Windows & Office – המדריך המלא לשיטות אקטיבציה בארגון

7 בדצמבר 2015

תגיות: , , ,
אין תגובות

מטרת המאמר הזה היא לספק סקירה על שיטות האקטיבציה השונות ב Windows ובפרט על Volume Licensing אשר נמצא בשימוש בארגוני Enterprise.
בנוסף, אתן מספר דגשים לגבי KMS ו-MAK וכיצד ניתן לדעת מה השיטה המתאימה ביותר.


אקטיבציה ורישוי

לקוחות יכולים לרכוש רישיון windows באחד משלושת הערוצים הבאים:
RETAIL (קמעונאי),
OEM (יצרן ציוד מקורי)
או Volume License (רישוי נפח).
לכל ערוץ יש את שיטת האקטיבציה המתאימה לו. 

RETAIL
רישוי אינדיווידואלי אשר נרכש בנפרד בחנות משווקים קמעונאית, דרך האינטרנט או דרך מיקרוסופט ישירות. כל עותק מגיע עם מפתח מוצר ייחודי המאפשר לבצע אקטיבציה.

OEM
Original Equipment Manufacturer – רישוי תמידי אשר מופעל באופן חד-פעמי. הרישוי מוצמד לחומרה עצמה והאקטיבציה מבוצעת עוד לפני שהמחשב נשלח ללקוח הקצה..

Volume License
כאן מדובר למעשה על סט של טכנולוגיות וכלים שנועדו להפוך את תהליך הפעלת המערכות למרוכז ופשוט עבור מספר גדול של מחשבים. כדי שנוכל להשתמש בכלים אלו – המוצר חייב להיות מותקן מ Volume License media.
את המקור להתקנות ה VL ניתן להשיג דרך אתר ה
VLSC – – Volume Licensing Service Center
https://www.microsoft.com/Licensing/servicecenter/default.aspx

יש לציין שברוב הארגונים נמצא שילוב של כמה מהערוצים האלו ולאו דווקא רק סוג אחד.

KMS vs MAK – איך לבחור שיטת אקטיבציה

KMS – Key Management Service
מאפשר להחזיק שרת אשר יבצע את תהליך האקטיבציה באופן אוטומטי ומרוכז עבור כל המחשבים והשרתים בארגון – ללא צורך בחיבור לאינטרנט.
למעשה נבצע התקשרות ראשונית ל VLSC (בדר"כ דרך הטלפון) על-מנת להפעיל את שרת ה- KMS עצמו. לאחר-מכן, השרת יוכל לספק שירות אקטיבציה לכל הארגון ללא שום מגבלה על מספר המחשבים.
לצורך אקטיבציה, המחשבים בארגון יפנו באופן אוטומטי ל KMS דרך ה AD או ה DNS.
מרגע שהופעלו, תעשה פניה אחת לשבוע שתאפשר למערכת להמשיך ולהיות במצב תקין.
מחשבים אשר כבר הופעלו בהצלחה, ימשיכו לתפקד כך גם כאשר שרת ה KMS לא זמין. אותם מחשבים יפסיקו להיות "מאוקטבים" רק לאחר 180 יום שבהם שרת ה KMS היה זמין לא זמין.

מתי לא ניתן להשתמש ב KMS:
אם מספר המחשבים/שרתים ברשת המבודדת אשר זקוקים לאקטיבציה נמוך מהסף הדרוש:
25 מחשבים – windows client editions
5 מחשבים – windows server editions
5 מחשבים – Office editions

לדוגמא, אם נניח שיש ברשותנו 3 שרתים אבל 30 תחנות קליינט (עם אופיס) אז ה KMS יתפקד רק עבור אותם תחנות קליינט (כולל האופיס). את השרתים נצטרך להפעיל בדרך אחרת.

חשוב לציין שכל קליינט או שרת אשר פונה ל KMS לצורך אקטיבציה חייב להיות unique.
כלומר, מערכת הפעלה אשר הותקנה מאפס או image שעבר sysprep עם פרמטר של  generalize.
הסבר לכך נמצא כאן:
The KMS current count does not increase when you add new Windows – https://support.microsoft.com/en-us/kb/929829

הערה: כמובן שאם לא ניתן להשתמש ב KMS אז הדרך האופטימלית היא שימוש ב MAK.

