « _tcp » :

 

   2.3.6 Documentations Utiles 

 

Guide de planification : http://technet.microsoft.com/fr-fr/library/cc303276.aspx

Guide de déploiement : http://technet.microsoft.com/fr-fr/library/cc303280.aspx

Guide des opérations : http://technet.microsoft.com/fr-fr/library/cc303695.aspx

Les changements pour Windows Server 2008 et Windows Vista : http://technet.microsoft.com/fr-fr/library/cc308698.aspx

 

Conclusion

 

Nous avons vu différents types d’activation allant de l’activation au détail ou OEM aux différentes méthodes d’activation proposées aux entreprises.
Pour ce qui est des entreprises, nous avons vu que chaque méthode d’activation a ses avantages et ses inconvénients. Il se peut donc que l’entreprise implémente les deux méthodes d’activation par le biais du service gestionnaire de clés ou des clés d’activation multiple.
Les clés d’activation multiple peuvent servir pour des ordinateurs ne se situant pas au sein du réseau d’entreprise sur des longues périodes (utilisateur mobile).
Le service KMS peut servir pour tous les autres types de scénarii.
Il existe aussi des produits permettant le monitoring des licences comme Asset Intelligence par le biais de System Management Server (SMS) 2003 SP3 ou System Center Configuration Manager (SCCM) 2007.
Il ne fait aucun doute qu’avec l’arrivée de Windows Vista ou celle de Windows 7 (pour les entreprises n’ayant pas fait le pas avec Windows Vista), elles devront mettre en place une stratégie d’activation qui n’existait pas sous les anciens systèmes d’exploitation.
Aujourd’hui ce nouveau type d’infrastructure est une question au cœur des entreprises ; il n’est plus possible d’y échapper.

 

Facebook Like
Anonymous