VolumeActivation2.0相關(guān)技術(shù)介紹.ppt

1、Volume Activation 2.0相關(guān)技術(shù)介紹,王達(dá)時 Kevin Wang 專案技術(shù)副理 臺灣微軟中小企業(yè)解決方案暨經(jīng)銷事業(yè)處,議程大綱,什麼是 Volume Activation 2.0? 為什麼? 如何規(guī)劃？ 如何佈署？ 問題與討論,什麼是 Volume Activation 2.0？,VA 2.0 是Windows Vista 和 Longhorn Server 的新要求，它要求每個經(jīng)由大量授權(quán)合約取得的 Windows 授權(quán)都需要啟用 VA 2.0 的目標(biāo): 關(guān)閉重要的盜版漏洞 改進(jìn)大量授權(quán)客戶的使用經(jīng)驗,為甚麼要推出新的大量授權(quán)啟用方式？,保護客戶的軟體資產(chǎn) 避免客戶誤用盜

2、版 防止授權(quán)金鑰外洩 盤點軟體資產(chǎn)更容易 更方便的管理與佈署 不需要每一臺都敲一次金鑰 完整的報表 事件紀(jì)錄 授權(quán)狀態(tài),Volume Activation 2.0,提供兩種類型的金鑰 多重啟用金鑰 Multiple Activation Key (MAK) 金鑰管理服務(wù)金鑰 Key Management Service (KMS) Key 提供三種啟用的方式 MAK 獨立啟用 每臺電腦自行透過Internet連線至微軟或以電話聯(lián)絡(luò)微軟來啟用 MAK Proxy 啟用 由一臺電腦收集其他電腦的資訊，以代理方式透過網(wǎng)路連線至微軟來啟用，只有Proxy電腦需要Internet連線 KMS 啟用 由企

3、業(yè)自行安裝的金鑰管理服務(wù)來啟用，不需要Internet連線 已啟用之用戶端，最少六個月(180天)內(nèi)必須連線到金鑰管理服務(wù)主機以重新啟用 PS: Volume Activation 必須使用 VL 媒體 (大量授權(quán)版本的 Windows Vista Business 和 Windows Vista Enterprise ),使用 MAK 與 KMS 的網(wǎng)路設(shè)定,使用 MAK 與 VAMT 的網(wǎng)路設(shè)定,我可以在那裡取得大量授權(quán)金鑰？,Microsoft eOpen： 微軟大量授權(quán)服務(wù) (MVLS)： Microsoft 啟動撥接中心： 臺灣: (02) 8771-7276 或 (02) 8771

4、-7276,Microsoft eOpen,MAK 獨立啟用,派送金鑰的方法 : a. 使用VAMT(Volume Activation Management Tool, 預(yù)計2007年可取得) b. 在OS安裝過程中 c. 利用變更產(chǎn)品金鑰精靈 or WMI script,MAK 用戶端透過一次連線至網(wǎng)際網(wǎng)路(SSL)啟用或經(jīng)由電話啟動 (若有重大硬體變更，須重新啟動),1,2,MAK 啟用的硬體容許範(fàn)圍,超過25點就必須重新啟動,在OS安裝過程中變更產(chǎn)品金鑰,使用 Setup.exe 或 Windows Deployment Service (WDS) 針對從 DVD 安裝中開機的狀況，請

5、在磁碟上的 unattend.xml 中的 “specialize” 回合中指定 MAK 產(chǎn)品金鑰 而針對網(wǎng)路共用安裝的狀況，則執(zhí)行 /unattend: 如需詳細(xì)資訊，請參閱 Unattended Windows Setup Reference 說明檔和 Vista 的 Windows 自動安裝套件 (WAIK) 使用者指南： (英文),unattend.xml,MAK 將以純文字的形式儲存於 *.XML 檔之中，如同使用這些方法的安裝程序所要求的。 在自動安裝程序中，unattend.xml/autounattend.xml 檔會複製到目標(biāo)電腦內(nèi) (%systemroot%panther

