Microsoft Product Activation
Volume Activation 2.0 Technical Guidance

Protect your network from unauthorized KMS license requests “Anyone that plugs into a KMS-enabled network can grab an enterprise license for their Vista/Windows 2008 computer by default with KMS services.” Geboden oplossing is IPSec gebruiken voor communicatie met KMS host. Domain joined machines kunnen dan wel praten met KMS, maar anderen niet.

Microsoft TechNet - KMS Activation Timing and Discovery

Microsoft Support - How to troubleshoot Volume Activation error codes on Windows Server 2008 and Windows Vista-based computers (KB938450)
Microsoft Support - You receive an error message when you try to activate a Windows Vista-based computer in a KMS pool: "The returned count from your Key Management Service is insufficient" (KB942961)
microsoftNOW - 0xC004F038: The returned count from your Key Management Service is insufficient

Als je de gelukkige(?) bezitter bent van een KMS key voor Vista of een server editie van Windows Server 2008, dan moet je deze key gebruiken om een server in het serverpark de rol van Key Management Service (KMS) host te geven.

Hiervoor heb je nodig:

• 1 KMS key
• 1 Windows Server 2008 of een Windows Server 2003 server die voorzien is van “Key Management Service 1.1 (x86/x64) for Windows Server 2003 SP1 and Later”

Eén KMS key kan gebruikt worden om 6 KMS hosts te activeren. Na 6 keer gebruikt te zijn kan de key op dezelfde host nog gebruikt worden voor 9 (her)activaties, voor als de machine opnieuw ingericht moet worden.

Er zijn een aantal KMS keygroups die dat product en de lagere producten te activeren, zie voor meer details de Volume Activation 2.0 documentatie. Kort gezegd komt het er op neer dat als je een KMS key voor Server 2008 Data Center/Itanium op een KMS host zet, je vervolgens alle volume licentie edities van Windows Server 2008 en Vista kunt activeren.

Je hebt minstens één Windows Server 2008 of één Windows Server 2003 server die voorzien is van de “Key Management Service 1.1 (x86/x64) for Windows Server 2003 SP1 and Later” software (zie hier (x86) en hier (x64)) nodig om een KMS host van te maken.

Om een Server 2008 server te promoveren tot KMS host kun je bij het uitvoeren van de installatie of net daarna de server voorzien van de KMS key. Zodra deze installatie geactiveerd is, kan de server dienst doen als KMS host. Mocht je een bestaande Server 2008 server willen promoveren tot KMS host dan kan dat met behulp van C:\Windows\System32\Slmgr.vbs, het script voor configuratie van KMS. Zie verderop voor voorbeelden.

Voordat de KMS host ook daadwerkelijk machines voor jou gaat activeren, moet per product een aantal machines zich al gemeld hebben bij de KMS host. Dit is de zogenaamde “activation threshold”. In de documentatie van Microsoft staat dat dit alleen met fysieke machines werkt, maar het lijkt ook prima te werken vanaf een ESX 3.x virtuele machine. Ik heb zelf de activatie threshold voor Server 2008 activatie op een KMS host overschreden door gebruik te maken van 3 fysieke Server 2008 machines en 2 ESX VM's met Server 2008.

Om over deze eerste activatie threshold te komen heb je nodig:

• 5 Windows Server 2008 servers als KMS clients
• 25 Windows Vista werkstations als KMS clients

Hierbij voorzie je alle KMS clients van één van de KMS Client Setup Keys. Dit zijn een vast set licentiesleutels die Server 2008/Vista vertellen dat ze bij een KMS host moeten aankloppen. Zie Microsoft TechNet - Volume Activation 2.0 Deployment Guide en Configuring KMS Clients voor de lijst met sleutels. Als je gebruik maakt van MDT en de optie “Do not specify a product key at this time” kiest bij het aanmaken van een OS task sequence, dan gebruikt de installatie automatisch de juiste KMS Client Setup Key.

Zodra een Server 2008/Vista installatie is voorzien van een KMS Client Setup Key, gaat deze op zoek naar het _VLMCS._tcp SRV record in DNS voor het domein waar de client onder valt. Dit record wordt automatisch aangemaakt door de KMS host, als dynamische DNS registratie mogelijk is. De eerst KMS host registreert zichzelf met het _VLMCS SRV record. Als er meer dan één KMS host in hetzelfde domein beschikbaar is en ze moeten allemaal via DNS gevonden kunnen worden, dan moet de security op het SRV record worden aangepast zodat alle KMS host rechten hebben om dit record aan te passen. Zie hiervoor Microsoft TechNet - Volume Activation 2.0 Deployment Guide.

Standaard publiceert de KMS host zich alleen in het domein waar deze zich in bevind. Om de KMS host te publiceren naar andere domains moet een registry key op de KMS host aangemaakt worden. Maak hiervoor onder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL een multi-string key aan genaamd DnsDomainPublishList geef als waarde de domain suffix van de extra domeinen. Elk nieuw domein moet hierbij op zijn eigen regel staan.

Om KMS hosts/clients te configureren heeft Microsoft een VBScript meegeleverd genaamd c:\Windows\System32\Slmgr.vbs. Als je deze uitvoerd met cscript zonder parameters, krijg je een lijst van de opties:

Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.

