Windows 虛擬機啟用已無法在 Azure 中運作

本文討論在 Windows Azure 中對金鑰管理服務 (KMS) IP 位址所做的重要變更，這些 IP 位址會造成 Microsoft Windows 虛擬機 (VM) 啟用的問題。 這些變更會影響已設定自定義路由或防火牆規則以允許 KMS IP 位址的 Azure 全域雲端使用者，以及先前能夠成功啟用 Windows VM 的使用者。

概觀

受影響的人員

在 2022 年 7 月，我們在 Azure 更新中宣佈兩個新的 KMS IP 位址 20.118.99.224 和 40.83.235.53現已 正式推出：Azure 全球雲端中的新 KMS DNS。 Azure 上的大部分 Windows VM 使用者不會受到影響。 不過，如果您在過去已遵循疑難解答指南 (，例如下列文章) 設定允許 Windows VM 連線到 KMS IP 位址的自定義路由或防火牆規則，您必須採取動作來包含這兩個新的 KMS IP 位址：

• 強制通道案例中的 Windows 啟用失敗

• 針對 Azure Windows 虛擬機啟用問題進行疑難解答

• 使用 Azure 防火牆保護 Azure 虛擬桌面部署

如果您未在 2022 年 10 月 3 日之前採取這些動作，您的 Windows VM 就會開始回報無法連線到 Windows 授權伺服器進行啟用的警告。

您受影響的程度

由於 2022 年 7 月的 Azure 更新，Azure 全域雲端中的大部分 Windows VM 現在都依賴新的 azkms.core.windows.net 功能變數名稱進行 Windows 啟用。 新azkms.core.windows.net地址一開始指向現有的 Windows 啟用網域名稱 kms.core.windows.net 在 2022 年 10 月 3 日之後， azkms.core.windows.net 已重新設定為指向兩個新的 IP 位址。 這項變更有下列效果：

如果您已遵循這篇文章	您會看到此效果
強制通道案例中的 Windows 啟用失敗	如果您未採取動作在 自定義路由中包含兩個新的 KMS IP 位址，您的 Windows VM 就無法連線到新的 KMS 伺服器以進行 Windows 啟用。
使用 Azure 防火牆保護 Azure 虛擬桌面部署	如果您未採取動作在 防火牆規則中包含兩個新的 KMS IP 位址，您的 Windows VM 就無法連線到新的 KMS 伺服器以進行 Windows 啟用。

如 KMS 啟用規劃的作業需求中所述，KMS 啟用的有效期為 180 天， (也稱為啟用驗證間隔) 。 若要保持啟用狀態，KMS 用戶端必須至少每隔 180 天連線到 KMS 主機一次，以更新其啟用。 根據預設，KMS 用戶端電腦每七天會嘗試更新其啟用。 用戶端的啟用更新之後，啟用驗證間隔會再次開始。

在 KMS 啟用驗證間隔內，您仍然可以存取 Windows VM 的完整功能。 您應該修正這 180 天期間的啟用問題。

時間表

• 在 2022 年 10 月 3 日之後，但在 2023 年 3 月 1 日之前，Azure 中大部分 (但並非所有) Windows VM 都依賴新的 KMS IP 位址 20.118.99.224 和 40.83.235.53，才能啟用 Windows。 功能變數 azkms.core.windows.net 名稱指向這兩個IP位址。

• 在 2023 年 3 月 1 日之後，Azure 中的所有 Windows VM 都依賴新的 KMS IP 位址 20.118.99.224 和 40.83.235.53 Windows 啟用。 功能變數 kms.core.windows.net 名稱現在會指向) (20.118.99.224 第一個新IP位址。

必要條件

• PowerShell

徵狀

如果您無法成功連線到 KMS 伺服器以進行 Windows 啟用，Azure 中的 Windows VM 會報告如下的警告：

我們無法在此裝置上啟用 Windows，因為我們無法連線到組織的啟用伺服器。 請確定您已連線到組織的網路，然後再試一次。 如果您繼續發生啟用問題，請連絡貴組織的支持人員。 錯誤碼：0xC004F074。

疑難解答檢查清單

檢查IP位址 20.118.99.224和40.83.235.53的連線能力

如果您可以成功連線到 KMS IP 位址 20.118.99.224 ，也可以 40.83.235.53 從 Windows VM 連線，就不必擔心這個問題。

若要檢查新 KMS IP 位址的連線能力，請遵循下列步驟：

1. 從遠端登入您的 Windows VM。

2. 開啟 PowerShell。

3. 執行下列 Test-NetConnection Cmdlet 呼叫，以確認新 KMS IP 位址的連線能力：

   Test-NetConnection azkms.core.windows.net -Port 1688
   Test-NetConnection 20.118.99.224 -Port 1688
   Test-NetConnection 40.83.235.53 -Port 1688
   

如果連線成功，就不需要採取任何動作。 如果一或多個連線失敗，請檢閱下列各節，以判斷 Windows VM 啟用失敗的特定原因。

原因 1：自定義路由無法連線到 KMS 伺服器

您先前已遵循 Windows 啟用在強制通道案例中失敗的 指示，設定自定義路由以連線到 Azure KMS 伺服器。 不過，由於 KMS IP 位址已變更，因此自定義路由無法再連線到 KMS 伺服器。

解決方案 1：將新的 KMS IP 位址新增至自定義路由

遵循強制通道案例中 Windows 啟用失敗一文中的更新指示，將 KMS IP 位址20.118.99.224和40.83.235.53埠 1688 上的 和 新增至您的自定義路由。

原因 2：防火牆封鎖對 KMS 伺服器的存取

您先前已遵循使用 Azure 防火牆 來保護 Azure 虛擬桌面部署中的指示，為您的防火牆建立輸出網路規則。 此網路規則可讓您的 Windows VM 連線到 Azure KMS 伺服器。 不過，由於 KMS IP 位址已變更，因此該規則不再提供正確 KMS IP 位址的存取權。

解決方案 2：將新的 KMS IP 位址新增為防火牆規則的例外狀況

變更網路規則，以允許 KMS IP 位址 20.118.99.224 和 40.83.235.53 埠 1688 上的輸出存取通過防火牆。

參考資料

• 正式推出：Azure 全球雲端中的新 KMS DNS

• 金鑰管理服務 (KMS) 啟用規劃作業需求

• 針對 Azure Windows 虛擬機啟用問題進行疑難解答

與我們連絡，以取得說明

如果您有問題或需要相關協助，請建立支援要求，或詢問 Azure community 支援。 您也可以將產品意見反應提交給 Azure 意應見反社群。