Ativar clientes que executam o Windows

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Dica

Procurando informações sobre ativação de varejo?

• Ativar o Windows.
• Ativação do produto para Windows.

Depois que KMS (Serviço de Gerenciamento de Chaves) ou ativação baseada no Active Directory for configurada em uma rede, ativar um cliente que executa o Windows é fácil. Se o computador estiver configurado com uma Chave de Licença de Volume Genérico (GVLK), TI ou o usuário não precisar tomar nenhuma ação. Simplesmente funciona.

As imagens e a mídia de instalação da edição Enterprise já devem estar configuradas com a GVLK. Quando o computador cliente é iniciado, o Serviço de licenciamento examina a condição de licenciamento atual do computador.

Se a ativação ou reativação for necessária, ocorrerá o seguinte:

1. Se o computador for membro de um domínio, ele solicitará um objeto de ativação de volume a um controlador de domínio. Se a ativação baseada no Active Directory estiver configurada, o controlador de domínio retornará o objeto. Se o objeto atender aos seguintes requisitos:

   • Corresponde à edição do software instalado
   • Tem um GVLK correspondente

em seguida, o computador é ativado (ou reativado). O computador não precisa ser ativado novamente por 180 dias, embora o sistema operacional tente reativar em intervalos mais curtos e regulares.

1. Se o computador não for membro de um domínio ou se o objeto de ativação de volume não estiver disponível, o computador emitirá uma consulta DNS para tentar localizar um servidor KMS. Se um servidor KMS puder ser contatado, a ativação ocorrerá se o KMS tiver uma chave que corresponda ao GVLK do computador.

2. O computador tentará ativar em servidores Microsoft se ele estiver configurado com um MAK.

Se o cliente não conseguir se ativar com êxito, ele tentará periodicamente novamente. A frequência das tentativas de repetição depende do estado de licenciamento atual e se o computador cliente foi ativado com êxito no passado. Por exemplo, se o computador cliente usou anteriormente a ativação baseada no Active Directory para ativar, ele tenta entrar em contato periodicamente com o controlador de domínio a cada reinicialização.

Como funciona o Serviço de Gerenciamento de Chaves

O KMS usa uma topologia cliente-servidor. Os computadores cliente KMS podem localizar os computadores host KMS usando o DNS ou uma configuração estática. Os clientes KMS contatam o host KMS usando RPCs transportados por TCP/IP.

Limites de ativação do Serviço de Gerenciamento de Chaves

Computadores físicos e máquinas virtuais podem ser ativados entrando em contato com um host KMS. Para se qualificar para a ativação do KMS, deve haver um número mínimo de computadores qualificados. Esse mínimo é chamado de limite de ativação. Os clientes KMS serão ativados somente depois que esse limite for atendido. Cada host KMS conta o número de computadores que solicitaram a ativação até que o limite seja atingido.

Um host KMS responde a cada solicitação de ativação válida de um cliente KMS com a contagem de computadores que já contataram o host KMS para ativação. Os computadores cliente que recebem uma contagem abaixo do limite de ativação não são ativados. Por exemplo, se os dois primeiros computadores que entram em contato com o host KMS estiverem executando uma versão com suporte no momento do cliente Windows, o primeiro receberá uma contagem de ativação de 1 e o segundo receberá uma contagem de ativação de 2. Se o próximo computador for uma máquina virtual que executa uma versão atualmente com suporte do cliente Windows, ele receberá uma contagem de ativação de 3 e assim por diante. Nenhum desses computadores é ativado porque uma contagem de ativação de 25 ou mais deve ser atingida.

Quando os clientes KMS esperam que o KMS atinja o limite de ativação, eles se conectam ao host KMS a cada duas horas para obter a contagem de ativação atual. Eles são ativados quando o limite é atingido.

Em nosso exemplo, se o próximo computador que entrar em contato com o host KMS estiver executando uma versão com suporte no momento do Windows Server, ele receberá uma contagem de ativação de 4, uma vez que as contagens de ativação são cumulativas. Se um computador que executa uma versão com suporte no momento do Windows Server receber uma contagem de ativação que é 5 ou mais, ele será ativado. Se um computador que executa uma versão atualmente com suporte do cliente Windows receber uma contagem de ativação de 25 ou mais, ele será ativado.

Cache de contagens de ativação

Para controlar o limite de ativação, o host KMS mantém um registro dos clientes KMS que solicitam ativação. O host KMS fornece a cada cliente KMS uma designação de ID de cliente e salva cada ID de cliente em uma tabela. Por padrão, cada solicitação de ativação permanece na tabela por até 30 dias. Quando um cliente renova sua ativação, a ID do cliente em cache é removida da tabela, um novo registro é criado e o período de 30 dias começa novamente. Se um computador cliente KMS não renovar sua ativação dentro de 30 dias, o host KMS removerá a ID do cliente correspondente da tabela e reduzirá a contagem de ativação em um.

