In größeren Firmen wäre der Aufwand zu groß, wenn man jede Kopie von Windows oder Office manuell aktivieren müsste. Deshalb gibt es dafür eine zentrale Lösung, den Key Management Service (KMS). Diese Anleitung beschreibt, wie man ihn unter Windows Server 2016 einrichtet.
Microsoft vertreibt Windows und Office unter verschiedenen Lizenztypen, die entweder gar nicht oder mit jeweils bestimmten Verfahren aktiviert werden müssen.
Sobald KMS im Netzwerk verfügbar ist, bauen die Clients keine direkte Verbindung mehr zu Microsoft auf, um das Betriebssystem zu aktivieren, sondern nutzen dafür den Key Management Service. Diesen Vorgang wiederholen sie spätestens alle 180 Tage, um die Aktivierung zu erneuern. Es ist dann der KMS, welcher über das Internet mit dem Hersteller in Kontakt tritt.
Die Wahl eines Server-OS als KMS-Host hat den Vorteil, dass man damit auch Windows Server aktivieren kann. Läuft der Dienst auf Windows 8.1 oder 10, dann berücksichtigt er nur Client-Betriebssysteme. Wer allerdings nur einen Schlüssel für Client-Volumenlizenzen hat, muss KMS auf einem Client-OS betreiben.
Installation auf Windows Server 2016
Windows Server enthält seit der Version 2012 die Rolle Volumenaktivierungsdienste. Sie umfasst standardmäßig auch einen Wizard, der die KMS-Konfiguration vereinfacht. Das grundsätzliche Vorgehen hat sich in Server 2016 nicht verändert.
Wie üblich, kann man die Rolle über den Server Manager oder die PowerShell hinzufügen. Microsoft ermuntert dazu, den Service auf Rechnern zu installieren, auf denen auch andere Dienste wie etwa die AD DS laufen.
Im Server Manager startet man den zuständigen Assistenten unter Verwalten => Rollen und Features hinzufügen und aktiviert im Dialog nach der Server-Auswahl die Option Volumenaktivierungsdienste. Der Wizard öffnet dann einen weiteren Dialog, in dem man die Installation der Tools bestätigt, welche für die Rolle benötigt werden.
Die PowerShell-Variante würde so aussehen:
Install-WindowsFeature -Name VolumeActivation -IncludeManagementTools
Konfiguration über GUI-Tool
Nach Abschluss dieses Schritts starten man die Volumenaktivierungstools, wobei der Wizard im Server Manager im letzten Dialog nach der Installation einen entsprechenden Link enthält.
Im ersten Dialog nach den Hinweisen wählt man das gewünschte Verfahren aus, in unserem Fall ist das der Schlüsselverwaltungsdienst (KMS). Dort gibt man gleich den Namen des vorgesehenen Hosts an, wobei dies auch ein Remote-PC sein kann.
Als nächstes muss man den KMS-Key eingeben. Diesen erhält man im Microsoft-Lizenzportal (Volume Licensing Service Center). Er darf auf bis zu 6 Hosts installiert werden.
Im Anschluss daran erfolgt die Aktivierung, wobei man sich hier zwischen der Online- und Telefonvariante entscheiden kann. In der darauf folgenden Zusammenfassung klickt man auf Schließen, um KMS mit den Vorgabewerten zu starten.
Alternativ lassen sich im Anschluss an die Basiskonfiguration mehrere Einstellungen über den Wizard anpassen. Dazu zählen:
- Volume License Activation Interval (per Vorgabe 2 Stunden)
- Volume License Renewal Interval (Default 7 Tage)
- KMS TCP Listening Port (Standardmäßig 1688)
- Zu welchen Profilen die Firewall-Ausnahme für KMS hinzugefügt werden soll
- DNS Records (per Vorgabe aktiviert), um den SVR-Eintrag für KMS im DNS zu schreiben oder dies manuell zu erledigen.
KMS über Kommandozeile einrichten
Wie bisher lässt sich KMS alternativ auf der Kommandozeile konfigurieren. Dieses Verfahren benötigt man, wenn man den Dienst auf einem Client-OS einrichten möchte. Hierfür ist das Script slmgr.vbs zuständig, mit dem man die KMS-Schlüssel so hinzufügt:
slmgr.vbs /ipk <KMS-Schlüssel>
Ob der Vorgang erfolgreich verlaufen ist, kann man mit
slmgr.vbs /dlv
überprüfen. Anschließend muss man den Schlüssel aktivieren. Das kann online über
slmgr.vbs /ato
erfolgen. Bevorzugt man die telefonische Aktivierung, dann gibt man auf der Eingabeforderung
slui.exe 4
ein.
KMS-Hosts über DNS publizieren
Standardmäßig finden Clients die KMS-Hosts über DNS. Den dafür nötigen SRV Resource Record (RR) für _vlmcs schreibt KMS selbständig in die DNS-Datenbank, wenn dynamische Updates aktiviert sind und der betreffende Server über die nötigen Rechte verfügt.
Installiert man mehr als einen KMS-Host in einer Domäne, dann ist der erste davon bei den Default-Einstellungen eines Windows-DNS-Servers in der Lage, den SRV RR zu anzulegen und zu aktualisieren.
Allen folgenden KMS-Hosts bleibt das verwehrt. In diesem Fall sollte man alle KMS-Hosts in einer AD-Sicherheitsgruppe zusammenfassen und dieser die nötigen Rechte für den SRV-Eintrag geben.
Wenn ein Unternehmen Dynamic DNS deaktiviert hat, dann muss man den SRV RR manuell anlegen. Dabei sollte man auf den KMS-Hosts mittels
slmgr.vbs /cdns
das DNS-Publishing deaktivieren.
Ob ein DNS-Eintrag für KMS vorhanden ist, lässt sich mit dem Befehl
nslookup -type=SRV _vlmcs._tcp
leicht feststellen.
Öffentliche Schlüssel für OEM-Versionen
Damit Clients über KMS aktiviert werden können, müssen sie mit einem Generic Volume License Key (GVLK) installiert worden sein. Wenn die Installationsmedien über ein Programm für die Volumenlizenzierung erworben wurden, dann enthalten sie bereits einen GVLK.
Wenn man etwa OEM- oder Retail-Versionen über KMS aktivieren möchte, dann muss man einen GVLK verwenden, der von Microsoft allgemein zugänglich gemacht wird. Für Windows Server 2016 sehen diese so aus:
| Betriebssystem | KMS Schlüssel |
|---|---|
| Windows Server 2016 Datacenter | CB7KF-BWN84-R7R2Y-793K2-8XDDG |
| Windows Server 2016 Standard | WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY |
| Windows Server 2016 Essentials | JCKRF-N37P4-C2D82-9YXRT-4M63B |
Weitere Schlüssel sind bei Microsoft unter diesem Link zu finden.
