Il existe 3 moyens d’activer Vista et Longhorn Server :

1. Machines pré-activées par les OEMCes machines échappent aux principes d’activation VLK

2.0

2. KMS (Service de gestion de clés) Clé destinée aux environnements gérés où les utilisateurs

se c connectent au réseau de l’entreprise

3. MAK (Clé d’activation multiple) Clé destinée aux réseaux décentralisés où les utilisateurs

se connectent rarement, voire jamais, au réseau de l’entreprise

Key Management Service (KMS) est le service central de VLK 2.0 qui gère les clés d’activation en volume de tous les ordinateurs clients et serveurs d’un réseau d’entreprise

Cible : Réseaux plutôt importants (25 machines minimum) auxquels des ordinateurs clients se connectent régulièrement

Avantages : • Administration sécurisée et centralisée des clés,• Déploiement OS facilité avec activation automatique des machines clientes,• Sécurité permanente renforcée,• Inventaire et dépannage simplifiés

Fonctionne sur client Vista ou Longhorn ServerSupport WS2K3 prévu après la mise sur le marché de Vista

KMS Hosting Machine

Vista clients

KMS activation KMS activation une seule foisune seule fois

VPNVPN

Internet

Rien de plus facile que de déployer le service KMS1. Procurez-vous les clés de licence en volume et le support produit

(comme aujourd’hui via le portail en ligne – MVLS / Eopen)

2. Installez Vista ou Longhorn sur la machine qui hébergera le service KMS

3. Installez les clés de licence en volume pour activer KMS

• KMS chiffre et stocke les VLK dans une base de données de confiance pour assurer une parfaite sécurité

• Aucune autre action n’est requise

4. Configurez KMS pour que les clients puissent communiquer avec KMS à intervalles réguliers

• Les machines sous KMS se réactivent automatiquement, mais dépassent le seuil de tolérance après 180 jours de déconnexion

• Configurez le port TCP et le pare-feu (facultatif)

• Configurez le DNS comme souhaité pour la détection de KMS

Une fois le service KMS activé, déployez les machines clientes

1. Déployez les « clients » Vista ou Longhorn Server (en suivant les mêmes méthodes que pour Windows XP : DVD, image disque, déploiement d’image à distance - WDS)

2. (facultatif) Configurez les clients pour localiser KMS si l’autodétection n’est pas utilisée (voir diapositive suivante)

3. Chaque client dispose d’une période de 30 jours après l’installation pour contacter le service KMS

4. Seuls les 25 premiers clients à contacter KMS sont comptés et restent dans la liste KMS pendant 30 jours

• Tout client suivant peut s’activer automatiquement

• Les 25 premiers clients réessayent automatiquement toutes les 2 heures, puis s’activent

Détection du service KMS KMS tente l’auto-inscription avec le DNS (via les enregistrements de ressources SRV)

Le DNS peut demander la définition d’autorisations pour KMS selon le réseauLa requête client obtient une liste de tous les ordinateurs KMS du domaine DNS et sélectionne le service KMS de façon aléatoire

Communication avec le service KMSUtilisation de RPC anonymes sur TCP (ouverture du port sur le pare-feu)

Port TCP (1688 par défaut) configurable via WMI (clé de registre) Requêtes asynchrones et légères (200 octets)Un seul service KMS sur un poste de travail peut absorber 20 000 requêtes/heure

Prise en charge des utilisateurs qui se connectent par intermittence grâce à une détection automatique dès connexion de la machine

Gestion du service KMSSupport WMI pour gestion à distance des clients et du service KMSToutes les activités sont consignées dans le journal d’événements des applications, du côté des clients et de KMSOutils de création de rapports et packs MOM bientôt fournis

Grâce Activation RFMGrâce

Demandes d’activation automatique(2 h par déf.)

Demandes de renouvellement

d’activation automatique

(7 jours par déf.)

30 jours Réactivation après expiration180 jours

(chaque renouvellement donne droità une nouvelle période de 180 jours)

30 jours L’utilisateurne peut plus se

connecter

Demandesd’activationautomatique(2 h par déf.)

