目的 提供啟動大量授權版本 Windows Vista 作業系統的規劃、部署和操作指導。 哪些人需要 Volume Activation 2.0 逐步指南? 本指南是提供給負責執行部署和管理 Windows Vista 部署的 IT 專業人員。 本頁內容介紹問題 儘管已經投入龐大的努力來克服軟體盜用,但它是仍是一個逐年嚴重的問題。在 2006 年 5 月,領導的軟體產業論壇「商業軟體聯盟」說到全球在 2005 年所安裝的軟體中有 35 % 是盜版或未經授權。這個程度的盜版將持續地對 Microsoft 公司造成極大的挑戰,並且影響到消費者、合作夥伴和產業界。 雖然此狀況嚴重地影響了軟體界以及被盜版軟體所欺騙的客戶的財務,但還有金錢以外的影響。許多拿到 Microsoft 軟體盜用版的消費者都是罪行的無辜受害者。他們相信所購買的是適當授權的版本,並且通常都有文件來證明其購買事實,但是他們的 Microsoft Windows、Microsoft Office 或 Windows Server 複本並未適當地授權。此外,盜版軟體日益成為向不起疑心的使用者散發病毒和惡意軟體 (亦稱為惡意程式) 的媒介,可能將他們暴露於個人或商業資料的損毀或損失,以及識別碼被竊。 基於這些理由,Microsoft 持續地在技術和程式上投資,以協助保護消費者和企業避開盜版和未授權軟體的風險與隱藏成本。 Volume Activation 2.0 解決方案Volume Activation 2.0 是 Windows Vista 作業系統和代號為 "Longhorn" 的 Windows Server 的新要求,它要求每個經由大量授權合約取得的 Windows Vista 授權都需要啟動。在設計與建立新的大量啟動技術時,Microsoft 著重在兩個目標: | • | 關閉重要的盜版漏洞 (大量授權金鑰代表大多數涉及 Windows 盜版的金鑰。) | | • | 改進大量客戶的經驗。 |
Volume Activation 2.0 的設計宗旨是協助增加保護,並協助更佳地在受管理和未受管理的環境中管理大量授權金鑰,並且為客戶提供彈性的部署選項。此處理程序對於使用者而言是透明的,並且 Volume Activation 2.0 解決方案適用於多種客戶環境中。 Volume Activation 2.0 的好處Volume Activation 2.0 支援集中管理的大量授權金鑰。用於金鑰管理服務 (Key Management Service,KMS) 啟動的 KMS 金鑰僅安裝在 KMS 主機上,而絕非在個別的電腦上。多重啟用金鑰 (Multiple Activation Key,MAK) 雖然位於個別的電腦上,但卻是加密和保存於受信任的存放區中,如此當金鑰安裝在電腦上之後,使用者就不會看到該金鑰,也無法取得該金鑰。 Volume Activation 2.0 支援簡化的安裝,並且通常客戶是看不到它的。根據預設,大量授權版本並在安裝時不需要輸入產品金鑰。電腦必須在自動的 30 天限定期限內啟動。 未來,系統管理員可以使用標準的系統管理軟體,例如 Microsoft Operations Manager (MOM) 和其他軟體來計算 KMS 啟動。Windows Management Infrastructure (WMI),、完整的事件記錄和內建的應用程式發展介面 (API) 可提供眾多有關已安裝授權和授權狀態的詳細資料,以及 MAK 和 KMS 所啟動電腦的限定期限或到期期限。 Volume Activation 2.0 也可以透過正版模組的經常性背景驗證,提供增強的安全性。這目前僅限於關鍵性軟體,但也可能隨著時間而大為擴充。 Volume Activation 2.0 概觀Volume Activation 2.0 可在解決先前 Windows 版本的大量授權金鑰問題時,為企業客戶提供簡單且增強安全性的啟動經驗,並可同時減少 Microsoft 和其客戶的漏洞風險。除了在各種規模的環境中提供多個彈性的部署選項以啟動電腦外,Volume Activation 2.0 還可讓系統管理員集中地管理與保護產品金鑰。未來,Volume Activation 2.0 也會提供可同時支援 Microsoft 和協力廠商應用程式的好用、完整、整合的啟動程序基礎。此外,Volume Activation 2.0 也是強大的軟體資產管理系統的起點,可提供立即與未來的好處。 Volume Activation 2.0 提供客戶兩種類型的金鑰和三個啟動方法。客戶可根據組織的需求和網路基礎結構,隨意地使用任意選項或所有選項。 | • | 多重啟用金鑰 (MAK) | | • | 金鑰管理服務 (KMS) 金鑰 |
規劃指南本 《Windows Vista Volume Activation 2.0 逐步指南》章節提供了在其環境中規劃和決定適當的 Volume Activation 2.0 選項的指導。這個程序包含了下列四個步驟: 1. | 準備 | 2. | 將電腦對應至啟動解決方案 | 3. | 規劃監視和報告 | 4. | 規劃支援 
檢視大圖
|
準備選取適當的 Volume Activation 2.0 選項的第一步涉及考慮下列項目: | • | 產品啟動類型 | | • | 目標環境考慮因素 | | • | 使用者連線能力考慮因素 |
產品啟動類型這裡有三種 Windows Vista 啟動的基本類型: 下面文章提供了每一個啟動類型的詳細 有關 Windows Server “Longhorn” 的啟動詳細資料,將在接下來的幾個月中發佈,而其他產品的詳細資料則在接下來幾年發佈。 Volume Activation 2.0如同前面所討論的,Volume Activation 2.0 提供顧客下列兩種型態的金鑰與三種啟動模式。 | • | 多重啟用金鑰 (MAK) | | • | 金鑰管理服務 (KMS) 金鑰 |
客戶可根據組織的需求和網路基礎結構,隨意地使用任意選項或所有選項。 多重啟用金鑰MAK 啟動所使用的技術類似於 MSDN Universal 和 Microsoft Action Pack 訂閱所使用的技術。每個產品金鑰都可以啟動特定個數的電腦。如果大量授權媒體的使用未加以控制,過量的啟動將導致啟動集區的耗盡。MAK 為啟動金鑰。它們並非用來安裝 Windows,反之,其用途是在安裝之後啟動它。您可以使用它們來啟動任何大量的 Windows Vista 版本。 MAK 被用來啟動 MAK 管理之下的每個系統。啟動可執行於網際網路之上,或透過電話執行。隨著每部電腦一連絡 Microsoft 的啟動伺服器,啟動集區就會縮小。您可以從 Microsoft 授權網站中檢查剩餘的啟動個數,並透過連絡 Microsoft 啟動客服中心,要求額外的啟動。 有兩種方式可使用 MAK 來啟動電腦: | • | MAK Proxy 啟動: 這是可讓您一次連線到Microsoft,即為多個桌面進行集中化啟動要求的解決方案。MAK Proxy 啟動將於代號為 Volume Activation Management Tool (VAMT) 的解決方案中提供,它目前仍在開發中,預計於 2007 年提供。 | | • | MAK 獨立啟動: 要求每個桌面獨立地連線至 Microsoft 來要求啟動。 |
MAK 啟動的好處包括了可將金鑰的指定和啟動自動化,並且不需要定期地更新啟動。其他需求包括了當啟動個數超過預定的限制時需要要求更多啟動、管理 MAK 安裝的需求 (由 Business Desktop Deployment (BDD) 2007 自動化)、發生大量硬體變更時的重新啟動需求、在沒有網際網路連線可用時使用電話手動啟動系統的潛在需求。 金鑰管理服務 (KMS) 金鑰 金鑰管理服務 (KMS) 可讓組織為受管理環境中的電腦執行本機啟動,而無須個別地連線至 Microsoft。組織的系統管理員可使用 KMS 金鑰在其控制的機器上啟動金鑰管理服務。KMS 主要用在受管理的環境中,其中有 25 部以上的電腦一貫地連線至組織的網路。執行 Windows Vista 的電腦將透過連線至執行 KMS 服務的中央 Windows Vista 電腦來啟動。 在初始化了 KMS 之後,KMS 啟動基礎結構是可以自我維護的。使用者可以安裝 KMS 金鑰,並在 Windows Vista 系統上啟動 KMS 服務。KMS 服務可以輕鬆地和其他服務共同裝載,並且要下載或安裝它並不需要任何額外的軟體。Volume Activation 2.0 的 Windows Server 2003 KMS 服務目前仍在開發之中,預計將於 2007 年提供。一台 KMS 主機就可以支援數十個 KMS 用戶端。期大多數的組織只要兩台 KMS 主機,即可處理他們的整個基礎結構 (一台主要 KMS 主機和一台備份主機,以提供重複性)。 KMS 主機至少必須連接了 25 台實體的 Windows Vista 用戶端之後,其中的任何一台才能啟動。操作於虛擬機器 (VM) 環境中的系統也可以使用 KMS 來啟動,但是它們並不會增加系統的計數。 用戶端至少要每隔180天連線至 KMS 主機,以更新其啟動。尚未啟動的用戶端每隔兩個小時 (時間是可設定的) 就會嘗試和 KMS 主機連線。一旦啟動之後,它們將每隔七天 (時間是可設定的) 嘗試連線到 KMS 主機,如果成功就會更新其 180 天的啟動生命期。用戶端將使用下列的兩個方法之一找到 KMS 主機: | • | 自動探索,KMS 用戶端會使用網域名稱服務記錄,以自動找到本機的 KMS 主機。 | | • | 直接連線,系統管理員可指定 KMS 主機位置和通訊連接埠。 |
用戶端有 30 天的限定期限來完成啟動。未在此期間啟動的用戶端將進入精簡功能模式 (Reduced Functionality Mode,RFM)。 如上所述地,以 KMS 啟動的 KMS 用戶端需定期地嘗試更新其啟動。如果它們超過 180 天無法連線至 KMS 主機,將進入 30 天的限定期限,在這之後,它們就會進入 RFM,直到與 KMS 主機成功連線,或直到安裝了 MAK,並且系統已透過線上或電話方式啟動。此功能可以防止已經從組織中移除的電腦在沒有適當的授權涵蓋下仍無限制地運作。 OEM Activation 2.0在您整體的啟動策略中,OEM Activation 2.0 可以是一個很有價值的元件。使用 OEM SKU 和 OEM Activation 2.0 的好處包括了永久性的立即可用的啟動,以及客戶可向其 OEM 製造商索取自訂的媒體影像。大量授權媒體可以預先安裝,但必須以 MAK 或 KMS 來啟動。 零售版啟動和 MAK 啟動一樣,以 Windows Vista 零售版本安裝的電腦必須以線上或電話方式經由 Microsoft 來啟動。每個 Windows Vista 安裝都需要個別的產品金鑰。Windows Vista 的零售版本不能使用 KMS 來進行啟動。 目標環境考慮因素為每個將要部署 Windows Vista 的目標環境,決定其目前的基礎結構能力。一些需要回答的常見問題如下: 目標網路中將部署多少部電腦? | KMS 要求至少要有 25 部電腦連線到 KMS 主機,Windows Vista 用戶端電腦才能啟動。 | 網路是否支援 TCP/IP 連線? | KMS 啟動需要 TCP/IP 連線 (連接埠 TCP/1688 預設值)。KMS 啟動的要求和回應大約需要 450 個位元組。請考慮慢速和/或高延遲連結的定期啟動影響。 | 目標環境中的電腦是否擁有網際網路連線能力? | 針對自動的 MAK 獨立啟動,每部電腦都需要連線到網際網路的連線能力。 | 目前的網域名稱系統 (DNS) 服務是否支援 SRV 記錄和 DDNS? | KMS 所使用的預設自動發行和自動探索功能需要動態的 DNS 和 SRV 記錄支援。Microsoft Windows 2000 或以上版本的 DNS 和 BIND 8.x 或更新版本可完整支援這些功能。 本指南稍後將詳細說明如何手動地針對 KMS 支援來設定 DNS。 |
表格 1:基礎架構分析問題 針對可透過 TCP/IP 連線以連線到中樞位置,並可支援 KMS 頻寬需求的目標環境,集中化的 KMS 是一個建議選項。如果相同的位置沒有 TCP/IP 連線來連線到中樞位置,但是可支援必要的電腦計數 (n-count),那麼本機的 KMS 將是一個可行的解決方案。MAK 啟動是膝上型電腦和其他不能滿足 n-count 的目標環境的偏好選項。在選擇啟動選項之前,務必清楚地瞭解使用者連線需求和基礎結構能力,以及任何商務需求。 下表列出了一些在選取產品啟動選項時的一般性目標環境考量。 高安全性網路 (不允許外部資料傳輸) | 任何種類的資料並無法跨越網路邊界來傳輸。 OEM 啟動可能是這些案例中的最佳解決方案。 | 受限制的網際網路存取 | 存取網際網路時會受限的位置。 KMS 或 MAK 啟動可用於啟動。 | 定期連線 | 電腦需要定期地連線到組織的網路,讓系統管理員可以主動地管理它們以進行更新。因為 KMS 型態的啟動具有 180 天的有效期,這些電腦需要重新連線,否則它們將落入精簡功能模式 (RFM)。 |