6、資料夾)，但在安裝程式的最後，此檔案中的實際 ProductKey 值會被刪除，並替換成 “SENSITIVE*DATA*DELETED”。,利用變更產(chǎn)品金鑰精靈,利用變更產(chǎn)品金鑰精靈,利用Script變更產(chǎn)品金鑰,使用具系統(tǒng)管理員權(quán)限帳戶登入並啟動一個命令視窗，執(zhí)行下列指令碼： cscript windowssystem32slmgr.vbs -ipk 啟動 MAK 自動 電腦會在下次排程的時段中透過網(wǎng)際網(wǎng)路來嘗試啟動 手動: 使用 Windows 介面手動地啟動 MAK 使用指令碼在網(wǎng)際網(wǎng)路上手動地啟動 MAK cscript windowssystem32slmgr.vbs ato,Si

7、mple Graphical User Interface tool that runs Windows XP SP2, Windows 2003 SP1, Windows Vista Performs both MAK Proxy and MAK Independent activation Provides activation status of computers Supports discovery of computers via: Active Directory (AD) Workgroup Individual (by IP address or Machine Name)

8、Stores data in XML to support Importing and Exporting of data for disconnected scenarios Retrieves number of remaining MAK activations Requires remote WMI access and local administrator access,Volume Activation Management Tool,VAMT Client Configuration,Create a registry value for remote computers in

9、 workgroup: On the client computer, create the following registry key using regedit.exe. Navigate to HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciessystem Enter the following details: Value Name: LocalAccountTokenFilterPolicy Type: DWORD Value Data: 1,使用VAMT: Add MAK Key,使用VAMT: Add Computers,使用V

10、AMT: 派送金鑰及MAK獨立啟用,使用 VAMT 進(jìn)行 MAK Proxy 啟動MAK proxy 啟動會安裝 MAK 到用戶端電腦上、取得安裝識別碼 (IID)、代表用戶端來傳送 IID 到 Microsoft，並取得一個確認(rèn)識別碼 (CID)，之後工具將透過安裝對應(yīng)的 CID 來啟動用戶端。,Apply MAK and collect Installation ID (IID) using WMI optionally export to XML file,Find Windows Vista machine(s) from Active Directory (LDAP) or thro

11、ugh network discovery APIs,Activate MAK Proxy client(s) by applying CID optionally import updated XML file first. Significant hardware changes will require reactivation.,Connect to Microsoft over Internet (SSL) and obtain corresponding Confirmation ID (CID). Optionally update XML file with CIDs,1,2,

12、3,4,使用 VAMT 進(jìn)行 MAK Proxy 派送金鑰,VAMT-1位於無法與Internet連線的區(qū)域,使用 VAMT 匯出 CIL,VAMT-1位於無法與Internet連線的區(qū)域,使用 VAMT 取得 CID,VAMT-2位於可與Internet連線的區(qū)域,匯入 VAMT-1 的 CIL,使用 VAMT 匯出 CIL,VAMT-2位於可與Internet連線的區(qū)域,使用 VAMT 套用 CID,VAMT-1位於無法與Internet連線的區(qū)域,匯入 VAMT-2 的 CIL,VAMT: Computer Status,KMS 啟動,Setup KMS service inside c

13、orporate network, and activate KMS once Client systems (25) automatically connect to KMS and request activation KMS activates the client systems for 180 days upon each connection Systems silently re-connect regularly (default 7 days) to renew activation,One time KMS activation,VPN,KMS 啟動,KMS Machine

14、 透過企業(yè)大量授權(quán)金鑰啟動 同一個 KMS 金鑰可在 6 部電腦上重複啟用 9 次。如果您打算使用額外的 KMS 主機，請向 Microsoft 啟動撥接中心要求額外的啟動。 KMS 預(yù)設(shè)使用的 port 1688/TCP DNS 註冊 (for KMS Client 自動探索) KMS 用戶端 安裝OS過程中不需輸入金鑰並透過KMS啟動 至少25臺Windows Vista or 5臺 Longhorn Server 用戶端將使用下列的兩個方法之一找到 KMS 主機： 自動探索：KMS 用戶端會使用網(wǎng)域名稱服務(wù)記錄，以自動找到本機的 KMS 主機。 直接連線：系統(tǒng)管理員可指定 KMS 主機位

