Upload
narcisse-chartier
View
109
Download
0
Embed Size (px)
Citation preview
Il existe 3 moyens d’activer Vista et Longhorn Server :
1. Machines pré-activées par les OEMCes machines échappent aux principes d’activation VLK
2.0
2. KMS (Service de gestion de clés) Clé destinée aux environnements gérés où les utilisateurs
se c connectent au réseau de l’entreprise
3. MAK (Clé d’activation multiple) Clé destinée aux réseaux décentralisés où les utilisateurs
se connectent rarement, voire jamais, au réseau de l’entreprise
Key Management Service (KMS) est le service central de VLK 2.0 qui gère les clés d’activation en volume de tous les ordinateurs clients et serveurs d’un réseau d’entreprise
Cible : Réseaux plutôt importants (25 machines minimum) auxquels des ordinateurs clients se connectent régulièrement
Avantages : • Administration sécurisée et centralisée des clés,• Déploiement OS facilité avec activation automatique des machines clientes,• Sécurité permanente renforcée,• Inventaire et dépannage simplifiés
Fonctionne sur client Vista ou Longhorn ServerSupport WS2K3 prévu après la mise sur le marché de Vista
KMS Hosting Machine
Vista clients
KMS activation KMS activation une seule foisune seule fois
VPNVPN
Internet
Rien de plus facile que de déployer le service KMS1. Procurez-vous les clés de licence en volume et le support produit
(comme aujourd’hui via le portail en ligne – MVLS / Eopen)
2. Installez Vista ou Longhorn sur la machine qui hébergera le service KMS
3. Installez les clés de licence en volume pour activer KMS
• KMS chiffre et stocke les VLK dans une base de données de confiance pour assurer une parfaite sécurité
• Aucune autre action n’est requise
4. Configurez KMS pour que les clients puissent communiquer avec KMS à intervalles réguliers
• Les machines sous KMS se réactivent automatiquement, mais dépassent le seuil de tolérance après 180 jours de déconnexion
• Configurez le port TCP et le pare-feu (facultatif)
• Configurez le DNS comme souhaité pour la détection de KMS
Une fois le service KMS activé, déployez les machines clientes
1. Déployez les « clients » Vista ou Longhorn Server (en suivant les mêmes méthodes que pour Windows XP : DVD, image disque, déploiement d’image à distance - WDS)
2. (facultatif) Configurez les clients pour localiser KMS si l’autodétection n’est pas utilisée (voir diapositive suivante)
3. Chaque client dispose d’une période de 30 jours après l’installation pour contacter le service KMS
4. Seuls les 25 premiers clients à contacter KMS sont comptés et restent dans la liste KMS pendant 30 jours
• Tout client suivant peut s’activer automatiquement
• Les 25 premiers clients réessayent automatiquement toutes les 2 heures, puis s’activent
Détection du service KMS KMS tente l’auto-inscription avec le DNS (via les enregistrements de ressources SRV)
Le DNS peut demander la définition d’autorisations pour KMS selon le réseauLa requête client obtient une liste de tous les ordinateurs KMS du domaine DNS et sélectionne le service KMS de façon aléatoire
Communication avec le service KMSUtilisation de RPC anonymes sur TCP (ouverture du port sur le pare-feu)
Port TCP (1688 par défaut) configurable via WMI (clé de registre) Requêtes asynchrones et légères (200 octets)Un seul service KMS sur un poste de travail peut absorber 20 000 requêtes/heure
Prise en charge des utilisateurs qui se connectent par intermittence grâce à une détection automatique dès connexion de la machine
Gestion du service KMSSupport WMI pour gestion à distance des clients et du service KMSToutes les activités sont consignées dans le journal d’événements des applications, du côté des clients et de KMSOutils de création de rapports et packs MOM bientôt fournis
Grâce Activation RFMGrâce
Demandes d’activation automatique(2 h par déf.)
Demandes de renouvellement
d’activation automatique
(7 jours par déf.)
30 jours Réactivation après expiration180 jours
(chaque renouvellement donne droità une nouvelle période de 180 jours)
30 jours L’utilisateurne peut plus se
connecter
Demandesd’activationautomatique(2 h par déf.)