表格 2:安全性原則考慮因素 除了所列的考量外,考量任何組織的原則也是同樣重要,例如有關 KMS 主機的大小或共同裝載。 KMS 主機大小KMS 主機處理能力事實上應該不會成為任何大小組織的限制因素。一台 KMS 主機就可以支援數十萬個 KMS 用戶端,並且每個 KMS 要求只有數以百計位元組。此外,在嘗試啟動時,用戶端電腦每隔兩個小時 (預設值) 會發出一個 KMS 要求,等到啟動之後,則每七天發出一個。一般而言,用戶端電腦會以起始的要求來啟動。 以下列出了規劃 KMS 主機的一些考量: | • | KMS 在積極處理要求時,運算週期相當地密集。在要求處理過程中,單一處理器電腦上的 CPU 使用量可能會隨時達到 100%。 | | • | KMS 記憶體使用量取決於傳入的要求數量,可能從 10 MB 到 25 MB 不等。 | | • | 網路預先配置最低。 一個完整用戶端-KMS 交換的每一個方面,外加 TCP 工作階段的安裝和分割,傳送的位元組少於 250。唯一額外的網路流量為自動探索,而且只要同一個 KMS 持續用於往後的更新,每個用戶端電腦通常只需執行一次自動探索。 | | • | 大型組織可能需要多部 KMS 主機來處理負載平衡和重複性。 |
共同裝載 KMS為了儘量降低成本,大多數的組織都偏好共同裝載 KMS 和其他功能。KMS 是設計用來支援共同裝載。KMS 可以輕鬆地與常見的伺服器角色共存,包括網域控制站。它在正常的操作中只有很小的資源支配,雖然在上一節有提到它可以變得計算連結。這最可能發生於 KMS 用戶端的大型部署之後,或是大多數的使用者在短期內啟動其電腦時。如果 CPU 耗用是一個問題,KMS 亦支援低優先順序的選項。 使用者連線考慮因素評估您的環境,並找出您的電腦如何連線到網路。連線到網路的連線能力、網際網路存取、經常連線到網路的電腦個數都是一些需要找出的重要特性。一些組織可能會包含組合的環境,像是一些環境會連線到公司網路,其他則不會。在此狀況下,將會使用一個以上的啟動選項。在選取啟動方法時,這些因素都是重要的考量。 下表列出了使用者連線的常見類型,以及它們的特性。 連線 | 這類電腦一般會連線到網路 | 遠端加上定期連線 | 這類電腦位於「實地」,通常是透過虛擬私人網路 (VPN) 或造訪本地辦公室來進行依需要的組織網路連線。 | 遠端加上有限連線 | 這類電腦位於「實地」,並且沒有直接存取網路,但是可能會以 Web 型態來存取組織資源。 | 中斷連線 | 這類電腦可能從來不曾連線到網路,或連線機會非常地少 (像是一年少於兩次)。 |
表格 3:連線類型 對於連線類型為「連線」或「遠端加上定期連線」的電腦而言,KMS 啟動是較吸引人的選項,而對於連線類型為「遠端加上有限連線」或「中斷連線」的電腦而言,MAK 啟動則是較合乎邏輯的選擇。選擇啟動選項並不是像決定使用者連線類型那樣非黑即白的選擇。 
檢視大圖
將電腦對應至啟動解決方案選取適當的啟動選項的第二步是,將電腦對應至啟動解決方案。目標是確保所有電腦都與某個啟動選項相關聯。請檢視表格 4 所顯示的範例指導工作表,看看如何將您的電腦對應至啟動解決方案。要完成該工作表,您需要決定下列項目: | • | 需要使用 Volume Activation 2.0 方法來啟動的電腦總數 | | • | 無法每 180 天至少連線一次的電腦個數 (使用 MAK 啟動選項。) | | • | 所包含電腦個數少於 25 台的環境中的電腦個數 (使用 MAK 啟動選項。) | | • | 會經常連線到網路的電腦個數 (使用 KMS 啟動選項。) | | • | 所包含電腦個數多於 25 台,並且沒有網際網路連線能力的中斷連線環境中的電腦個數 (使用 KMS 啟動選項。) | | • | 所包含電腦個數少於 25 台,並且沒有網際網路連線能力的中斷連線環境中的電腦個數 (使用 MAK 啟動選項。) |
欲啟動的電腦總數 | N/A | 100,000 | 無法每 180 天至少連線一次的電腦個數 | MAK | -3,000 | 所包含電腦個數少於 25 台的環境中的電腦個數 | MAK | -1,000 | 會經常連線到網路的電腦個數 | KMS | -95,000 | 所包含電腦個數多於 25 台,並且沒有網際網路連線能力的中斷連線環境中的電腦個數 | KMS | -250 | 所包含電腦個數少於 25 台,並且沒有網際網路連線能力的中斷連線環境中的電腦個數 | MAK | -750 | 剩下的電腦計數應該為零 | | 0 |
表格 4:啟動對應工作表範例 附錄 4 中的空白工作表可作為工作協助。 
檢視大圖
計畫監視和報告為 KMS 和 MAK 建立監視和報告是相當重要的。針對 MAK,務必要透過檢視 Microsoft 授權網站來監視所使用的 MAK 啟動個數。如果您的環境可支援 KMS 的需求 (要有 25 台電腦才能進行 Vista 啟動),那就建議您部署 KMS,如此電腦才不會執行於精簡功能模式中。 請參閱底下章節,以便在 Volume Activation 2.0 環境中設定報告: | • | KMS MOM Pack (將於 2007 年第一季提供) – 提供 KMS 管理和 KMS 啟動的範例報告。相關說明請參閱 KMS 啟動報告。 | | • | 即將可以透過不同的系統管理工具來製作啟動報告。 | | • | 「Volume Activation 2.0 Technical Attributes.xls」檔列出了用於產品啟動的所有 WMI 方法、內容、登錄機碼和事件識別碼。 |
檢視大圖
計畫支援為下列案例建立支援指令碼,以解決常見的 Volume Activation 2.0 問題: 部署範例MAK 獨立啟動和 KMS 啟動的部署範例許多企業都包含了分割成多重安全性區域的網路。在啟動 Windows Vista 時,這可能會對系統管理員造成問題。幸好,當您在異質性環境中部署 Windows Vista 時有多重選項。 下圖顯示了使用MAK獨立啟動和 KMS 啟動之可能的網路設定範例。請注意,此範例僅供顯示關鍵案例的說明之用。  圖 1:使用 MAK 與 KMS 的網路設定
檢視大圖 在此範例中,企業擁有處於下列不同案例中的電腦: | • | 核心網路:核心網路有重複的 KMS 主機。主公司網路中的所有電腦會查詢 DNS 是否有 KMS SRV 記錄,並在連絡了執行於這些電腦之上的 KMS 服務之後自行啟動。KMS 主機是直接透過網際網路來啟動。 | | • | 安全區域:許多企業有安全區域,這是透過安裝防火牆來封鎖安全區域和網路其他區域間的流量,而在公司網路中建立出來的。為了讓這些電腦使用公司的 KMS,並透過 TCP/IP 上的 RPC 來啟動,網路的系統管理員必須允許 1688/TCP 能夠從安全區域輸出,並允許 RPC 送回回覆。 | | • | 隔離實驗室:在隔離實驗室案例中,公司的安全性原則並不允許隔離實驗室中的電腦和公司網路的其他電腦之間有任何流量。這可以透過一個幾乎封鎖所有連接埠、僅開放極少數連接埠的防火牆做到,或是根本沒有任何網路連線。因為實驗室包含了 25 台以上的電腦,使用者可以部署一個 KMS 服務到實驗室中的一台 Windows Vista 電腦上。接著實驗室中的所有電腦只需要使用該區域 KMS 主機來啟動即可。KMS 主機本身是透過呼叫 Microsoft 並取得確認識別碼 (CID) 來啟動的。 | | • | 中斷連線的電腦:電腦如果不是在公司網路上及 (或) 位於電腦個數少於 25 的實驗室中,就必須使用 MAK 來啟動。如果電腦需要偶爾連線到網際網路 (例如外出銷售員的膝上型電腦),它可以直接連線到 Microsoft 來啟動。除非硬體有重大的變動,否則電腦只需連線到網際網路一次 (來啟動),而不需要重新啟動。如果電腦是在實驗室內,並且完全沒有網路連線,它可以透過電話來向 Microsoft 要求啟動,就和 KMS 主機在隔離實驗室案例中的啟動方式一樣。 |
MAK Proxy 啟動部署範例有些客戶可能不想使用 KMS。本節涵蓋了企業使用代號為 “Volume Activation Management Tool (VAMT)” 的 MAK proxy 啟動工具來為所有的 Windows Vista 大量授權版本執行啟動的範例。 下圖顯示了使用 MAK 和 VAMT 進行可能的網路設定的範例。請注意,此範例僅供顯示所有關鍵案例的說明之用。  圖 2:使用 MAK 與 VAMT 的網路設定
檢視大圖 圖檔顯示了電腦在下列的案例: | • | 核心網路:在核心網路案例中,VAMT 將部署到一部可以存取網際網路的電腦上。系統管理員可以針對 Active Directory 網域或工作群組執行「新增機器」功能,以尋找網路上的電腦。在探索完電腦和傳回狀態之後,系統管理員可以執行 MAK 獨立啟動或是 MAK proxy 啟動。 MAK 獨立啟動會安裝 MAK 到用戶端電腦上,並透過網際網路向 Microsoft 要求啟動。MAK proxy 啟動會安裝 MAK 到用戶端電腦上、取得安裝識別碼 (IID)、代表用戶端來傳送 IID 到 Microsoft,並取得一個確認識別碼 (CID),之後工具將透過安裝對應的 CID 來啟動用戶端。 | | • | 安全性區域:在此案例中,工具可以使用 MAK proxy 啟動來啟動電腦。這確保安全性區域中的用戶端並沒有網際網路存取。下列兩個關鍵問題需要解決: | | • | 隔離實驗室:在隔離實驗室的案例中,工具是裝載於隔離的實驗室內。工具可執行探索、取得狀態、安裝 MAK,並取得實驗室內所有電腦的 IID。接著工具會匯出電腦清單到卸除式媒體上的檔案內。系統管理員將匯出機器資料到在核心網路中執行該工具的電腦內。此工作一完成,工具就會傳送 IID 到 Microsoft,並取得對應的 CID,接著系統管理員會將它匯出到卸除式媒體的檔案內,並將它帶回到隔離的實驗室。一旦此資料匯入到工具內,系統管理員就可透過安裝 CID 來啟動隔離實驗室的電腦。 |
媒體考慮因素「大量授權產品使用權限」要求您部署的每一份 Windows Vista 都有先前的合格作業系統授權。預設的 32 位元大量媒體只能升級,而不能開機 (64 位元的大量授權媒體並沒有這樣的限制,因為沒有支援的升級途徑)。您必須先以上一版的 Windows 開機,接著執行安裝程式來安裝 Windows Vista。您也可透過您的大量授權入口網站來索取可開機媒體。 Windows Vista 大量授權媒體Windows Vista 商用入門版 | 升級,完整 | 完整 | Windows Vista 商用進階版 | 升級,完整 | 完整 |
表格 5:Windows Vista 大量授權媒體 產品金鑰部署考慮因素Windows Vista 大量授權版本在預設下會採用 KMS 型態的啟動,並且不需要在安裝時輸入產品金鑰。Windows Vista 大量授權版本會使用 sources\pid.txt 檔中的特殊預先定義的安裝金鑰。您可以在部署之中或部署之後以各式方法來指定 MAK。 安裝過程中 | 不需要任何金鑰。大量授權版本 (在預設下) 會使用 \sources\pid.txt 中的產品金鑰來進行 KMS 啟動 | 在執行手動安裝時不能輸入產品金鑰。 | 以自動檔案1 | 不需要任何金鑰。大量授權版本 (在預設下) 會使用 \sources\pid.txt 中的產品金鑰來進行 KMS 啟動 | 在 autounattend.xml (針對 DVD 開機) 或 unattend.xml (針對網路共用安裝) 或 imageunattend.xml (針對 WDS 安裝) 的 「specialize」回合中指定 MAK | 以影像型態的部署 (ImageX.exe 或其他工具)2 | 不需要任何金鑰。使用參考影像的啟動方法。 | 不需要任何金鑰。使用參考影像的啟動方法。 | 作業系統安裝之後 | 不需要任何金鑰。大量授權版本 (在預設下) 會使用 \sources\pid.txt 中的產品金鑰來進行 KMS 啟動 | 1. | 使用控制台中的 [變更產品金鑰] 選項。 | 2. | 安裝完成之後,使用 slmgr.vbs 來安裝與啟動 MAK。此程序可編寫成指令碼,並加以設定,以供標準使用者使用,以及提供 Business Desktop Deployment (BDD) 解決方案加速器使用。 | 3. | 代號為 “Volume Activation and Management Tool (VAMT)” 的工具可讓系統管理員將網路上的 MAK 部署自動化,並將於 2007 年提供。 |
|