Windows Software Licensing Management Tool
Usage: slmgr.vbs [MachineName [User Password]] [<Option>]
           MachineName: Name of remote machine (default is local machine)
           User:        Account with required privilege on remote machine
           Password:    password for the previous account

Global Options:
-ipk <Product Key>
    Install product key (replaces existing key)
-ato
    Activate Windows
-dli [Activation ID | All]
    Display license information (default: current license)
-dlv [Activation ID | All]
    Display detailed license information (default: current license)
-xpr
    Expiration date for current license state

Advanced Options:
-cpky
    Clear product key from the registry (prevents disclosure attacks)
-ilc <License file>
    Install license
-rilc
    Re-install system license files
-rearm
    Reset the licensing status of the machine
-upk
    Uninstall product key
-dti
    Display Installation ID for offline activation
-atp <Confirmation ID>
    Activate product with user-provided Confirmation ID

Volume Licensing: Key Management Service (KMS) Options:
-sprt <Port>
    Set TCP port KMS will use to communicate with clients
-sai <Activation Interval>
    Set interval (minutes) for unactivated clients to attempt KMS connection. Th
e activation interval must be between 15 minutes (min) and 30 days (max) althoug
h the default (2 hours) is recommended.
-sri <Renewal Interval>
    Set renewal interval (minutes) for activated clients to attempt KMS connecti
on. The renewal interval must be between 15 minutes (min) and 30 days (max) alth
ough the default (7 days) is recommended.
-sdns
    Enable DNS publishing by KMS (default)
-cdns
    Disable DNS publishing by KMS
-spri
    Set KMS priority to normal (default)
-cpri
    Set KMS priority to low

Bronnen:
Microsoft TechNet - Microsoft Volume Activation
Microsoft Download Center - Volume Activation 2.0 Technical Guidance
Windows Client TechCenter - Windows Volume Activation

Het is mogelijk om vanaf een 2003 of 2008 server Windows Server 2008 R2 en Windows 7 clients te activeren. Hiervoor moet het volgende gedaan worden:

1. Installeer KB968912 voor Server 2008 of KB968915 voor Server 2003 SP2.
2. Herstart de PC.
3. Stop en start na de herstart de Software Licensing service:

net stop slsvc
net start slsvc

1. Voer vervolgens een KMS key in voor Windows 7/Server 2008 R2.

Bron:Platform Support - Volume Activation 2.0

Om de KMS key te upgraden (bijvoorbeeld van 2008 niveau naar 2008R2 niveau) moet je het volgende uitvoeren op de KMS host:

• Verwijder de huidige key:

cscript c:\Windows\System32\Slmgr.vbs -upk

• Installeer de nieuwe key:

cscript c:\Windows\System32\Slmgr.vbs -ipk xxxxx-xxxxx-xxxxx-xxxxx-xxxxx

• Activeer de key:

cscript c:\Windows\System32\Slmgr.vbs -ato

Om een host te promoveren tot KMS host en deze te activeren:

cscript c:\Windows\System32\Slmgr.vbs -ipk xxxxx-xxxxx-xxxxx-xxxxx-xxxxx
cscript c:\Windows\System32\Slmgr.vbs -ato

Mocht je (per ongeluk) een server in je omgeving hebben die voorzien is van de KMS key en geactiveerd is, maar waarvan je niet wilt dat deze andere hosts gaat activeren, dan heb je twee opties:

• _VLMCS SRV record DNS registratie uitzetten zodat KMS clients de server niet automatisch meer kunnen vinden door het volgende uit te voeren:

cscript c:\Windows\System32\Slmgr.vbs -cdns

• De KMS key verwijderen en een KMS Client Setup Key installeren, zodat de server zich gaat activeren bij de KMS host:

cscript c:\Windows\System32\Slmgr.vbs -upk
cscript c:\Windows\System32\Slmgr.vbs -ipk xxxxx-xxxxx-xxxxx-xxxxx-xxxxx
cscript c:\Windows\System32\Slmgr.vbs -ato

Tested with Windows Server 2016/2019, and Windows 10 Pro.

To enable license activaton for Windows Server access to the following URL seems to be enough:

activation-v2.sls.microsoft.com

For Windows 10 you need more than acccess to activation-v2.sls.microsoft.com:

activation-v2.sls.microsoft.com
activation.sls.microsoft.com
crl.microsoft.com
crl3.digicert.com
crl4.digicert.com
ctldl.windowsupdate.com
displaycatalog.md.mp.microsoft.com
displaycatalog.mp.microsoft.com
fe3cr.delivery.mp.microsoft.com
go.microsoft.com
licensing.md.mp.microsoft.com
licensing.mp.microsoft.com
login.live.com
ocsp.digicert.com
purchase.md.mp.microsoft.com
purchase.mp.microsoft.com
slscr.update.microsoft.com
validation-v2.sls.microsoft.com
validation.sls.microsoft.com
www.microsoft.com

Sources:

• "%windir%\system32\cscript.exe" "%windir%\system32\slmgr.vbs" /dlv

• TechyGeeksHome - Windows and Office Activation Proxy Whitelist Websites