1. La machine s’active automatiquement et se réactive pendant la période de grâce ou d’expiration
2. La machine dépasse la période de grâce de 30 jours (période de tolérance) et passe en mode de fonctionnalités réduites (RFM), ce qui empêche l’utilisateur de se connecter
3. L’utilisateur administrateur installe la clé MAK et l’active dans un délai de 30 jours (l’activation n’est associée à aucune date d’expiration)
Des avertissements tels que « Procédez à l’activation sinon certaines fonctionnalités ne seront plus disponibles » s’affichent de plus en plus souvent vers la fin de la période de grâce, juste avant le passage en mode RFMPour quitter le mode RFM :
Connectez la machine au réseau d’entreprise hébergeant le service KMSL’utilisateur doté de privilèges d’administrateur peut saisir manuellement une clé MAK (lors d’une tentative de connexion – et éventuellement à l’aide d’un script)
• Si vous ne savez pas si un utilisateur se trouvera régulièrement sur le
réseau de l’entreprise, émettez une clé MAK
• Les clés MAK peuvent être utilisées à maintes reprises (100 activations par
exemple), mais ont un plafond…
• Il est possible de suivre l’emploi des clés MAK via les portails en ligne de
Microsoft et de demander gratuitement d’autres activations,
• Les clés MAK sont stockées dans une base de données de confiance, mais
la sécurité permanente est moindre et l’inventaire non centralisé (par rapport
à KMS)
Les clés MAK doivent être déployées sur chaque machine. Il est possible, pour cela, d’utiliser un script ou de faire figurer une MAK dans l’image Vista.
Les MAK doivent être activées par MS une fois par machine, soit en ligne automatiquement, soit hors ligne à l’aide d’un ID de confirmation reçu par téléphone. Cet ID de confirmation peut servir plusieurs fois pour réactiver le même matériel.
Un administrateur peut configurer l’activation automatique des MAK.
L’activation en masse des MAK par téléphone est prise en charge de façon à pouvoir recevoir l’ID de confirmation sur plusieurs machines, via une seule transaction.
Les activations MAK ne sont associées à aucune date d’expiration, mais peuvent dépasser le seuil de tolérance en cas d’importantes modifications matérielles.
Les utilisateurs peuvent passer d’une activation KMS à une clé MAK, par simple installation de cette dernière.
`
MAK Independentclient
`
VAMT host
Microsoft
Internet
11
22
`
VAMT host
Microsoft
`
MAK Proxy client
Active Directory
Internet11 2233 44
Build LAB 2
Build LAB 1
Build LAB 1
Build LAB 2
Build LAB 1
Build LAB 1
Group
Enterprise
Enterprise
Business
Enterprise
Enterprise
Edition
Unlicensed
OOT Grace
OOB Grace
Licensed
Licensed
License State
Labs2
Labs1
Labs1
Labs1
Labs1
Domain/Workgroup
KMS Client
MAK
MAK
MAK
KMS Client
Key Type
LAB6
LAB5
LAB4
LAB3
LAB2
LAB1
HostnameStatus
Failed – Apply CID (0x123456)
Success – Get CID
Success – Apply MAK
Refresh
Current Action
MAK Proxy ActivateMAK Proxy Activate
CancelOK
Get Confirmation ID from Microsoft
Apply Confirmation ID and Activate
Install MAK (overwrite existing)
Alternate Credentials
12334 – Enterprise/Business Secondary ELA
Select MAK Key
Manage MAKs...
File Action
Add Machines
Refresh Machine Status
Independent MAK Activate
MAK Proxy Activate
Retry Pending Actions
Export Machines
Remove Machines
Options
Clear Pending Action Independent MAK ActivateIndependent MAK Activate
Alternate Credentials
Activate Now
Install MAK (overwrite existing)
12334 – Enterprise/Business Secondary ELA
CancelOK
Manage MAKs...
Select MAK Key
Activation VLK Activation VLK 1.01.0
Activation KMS VLK 2.0Activation KMS VLK 2.0 Activation MAK VLK Activation MAK VLK 2.02.0
Obtention des Obtention des clésclés
1.1. Accéder au site de Accéder au site de licence ou licence ou téléphoner au téléphoner au centre d’appelscentre d’appels
2.2. Fournir Fournir informations informations d’authentificationd’authentification
3.3. Acquérir VLKAcquérir VLK
1.1. Accéder au site de licence ou Accéder au site de licence ou téléphoner au centre d’appelstéléphoner au centre d’appels
2.2. Fournir informations Fournir informations d’authentificationd’authentification
3.3. Acquérir VLKAcquérir VLK
1.1. Accéder au site de licence Accéder au site de licence ou téléphoner au centre ou téléphoner au centre d’appelsd’appels
2.2. Fournir informations Fournir informations d’authentificationd’authentification
3.3. Demander/recevoir MAKDemander/recevoir MAK
ConfigurationConfiguration Inclure VLK dans Inclure VLK dans fichier unattend.txt en fichier unattend.txt en vue du déploiementvue du déploiement
Installer VLK sur la machine KMS et Installer VLK sur la machine KMS et configurer la détection de KMS, configurer la détection de KMS, ainsi que le mode de ainsi que le mode de communicationcommunication
