Embed Size (px)
Citation preview
AttivazionePiergiorgio MalusardiIT Pro [email protected]://blogs.technet.com/italy
Agenda
• Attivazione: concetti di base• Opzioni di attivazione• MAK• KMS• Novità in Windows Vista SP1 e Windows Server
“Longhorn”
Attivazione: concetti di base
• Associare una Product Key ad un device (usando le caratteristiche HW)
• Gli ingredienti sono: – Product Key e Product Id– Hardware Id e Client Id– Application Id: GUID che identifica l’applicazione da attivare
• Licenze digitali (Licenze XrML):sono generate dopo la validazione delle regole di business che si applicano alla particolare Product Key
Product Key e Product Id
• Product Key (PKey) = informazioni firmate– Rappresentata in forma di 5x5 caratteri
• Es. FCKGW-RHQQ2-YXRKT-8TG6W-2B7Q8
– Include informazioni sulla versione e sul canale di distribuzione – Ha regole di business associate, gestite lato server– Verificata dal servizio “Genuine and Activation”
• Product ID è la rappresentazione numerica della PKey– Abilita la protezione della PKey– Mostrata nel “Pannello di Controllo”
• Es. 55274-640-0000356-23000
– Usata nel contatto con il Customer Support Services (CSS)
Hardware Id e Client ID
• Hardware Id = hash delle caratteristiche HW• Il valore base è definito durante l’attivazione• Ogni modifica sottre un valore, pesato in base al
componente HW modificato• Se il valore scende sotto 25 è necessaria la
riattivazione
• Client ID è il GUID usato dal KMS per contare i computer unici
Regole di business
• Non configurabili• Grace period (OOB, OOT), limite di rearm, validità della licenza, numero
di macchine necessarie per l’attivazione
• Configurabili dal cliente• Intervallo di rinnovo, pubblicazione in DNS, porta TCP/IP, Indirizzo
dell’host con KMS
• Configurabili sul server Microsoft • Numero di “License Reissuance with hwid In Tolerance” (RIT)• Numero di “License Reissuance with hwid Out of Tolerance” (ROT)• Periodo di “License Reissuance with hwid in Acceptable Tolerance” (RAT)• Pkey bloccate
• Nessuna attivazione consentita • Blocco geografico: attivazione non consentita al di fuori della regione geografica• Blocco di subnet: attivazione non consentita al di fuori della subnet definita
• Online• Telefono
• Legata al BIOS, pre-installazione
• Multiple Activation Key (MAK)• Key Management Service (KMS)
Opzioni di attivazione
Multiple Activation Key• Attivazione univoca verso Microsoft• Le chiavi MAK hanno un limite superiore che dipende dal contratto
di licenza• Due metodi di attivazione usando MAK:
• MAK Independent Activation: ogni desktop individualmente si connette al sito Microsoft e si attiva (online o via telefone)
• MAK Proxy Activation: Unica richiesta di attivazione centralizzata chiesta a Microsoft per conto di molte macchine
• La riattivazione può essere necessaria se ci sono importanti modifiche hardware• Ogni attivazione decrementa il numero disponibile• Le chiavi sono distribuite via script WMI, durante l’installazione del SO o usando il
Volume Activation Management Tool• Usare SSL in caso di attivazione MAK indipendente e SSL + WMI in caso di attivazione
via MAK
Volume Activation Management Tool
• Consente sia l’attivazione via MAK Proxy sia l’attivazione MAK indipendente
• Fornisce lo stato di attivazione di tutte le macchine dell’ambiente
• Supporta la scoperta delle macchine:• Active Directory (AD)• Workgroup • Macchine singole via indirizzo IP o nome macchina
• Richiede accesso WMI da remoto (Windows Firewall)• Salva tutti i dati in un formato XML ben definito• Consente Import/Export di dati
MAK proxy con VMAT
1. Trova le macchine con Windows Vista in Active Directory (LDAP) o usando le Network Discovery API (NetServerEnum())
2. Applica la chiave MAK e raccoglie gli Installation ID (IID) usando WMI (opzionalmente esporta in file XML)
3. Si connette a Microsoft via SSL e ottiene i corrispondenti Confirmation Machine ID (CMID) (opzionalmente aggiorna il file XML con i CMID)
4. Attiva i client del MAK Proxy applicando i CMID (opzionalmente importati dal file XML aggiornato: es. Riattivazione)
5. Cambiamenti significativi di hardware richiedono riattivazione
`
VAMT hostMicrosoft
`
MAK Proxy client
Active Directory
Internet1 23 4
Key Management Service• Attivazione eseguita da un servizio presso il cliente NON presso
Microsoft• Opzione di default per le versione di volume di Windows Vista e
Windows Server “Longhorn”• Il server KMS
• Deve essere attivato presso Microsoft (online o via telefono)• Deve essere contattato da più di 25 macchine fisiche per Windows Vista e
più di 5 macchine fisiche per Windows Server “Longhorn”• Client KMS
• Auto-attivati in base alla risposta fornita dal server KMS e alla regole di business
• Trova server KMS via DNS o informazioni nel registry• Assemblano la richiesta di attivazione e la inviano via RPC su TCP:1688
(configurabile)• Ri-attivazione ogni 180 giorni con connessione al server KMS
Server KMS
• Installabile anche su Windows Server 2003• Attivato installando una chiave KMS Key e
attivandolo (online o via telefono)• Supporta oltre 500000 client KMS• Può essere su server con altri servizi attivi• Comunica con i client KMS usando una sessione
TCP leggera (configurabile)• Pubblica la propria locazione in uno o più server
domini DNS (record SRV)
Come funziona KMS
1. Scoperta del server KMS via voce di registry o via DNS (SRV _vlmcs._tcp)2. Invia richiesta di attivazione al server KMS su porta TCP:1688
(configurabile):• Genera Client Machine ID (CMID)• Costruisce e firma (AES) la richiesta (250B)• In caso di errore riprova ogni 2 ore
3. KMS server aggiunge la richiesta in coda e risponde con un count (200B)4. Client confronta Count con policy e si auto attiva
• Salva Product ID del KMS server e proprio HWID in store delle licenzea• In caso di successo rinnova la licenza ogni 7 giorni
KMS Client KMS Host(s)
DNS
11
22
33
44
Novità di KMS in Vista SP1 e LonghornGruppi di chiavi KMS
KMS può essere ospitato su
Client KMS supportati
Vista Vista / Win2003 VistaKMS_A Web Server
Compute ClusterWin2003
VistaWeb ServerCompute Cluster
KMS_B Web ServerCompute ClusterSTD / ENTWin2003
VistaWeb ServerCompute ClusterStandard / Enterprise
KMS_C Web ServerCompute ClusterSTD / ENTDTC / IA64Win2003
VistaWeb Server Compute ClusterStandard / EnterpriseDatacenter / Itanium
Novità di MAK Vista SP1 e Longhorn
Gruppo di chiavi MAK Può attivareVista VistaMAK_A Web Server
Compute ClusterMAK_B Standard / EnterpriseMAK_C Datacenter / Itanium
Per approfondire
• Windows Vista Volume Activation Step-by-step:http://www.microsoft.com/technet/windowsvista/plan/volact1.mspx
• Windows Vista Volume Activation FAQ:http://www.microsoft.com/technet/windowsvista/plan/faq.mspx
• Windows Vista Volume Activation Technical Attribute: http://www.microsoft.com/technet/windowsvista/plan/volact2.mspx
© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation
as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES,
EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