15、置和通訊連接埠。,安裝 KMS 主機,選擇與安裝您要的大量授權(quán)媒體。在安裝過程中不需要產(chǎn)品金鑰。 啟動電腦、登入，然後以提高的特殊權(quán)限來啟動命令視窗。 安裝您的 KMS 金鑰。請勿使用 Windows 介面來執(zhí)行此事。執(zhí)行下列指令碼：cscript C:windowssystem32slmgr.vbs -ipk 利用 Microsoft 啟動 KMS 主機，您可以使用線上啟動或電話啟動： 針對線上啟動 (您必須能夠從該電腦存取網(wǎng)際網(wǎng)路)，請執(zhí)行下列指令碼：cscript C:windowssystem32slmgr.vbs -ato 針對電話啟動 (如果您無法存取網(wǎng)際網(wǎng)路)，請執(zhí)行下列指令，並

16、遵循螢?zāi)簧系闹甘荆?slui.exe 4,設(shè)定 KMS 用戶端來進(jìn)行 KMS 啟動,在 KMS 用戶端中，登錄 KMS 主機的完整網(wǎng)域名稱 (FQDN cscript windowssystem32slmgr.vbs -skms : 您也可以選擇性地使用 IP 或 NetBIOS cscript windowssystem32slmgr.vbs -skms cscript windowssystem32slmgr.vbs -skms cscript windowssystem32slmgr.vbs -skms 要為已登錄來使用特定 KMS 的用戶端電腦重新啟用自動探索，請執(zhí)行下列的內(nèi)建指令碼：

17、 cscript windowssystem32slmgr.vbs ckms,KMS 啟動的情境與時間點,Microsoft Confidential,33,Grace,Activated,RFM,Grace,Automatic Activation Requests (2 hrs by def),Automatic Activation Renewal Requests (7 days by def),30 days,Re-activation after expiration 180 days (Each renewal extends this to the full 180 days)

18、,30 days,User Unable to Log On,Automatic Activation Requests (2 hrs by def),Machine automatically activates and re-activates within grace or expiration period Machine goes out of 30 day grace period (or tolerance period) and into reduced functionality mode (RFM, which disables interactive log-on) Ad

19、min user installs MAK key and activates within 30 day grace (activation does not expire),KMS 主機 Sizing 問題,一次KMS要求外加 TCP 工作階段的安裝和分割，傳送的位元組少於 250 Bytes 唯一額外的網(wǎng)路流量為自動探索，每個用戶端電腦通常只需執(zhí)行一次自動探索 在嘗試啟用時，用戶端電腦每隔兩個小時 (預(yù)設(shè)值) 會發(fā)出一個 KMS 要求 啟用之後，則每七天發(fā)出一個 一臺 KMS 主機就可以支援?dāng)?shù)十萬個 KMS 用戶端 以下列出了規(guī)劃 KMS 主機的一些考量： KMS 在積極處理要求時，運算

20、週期相當(dāng)?shù)孛芗?。在要求處理過程中，單一處理器電腦上的 CPU 使用量可能會隨時達(dá)到 100% KMS 記憶體使用量取決於傳入的要求數(shù)量，可能從 10 MB 到 25 MB 不等 網(wǎng)路預(yù)先配置最低 大型組織可能需要多部 KMS 主機來處理負(fù)載平衡和重複性,精簡功能模式(RFM),RFM entered when Windows has not been activated within 30 day grace period. This can happen when: 電腦無法在 30 天的限定期限之內(nèi)啟動，或是在為期 180 天的 KMS 啟動期間之後，無法於 30 天的限定期限之內(nèi)重新啟動

21、 Significant hardware changes which require re-activation Tampering of the OS has been detected 在 RFM 中，將會在使用者登入後， 提供多項用來啟動的選項。 如果電腦沒有在一小時內(nèi)重新啟動， 則會強制使用者登出。,大量啟動方式的優(yōu)點與缺點,VA2.0 佈署前規(guī)劃,1. 準(zhǔn)備:目標(biāo)環(huán)境考慮因素(1),基礎(chǔ)架構(gòu)分析問題,1. 準(zhǔn)備:目標(biāo)環(huán)境考慮因素(2),安全性原則考慮因素,連線類型,2. 將電腦對應(yīng)至啟用解決方案:情境應(yīng)用範(fàn)例,2. 將電腦對應(yīng)至啟用解決方案:,啟用對應(yīng)工作表範(fàn)例,演練: 真實環(huán)境中如何選擇啟用類型,3.日常管理和報告,檢視 Microsoft 授權(quán)網(wǎng)站來監(jiān)視所使用的 MAK 啟用個數(shù) In Vista and Windows Server“Longhorn” Volume Activation Manag