NANA
Installation OSInstallation OS Installer/Déployer Installer/Déployer l’imagel’image
Installer/Déployer l’imageInstaller/Déployer l’image Installer/Déployer l’imageInstaller/Déployer l’image
Période de Période de grâcegrâce
Non applicable (NA)Non applicable (NA) Délai de 30 jours pour activerDélai de 30 jours pour activer Délai de 30 jours pour activerDélai de 30 jours pour activer
ActivationActivation NANA L’activation se fait L’activation se fait automatiquement sur le réseauautomatiquement sur le réseau
L’utilisateur doté de privilèges L’utilisateur doté de privilèges d’administrateur saisit la clé d’administrateur saisit la clé MAK (interface ou script), puis MAK (interface ou script), puis l’active en ligne ou appelle l’active en ligne ou appelle MS pour une activation par MS pour une activation par téléphonetéléphone
Expiration &Expiration &réactivationréactivation
NANA Expiration au bout de 180 jours. Expiration au bout de 180 jours. Réactivation automatique auprès Réactivation automatique auprès du service KMSdu service KMS
NANA
Tolérance du Tolérance du matérielmatériel
NANA Des modifications matérielles Des modifications matérielles imposeront une réactivation sous imposeront une réactivation sous 30 jours30 jours
Certaine modifications matérielles imposeront une réactivation sous 30 jours
Nous fournissons le support produit à l’OEM qui se charge de pré-installer nos machines
OEM (KMS et MAK inutiles)
Nos utilisateurs appartiennent à un réseau géré et se connectent régulièrement au domaine
KMS
Nous évoluons au sein d’un environnement multinational comportant plusieurs domaines et quelque 100 000 PC connectés
KMS
Nous avons une force de vente mobile qui se connecte au réseau moins de deux fois par an
MAK
Nous disposons d’un bureau à distance qui possède son propre réseau et compte moins de 25 utilisateurs
MAK
Nous envoyons nos « troupes » sur le terrain qui auront peut-être à réinstaller et à réactiver Vista sans accès à Internet ni au téléphone
MAK (avec ID confirmation)
Nous possédons un laboratoire totalement déconnecté, composé de 1000 machines sans liaison Internet
MAK (avec activation en masse)
Nous avons des utilisateurs dans une région reculée qui ne disposent que d’une liaison Internet très lente et plutôt onéreuse
MAK ou KMS (modifier l’intervalle)
Cas pratique
Activation des clés KMS Stratégie-N (nombre minimum de machines par KMS) : 25Période d’expiration jusqu’à réactivation : 180 jours (30 jours pour les tests Bêta 2)Tolérance matérielle : liée au disque dur du systèmePériode de grâce après installation : 30 joursSeuil de tolérance : 30 jours
Si l’utilisateur a dépassé la date d’expiration ou changé de disque dur
Activation des clés MAKAucune stratégie-NAucune date d’expirationTolérance matérielle : certaines modifications matérielles imposeront une réactivation et compteront dans le total de MAK.Période de grâce après installation : 30 joursSeuil de tolérance : 30 jours
En cas de modification matérielle uniquement
En quoi le coût total de possession est-il affecté ?
L’impact sur le coût total de possession varie en fonction de la configuration du réseau de l’entreprise. Généralement, l’impact reste très faible puisque aucune infrastructure/administration supplémentaire n’est requise. Dans bien des cas, les fonctions de gestion d’actifs intégrées à VLK 2.0 compensent largement les coûts de gestion informatique occasionnés.Aucun nouveau matériel n’est requis. KMS est léger et cohabite avec d’autres services.
Quelles sont les éditions en volume compatibles avec KMS ?Client Professionnel, Client Entreprise, Serveur EntrepriseLes versions clientes sont uniquement des mises à jour.
Pourquoi la valeur « n » est-elle fixée à 25 machines ?Des études poussées et les réactions de nos clients ont montré qu’un réseau de 25 machines constitue un juste équilibre entre le confort d’utilisation et la prévention de réseaux illégaux. Les entreprises dotées de réseaux de moins de 25 machines auront recours aux clés MAK.
N’est-ce pas pour Microsoft l’occasion d’accroître ses revenus ?Si la lutte contre le piratage des logiciels Windows profite à Microsoft, aucune entreprise ne peut approuver l’utilisation illégale de ses clés de licence en volume. Les clients de Microsoft sont surtout les premiers à bénéficier d’une sécurité renforcée et d’un compte précis de leurs clés et logiciels de licence en volume.
cscript C:\windows\system32\slmgr.vbs [NomOrdinateur NomUtilisateur MotDePasse] <Option>cscript \windows\system32\slmgr.vbs –ato
Activation manuelle
cscript \windows\system32\slmgr.vbs –ipkActivation de la machine qui devient un serveur KMS
cscript \windows\system32\slmgr.vbs –dbiAffichage des informations sur KMS et licence client