圖 6:MAK 與 KMS 產品金要部署選項 在所有的部署案例中,您必須在散發影像到使用者之前,執行參考系統上的 “%systemroot%\system32\sysprep\sysprep /generalize”,以重設產品啟動計時器。 大量授權金鑰參與任何大量授權方案的組織可以從下列位置中取得大量授權金鑰: 根據預設,KMS 金鑰最多只能在兩部電腦上進行十個啟動。系統管理員可以撥電話給當地的 Microsoft 啟動客服中心(Microsoft Activation Call Center)來取得覆寫。 MAK 將根據客戶與 Microsoft 之間存在的合約類型,對啟動個數設定上限。客戶可以撥電話給當地的 Microsoft 啟動客服中心來要求增加此上限。 重要事項:您需負責管理指定給您的金鑰的使用狀況,以及使用您的 KMS 主機來啟動產品。 | • | 您不應該洩漏金鑰給第三者。 | | • | 您不可以透過未控制的網路,例如網際網路,不安全地存取您的 KMS 主機。 |
部署指南部署指南章節中提供 Windows Vista 大量授權版本的啟動遂步指示。 針對一般性考量,請閱讀下列章節: 如需實作 MAK 啟動,請閱讀下列章節: 如需實作 KMS 啟動,請閱讀下列章節: Windows Vista 一般性考量本章節提供部署 Windows Vista 的一般性考量。 開發中的工具| • | MAK Proxy Activation 將於代號為 Volume Activation Management Tool (VAMT) 的解決方案之中提供,此工具目前仍在開發,預計將於 2007 年推出。 | | • | Volume Activation 2.0 的 Windows Server 2003 KMS 服務目前仍在開發,預計將於 2007 年推出。 |
管理認證要完成任何步驟,您必須是系統管理員群組中的一員。所有的指令碼函數必須以提高的權限從命令提示中執行,除非已啟用了標準使用者的啟動。請參閱啟用標準使用者的 MAK 啟動小節來啟用此選項。 MAK 啟動MAK 安裝於每一部大量授權的電腦上,並將透過網際網路或電話向 Microsoft 啟動一次。MAK 可以安裝在個別的電腦上,或包含於一個影像之中,以便大量複製或以 Windows Deployment Services (WDS) 供人下載。建議將 MAK 用於不常或從來不連線到組織網路的電腦上。MAK 可以安裝在被設定成使用 KMS 啟動的電腦上,其啟動有過期的風險,或真的到達了限定期限的最後期限。30 天的限定期限並不能延長,因此您必須立即啟動 MAK。當電腦接近啟動限定期限的最後期限時,快顯啟動通知將會越來越頻繁地傳給使用者,除非您停用電腦上的快顯通知。 MAK 用戶端的安裝與啟用步驟安裝 MAK 的步驟取決於您是在作業系統安裝之中或之後執行它們。 若要使用 MAK 啟動來啟動用戶端電腦,請依照下列章節提到的任一種程序步驟: 若要讓標準使用者 (非系統管理員) 變更產品金鑰,請完成下列工作: 在作業系統安裝完畢之後安裝一個多重啟動金鑰1. | 選擇與安裝您要的大量授權媒體。在安裝過程中不需要任何產品金鑰。 | 2. | 開啟電腦然後使用具系統管理員權限帳戶登入。依照按一下 [開始] 然後在 [電腦] 上按右鍵,再按 [內容] 以開啟在控制台中的系統內容。 | 3. | 在 [啟動] 部份,按一下 [變更產品金鑰]。 您將需要有權限。按一下 [續繼]。 | 4. | 在 [變更進行啟動的產品金鑰] 對話方塊中輸入 MAK。 電腦嘗試透過網際網路進行啟動。下個畫面將指出它是否成功地啟動,或由於某些理由而無法啟動 (通常是由於網路連線)。 如果啟動不成功,電腦會嘗試自動重試 (使用者不需要是系統管理員,即可自動啟動)。若要停用自動啟動嘗試,請變更登錄值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SL\Activation\Manual 為 1。 重要事項:本章節包含有關如何修改登錄的資訊。在您修改它之前請確認已備份登錄資訊。請確定您知道如何還原登錄資訊當發生問題時。如需更多如何備份、還原和修改登錄的相關資訊,請按一下下列文章號碼以檢視在 Microsoft 知識庫中的文章: 256986 (http://support.microsoft.com/kb/256986/) Microsoft Windows 登錄說明。 |
|
 圖 3:[變更進行啟動的產品金鑰] 對話方塊
檢視大圖 1. | 選擇與安裝您要的大量授權媒體。在安裝過程中不需要任何產品金鑰。 | 2. | 使用具系統管理員權限帳戶登入。 | 3. | 啟動一個命令視窗 (如果未以系統管理員身分執行,則使用提高的權限)。 | 4. | 使用您的 MAK,執行下列指令碼:
cscript \windows\system32\slmgr.vbs -ipk <Multiple Activation Key> 電腦會在下次排程的時段中透過網際網路來嘗試啟動。要立即啟動,請遵循以指令碼使用 MAK 啟動在網際網路上手動啟動中的程序。 如果啟動不成功,電腦會嘗試自動重試。若要停用自動啟動嘗試,請變更登錄值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SL\Activation\Manual 為 1。 重要事項:本章節包含有關如何修改登錄的資訊。在您修改它之前請確認已備份登錄資訊。請確定您知道如何還原登錄資訊當發生問題時。如需更多如何備份、還原和修改登錄的相關資訊,請按一下下列文章號碼以檢視在 Microsoft 知識庫中的文章: 256986 (http://support.microsoft.com/kb/256986/) Microsoft Windows 登錄說明。 |
|
在作業系統安裝時,安裝多重啟動金鑰| • | 使用 Setup.exe 或 Windows Deployment Service (WDS),針對從 DVD 安裝中開機的狀況,請在磁碟上的 unattend.xml 中的 “specialize” 回合中指定 MAK 產品金鑰,而針對網路共用安裝的狀況,則執行 /unattend:<path to file>。如需詳細資訊,請參閱 Unattended Windows Setup Reference 說明檔和 Vista 的 Windows 自動安裝套件 (WAIK) 使用者指南:http://go.microsoft.com/fwlink/?LinkId=76683 (英文) 底下列出了一個用來安裝 MAK 的範例 autounattend.xml 檔: 注意 下列程式碼片段的一些部分顯示成多行,這只是為了提供較佳的可讀性。它們應該輸入到一行之中。 <?xml version="1.0" encoding="utf-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="windowsPE">
<component name="Microsoft-Windows-Setup"
processorArchitecture="x86" publicKeyToken="31bf3856ad364e35"
language="neutral" versionScope="nonSxS"
xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<UserData>
<AcceptEula>true</AcceptEula>
</UserData>
</component>
</settings>
<settings pass="specialize">
<component name="Microsoft-Windows-Shell-Setup"
processorArchitecture="x86" publicKeyToken="31bf3856ad364e35"
language="neutral" versionScope="nonSxS"
xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<ProductKey>MAK Product Key</ProductKey>
</component>
</settings>
<cpi:offlineImage cpi:source="" xmlns:cpi="urn:schemas-microsoft-com:cpi" />
</unattend> |
注意MAK 將以純文字的形式儲存於 *.XML 檔之中,如同使用這些方法的安裝程序所要求的。在自動安裝程序中,unattend.xml/autounattend.xml 檔會複製到目標電腦內 (%systemroot%\panther 資料夾),但在安裝程式的最後,此檔案中的實際 ProductKey 值會被刪除,並替換成 “SENSITIVE*DATA*DELETED”。 啟動 MAK 用戶端您可以使用下列任一程序啟動 MAK 用戶端: 透過網際網路啟動來啟動 MAK 用戶端請依底下的任一種程序啟動使用 MAK 啟動的電腦: 1. | 在 [控制台] 中,開啟 [系統] 的 [內容] 如果您收到請求允許的提示,請按一下 [允許]。 | 2. | 按一下 [按一下這裡以立即啟用 Windows ]。 這將會啟動啟動精靈。如果您收到請求允許的提示,請按一下 [允許]。 如果您的電腦可以存取網際網路,並且可以啟動,Windows 會報告啟動成功。 如果您無法啟動,精靈則報告失敗,並且提供額外的選項,包括可使用電話來啟動。 |
|
1. | 啟動一個命令視窗 (如果未以系統管理員身分執行,則使用提高的權限)。 | 2. | 執行下列指令碼以執行啟動: cscript \windows\system32\slmgr.vbs –ato 指今碼將會回報成功或失敗的結果代碼。 |
|
透過電話啟動來啟動 MAK 用戶端使用此程序來啟動連線到組織網路、並且沒有網際網路連線的電腦。 如果您需要經常執行啟動,或啟動多部電腦,最好調整內建指令碼 (slmgr.vbs) 來將處理程序自動化。 1. | 啟動一個命令視窗 (如果未以系統管理員身分執行,則使用提高的權限)。若希望能使用滑鼠選取和 ENTER 鍵來從命令視窗複製,請確認已設定 [快速編輯模式] 編輯選項。 | 2. | 使用下列指令碼,從目標電腦取得 IID:
cscript \windows\system32\slmgr.vbs <ComputerName> <Username> <Password> –dli | 3. | 這將會顯示多個依照產品識別碼所群組的授權資訊區段。在 Partial Product Key 中列出您 MAK 最後五個字元的區段就是包含電話啟動所需產品識別碼和 IID 的區段。請儲存這兩個數值,以及 %COMPUTERNAME%。(使用 set 命令來找到它。) | 4. | 撥打您地區的自動電話系統。 您可以在命令提示中執行 slui.exe 4,以便使用 [尋找進行啟動的可用電話號碼精靈] (Find available phone numbers for activation wizard) 在軟體授權使用者介面中取得相關的電話號碼。 您可以使用「互動式語音回應系統」來取得目標電腦的 CID。看到提示之後,提供所啟動電腦的對應 IID。 | 5. | 透過使用下列指令碼來安裝 CID,以啟動目標電腦 (%COMPUTERNAME%):
cscript \windows\system32\slmgr.vbs <ComputerName> <UserName> <Password> –atp <Confirmation ID> |
|
使用代號為 “Volume Activation Management Tool” 的工具來啟動 MAKMicrosoft 目前正在開發 VAMT,以提供符合成本效益的批次網際網路型啟動,作為有別於電話啟動的另一項選擇。此解決方案可讓客戶啟動一群相連的用戶端電腦,同時支援用戶端電腦可能中斷連線的案例,並且只有放置於中央的一部裝載工具的電腦可存取網際網路或 Microsoft。MAK Proxy Activation 將提供於代號為 Volume Activation Management Tool (VAMT) 的解決方案之中,此工具目前仍在開發,預計將於 2007 年推出。 選擇性的 MAK 組態 – 啟用標準使用者 MAK 啟動您可以選擇性地建立一個登錄機碼,以便讓標準使用者套用 MAK 與啟動電腦。不過,因為這會降低電腦的安全性,您務必瞭解允許標準使用者變更授權狀態可能增加的風險。 一旦您做此變更之後,不需要具有系統管理員權限,即可進行產品的啟動。 1. | 在用戶端電腦上,使用 regedit.exe 建置下列登錄機碼。 | 2. | 導覽至 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL | 3. | 輸入下列資料: | • | 數值名稱:UserOperations | | • | 類型:DWORD | | • | 數值資料:1 |