1. La machine s’active automatiquement et se réactive pendant la période de grâce ou d’expiration

2. La machine dépasse la période de grâce de 30 jours (période de tolérance) et passe en mode de fonctionnalités réduites (RFM), ce qui empêche l’utilisateur de se connecter

3. L’utilisateur administrateur installe la clé MAK et l’active dans un délai de 30 jours (l’activation n’est associée à aucune date d’expiration)

Des avertissements tels que « Procédez à l’activation sinon certaines fonctionnalités ne seront plus disponibles » s’affichent de plus en plus souvent vers la fin de la période de grâce, juste avant le passage en mode RFMPour quitter le mode RFM :

Connectez la machine au réseau d’entreprise hébergeant le service KMSL’utilisateur doté de privilèges d’administrateur peut saisir manuellement une clé MAK (lors d’une tentative de connexion – et éventuellement à l’aide d’un script)

• Si vous ne savez pas si un utilisateur se trouvera régulièrement sur le

réseau de l’entreprise, émettez une clé MAK

• Les clés MAK peuvent être utilisées à maintes reprises (100 activations par

exemple), mais ont un plafond…

• Il est possible de suivre l’emploi des clés MAK via les portails en ligne de

Microsoft et de demander gratuitement d’autres activations,

• Les clés MAK sont stockées dans une base de données de confiance, mais

la sécurité permanente est moindre et l’inventaire non centralisé (par rapport

à KMS)

Les clés MAK doivent être déployées sur chaque machine. Il est possible, pour cela, d’utiliser un script ou de faire figurer une MAK dans l’image Vista.

Les MAK doivent être activées par MS une fois par machine, soit en ligne automatiquement, soit hors ligne à l’aide d’un ID de confirmation reçu par téléphone. Cet ID de confirmation peut servir plusieurs fois pour réactiver le même matériel.

Un administrateur peut configurer l’activation automatique des MAK.

L’activation en masse des MAK par téléphone est prise en charge de façon à pouvoir recevoir l’ID de confirmation sur plusieurs machines, via une seule transaction.

Les activations MAK ne sont associées à aucune date d’expiration, mais peuvent dépasser le seuil de tolérance en cas d’importantes modifications matérielles.

Les utilisateurs peuvent passer d’une activation KMS à une clé MAK, par simple installation de cette dernière.

`

MAK Independentclient

`

VAMT host

Microsoft

Internet

11

22

`

VAMT host

Microsoft

`

MAK Proxy client

Active Directory

Internet11 2233 44

Build LAB 2

Build LAB 1

Build LAB 1

Build LAB 2

Build LAB 1

Build LAB 1

Group

Enterprise

Enterprise

Business

Enterprise

Enterprise

Edition

Unlicensed

OOT Grace

OOB Grace

Licensed

Licensed

License State

Labs2

Labs1

Labs1

Labs1

Labs1

Domain/Workgroup

KMS Client

MAK

MAK

MAK

KMS Client

Key Type

LAB6

LAB5

LAB4

LAB3

LAB2

LAB1

HostnameStatus

Failed – Apply CID (0x123456)

Success – Get CID

Success – Apply MAK

Refresh

Current Action

MAK Proxy ActivateMAK Proxy Activate

CancelOK

Get Confirmation ID from Microsoft

Apply Confirmation ID and Activate

Install MAK (overwrite existing)

Alternate Credentials

12334 – Enterprise/Business Secondary ELA

Select MAK Key

Manage MAKs...

File Action

Add Machines

Refresh Machine Status

Independent MAK Activate

MAK Proxy Activate

Retry Pending Actions

Export Machines

Remove Machines

Options

Clear Pending Action Independent MAK ActivateIndependent MAK Activate

Alternate Credentials

Activate Now

Install MAK (overwrite existing)

12334 – Enterprise/Business Secondary ELA

CancelOK

Manage MAKs...

Select MAK Key

Activation VLK Activation VLK 1.01.0

Activation KMS VLK 2.0Activation KMS VLK 2.0 Activation MAK VLK Activation MAK VLK 2.02.0

Obtention des Obtention des clésclés

1.1. Accéder au site de Accéder au site de licence ou licence ou téléphoner au téléphoner au centre d’appelscentre d’appels

2.2. Fournir Fournir informations informations d’authentificationd’authentification

3.3. Acquérir VLKAcquérir VLK

1.1. Accéder au site de licence ou Accéder au site de licence ou téléphoner au centre d’appelstéléphoner au centre d’appels

2.2. Fournir informations Fournir informations d’authentificationd’authentification

3.3. Acquérir VLKAcquérir VLK

1.1. Accéder au site de licence Accéder au site de licence ou téléphoner au centre ou téléphoner au centre d’appelsd’appels

2.2. Fournir informations Fournir informations d’authentificationd’authentification

3.3. Demander/recevoir MAKDemander/recevoir MAK

ConfigurationConfiguration Inclure VLK dans Inclure VLK dans fichier unattend.txt en fichier unattend.txt en vue du déploiementvue du déploiement

Installer VLK sur la machine KMS et Installer VLK sur la machine KMS et configurer la détection de KMS, configurer la détection de KMS, ainsi que le mode de ainsi que le mode de communicationcommunication

NANA

Installation OSInstallation OS Installer/Déployer Installer/Déployer l’imagel’image