No entanto, o host KMS armazena em cache apenas duas vezes o número de IDs de cliente que são necessárias para atingir o limite de ativação. Portanto, apenas as 50 IDs de cliente mais recentes são mantidas na tabela e uma ID do cliente pode ser removida antes de 30 dias.

O tipo de computador cliente que está tentando ativar define o tamanho total do cache. Por exemplo, se um host KMS receber solicitações de ativação somente de servidores, o cache contém apenas 10 IDs de cliente, o dobro do limite necessário de 5. No entanto, se um computador cliente que executa o cliente Windows entrar em contato com o host KMS, o KMS aumentará o tamanho do cache para 50 para acomodar o limite mais alto. O KMS nunca reduz o tamanho do cache.

Conectividade do Serviço de Gerenciamento de Chaves

A ativação via KMS exige conectividade TCP/IP. Por padrão, os clientes e hosts KMS usam o DNS para publicar e localizar o KMS. As configurações padrão podem ser usadas, que exigem pouca ou nenhuma ação administrativa. No entanto, os hosts KMS e os computadores cliente podem ser configurados manualmente com base nos requisitos de configuração de rede e segurança.

Renovação da ativação do Serviço de Gerenciamento de Chaves

As ativações feitas pelo KMS são válidas por 180 dias (o intervalo de validade da ativação). Para permanecerem ativados, os computadores cliente KMS devem renovar a ativação conectando-se ao host KMS pelo menos uma vez a cada 180 dias. Por padrão, os computadores clientes KMS tentam renovar suas ativações a cada sete dias. Se a ativação do KMS falhar, o computador cliente repetirá a cada duas horas. Depois que a ativação de um computador cliente é renovada, o intervalo de validade de ativação começa novamente.

Publicação do Serviço de Gerenciamento de Chaves

O KMS usa registros de recurso de serviços (SRV) no DNS para armazenar e comunicar os locais dos hosts KMS. Os hosts KMS usam o protocolo de atualização dinâmica DNS, se disponível, para publicar os registros de recurso de serviços (SRV) do KMS. Se a atualização dinâmica não estiver disponível ou o host KMS não tiver direitos de publicar os registros de recursos, uma das seguintes ações precisará ser tomada:

• Os registros DNS devem ser publicados manualmente.
• Os computadores cliente devem ser configurados para se conectar a hosts KMS específicos.

Descoberta de cliente do Serviço de Gerenciamento de Chaves

Por padrão, os computadores cliente KMS consultam o DNS para obter informações do KMS. Na primeira vez em que um computador cliente KMS consulta o DNS para obter informações do KMS, ele escolhe aleatoriamente um host KMS na lista de registros de recurso de serviços (SRV) que o DNS retorna. O endereço de um servidor DNS que contém os registros de recursos do SERVIÇO (SRV) pode ser listado como uma entrada sufixo em computadores cliente KMS. Esse recurso permite que um servidor DNS anuncie os registros de recursos do SERVIÇO (SRV) para KMS e computadores cliente KMS com outros servidores DNS primários para encontrá-lo.

Os parâmetros de prioridade e peso podem ser adicionados ao valor do registro DnsDomainPublishList do KMS. Estabelecer agrupamentos de prioridade de host kms e ponderação em cada grupo permite especificar qual host KMS os computadores cliente devem tentar primeiro e equilibra o tráfego entre vários hosts KMS. Todas as versões com suporte atual do Windows e do Windows Server fornecem esses parâmetros de prioridade e peso.

Se o host KMS selecionado por um computador cliente não responder, o computador cliente KMS removerá o host KMS de sua lista de registros de recursos SRV (serviço) e selecionará aleatoriamente outro host KMS na lista. Quando um host KMS responder, o computador cliente KMS armazenará em cache o nome do host KMS e o usará nas próximas tentativas de ativação e renovação. Se o host KMS armazenado em cache não responder em uma renovação subsequente, o computador cliente KMS descobrirá um novo host KMS consultando registros de recursos do DNS para SERVIÇO KMS (SRV).

Por padrão, os computadores cliente se conectam ao host KMS para ativação usando RPCs anônimos por meio da porta TCP 1688, embora a porta padrão possa ser alterada. Depois que um computador cliente estabelece uma sessão TCP com o host KMS, o computador cliente envia um único pacote de solicitação. O host KMS responde com a contagem de ativação. Se a contagem atender ou exceder o limite de ativação, o computador cliente será ativado e a sessão será fechada. O computador cliente KMS usa esse mesmo processo para solicitações de renovação. São usados 250 bytes para a comunicação de cada parte.

Configuração do servidor de Sistema de Nomes de Domínio

O recurso de publicação automática padrão do KMS requer o registro de recurso de serviços (SRV) e o suporte para o protocolo de atualização dinâmica DNS. Há suporte para o comportamento padrão do computador cliente KMS e a publicação de registro de recurso do SERVIÇO KMS (SRV) em:

• Um servidor DNS que está executando o software da Microsoft.
• Servidor DNS que dá suporte a registros de recursos srv (por Força-Tarefa de Engenharia da Internet [IETF] Solicitação de Comentários [RFC] 2782) e atualizações dinâmicas (por IETF RFC 2136).