重要事項:本章節包含有關如何修改登錄的資訊。在您修改它之前請確認已備份登錄資訊。請確定您知道如何還原登錄資訊當發生問題時。如需更多如何備份、還原和修改登錄的相關資訊,請按一下下列文章號碼以檢視在 Microsoft 知識庫中的文章: 256986 (http://support.microsoft.com/kb/256986/) Microsoft Windows 登錄說明。 |
|
此程序可讓標準使用者從 KMS 用戶端切換至 MAK,或取代現有的 MAK。它也允許標準使用者手動地啟動電腦。 注意 如果標準使用者變更一個大量產品金鑰,ProductID 登錄值並不會隨之更新,這主要影響產品的支援。「Microsoft 客戶支援服務」瞭解此問題,並將使用另一個方法來決定啟動方法。 KMS 啟動金鑰管理服務 (KMS) 可讓組織在受管理環境中的電腦執行本機啟動,而不需要個別地連線至 Microsoft。您可以安裝 KMS 金鑰,接著透過網際網路或電話向 Microsoft 啟動電腦一次,即可在任何 Windows Vista 或 Windows Server “Longhorn” 電腦上啟用 KMS 功能。在初始化 KMS 之後,KMS 啟動基礎結構就可以自我維護。KMS 服務並不需要專用的電腦來執行它,並且可以輕鬆地和其他服務一起裝載。單一 KMS 主機可以支援數十萬個 KMS 用戶端。預計大多數的組織只需要兩部 KMS 主機,即可處理整個基礎結構 (一部主要的 KMS 主機和一部提供重複性的備份主機)。Volume Activation 2.0 的 Windows Server 2003 KMS 服務目前正在開發之中,可望於 2007 年推出。如果 KMS 主機的硬體有重大的變更,則需要重新啟動。 根據預設,Windows Vista 商用入門版和 Windows Vista 商用進階版是設計用來使用 KMS 來啟動,而不需要使用者互動。用戶端電腦會使用 DNS中找到的 SRV 記錄或指定於登錄中的連線資訊,動態地尋找 KMS 主機。用戶端電腦會使用從 KMS 主機中取得的資訊來自我啟動。KMS 主機至少需要有 25 部實體的 Windows Vista 用戶端電腦連線到它,才能啟動其中任一部電腦。這稱為 n 值或 n-count。運作於虛擬機器 (VM) 環境中的電腦可以使用 KMS 來啟動,但它們並不會增加啟動系統的個數。 尚未啟動的用戶端每隔兩小時 (此數值是可設定的) 會嘗試連線到 KMS 主機一次。您可以在 KMS 主機上設定 ActivationInterval,以設定此間隔時間 (請參閱 針對 KMS 啟動設定 KMS 主機)。 用戶端至少每隔 180 天就必須連線至 KMS 主機來更新其啟動,以維持啟動狀態。一旦啟動之後,用戶端電腦則每隔七天嘗試更新其啟動一次。您可變更 RenewalInterval (請參閱 針對 KMS 啟動來設定 KMS 主機)來設定此間隔。此數值將在用戶端每次連線時傳送給用戶端。在每次成功的連線之後,到期日將會往後延 180 天。 在向某部 KMS 主機啟動用戶端電腦時,其用戶端機器識別碼 (CMID) 會加到受保護的表格內。成功更新之後,對應的快取 CMID 和日期戳記就會從表格中移除。如果用戶端電腦未在 30 天內更新其啟動,對應的 CMID 會從表格中移除,而計數則減一。 用戶端電腦會使用預設的連接埠 1688,以 RPC over TCP 連線至 KMS 主機來取得啟動資訊。此連接埠資訊是可以設定。連線是匿名的,因此可讓工作群組電腦與 KMS 主機通訊。防火牆和路由器網路可能需要設定,才能為將要使用的 TCP 連接埠傳送通訊資料。用戶端電腦會與 KMS 主機建立一個 TCP 工作階段,接著傳送單一的要求封包。之後 KMS 主機會回應,並且工作階段將關閉。同類型的要求-回應將用於啟動要求以及更新要求中。用戶端會將要求和回應都記錄在全域應用程式事件日誌內 (分別為 Microsoft Windows Security Licensing SLC 事件 12288 和 12289)。KMS 主機會記錄它從所有的用戶端電腦收到的要求 (Microsoft-Windows-Security-Licensing-SLC 事件 12290)。請注意,此 KMS 事件位於 Applications and Services Logs\Key Management Service 事件日誌內。 KMS 啟動的先決條件| • | 您必須提供 KMS 主機適當的大量授權媒體。KMS 用戶端也必須擁有適當的大量授權媒體,才能對 KMS 主機啟動。 | | • | KMS 用戶端必須能夠存取 KMS 主機。請考慮下列事項: | | • | 防火牆和路由器網路可能需要設定,才能為將要使用的 TCP 連接埠傳送通訊 (預設值 1688)。 如果使用 Windows 防火牆,用戶端電腦並不需要任何設定,因為它會自動允許來自用戶端電腦的雙向 TCP 工作階段。您可以透過使用 slmgr.vbs 指令碼或設定登錄值,在用戶端電腦或 KMS 主機上設定 TCP 連接埠。您也可以針對此設定群組原則。Windows 防火牆內已經加入一個例外狀況,以幫助開啟預設的連接埠 1688。 | | • | 如果 IPSec 驗證被用來限制網路內電腦間的端對端通訊,您可能需要設定一個或多個 KMS 主機為「邊界機器」,也就是在某些狀況下停用 IPSec 驗證。例如,您的一些用戶端可能位於工作群組內,或是您可能擁有以網域為基礎的用戶端,它們必須跨 Active Directory 樹系來存取 KMS 主機。設定此事的程序並不在本指南的範圍內。 | | • | 您可能需要在 KMS 主機上設定 Applications and Services Logs\Key Management Service 事件日誌,以確認它夠大,容納得下您組織內的預計容量。發生在 KMS 用戶端每次連線到 KMS 主機時的每個 12290 事件大約需要 1,000 個位元組。您可以在 [記錄內容] 對話方塊中設定日誌的大小。 |
KMS 啟動的已知問題在使用 KMS 啟動時,您可能會遇到下列的已知問題: | • | 大量授權金鑰最多可在兩部 KMS 主機上支援 10 個啟動。您可以向 Microsoft 啟動撥接中心 (Microsoft Activation Call Center) 要求額外的啟動。 | | • | 在 KMS 用戶端上變更 [更新間隔] 需要等到用戶端收到該變更,並且軟體授權服務 (slsvc) 重新啟動之後才會生效。 | | • | 執行 Windows Vista RTM 的電腦需要一個 RTM KMS 才能啟動;KMS 的 Beta 版本並不支援 Windows Vista RTM 用戶端的啟動。 |
安裝、設定和部署 KMS 啟動的步驟若要安裝和設定 KMS 主控件,請依照下列章節的步驟: 如需設定 KMS 發佈到 DNS 的步驟和其他相關資訊,請參閱下列章節: 若要安裝、設定、部署和啟動 KMS 用戶端,請依照下列章節的步驟: KMS 主機本章節包含了安裝與設定電腦作為 KMS 主機的程序。 安裝 KMS 主控件請使用下列程序,安裝與啟動電腦作為 KMS 主機。 1. | 選擇與安裝您要的大量授權媒體。在安裝過程中不需要產品金鑰。 | 2. | 啟動電腦、登入,然後以提高的特殊權限來啟動命令視窗。 | 3. | 安裝您的 KMS 金鑰。請勿使用 Windows 介面來執行此事。執行下列指令碼:
cscript C:\windows\system32\slmgr.vbs -ipk <Volume License Key> | 4. | 利用 Microsoft 啟動 KMS 主機,您可以使用線上啟動或電話啟動:
- 針對線上啟動 (您必須能夠從該電腦存取網際網路),請執行下列指令碼:
cscript C:\windows\system32\slmgr.vbs -ato
- 針對電話啟動 (如果您無法存取網際網路),請執行下列指令,並遵循螢幕上的指示:
slui.exe 4 KMS 主機現在已可供 KMS 用戶端使用來進行啟動。其他的設定是選擇性的,通常並不需要。 |
|
KMS 發佈到 DNSKMS 發佈可讓用戶端自動在沒有用戶端設定下來尋找 KMS (稱為自動探索)。如果用戶端尚未登錄來使用特定的 KMS,它們會自動地使用 DNS 自動探索。 KMS 發佈到 DNS 概觀KMS 主機會自動嘗試發佈其存在狀況於 SRV 資源記錄中,如同 RFC2782 (http://www.ietf.org/rfc/rfc2782.txt) (英文) 中所定義的。SRV 記錄可以包含多個項目,包括了 DNS 位址記錄,裡面提供其 KMS 服務提供者的完整網域名稱,以及各式屬性,例如優先順序、連接埠和權數。KMS 僅支援連接埠屬性 – 優先順序和權數將被忽略。 KMS 在 SRV 記錄中發佈其主機名稱 (一個記錄) 和連接埠。用戶端會查詢 DNS 並取出 KMS SRV 記錄的清單。它們將隨機地在此清單中選取一部 KMS 主機,接著嘗試使用此資訊來連線至 KMS。如果連線成功的話,KMS 位置就會予以快取,以供往後的連線之用。否則,該處理程序將會重複,直到用戶端可以連線到 KMS,或直到清單用盡。 使用 SRV 記錄的好處包括: | • | 不需要使用 Active Directory | | • | 並不限於 Active Directory 樹系 | | • | KMS 主機的 TCP 連接埠編號是可以設定的,而不需要接觸用戶端 |
Windows Vista 發行版本中的 KMS 並不支援網站相似性、DNS 優先順序、DNS 權數或其他最佳化。若要控制使用 DNS 自動探索的用戶端將使用哪個 KMS 主機,方法之一是針對不同的 DNS 網域使用不同的 SRV 記錄。此外,您可能需要在每部用戶端電腦上使用直接 KMS 登錄。 根據預設,電腦一被設定成 KMS,就會啟用發佈。它會嘗試在自己的 DNS 網域內自我發佈其位置和連接埠。您可以設定登錄值 DisableDnsPublishing 來停用發佈,如同 設定 KMS 主機來進行 KMS 啟動所述。系統管理員也可以建立一個 DNS 網域清單,以便讓 KMS 主機用來自動發佈其 SRV 記錄,請參閱 <自動在其他 DNS 網域內發佈 KMS>。 要讓 KMS 發佈生效,DNS 系統必須支援動態更新 (Dynamic updates, DDNS)。您也可能需要設定 DNS 安全性,讓 KMS 主機擁有所需的權限來建立或更新這些記錄。如需 DDNS 的詳細資料,請參閱 http://www.ietf.org/rfc/rfc2136.txt (英文)。Windows 從 Windows 2000 起就開始支援 DDNS,BIND8.x 和以後的版本也有支援。 如果軟體授權服務 (slsvc.exe) 偵測到在服務啟動過程中電腦名稱或 TCP 連接埠發生變更,KMS 主機將會自動更新其 SRV 項目。它也會每天更新它們一次,以確保它們不會被 DNS 系統自動移除 (清除)。 並非所有的 DNS 系統都支援 SRV 發佈。在這些狀況中,您需要手動地建立或複製 SRV 記錄。此事可以透過命令列或指令碼來完成。 KMS 發佈到 DNS 的先決條件要完成此項工作,請確認您滿足下列需求: | • | 下列程序假定您使用 Active Directory 和 DNS 服務。設定非 Microsoft DNS 服務,例如 BIND 9.x,並不在本指南的範圍內。不過,您一定可以手動地設定 SRV 記錄。 | | • | 如果用戶端需要存取跨另一個網域或樹系的 KMS 主機,可以做到。 | | • | 如果您正在使用 Active Directory 和 Microsoft 的 DNS 伺服器,您必須是 Domain Administrators 群組的成員、擁有委派的特殊權限,或已經安排程序,以便由您組織中負責 DNS 的授權單位來執行。同樣的需求也適用於非 Microsoft DNS 服務。 |
KMS 發佈到 DNS 的已知問題KMS 發佈已經成功地在 BIND 9.x 上完成測試。任何依據 RFC 支援 DDNS 和 SRV 資源記錄的伺服器應該都支援 KMS 發佈。任何使用非 Microsoft DNS 的部署都應該完整測試,才能用於實際執行之中。 設定 KMS 發佈到 DNS 的步驟要在 Active Directory 中設定 DNS,請完成下列工作: 1. | 如果您只使用一部 KMS 主機,可能不需要設定任何權限,因為其預設行為就是讓電腦建立一個 SRV 記錄,接著更新它。不過,如果您有多部 KMS 主機 (一般的狀況),除非 SRV 的預設權限變更,否則其他主機將無法更新 SRV 記錄。此程序是一個已經實作於 Microsoft 環境中的範例。它並不是獲得想要結果的唯一方法。此處不提供這每一項工作的詳細步驟,因為它們可能隨著組織而異。 | 2. | 如果您是網域系統管理員,並且想要委派執行下列步驟的能力給您組織中的其他人,可在 Active Directory 中選擇性地建立一個安全性群組,並且加入委派,例如建立一個名為 Key Management Service Administrators 的群組,接著委派管理 DNS SRV 特殊權限的權限給這個安全性群組。此程序的其他部分將假定由某位網域系統管理員或受委派者執行這些步驟。 | 3. | 在 Active Directory 中建立一個將用於 KMS 主機的通用安全性群組,例如 Key Management Service Group。 | 4. | 將您的每部 KMS 主機加入到此群組內。它們必須全都加到相同的網域之中。 | 5. | 一旦第一部 KMS 主機被建立之後,就應該建立 SRV 記錄。請將每部 KMS 主機加入到這個安全性群組內。 | 6. | 如果第一部電腦無法建立 SRV 記錄,可能是因為您的組織變更了預設的權限。在此狀況中,您需要以該網域的名稱 _VLMCS._TCP (服務名稱和通訊協定) 手動地建立 SRV 記錄。設定執行時間 (TTL) 為 60 分鐘。 | 7. | 設定 SRV 群組的權限,以容許通用安全性群組的成員進行更新。 |
|
1. | 在 KMS 主控件上,使用 regedit.exe 建置下列登錄機碼。 | 2. | 導覽至 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL 數值名稱:DnsDomainPublishList 類型:REG_MULTI_SZ 值資料:在個別行中輸入 KMS 應發佈資料到哪些 DNS 網域。 重要事項:本章節包含有關如何修改登錄的資訊。在您修改它之前請確認已備份登錄資訊。請確定您知道如何還原登錄資訊當發生問題時。如需更多如何備份、還原和修改登錄的相關資訊,請按一下下列文章號碼以檢視在 Microsoft 知識庫中的文章: 256986 (http://support.microsoft.com/kb/256986/) Microsoft Windows 登錄說明。 建議您匯出登錄機碼,以供日後使用,或匯入到另一部 KMS 主機。 | 3. | 重新啟動軟體授權服務,這些記錄應該會立即建立。 應用程式事件日誌將為每個成功發佈的網域包含一個 12294 事件,每個不成功的網域發佈嘗試則包含一個 12293 事件。 | 4. | 針對 12293 事件,失敗代碼可以透過執行下列命令來診斷: slui.exe 0x2a 0x<error code> 如需範例,請參閱對應錯誤碼到文字訊息。 |
|
KMS 用戶端本節包含了安裝與設定電腦為 KMS 用戶端的程序。 使用這些程序來安裝 KMS 用戶端。 1. | 選擇與安裝您要的大量授權媒體。在安裝過程中不需要產品金鑰。 | 2. | 如果您使用 DNS 自動探索,就不需要進一步的設定。 | 3. | 針對加入網域的電腦,KMS 的 DNS 自動探索要求 DNS 區域對應到電腦的主要 DNS 尾碼,或是 Active Directory DNS 網域包含 KMS 的 SRV 資源記錄。 | 4. | 針對工作群組電腦,KMS 的 DNS 自動探索要求 DNS 區域對應到電腦的主要 DNS 尾碼,或是 DHCP (每一 RFC 2132 的選項 15) 指定的 DNS 網域名稱包含 KMS 的 SRV 資源記錄。 |
|
使用這些程序來設定 KMS 用戶端。 1. | 只有會向其 KMS 主機進行直接登錄的 KMS 用戶端才需要設定。直接登錄會覆寫 DNS 自動探索。您可以在下列狀況下編寫指令碼來設定,以便從遠端執行,並且可以使用群組原則或登入指令碼: | • | 所需的服務以在電腦上啟動。 | | • | KMS 通訊所使用的連接埠並未於防火牆或路由器中封鎖。 | | • | 存取權限已正確設定。(實作於 WMI 或透過登錄的所有方法都需要系統管理員的特殊權限,除非啟用了標準使用者啟動)。 |
| 2. | 在 KMS 用戶端中,登錄 KMS 主機的完整網域名稱 (FQDN),例如 kms03.site5.contoso.com,也可選擇性地登錄用來與 KMS 通訊的 TCP 連接埠 (如果您不是使用預設值): cscript \windows\system32\slmgr.vbs -skms <KMS_FQDN>[:<port>] | 3. | 您也可以選擇性地使用 IP 或 NetBIOS 識別碼 (電腦名稱),而不使用 FQDN。 cscript \windows\system32\slmgr.vbs -skms <IPv4 Address><:port>
cscript \windows\system32\slmgr.vbs -skms <IPv6 Address><:port>
cscript \windows\system32\slmgr.vbs -skms <MachineName><:port> | 4. | 要為已登錄來使用特定 KMS 的用戶端電腦重新啟用自動探索,請執行下列的內建指令碼: cscript \windows\system32\slmgr.vbs –ckms |
|
使用此程序來部署 KMS 用戶端。 1. | 請在關閉您的部署參考影像之前立即執行 sysprep /generalize。這可重設啟動計時器、安全性識別碼和其他重要的參數。要防止影像在開始第一次開機之後就立即要求啟動,重設啟動計時器是很重要的。請注意,執行 Sysprep 並不會移除安裝的產品金鑰,並且在迷你安裝中,您也不會收到要求新金鑰的提示。 | 2. | 使用與 Windows Vista 相容的影像技術。 | 3. | 使用標準技術,例如磁碟複製或 WDS 來部署。 |
|
手動地啟動 KMS 用戶端以進行 KMS 啟動您可以使用下列程序,啟動使用 KMS 啟動的電腦。請注意,KMS 用戶端會嘗試在預設的間隔自動啟動。不過,您可能希望在散發它們之前先確認一些用戶端 (例如行動用戶端) 已啟動。 1. | 在 [控制台] 中,開啟 [系統] 的 [內容] 如果您收到請求允許的提示,請按一下 [允許]。 | 2. | 按一下 [按一下這裡以立即啟用 Windows ]。 這將會啟動啟動精靈。如果您收到請求允許的提示,請按一下 [允許]。 如果您的電腦可存取網路和 KMS,Windows 將報告啟動已成功。 如果啟動失敗,精靈會報告失敗。要讓啟動發生,必須存在 25 部電腦。如果沒有,啟動將失敗,其錯誤碼為 0xC004F038。 |
|
1. | 啟動命令視窗 (如果沒有執行成系統管理員,需使用提高的特殊權限)。 | 2. | 執行下列指令碼以啟動:
cscript \windows\system32\slmgr.vbs –ato 指令碼將報告啟動成功或失敗,以及結果代碼。 如果您無法啟動,精靈將會報告失敗。要讓啟動發生,必須存在 25 部電腦。如果沒有,啟動將失敗,其錯誤碼為 0xC004F038。 |
|
轉換使用 MAK 啟動的用戶端電腦為使用 KMS 啟動1. | 確認電腦已連線至網路,並且可以存取 KMS 主機。 | 2. | 啟動命令視窗 (如果沒有執行成系統管理員,需使用提高的特殊權限)。 | 3. | 執行下列指令碼來安裝安裝金鑰,如同表格所定義的 (它會自動移除 MAK): cscript \windows\system32\slmgr.vbs –ipk <setup key> (請注意安裝金鑰也出現在 sources\pid.txt 中。) 版本 Vista RTM 安裝金鑰 (升級) Windows Vista 商用入門版 XQYF4-QVCMY-YXQRD-9QPV8-3YP9V Windows Vista 商用入門版 N HGBJ9-RWD6M-6HDGW-6T2XD-JQ66F Windows Vista 商用進階版 3JHG3-Y66GP-B7F3K-JFVX2-VBH7K | 4. | 執行下列指令碼以啟動電腦:
cscript \windows\system32\slmgr.vbs –ato 指令碼將報告啟動成功或失敗的結果代碼。 |
重要事項 如果在 Windows 首次安裝之後超過 30 天,一定要在電腦重新啟動之前啟動 Windows。如果到了寬限期最後仍沒有啟動,電腦就會進入精簡功能模式之中。 |
操作指導本逐步指南章節提供了實作 Volume Activation 2.0 的操作指導。 內建的指令碼支援此處提供內建的指令碼來支援 Volume Activation 2.0。本指令碼可以執行於目標系統本機,或以遠端方式從另一部電腦執行。為了簡單起見,我們假定本章節所提供的範例是用於本機指令碼之中。若要用於遠端用途,您必須提供所有顯示在括弧內的參數。 一般的語法為:
C:\>cscript C:\windows\system32\slmgr.vbs <ComputerName><UserName><Password> <Option> 您也可以使用 wscript 來執行指令碼,或執行 slmgr.vbs 以使用預設的指令碼引擎。如果沒有指定選項就叫用指令碼,使用方式資訊將會出現。如果您沒有指定使用者名稱和密碼,指令碼將會採用執行指令碼的使用者認證。 重要事項:即使是針對僅供顯示的選項,所有指令碼功能都必須使用提高的權限來從命令提示中執行,除非標準使用者已啟用啟動。如果是執行於標準使用者的預設設定中,顯示授權選項 (-dli) 的一些資料可能會遺失或不正確。要完成此事,請在命令提示的捷徑上按右鍵,然後按一下 [以系統管理員身分執行]。 遠端指令碼支援要從遠端執行指令碼,請確認您擁有目標電腦的名稱,以及具有適當特殊權限的認證。此外,支援遠端使用所需的服務和連接埠必須適當地設定。 要使用 slmgr.vbs 指令碼的遠端功能,您需要對遠端系統作一些變更。您必須在用戶端防火牆內設定一個例外狀況。要以工作群組內的電腦從遠端使用 slmgr.vbs,請設定一個登錄機碼來修改「使用者存取控制」,以允許遠端管理操作。如果您計畫在您的組織內使用 slmgr 遠端功能,可在部署之前考慮在您的影像之中作這些變更。 1. | 在 [控制台] 中,按二下 [資訊安全中心],然後設定 [Windows 防火牆] 。 | 2. | 按一下 [例外] 標籤。 | 3. | 選擇 [Windows Management Instrumentation (WMI)] 對話方塊。 | 4. | 按一下 [確定]。 |
|
注意 根據預設,「Windows 防火牆例外」只能套用來自本機子網路的例外狀況。要擴充例外狀況,以套用到多重子網路,您需要在 Windows 防火牆的 [進階安全性] 內變更例外狀況設定。 1. | 在 [控制台] 中,按二下 [系統管理工具],然後按二下 [Windows 防火牆進階安全性]。 | 2. | 輪流地按兩下底下三個 WMI 項目,並確認下列變更 (a-d): 1. | Windows Management Instrumentation (ASync-In) | 2. | Windows Management Instrumentation (DCOM-In) | 3. | Windows Management Instrumentation (WMI-In) |
| 3. | 在 [一般] 索引標籤中選取 [允許連線] 核取方塊。 | 4. | 在 [範圍] 索引標籤中變更 [遠端 IP 位址] 設定中的 "本機子網路" (預設值),以允許您需要的特定存取。 | 5. | 在 [進階] 索引標籤中確認選到所有適用於組織網路的設定檔。 | 6. | 按一下 [確定]。 |
|
1. | 在用戶端電腦上,使用 regedit.exe 建置下列登錄機碼。 | 2. | 導覽至 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system | 3. | 輸入下列詳細資料: | • | 數值名稱:LocalAccountTokenFilterPolicy | | • | 類型:DWORD | | • | 數值資料:1 |
重要事項:本章節包含有關如何修改登錄的資訊。在您修改它之前請確認已備份登錄資訊。請確定您知道如何還原登錄資訊當發生問題時。如需更多如何備份、還原和修改登錄的相關資訊,請按一下下列文章號碼以檢視在 Microsoft 知識庫中的文章: 256986 (http://support.microsoft.com/kb/256986/) Microsoft Windows 登錄說明。 |
|
Microsoft 金鑰管理服務 MOM 套件您可以使用 Microsoft Windows 金鑰管理服務 MOM 套件來管理 KMS 環境,以滿足既有的可用性需求,並支援 KMS 啟動的大量報告。 KMS MOM 套件並沒有和 Windows Vista 包裝在一起。要下載 KMS MOM 套件,請移至 http://www.microsoft.com/technet/prodtechnol/mom/mom2005/catalog.aspx (英文) 注意 它可望在 2007 年第一季推出。 MOM 套件所隨附的文件討論了安裝、設定、如何在您的 MOM Server 中使用 KMS 規則,以及您 MOM 資料倉庫的相關 KMS 報告。 MOM 套件的已知問題在 Windows Vista 的 64 位元版本上,MOM 2003 Agent (它為 32 位元) 並不能看到儲存於登錄中的版本編號。此數值可用來決定 KMS MOM 套件所定義的電腦群組中的成員。若沒有加入電腦群組內,KMS 將不會提供資料給 MOM 伺服器的資料倉庫。當 KMS 啟動時,登錄值會由 slmgr.vbs 所建立,並且根據預設會儲存於登錄的 64 位元檢視之中。有兩個方式可處理此問題;如需詳細資料,請參閱 附錄 3:解決 MOM 2003 的安裝問題。 KMS 狀況監視KMS MOM 套件將透過檢查錯誤條件和可用性,監視 KMS 主機的狀況。當它發現潛在的問題時,就會警示系統管理員。警示將產生於下列狀況中: | • | KMS 初始化失敗 | | • | DNS SRV 發佈失敗 | | • | KMS 主機計數低於指定的臨界值 | | • | 指定的期間內沒有發生任何 KMS 活動 |
KMS 活動報告提供一組 SQL 報告範例,以作為啟動時的大量報告基礎。這些報告如下所示: | • | 啟動次數摘要: 顯示每個 Windows 版本的 KMS 啟動編號,以及多個歷史時間範圍。 | | • | 虛擬機器摘要: 針對每個 Windows 版本,中斷使用 KMS 啟動來啟動的虛擬機器和實體機器的累積個數。 | | • | KMS 活動摘要: 針對每個 Windows 版本,顯示每日的新 KMS 啟動。總要求圖表顯示每日的 KMS 要求活動,裡面包含每個 Windows 版本的啟動和更新。 | | • | 授權狀態摘要:針對每個授權狀態,顯示連線至 KMS 的電腦的過期前剩餘日數。 | | • | 機器到期圖表: 顯示處於 OOB、OOT/Exp 或非正版寬限期中的電腦個數,其使用者在接下來的 30 天內可能會被鎖定 (未授權)。 | | • | 機器到期詳細資料: 列出處於 OOB、OOT/Exp 或非正版寬限期的電腦,其使用者在接下來的7 天中可能會進入精簡功能模式中 (未授權)。 |
備份需求KMS 主機並不需要備份。不過,如果您需要追蹤 KMS 啟動,可以定期匯出 Applications and Services 日誌底下的金鑰管理服務事件記錄資料,作為啟動記錄。 群組原則支援群組原則並沒有因為大量授權,而有特別的新增或變更。所有的設定和屬性資料都由 WMI 及 (或) Windows 登錄所支援,因此可透過群組原則來管理。 停用 Windows Anytime UpgradeWindows Anytime Upgrade (WAU) 程式可讓 Windows Vista 商務使用者透過按一下 [所有程式] 和 [Extras 及 Upgrades] 中的 Windows Anytime Upgrade 連結,直接向 Microsoft 購買升級。此連結和程式僅提供於 Windows Vista 商用入門版版本中,因為此產品同時提供大量授權版和零售版 (不像 Windows Vista 商用進階版只銷售大量授權版)。 一般而言,我們並不希望允許使用者嘗試升級其電腦。幸好,有一個方法可讓系統管理員在 Windows Vista 商用入門版版本中停用對於 WAU 的存取,其作法是在部署之前,加入登錄值到參考影像內。當 WAU 停用時,如果使用者按了 WAU 連結,就會顯示一個錯誤訊息,如同下圖所示。這可防止使用者使用控制台取得升級授權。請注意,意志堅決的使用者仍可直接到 Microsoft Windows Anytime Upgrade 網站中嘗試升級。 依照下列程序協助停用存取網站。 1. | 在用戶端電腦的參考影像中,使用 regedit.exe 來建立 WAU 登錄值。 | 2. | 導覽至 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies | • | 如果需要,建立子機碼和導覽至 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\WAU | | • | 在 WAU 之下建立下列數值 數值名稱:停用 類型:DWORD 數值資料:1 重要事項:本章節包含有關如何修改登錄的資訊。在您修改它之前請確認已備份登錄資訊。請確定您知道如何還原登錄資訊當發生問題時。如需更多如何備份、還原和修改登錄的相關資訊,請按一下下列文章號碼以檢視在 Microsoft 知識庫中的文章: 256986 (http://support.microsoft.com/kb/256986/) Microsoft Windows 登錄說明。 |
| 3. | 完成參考影像,並使用標準技術來部署它。如果使用者按一下 WAU 連結,產生的媒體將會顯示一個錯誤訊息。 |
|
顯示大量授權資訊您可以使用 slmgr.vbs –dli 指令碼來顯示有關您大量授權電腦的相關資訊。這提供了目前授權的一般資訊,包括授權狀態和剩餘的過期時間或寬限期,以及 KMS 用戶端或 KMS 主機的資訊。除了此資訊以外,您可以使用 slmgr.vbs –dlv 檢視更詳細的授權資訊,它們對於支援用途可能很有用。 請依照下列程序以協助顯示大量授權資訊。 1. | 啟動命令視窗 (這裡不需要具系統管理員的權限)。 | 2. | 執行下列指令碼: cscript \windows\system32\slmgr.vbs –dli | 3. | 資訊顯示包括下列: | • | 全球資訊 (範例) Name: Windows(TM) Vista, Enterprise edition Description: Windows Operating System - Vista, ENVIRONMENT channel Partial Product Key: RHXCM License Status: Licensed Volume activation expiration: 43162 minutes (29 days) Evaluation End Date: 8/29/2007 4:59:59 PM | | • | 適用 KMS 用戶端 (範例) Key Management Service 用戶端資訊 Client Machine ID (CMID): 45d450a8-2bef-4f04-9271-6104516a1b60 DNS auto-discovery: KMS name not available from DNS KMS machine extended PID: 11111-00140-008-805425-03-1033-5384.0000-1752006 Activation interval: 120 minute(s) Renewal interval: 10080 minute(s) | | • | 適用 KMS 機器 (範例) 金鑰管理服務啟用於此機器上 Current count: 7 Listening on Port: 1688 DNS Publishing: Enabled KMS priority: Normal |
| 4. | 執行下列指令碼來顯示更多有助於支援用途的授權支援資訊: cscript \windows\system32\slmgr.vbs –dlv
範例: Software licensing service version: 6.0.5384.4 ActivationID: 14478aca-ea15-4958-ac34-359281101c99 ApplicationID: 55c92734-d682-4d71-983e-d6ec3f16059f Extended PID: 11111-00140-009-000002-03-1033-5384.0000-1942006 Installation ID: 000963843315259493598506854253663081409973656140419231 | 5. | 執行下列指令碼來為所有已安裝的授權顯示更多的授權支援資訊: cscript \windows\system32\slmgr.vbs -dlv all 注意:一次只能有一個授權在使用中,也就是具有部分產品金鑰的授權。 |
|
軟體資產管理 (SAM)軟體資產管理 (SAM) 是有關軟體、其生命週期和它在組織內用途的相關知識。瞭解企業到底擁有什麼軟體、只擁有每個企業所需的軟體、可以主動地管理每個軟體採購,將可協助組織更妥善地將軟體視為資產來管理。可完整控制軟體資產的組織可以享有更高產能、更少停機、更多軟體廠商支援、以及更有能力遵循軟體授權條款的好處。在 Windows Vista 和 Windows Server “Longhorn” 推出 Software Protection Platform (SPP) 之後,Microsoft 又推出了一個授權商店、一組 Public API (詳細資料請參閱 MSDN) 和 WMI 屬性 (請參閱 http://www.microsoft.com/taiwan/technet/windowsvista/plan/volact2.mspx) 中的 “Volume Activation 2.0 Technical Attributes.xls”),作為 SPP 的一部份。這可啟用個別安裝的遠端查詢、追蹤和報告,以及對應的授權資訊。 疑難排解本章節提供 Volume Activation 2.0 常遇到的一般性問題解答。 MAK 啟動疑難排解步驟下列表格關於 MAK 啟動時會出現的問題。 我要如何才能知道我的電腦是否已啟動? | 1. | 查看 [迎賓中心] 或 [控制台] 下的 [系統] 中,是否有 [Windows 已經啟用] 的字樣即可判斷。 | 2. | 執行 slmgr.vbs –dli 指令碼。 | 3. | [授權狀態:] 顯示您是否在 OOB 限定期限或 OOT 限定期限內啟動 (「授權」)。如果它顯示「未授權」,您將無法再次登入,直到啟動您的電腦。 |
| 電腦並沒有透過網際網路啟動。 | 請確認電腦可以存取網際網路,如:http://microsoft.com。 您可能需要設定 proxy。可在瀏覽器或控制台中設定。 如果電腦無法連線網際網路,請使用電話啟動。 | 網際網路和電話啟動失敗。 | 請連絡 Microsoft 啟動客服中心,撥 1-888-352-7140 (僅美國用戶)。國際性用戶,請連絡您當地的支援中心。全球的啟動中心電話號碼,請至下列網址: http://www.microsoft.com/licensing/resources/vol/numbers.mspx (英文)
當客戶撥打電話時,將需要提供他們的大量授權合約資訊和購買証明。 | slmgr.vbs –ato 回覆一個錯誤碼。 | 如果 slmgr.vbs 傳回一個十六進位的錯誤碼,您可以執行下列指令碼來決定對應的錯誤訊息: Slui.exe 0x2a 0x<error code> |
表格 7:MAK 疑難排解步驟 KMS 啟動疑難排解步驟下列表格關於 KMS 啟動時會出現的問題。 我要如何才能知道我的電腦是否已啟動? | 1. | 查看 [迎賓中心] 或 [控制台] 下的 [系統] 中,是否有 [Windows 已經啟用] 的字樣即可判斷。 | 2. | 執行 slmgr.vbs –dli 指令碼。 [授權狀態:] 顯示您是否在 OOB 限定期限或 OOT 限定期限內啟動 (「授權」)。如果它顯示「未授權」,您將無法再次登入,直到啟動您的電腦。 |
| 電腦並沒有啟動。 | 確認啟動所需的最少數目用戶端已經連絡上 KMS 主機。KMS 主機必須擁有 25 個用戶端,這些用戶端才能啟動。如果用戶端無法在 30 天內啟動,它將進入精簡功能模式之中,並且將無法登入。在 KMS 主機上執行 slmgr.vbs –dli,以決定其「目前計數」。 在 KMS 用戶端的 Windows Application 事件日誌中尋找事件 #12289 (KMS 回應)。如果您在預期的時間找到一個,請將它報告給 Microsoft,因為該電腦應該已經啟動。 請檢查用戶端事件 #12288,並考慮下列問題: | • | 結果代碼是否為 0?任何其他值都是一個錯誤。 | | • | 顯示在事件中的 KMS 主機名稱是否正確? | | • | KMS port 是否正確? | | • | KMS 主機是否可以存取? | | • | 如果您擁有協力廠商的防火牆,您輸出的連接埠是否需要設定? |
檢查 KMS 事件 #12290 | • | KMS 主機是否會為用戶端電腦記錄事件?檢查您電腦的名稱是否有列出?是的話,該回應已傳送到用戶端,但是在網路或用戶端上遺失了。確認用戶端和 KMS 主機可以通訊。確認您的路由器沒有封鎖 TCP 流量傳到 TCP 連接埠 1688 (預設值)。檢查用戶端上的防火牆。 | | • | 如果用戶端沒有記錄任何事件,代表其要求沒有到達 KMS,或是 KMS 無法處理它。 |
| slmgr.vbs –ato 回覆一個錯誤碼。 | 如果 slmgr.vbs 傳回一個十六進位的錯誤碼或事件 12288 包含一個 0 以外的結果碼,您可以執行下列指令碼來決定對應的錯誤訊息: Slui.exe 0x2a 0x<error code> |
表格 8:KMS 疑難排解步驟 OEM 電腦的 KMS 啟動要讓 KMS 啟動能夠運作,經由原始設備製造商 (OEM) 通路取得的電腦在其系統 BIOS 中的 ACPI_SLIC 表格中必須有一個有效的 Windows 標記。Windows 標記的出現對於計畫使用 Windows Vista 大量授權媒體來重新映象、或透過大量授權合約提供的重新映象權限來升級 OEM 的大量授權客戶非常重要。擁有 ACPI_SLIC 表格、但沒有有效 Windows 標記的電腦會在這些系統中產生下列錯誤,並且將無法使用 KMS 來啟動: 錯誤碼:無效的大量授權金鑰 若要啟動,您需要變更您的產品金鑰為有效的多重啟動金鑰 (MAK) 或零售金鑰。 您必須擁有合格的作業系統授權,以及來自 OEM 或零售來源的一個大量授權 Windows Vista 升級授權,或是 Windows Vista 的完整授權。 此軟體的任何其他安裝都違反您的合約與適用的著作權法。 錯誤碼:0xC004F059 描述:軟體授權服務回報電腦 BIOS 中的一個授權無效。 解決上列錯誤的選擇包含: | • | 使用一個多重啟動金鑰 (MAK) 以啟動電腦。 | | • | 連絡您的 OEM 來更換主機板,其中的 ACPI_SLIC 表格必須包含有效的 Windows 標記。 | | • | 購買預先安裝了 Microsoft Windows 的新電腦,以確保有效的 BIOS 安裝在系統內。 Windows 的大量授權版本要求根據您合約的條款,從合格的作業系統升級。 |
對應錯誤碼到文字訊息您可以使用 slui.exe,對應大多數與啟動相關的錯誤碼到對應的文字訊息。在您的 Windows Vista 電腦上執行下列命令: Slui.exe 0x2a 0x<error code> 這將會顯示一個有錯誤訊息的對話方塊。 例如,如果事件 12293 包含一個錯誤碼 0x8007267C,您可以執行下列命令來決定對應的錯誤訊息: Slui.exe 0x2a 0x8007267C 訊息將會顯示 “No DNS servers configured for local system.” 檢視啟動事件Windows 事件日誌提供詳細的啟動事件日誌。所有啟動事件的事件提供者名稱為 Microsoft-Windows-Security-Licensing-SLC。所有的事件都出現在 Windows Application 事件日誌內,不過 KMS 活動事件 12290 例外,它出現在 Applications and Services Logs\Key Management Service 中自己的事件日誌內。 For a detailed list of events, see “Volume Activation 2.0 Technical Attributes.xls.” WMI 提供者內建的指令碼, c:\windows\system32\slmgr.vbs使用 Windows Management Infrastructure (WMI) 來存取可用的 WMI 屬性。您可以使用 -dli 選項來顯示啟動的相關資訊。 For list of WMI providers, see “Volume Activation 2.0 Technical Attributes.xls.” 解決精簡功能模式和 Windows XP 一樣,在初次安裝和限定期限結束後,必須進行產品啟動。無法啟動將導致 Windows Vista 進入精簡功能模式 (RFM) 之中。在此模式中,沒有開始功能表、沒有桌面圖示、而桌面背景也會變成黑色。在一個小時之後,系統會無預警地將使用者登出。它並不會將電腦關機,使用者仍可再次登入。這和 Windows XP RFM 的經驗不同,後者會限制螢幕解析度、色彩、聲音和其他功能。 請注意,在產品啟動的所有版本中,軟體都可用於初始限定期限內,而不用輸入產品金鑰。一旦 Windows Vista 進入 RFM 之後,使用者在下次嘗試登入時,會看到下圖所列的四個選項:  圖 5:Windows 啟動對話方塊
檢視大圖 | • | 使用者已有一個產品金鑰,但並未啟動他們的電腦,必須按一下 [立即線上啟用 Windows]。 | | • | 按一下 [以精簡功能存取您的電腦],預設的網頁瀏覽器就會啟動,並且提供使用者一個購買新產品金鑰的選項。網頁瀏覽器將會完整地運作,而網際網路連線也不會封鎖。 | | • | 如果使用者取得另外一個產品金鑰 (不論透過合法的 MAK 或線上購買金鑰),他們都可以透過按 [重新輸入產品金鑰] 使用新的金鑰啟動。 | | • | 如果沒有網際網路連線能力,使用者可以按一下 [顯示其他啟動方法] 以使用電話啟動。如果在你的系統中具網際網路連線功能,這個選項將不會出現。 |
在下列兩個案例中,Windows Vista 可能會進入 RFM: | • | 案例 1: 如果指定的授權類型發生下列任一個事件: | • | 針對 MAK 啟動和 KMS 主機電腦: 無法在限定期限內啟動 (也就是安裝之後 30 天),或無法在主要的硬體更換後 30 天內更新啟動 | | • | 針對 KMS 啟動的電腦:無法以 KMS 在安裝之後 30 天內啟動、無法以KMS在上次更新之後 210 天內 (180 天加上 30 天限定期限) 更新啟動、無法在硬碟更換後 30 天內以 KMS 更新啟動 |
| | • | 案例 2: 一份 Windows Vista 可能因為下列原因需要重新啟動,若無法在30 天的限定期限內成功地重新啟動,將令該份 Windows Vista 進入 RFM: | • | 啟動程序被發現遭受竄改或處理過,或是偵測到授權檔案的其他竄改狀況。 | | • | Microsoft 產品啟動伺服器偵測到洩漏、被竊或禁用的產品金鑰,並加以封鎖。產品金鑰可能會因為下列理由而被禁用:產品金鑰遭到濫用、被竊或被盜用;產品金鑰由於反盜版強制工作而被查封;金鑰是 beta 或測試金鑰,並且已經被停用;金鑰中有一個製造錯誤;金鑰已經被退還。當一份 Windows 由於此案例而進入 RFM,使用者會透過訊息快顯方塊收到此狀態的通知。 |
|
當系統進入 RFM 之後,可以使用下列的補救措施: | • | 如果用戶端超過了限定期限,[Windows 啟動] 對話方塊將出現,如同圖 5 所示。請遵循預先規定的啟動處理程序以及已經描述的選項,包括了輸入新的產品金鑰、取得新的產品金鑰,或重新輸入原本的產品金鑰。 | | • | 將 KMS 啟動的用戶端重新連線到 KMS 主機所在的網路。用戶端會自動連絡 KMS 主機來更新其啟動。 | | • | 如果 KMS 用戶端不能傳回到它的主網路,但是可以存取網際網路,它就可以使用 MAK 來啟動。在 RFM 對話方塊中按一下 [變更產品金鑰] 來鍵入 MAK。如果用戶端無法連線至網際網路,您也可以使用電話啟動。變更到 MAK 並不會提供額外的限定期限。用戶端將保留在 RFM 內,直到電腦啟動為止 — 透過網際網路或電話。您也可以使用 slmgr.vbs 指令碼加上 -ipk 選項,以指令碼來供應 MAK。(詳細資料請參閱<使用指令碼來設定用戶端以使用 MAK 啟動>。)
注意 此外,若要為使用者將此處理程序自動化 (如果啟用標準使用者啟動選項),系統管理員可以建立一個由自訂網頁呼叫的指令碼。 附錄 2:標準使用者啟動網頁。 | | • | 用戶端可以使用 slmgr.vbs 指令碼加上 -rearm 選項,讓目前的授權回到初始的啟動狀態。此選項會重設電腦的啟動計時器,並且重新初始化一些啟動參數,包括 KMS 用戶端的獨特機器識別碼 (亦稱為用戶端機器識別碼,或是 CMID)。可以重複的次數是有限的,並取決於 sysprep /generalize 執行了幾次來建立散發媒體。rearm 的最大值為 3。請注意 rearm 需要系統管理員的特殊權限。不過,系統管理員可以透過建立下列的登錄項目供一般使用者使用: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SL\UserOperations (REG_DWORD) 為 1。 |
重要事項:本章節包含有關如何修改登錄的資訊。在您修改它之前請確認已備份登錄資訊。請確定您知道如何還原登錄資訊當發生問題時。如需更多如何備份、還原和修改登錄的相關資訊,請按一下下列文章號碼以檢視在 Microsoft 知識庫中的文章: 256986 (http://support.microsoft.com/kb/256986/) Microsoft Windows 登錄說明。 附錄 1:解決非正版電腦上的問題如果 Volume Activation 2.0 客戶或 Microsoft 偵測到 KMS 金鑰或 MAK 被誤用,在客戶與 Microsoft 討論之後,產品金鑰可能會標示為無法再進行啟動,以及非正版。當某個大量版本的用戶端造訪 Microsoft 網站來要求正版驗證,它將需要下載和執行一個 ActiveX 控制項或一個小 .exe 應用程式,以存取下載資料。如果電腦是以無效的金鑰來設定,或偵測到遭竄改的檔案,電腦將無法通過正版驗證。使用者的電腦上將出現浮水印以示通知,並且收到定期的通知,要他造訪 Microsoft 網站來驗證系統的正版狀態。此外,電腦會進入 30 天的非正版限定期限,在這段時間內,它需要以新的產品金鑰來設定,如果偵測到遭竄改的檔案,則需要重新安裝。針對設成 MAK 的系統,新的 MAK 必須安裝與啟動於該電腦上。對於以無效 KMS 金鑰啟動的電腦,KMS 主機必須先以新的 KMS 金鑰來啟動,接著 KMS 用戶端會在連絡了重新設定的 KMS 主機之後,自行重新啟動。在這兩個案例中,已經下載 Genuine Advantage ActiveX 控制項的電腦也必須在以新的產品金鑰啟動之後,造訪 Genuine Advantage 網站,將其正版狀態從非正版變更為正版。 如果未安裝與啟動新的產品金鑰,並且在 30 天的非正版限定期限內此狀態沒有變更,電腦將開始進入非正版 RFM。在 RFM 中,使用者只能使用其瀏覽器存取一個小時的網站,之後就會被系統登出。 要為執行 Windows Vista 大量授權版本的電腦修正其正版狀態,有兩種不同的作法:使用 slmgr.vbs 手動處理和使用產品啟動精靈。本指南將概述這兩種作法。 注意 指令碼方法 (可用於 Windows Vista RTM 之後) 將協助系統管理員執行非正版電腦的網路型態復原。 復原非正版 Windows Vista 電腦此處理程序包含了下列兩個步驟: 1. | 決定正版驗證失敗的理由。 | 2. | 為設定成 KMS 或 MAK 的電腦遵循適當的復原步驟。 |
在非正版電腦上,檢查 Application 事件日誌,以尋找事件識別碼:8209 Log Name: Application Source: Microsoft-Windows-Security-Licensing-SLC Event ID: 8209 描述欄位將提供一個錯誤碼來說明電腦的非正版狀態。 0x8004C40B | 遭竄改的檔案 | 0x8004C465 | 無效或封鎖的產品金鑰 |
表格 9:RFM 原因錯誤碼 從遭竄改檔案造成的非正版狀態中復原建議您在確認所有必要的使用者資料已經存到另一個位置之後,將作業系統重新安裝在由於遭竄改檔案造成非正版狀態的電腦上。安裝完作業系統之後,電腦將需要啟動。接著使用者可在下列網站中驗證正版狀態: http://go.microsoft.com/fwlink/?LinkId=64187。 從無效或封鎖的產品金鑰造成的非正版狀態中復原如果 KMS 主機或 KMS 用戶端由於受損的產品金鑰被標示成非正版,您需要在所有以受損產品金鑰設定的 KMS 主機上更換 KMS 金鑰。接著,您需要向重新設定金鑰的 KMS 主機啟動所有的 KMS 用戶端。 1. | 在每部以無效 KMS 金鑰設定的 KMS 主機上安裝新的 KMS 金鑰。在提高權限的命令提示中執行 Slmgr.vbs [computername] [username] [password] -ipk <new_KMS_Key> 。 | 2. | 啟動新的 KMS 金鑰。在提高權限的命令提示中執行 Slmgr.vbs [computername] [username] [password] –ato。 | 3. | 在命令提示中執行 Slmgr.vbs [computername] [username] [password] –dli,確認新的產品金鑰已安裝。 | 4. | 如果 KMS 主機是以 Genuine Advantage ActiveX 控制項安裝,請造訪 Genuine Advantage 網站 (http://go.microsoft.com/fwlink/?LinkId=64187) 來驗證狀態。 | 5. | 重新啟動 「軟體授權」服務可透過,按一下 [開始]、[設定]、[控制台]、[系統管理工具] ,然後 [服務]。選擇 [軟體授權服務],然後按一下 [重新啟動]。 | 6. | 重新啟動 KMS 主機,以從桌面移除非正版浮水印。 |
注意 建議不要直接在提供 KMS 服務的電腦上從網際網路下載軟體。 |
接下來,執行下列步驟來復原 KMS 用戶端: 1. | 重新設定所有的 KMS 主機,如同 復原非正版限定期限中的 KMS 主機所述。 | 2. | 系統管理員可以等待所有的 KMS 用戶端在 7 天內自動更新其啟動 (預設值),或使用 slmgr.vbs 指令碼來強制啟動更新:slmgr.vbs [computername] [username] [password] –ato。 | 3. | 確認用戶端在連絡完重新設定的 KMS 主機,並在命令列提示中執行 slmgr.vbs [computername] [username] [password] –dli 之後可自行啟動。 | 4. | 如果 KMS 用戶端是以 Genuine Advantage ActiveX 控制項來安裝,可造訪 Genuine Advantage 網站 (http://go.microsoft.com/fwlink/?LinkId=64187) 來驗證狀態。 | 5. | 重新啟動用戶端來,以移除電腦的非正版浮水印。 |
|
1. | 在每部以無效 MAK 設定的電腦上安裝新的 MAK。在提高權限的命令提示中執行 Slmgr.vbs [computername] [username] [password] -ipk <new_MAK_Key> 。 | 2. | 啟動新的 MAK。在提高權限的命令提示中執行 Slmgr.vbs [computername] [username] [password] –ato 。 | 3. | 在命令提示中執行:
Slmgr.vbs [computername] [username] [password] –dli ,確認新的產品金鑰已安裝。 | 4. | 如果 MAK 電腦是以 Genuine Advantage ActiveX 控制項安裝,請造訪 Genuine Advantage 網站 (http://go.microsoft.com/fwlink/?LinkId=64187) 來驗證狀態。 | 5. | 重新啟動系統,以移除電腦的非正版浮水印。 |
|
附錄 2:使用標準使用者產品啟動網頁從 RFM 復原依預設,Windows Vista 中的產品啟動需要本機的系統管理員權限。不過,系統管理員可以透過建立與設定下列登錄值,設定電腦來由標準使用者進行產品啟動: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SL\UserOperations (REG_DWORD) 為 1。 重要事項:本章節包含有關如何修改登錄的資訊。在您修改它之前請確認已備份登錄資訊。請確定您知道如何還原登錄資訊當發生問題時。如需更多如何備份、還原和修改登錄的相關資訊,請按一下下列文章號碼以檢視在 Microsoft 知識庫中的文章: 256986 (http://support.microsoft.com/kb/256986/) Microsoft Windows 登錄說明。 即使在設定完這個登錄值之後,產品啟動精靈仍會顯示成使用者帳戶控制「盾牌」圖示。標準使用者有兩個選項來安裝產品金鑰和啟動電腦: | • | 命令列: 使用 slmgr.vbs 指令碼來安裝產品金鑰與啟動電腦。如需特定的語法,請參閱本指南先前的 <部署指南> 一節。 | | • | 標準使用者產品啟動網頁 (ProductActivation.htm): 在 StandardUserProductActivation.zip 檔中,一個包含 VBScript 的範例網頁將提供給系統管理員,以實作標準使用者啟動。此網頁提供標準使用者一些選項: | • | 產品金鑰: 輸入新的產品金鑰或安裝選擇性的系統管理員設定之產品金鑰。 | | • | 啟動方法: 使用網際網路啟動、以電話啟動、或是重設啟動的限定期限。從作業系統第一次安裝算起,‘reset’ 選項只能執行三次。在執行 ‘sysprep /generalize’ 時,也會執行重設。 |
|
StandardUserProductActivation.zip 檔可以從 Windows Vista Volume Activation 2.0 下載中心 http://go.microsoft.com/fwlink/?LinkID=75674 中下載。 系統管理員可以使用此網頁,提供更簡易的復原給電腦進入 RFM 的標準使用者。當使用者的電腦進入 RFM 時,他們將有四個選項可供選擇,如下圖所示 (登入時): 在此畫面中,標準使用者唯一可用的選項是選擇 [以精簡功能存取您的電腦],它將在系統上啟動預設的網頁瀏覽器。當它啟動之後,標準使用者需要存取標準使用者啟動網頁,它應該會在「我的最愛」之中 (如果先前由系統管理員安裝的話),並設定新的產品金鑰來返回完整功能模式。使用者必須允許 ActiveX 指令碼執行,如此 VBScript 即可使用現有的 WMI 方法來安裝產品金鑰,並啟動電腦。請注意,此網頁要求 VBScript 引擎正常運作。 1. | 在參考系統上,安裝網頁 (productactivation.htm 和 windows-vista.png 到標準使用者可存取的資料夾內,例如 %systemroot%\system32\SLUI)。建議您為您的組織自訂網頁,以包含支援的相關資訊,例如電話號碼和連絡人資訊。 | 2. | 選擇性地,在一個名為 pid.txt 的檔案中設定系統管理員指定的產品金鑰 (5x5)。網頁 (依預設) 已設定成在 %systemroot%\system32\SLUI 資料夾內尋找此檔案。 | 3. | 接著此網頁可以部署成 Internet Explorer 我的最愛,以便讓使用者以許多方法來使用: | • | 使用 Internet Explorer Administration Kit (IEAK)。 | | • | 在 Active Directory 環境中使用群組原則。 |
| 4. | 在 unattend.xml 安裝檔的元件 "Microsoft-Windows-IE-InternetExplorer" 內設定 FavoritesList 選項。 |
|
1. | 在未啟動、並已設定成進行標準使用者啟動的電腦上,透過將時鐘往前撥快 31 天,並重新啟動電腦,強制系統進入 RFM 模式中。 | 2. | 以標準使用者登入到電腦上。確認您是否看到 RFM 畫面 (圖 7),並可以選擇 [以精簡功能存取您的電腦]。 | 3. | 確認 Internet Explorer 可以啟動,並且標準使用者產品啟動網頁可以從 [我的最愛] 功能表載入。 | 4. | 針對任何 ActiveX 提示都選擇 [是],以便讓 VBScript 成功地執行。 | 5. | 選擇安裝新的產品金鑰或系統管理員設定的金鑰 (可以的話),並選擇適當的啟動方法。 | 6. | 遵循網頁中的步驟來進行手動的電話啟動 (可以的話)。 | 7. | 確認處理程序已經成功地完成。關閉 RFM 精靈,然後重新啟動系統。 | 8. | 確認登入成標準使用者或本機系統管理員顯示桌面。確認電腦已經透過執行 ‘slmgr –dli’,正確地啟動。 |
|
附錄 3:解決 MOM 2003 安裝的問題在 Windows Vista 的 64 位元版本中,MOM 2003 Agent (32 位元) 並不能看到儲存在登錄中的版本編號。此值可用來決定 KMS MOM 套件所定義的電腦群組中的成員。若沒有加入到電腦群組內,KMS 將不會提供資料給 MOM 伺服器的資料倉庫。登錄值將在 KMS 啟動時由 slmgr.vbs 所建立,並且依預設將儲存於登錄的 64 位元檢視內。 有兩個方式可因應此安裝問題: | • | 您可以透過在 MOM 伺服器上建立自訂的電腦群組來減輕此問題,它會明確地加入所有的 KMS 主機來進行收集。這可以去除 Machine Name 或任何其他可查詢的屬性。 | | • | 從提高權限的命令提示中,輸入 REGEDIT.EXE。這個將會在一個具系統管理權限使用者下開啟登錄編輯器。在 Regedit 中,複製下列的數值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\SL\KeyManagementServiceVersion 至 HKLM\Software\wow6432node\Microsoft\WindowsNT\
CurrentVersion\SL\KeyManagementServiceVersion |
不管選擇的因應之道為何,所有執行 64 位元作業系統版本的 KMS 主機務必都要套用相同的因應之道。 重要事項:本章節包含有關如何修改登錄的資訊。在您修改它之前請確認已備份登錄資訊。請確定您知道如何還原登錄資訊當發生問題時。如需更多如何備份、還原和修改登錄的相關資訊,請按一下下列文章號碼以檢視在 Microsoft 知識庫中的文章: 256986 (http://support.microsoft.com/kb/256986/) Microsoft Windows 登錄說明。 附錄 4: 指導工作表的工作協助使用此範例指導工作表,對應您的電腦到啟動解決方案。 欲啟動的電腦總數 | N/A | | 無法每隔 180 天至少連線一次的電腦個數 | MAK | | 所包含電腦個數少於 25 台的環境中的電腦個數 | MAK | | 會經常連線至網路的電腦個數 | KMS | | 所包含電腦個數多於 25 台,並且沒有網際網路連線能力的中斷連線環境中的電腦個數 | KMS | | 所包含電腦個數少於 25 台,並且沒有網際網路連線能力的中斷連線環境中的電腦個數 | MAK | | 剩下的電腦個數應該為零 | | |
表格 10:指導工作表 附錄 5:瞭解授權狀態Windows Vista 運用五個授權狀態來追蹤啟動。這五個狀態為已授權、初始限定期限、非正版限定期限、無容許限定期限和未授權。所謂的「限定期限」指的是所提供的時間長度,以容許執行任何必要的動作,好將電腦還原成已授權狀態。所有的限定期限都為 30 天。  圖 8:授權狀態 | • |
「已授權」的電腦表示它已適當地啟動。啟動方式有很多種,包括透過網際網路及電話來啟動等。此外,KMS 用戶端也可以在與已啟動的 KMS 連絡後,自我啟動。 | | • |
「初始限定期限」(或「OOB 限定期限」) 會在您安裝作業系統後並首次啟動電腦時啟動。它提供了 30 天的緩衝期供電腦進行啟動。「初始限定期限」只可以藉由執行 sysprep /generalize 或是使用 slmgr.vbs –rearm 來重新啟動。這些程序可將「初始限定期限」計時器重設為 30 天,但是只能夠使用 3 次。 | | • |
「非正版限定期限」只會出現在已安裝 Windows Genuine ActiveX 控制項,但是沒有通過「正版驗證」(Genuine Validation) 的電腦上。該電腦會標示為「非正版」,並且其「授權狀態」可能也會變更為「非正版限定期限」。發生此情形時,「非正版限定期限」提供了 30 天的期限,以便讓電腦能夠重新啟動,並且可以透過重新造訪 WGA 網站,位於 http://www.microsoft.com/genuine 來驗證其為正版。 | | • |
當已啟動之電腦的累積硬體變更達到過期的程度時,或是 KMS 用戶端已經超過 180 天沒有連絡 KMS 時,就會開始進入「已過限定期」狀態。「OOT 限定期限」提供了 30 天的期限,以便讓電腦能夠重新啟動。電腦可能從已啟動的狀態進入 OOT 期之狀態的次數並沒有限制,並且每次發生此狀況時,「OOT 限定期限計時器」都會重設為 30 天。 | | • |
當允許限定期限過期時,電腦就會變成「未授權」的狀態。「未授權」的電腦會在「精簡功能模式」(RFM,Reduced Functionality Mode) 中執行,在此模式中,使用者每隔一小時,能夠存取系統的限制就會持續增加,並且畫面上會出現一個視窗,其中含有適當地授權並啟動電腦的連結。如果電腦是從「非正版限定期限」進入 RFM,則使用者會看到一個含有專門說明從非正版 RFM 復原的連結及解決方案的視窗。如需如何從 RFM 中復原的詳細指導,請參閱《Windows Vista Volume Activation 2.0 逐步指南》中的 <疑難排解> 一節。 |
其他資源
| 