Installer/Déployer l’imageInstaller/Déployer l’image Installer/Déployer l’imageInstaller/Déployer l’image

Période de Période de grâcegrâce

Non applicable (NA)Non applicable (NA) Délai de 30 jours pour activerDélai de 30 jours pour activer Délai de 30 jours pour activerDélai de 30 jours pour activer

ActivationActivation NANA L’activation se fait L’activation se fait automatiquement sur le réseauautomatiquement sur le réseau

L’utilisateur doté de privilèges L’utilisateur doté de privilèges d’administrateur saisit la clé d’administrateur saisit la clé MAK (interface ou script), puis MAK (interface ou script), puis l’active en ligne ou appelle l’active en ligne ou appelle MS pour une activation par MS pour une activation par téléphonetéléphone

Expiration &Expiration &réactivationréactivation

NANA Expiration au bout de 180 jours. Expiration au bout de 180 jours. Réactivation automatique auprès Réactivation automatique auprès du service KMSdu service KMS

NANA

Tolérance du Tolérance du matérielmatériel

NANA Des modifications matérielles Des modifications matérielles imposeront une réactivation sous imposeront une réactivation sous 30 jours30 jours

Certaine modifications matérielles imposeront une réactivation sous 30 jours

Nous fournissons le support produit à l’OEM qui se charge de pré-installer nos machines

OEM (KMS et MAK inutiles)

Nos utilisateurs appartiennent à un réseau géré et se connectent régulièrement au domaine

KMS

Nous évoluons au sein d’un environnement multinational comportant plusieurs domaines et quelque 100 000 PC connectés

KMS

Nous avons une force de vente mobile qui se connecte au réseau moins de deux fois par an

MAK

Nous disposons d’un bureau à distance qui possède son propre réseau et compte moins de 25 utilisateurs

MAK

Nous envoyons nos « troupes » sur le terrain qui auront peut-être à réinstaller et à réactiver Vista sans accès à Internet ni au téléphone

MAK (avec ID confirmation)

Nous possédons un laboratoire totalement déconnecté, composé de 1000 machines sans liaison Internet

MAK (avec activation en masse)

Nous avons des utilisateurs dans une région reculée qui ne disposent que d’une liaison Internet très lente et plutôt onéreuse

MAK ou KMS (modifier l’intervalle)

Cas pratique

Activation des clés KMS Stratégie-N (nombre minimum de machines par KMS) : 25Période d’expiration jusqu’à réactivation : 180 jours (30 jours pour les tests Bêta 2)Tolérance matérielle : liée au disque dur du systèmePériode de grâce après installation : 30 joursSeuil de tolérance : 30 jours

Si l’utilisateur a dépassé la date d’expiration ou changé de disque dur

Activation des clés MAKAucune stratégie-NAucune date d’expirationTolérance matérielle : certaines modifications matérielles imposeront une réactivation et compteront dans le total de MAK.Période de grâce après installation : 30 joursSeuil de tolérance : 30 jours

En cas de modification matérielle uniquement

En quoi le coût total de possession est-il affecté ?

L’impact sur le coût total de possession varie en fonction de la configuration du réseau de l’entreprise. Généralement, l’impact reste très faible puisque aucune infrastructure/administration supplémentaire n’est requise. Dans bien des cas, les fonctions de gestion d’actifs intégrées à VLK 2.0 compensent largement les coûts de gestion informatique occasionnés.Aucun nouveau matériel n’est requis. KMS est léger et cohabite avec d’autres services.

Quelles sont les éditions en volume compatibles avec KMS ?Client Professionnel, Client Entreprise, Serveur EntrepriseLes versions clientes sont uniquement des mises à jour.

Pourquoi la valeur « n » est-elle fixée à 25 machines ?Des études poussées et les réactions de nos clients ont montré qu’un réseau de 25 machines constitue un juste équilibre entre le confort d’utilisation et la prévention de réseaux illégaux. Les entreprises dotées de réseaux de moins de 25 machines auront recours aux clés MAK.

N’est-ce pas pour Microsoft l’occasion d’accroître ses revenus ?Si la lutte contre le piratage des logiciels Windows profite à Microsoft, aucune entreprise ne peut approuver l’utilisation illégale de ses clés de licence en volume. Les clients de Microsoft sont surtout les premiers à bénéficier d’une sécurité renforcée et d’un compte précis de leurs clés et logiciels de licence en volume.

cscript C:\windows\system32\slmgr.vbs [NomOrdinateur NomUtilisateur MotDePasse] <Option>cscript \windows\system32\slmgr.vbs –ato

Activation manuelle

cscript \windows\system32\slmgr.vbs –ipkActivation de la machine qui devient un serveur KMS

cscript \windows\system32\slmgr.vbs –dbiAffichage des informations sur KMS et licence client