MAK – Multiple Activation Keys
מאפשר לבצע אקטיבציה חד-פעמית ופרטנית לכל מחשב/שרת וזאת למספר נתון של פעמים בהתאם להסכם הרישוי של הארגון.
כמו ב KMS, כל עוד אין לנו גישה לאינטרנט, אז גם כאן, יש לבצע את האקטיבציה הזו דרך הטלפון.

אבל, ישנה גם דרך שלישית שעליה ארחיב בהמשך אשר נקראת VAMT – proxy activation.
אותו כלי גם מאפשר אקטיבציה מרוכזת ומנוהלת למספר רב של מחשבים – באופן שאינו מצריך מאתנו להתקשר למרכז האקטיבציה בכל פעם שנרצה לבצע הפעלה מכל סוג שהוא.

מתי לא ניתן (או ליתר דיוק, לא סביר) להשתמש ב MAK:
1. יש לנו מספר גדול של מחשבים אשר מנותקים לחלוטין ובאופן תמידי מכל סוג תקשורת שהוא (כולל תקשורת פנים ארגונית או אפשרות שימוש בטלפון).

2. כן ניתן לבצע אקטיבציה טלפונית לכל עמדה, אבל קשה מאוד ליישם זאת מבחינה פרקטית בגלל כמות התחנות שיש להפעיל.

3. מדובר בסביבה שבה אנחנו מתקינים ומפרמטים מחשבים/שרתים לעיתים קרובות מאוד. (למשל ב VDI – Virtual Desktop Infrastructure)

*האלטרנטיבות ל MAK (זאת בהנחה ש KMS כבר נבדק ולא נמצא מתאים):
– רכישת רישיון ב OEM אשר מגיע מופעל עוד מהיצרן.
– שימוש ב VAMT עם Proxy activation.
כלומר, כן להשתמש ב MAK אבל בצורה שאינה דורשת התקשרות טלפונית.
– שימוש ב TBA – Token Based Activation. (על כך ארחיב בהמשך)

VAMT – מה זה אומר ומתי להשתמש בזה

ה VAMT הוא כלי אשר ניתן להורדה בחינם כחלק מה ADK – Assessment and Deployment Kit. (לינק בסוף המאמר)

צילום מסך מתוך הכלי:
VAMT

מטרות השימוש בכלי:
– ניהול מרכזי, ניטור ובקרה של האקטיבציות בארגון (גם עבור מערכות הפעלה וגם עבור אופיס).
– מתן אפשרות להפעיל מספר רב של תחנות בפעולה מהירה אחת.
– מתן אפשרות לבצע proxy activation. 
– תמיכה בהפעלת מפתחות מוצר של MAK, KMS, או Retail.

אז מה זה בעצם proxy activation?
ה feature הזה מאפשר לבצע אקטיבציה עבור סביבות מנותקות מהאינטרנט.
למעשה יש להתקין שני מחשבים עם VAMT – כאשר אחד נמצא ברשת המבודדת והאחר מקושר לאינטרנט.
בין שני השרתים האלו נצטרך רק להעביר קובץ XML.
קובץ ה XML מכיל את המידע המינימלי הדרוש לאקטיבציה.
קובץ זה לא מכיל שום מידע רגיש כלשהו לגביי הסביבה הפנימית.

התמונה הבאה ממחישה את אופן השימוש ב VAMT proxy activation:
Proxy Activation

הערה:
בדרך כלל משתמשים באופציה זו בארגונים הדורשים רמה גבוהה של אבטחת מידע (צבא, ממשלה וכד') וגם אז,רק במקרים בהם לא ניתן להשתמש ב KMS מכל סיבה שהיא.

Token Based Activation

מדובר בשיטת אקטיבציה ייחודית אשר זמינה למספר מצומצם מאוד של ארגונים שקיבלו אישור לכך. השיטה הזו נבנתה עבור תרחישים קיצוניים שבהם אף אחת מהשיטות האחרות לא מתאימות.
בשיטה זו יש צורך בהכנת תשתית PKI – Public Key Infrastructure אשר מאפשרת הפצה של חתימות דיגיטליות – certificates או tokens.
בדר"כ מפיצים את אותם תעודות באמצעות smart cards אבל אפשר גם בדרכים אחרות.