Por exemplo, as versões 8.x e 9.x do nome de domínio da Internet Berkeley oferecem suporte a registros de recurso de serviços (SRV) e à atualização dinâmica. O host KMS deve ser configurado para que ele tenha as credenciais necessárias para criar e atualizar os seguintes registros de recurso nos servidores DNS: serviço (SRV), host IPv4 (A) e host IPv6 (AAAA) ou os registros que precisam ser criados manualmente. A solução recomendada para fornecer ao host KMS as credenciais necessárias é criar um grupo de segurança no AD DS e adicionar todos os hosts KMS a esse grupo. Em um servidor DNS que está executando o software da Microsoft, verifique se esse grupo de segurança recebe controle total sobre o registro _VLMCS._TCP. Esse requisito precisa ocorrer em cada domínio DNS que contém os registros de recurso SRV (serviço KMS).

Ativando o primeiro host do Serviço de Gerenciamento de Chaves

Os hosts KMS na rede precisam instalar uma chave KMS e, em seguida, ser ativados com a Microsoft. Instalação de uma chave KMS habilita o KMS no host KMS. Depois de instalar a chave KMS, conclua a ativação do host KMS por telefone ou online. Além dessa ativação inicial, um host KMS não comunica nenhuma informação à Microsoft. As chaves KMS só são instaladas em hosts KMS, nunca em computadores cliente KMS individuais.

Ativando hosts subsequentes do Serviço de Gerenciamento de Chaves

Cada chave KMS pode ser instalada em até seis hosts KMS. Esses hosts podem ser computadores físicos ou máquinas virtuais. Depois que um host KMS é ativado, o mesmo host pode ser reativado até nove vezes com a mesma chave. Se a organização precisar de mais de seis hosts KMS, ativações adicionais poderão ser solicitadas para a chave KMS de uma organização chamando um Centro de Ativação de Licenciamento de Volume da Microsoft para solicitar uma exceção.

Como funciona a chave de ativação múltipla

Um MAK é usado para ativação única com os serviços de ativação hospedados da Microsoft. Cada MAK tem um número predeterminado de ativações permitidas. Esse número é baseado em contratos de licenciamento de volume e pode não corresponder à contagem exata de licenças da organização. Cada ativação que usa uma MAK com o serviço de ativação hospedado da Microsoft é contabilizada no limite de ativação.

Os computadores podem ser ativados usando um MAK de duas maneiras:

• Ativação independente de MAK. Cada computador se conecta independentemente e é ativado com a Microsoft pela Internet ou por telefone. A ativação independente mak é mais adequada para computadores dentro de uma organização que não mantém uma conexão com a rede corporativa. A ativação independente de MAK é mostrada na Figura 16.

  

  Figura 16. Ativação independente de MAK

• Ativação de proxy de MAK. A ativação de proxy de MAK permite uma solicitação de ativação centralizada em nome de vários computadores com uma conexão com a Microsoft. A ativação do proxy MAK pode ser configurada usando o VAMT. A ativação de proxy de MAK é apropriada para ambientes em que preocupações com a segurança restringem o acesso direto à Internet ou à rede corporativa. Ele também é adequado para laboratórios de desenvolvimento e teste que não têm essa conectividade. A ativação de proxy de MAK com a VAMT é mostrada na Figura 17.

  

  Figura 17. Ativação de proxy de MAK com a VAMT

O MAK é recomendado para:

• Computadores que raramente ou nunca se conectam à rede corporativa.
• Ambientes em que o número de computadores que exigem ativação não atende ao limite de ativação do KMS.

O MAK pode ser usado para computadores individuais ou com uma imagem que pode ser duplicada ou instalada usando soluções de implantação da Microsoft. O MAK também pode ser usado em um computador que foi originalmente configurado para usar a ativação do KMS. Alternar de KMS para um MAK é útil para mover um computador da rede principal para um ambiente desconectado.

Arquitetura e ativação de MAK (chave de ativação múltipla)

A ativação independente de MAK instala uma chave do produto MAK em um computador cliente. A chave instrui esse computador para se ativar com servidores da Microsoft pela Internet.

Na ativação do proxy MAK, o VAMT:

• Instala uma chave de produto MAK em um computador cliente.
• Obtém a ID de instalação do computador de destino.
• Envia a ID de instalação para a Microsoft em nome do cliente.
• Obtém uma ID de confirmação.

Em seguida, a ferramenta ativa o computador cliente instalando a ID de confirmação.

Ativando como usuário padrão

As versões com suporte atual do Windows não exigem privilégios de administrador para ativação. No entanto, uma conta de administrador ainda é necessária para outras tarefas relacionadas à ativação ou licença, como "rearm".

Conteúdo relacionado

• Ativação de volume para Windows.