בשיטה זו האקטיבציה למעשה מבוצעת בעת שה smartcard מוכנס או ברגע שהתעודה מופצת למחשב.

יש לציין שהתהליך לקבלת אישור עבור Token Based Activation הוא מורכב וארוך יחסית.

מדריך מקוצר להקמה – KMS

אז מה למעשה נדרש על-מנת להתקין שרת KMS שיתמוך באקטיבציה של המוצרים הבאים:
– כל גרסאות ה Windows מ Vista ועד Windows 10.
– כל גרסאות ה Office מ Office 2010 ועד Office 2016

1) התקנה של מערכת ההפעלה העדכנית ביותר – Windows Server 2012 או 2012R2.
לא מומלץ להשתמש ב 2008R2 בגלל ה known issue הבא:

KMS error 0xC004F074 when you try to activate Office 2016 volume-licensed client – https://support.microsoft.com/en-us/kb/3104410

2) התקנה של עדכון נוסף אשר מאפשר תמיכה ב Windows 10:

Update: activate Windows 10 from Windows 8 or Windows 8.1, and Windows Server 2012 or Windows Server 2012 R2 KMS hosts –
https://support.microsoft.com/en-us/kb/3058168

* למי שמתעקש להשתמש ב 2008R2 העדכון הרלוונטי עבור מ"ה זו הוא:
https://support.microsoft.com/en-us/kb/3079821

3) הורדה של חבילות האקטיבציה הרלוונטיות לגרסאות האופיס בארגון:

Office 2010 – http://www.microsoft.com/en-us/download/details.aspx?id=25095
Office 2013 – http://www.microsoft.com/en-us/download/details.aspx?id=35584
Office 2016 – http://www.microsoft.com/en-us/download/details.aspx?id=49164&fa43d42b-25b5-4a42-fe9b-1634f450f5ee=True

4) השלמת אקטיבציה של מערכת ההפעלה והאופיס עם מפתחות המוצר המתאימים ל KMS.
יש לציין שעבור Windows קיימת תמיכה לאחור עבור מערכות הפעלה ישנות יותר.
כלומר, אם הפעלנו את השרת עם מפתח מוצר של 2012R2 אז הוא יוכל לתמוך בכל מ"ה מ Vista ועד 2012R2.

*אם קיבלתם את השגיאה 0xC004F015 בעת הכנסת מפתח המוצר של Windows 10 – אז כנראה שהמפתח לא מתאים למ"ה ההפעלה של 2012R2. 
יש לשים לב לבחור את: 
Windows Srv 2012R2 DataCtr/Std KMS for Windows 10
לפרטים נוספים:

Error 0xC004F015 when you try to activate Windows 10 – https://support.microsoft.com/en-us/kb/3086418

איפה נמצא המפתח הזה באתר ה VLSC? בדיוק כאן:
VLSC products
VLSC Product Keys 

מקורות חשובים ולינקים נוספים:

Installing Volume Activation Services Role in Windows Server 2012 to setup a KMS Host – http://blogs.technet.com/b/askcore/archive/2013/03/14/installing-volume-activation-services-role-in-windows-server-2012-to-setup-a-kms-host.aspx

Volume Activation for Windows 10 – https://technet.microsoft.com/en-us/library/mt269358(v=vs.85).aspx

Microsoft Volume Licensing – https://www.microsoft.com/en-us/licensing/default.aspx

VAMT proxy activation – https://technet.microsoft.com/en-us/library/ff686876.aspx

Scenario 2: Proxy Activation – https://technet.microsoft.com/en-us/library/hh825202.aspx

Assessment and Deployment Kit – https://msdn.microsoft.com/en-us/windows/hardware/dn913721.aspx

Protect Yourself from Piracy – Are You Protected? – https://www.microsoft.com/piracy

Protect Yourself from Piracy – Legalization – https://www.microsoft.com/en-us/piracy/knowthefacts/legalization.aspx

Identifying Counterfeit Software – https://www.microsoft.com/en-us/howtotell/default.aspx

Amir הפוסט נכתב ע”י אמיר שינדלר, מהנדס תמיכה בכיר במחלקת הפרימייר במיקרוסופט ישראל.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *