Руководство по развертыванию служб федерации active directory в windows server 2012

KMSAuto — что это за программа

KMSAuto Net представляет собой средство для активации операционных систем семейства Windows: начиная с Vista. А также Microsoft Office, версии 2010-2016. Не работает с Office 365, а также не подходит для XP.

Есть в нескольких редакциях:

KMSAuto Net 1.5.3 Portable — Полная версия программы с расширенными возможностями и встроенными утилитами.
KMSAuto Lite 1.3.5.2 — Урезанная версия, не требует установленного NET Framework.
KMSAuto Helper 1.1.8 RU — Работает в режиме реального времени, в случае если ключ слетает, автоматически исправляет ситуацию. Запускается вместе с Windows.

В основе программы лежит официальный KMS (сервер управления ключами) от Microsoft, который был разработан для корпоративных лицензий. И благодаря разработчику Ratiborus, стал доступен всем желающим получить бесплатно лицензионный ключ для любой редакции Windows.

Командная строка

С помощью командной строки можно также очистить систему от предыдущих ключей и информации о лицензии. Сменить ключ, или узнать срок действия ключа и состояние лицензии.

Запустите командную строку от имени администратора. Это можно сделать несколькими способами: в поле поиска Windows пропишите запрос (cmd) — без скобок, маленькими латинскими буквами.
На ярлыке самой программы выполните правый клик мыши и выберите пункт «Запуск от имени администратора».
Или откройте «Диспетчер задач» — в разделе «Файл»/«Создать задачу», отметьте галочкой пункт с правами администратора и напишите запрос cmd.
В консоли командной строки можно узнать состояние лицензии, для этого впишите туда команду — slmgr.vbs /dli
Посмотреть детальную информацию о лицензии можно через команду — slmgr.vbs /Dlv
Чтобы удалить ключ введите команду — slmgr.vbs /Upk

Установка роли Active Directory на Windows Server 2012

Итак, после предварительной настройки сервера, переходим к установки роли службы каталогов.

Start -> Server Manager (Пуск -> Диспетчер сервера).

Add roles and features -> Next

Выбрать Role-based or feature-based Installation (Установка ролей и компонентов) -> Next

Выбрать сервер, на который устанавливается роль AD и нажать Далее. Select a server from the server pool -> Next

Выбираем роль Active Directory Domain Services (Доменные службы Active Directory), после чего появляется окно с предложением добавить роли и компоненты, необходимые для установки роли AD. Нажимаем кнопку Add Features.

Можно также выбрать роль DNS Server. Если вы забудете установить галочку для добавления роли DNS Server, можно особо не переживать, т.к. её можно будет добавить позже на стадии настройки роли AD.

После этого жмем каждый раз кнопку Next и устанавливаем роль.

Дополнительная информация по статье

Прощай dcpromo, привет Powershell

Из анонсов все уже знают, что утилита dcpromo устарела. Если запустить в командной строке dcpromo, то появится окно с предупреждением, предлагающее вам воспользоваться Диспетчером сервера.

The Active Directory Services installation Wizard is relocated in Server Manager.

Тем не менее, данной командой можно воспользоваться c указанием параметра автоматической настройки — dcpromo /unattend. При работе сервера в режиме Core, предупреждения не будет, а в командной строке появится информация по использованию утилиты dcpromo.

Все эти изменения связаны с тем, что в Windows Server 2012 сделали акцент на администрирование с помощью Powershell.

Службы федерации Active Directory (AD FS)

Больше не поддерживаются приложения, использующие веб-агенты «в режиме маркеров NT». Эти приложения должны переноситься на платформу Windows Identity Foundation и использовать службу Claims to Windows Token для преобразования имени участника-пользователя из маркера SAML в маркер Windows для использования в приложении.
Больше не поддерживаются «Группы ресурсов» (описание групп ресурсов см. по адресу http://technet.microsoft.com/library/cc753670(WS.10).aspx)
Больше не поддерживается возможность использования служб Active Directory облегченного доступа к каталогам (AD LDS) в качестве хранилища результатов проверки подлинности.
Необходим переход к версии AD FS в Windows Server 2012. Не поддерживается обновление «на месте» с AD FS 1.0 или со «стандартной» версии AD FS 2.0.

Поставщики WMI

Устарел поставщик WMI для Active Directory. Для управления Active Directory рекомендуется использовать командлеты PowerShell.

Подготовка

Прежде, чем настраивать роль Active Directory необходимо произвести настройку Windows Server 2012 — задать статический IP адрес и переименовать компьютер.

Чтобы установить статический IP адрес, необходимо щелкнуть правой кнопкой мышки по иконке Network в панели задач и выбрать Open Network ang Sharing Center -> Change adapter settings. Выбрать адаптер, который смотрит во внутреннюю сеть. Properties -> Internet Protocol Version 4 (TCP/IPv4) и задать IP адрес по подобию, как приведено на картинке.

192.168.0.11 — IP адрес текущего сервера — первого контроллера домена.

192.168.0.254 — IP адрес шлюза.

Теперь необходимо переименовать имя сервера и перезагрузить его. Start -> System -> Change Settings -> Computer Name -> Change. Ввести Computer Name. В примере сервер будет называться DC1.

Архитектура и особенности службы KMS активации Microsoft

Инфраструктура KMS состоит из KMS-сервера, который активируется в Microsoft (эта операция выполняется один раз по телефону или онлайн) и клиентов KMS, отправляющих запросы на активацию на KMS сервер. В качестве клиентов KMS сервера могут выступать пользовательские и серверные ОС Windowsи MS Office.

Сам KMS сервер активируется с помощью специального корпоративного CSVLK ключа (KMS host key), получить который может каждый корпоративный клиент Microsoft в личном кабинете на сайте корпоративного лицензирования VLSC (https://www.microsoft.com/Licensing/servicecenter/default.aspx — Microsoft Volume Licensing Service Center –> License -> Relationship Summary -> Product Keys -> скопируйте ключ для Windows Srv 2019 DataCtr/Std KMS). Ключ CSVLK указывается на KMS сервере и выполняется активация KMS сервера в интернете на серверах Microsoft. KMS сервер нужно активировать только один раз (вам понадобится переактивировать KMS сервер, если вы хотите активировать новый CSVLK ключ с поддержкой свежих версий Windows).

Один KMS сервер может активировать неограниченное число KMS клиентов. Например, даже несмотря на то, что в вашем соглашении указано, что вы приобрели корпоративную лицензии на 100 компьютеров, теоретически вы можете активировать тысячи компьютеров (конечно, это будет нарушением лиц. соглашения, но технически KMS сервер вас в этом не ограничивает). Также отметим, что информация о проведенных активациях и их количестве не передается KMS севером за пределы организации.

KMS сервер может активировать клиентов в разных доменах, а также клиенты в рабочих группах. Один KMS сервер может одновременно активировать и десктопные редакции Windows, и Windows Server и продукты из пакета Microsoft Office.

При установке KMS сервера в DNS регистрируется специальная SRV (_VLMCS) запись. По этой DNS записи любой клиент может найти имя KMS сервера в домене. Например, чтобы найти KMS сервер в вашем домене corp.winitpro.ru, выполните команду:

Для активации KMS клиента (Windows или Office) на нем должен быть указан специальный публичный ключ KMS, который называется GVLK ключом (Generic Volume License Key- универсальный ключ многократной установки). После указания GVLK ключа, клиент KMS пытается сам найти в DNS SRV запись, указывающую на сервер KMS и пытается произвести активацию.

Список универсальный KMS (GVLK) ключей для актуальных продуктов Microsoft:

KMS сервер, активированный более новым ключом KMS host key, может активировать все предыдущие версии Windows, но не наоборот. Например, KMS сервер, актвированый ключом Windows Srv 2012 R2 DataCtr/Std KMS не сможет активировать компьютеры Windows 10 или Windows Server 2016/2019. Для подержки современных версий Windows вам нужно получить новый CSVLK ключ и активировать его на KMS сервере.

KMS ключи клиентов для разных редакций Windows

Ниже мы собрали в одном месте список общедоступных лицензионных ключей для клиентов KMS для всех поддерживаемых версий Windows. Найти их на сайте MSFT зачастую довольно трудно.

Версия опереционной системы	Ключи установки клиента KMS
Windows Server 2016
Windows Server 2016 Datacenter	CB7KF-BWN84-R7R2Y-793K2-8XDDG
Windows Server 2016 Standard	WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY
Windows Server 2016 Essentials	JCKRF-N37P4-C2D82-9YXRT-4M63B
Windows 10
Windows 10 Professional	W269N-WFGWX-YVC9B-4J6C9-T83GX
Windows 10 Professional N	MH37W-N47XK-V7XM9-C7227-GCQG9
Windows 10 Enterprise	NPPR9-FWDCX-D2C8J-H872K-2YT43
Windows 10 Enterprise N	DPH2V-TTNVB-4X9Q3-TJR4H-KHJW4
Windows 10 Education	NW6C2-QMPVW-D7KKK-3GKT6-VCFB2
Windows 10 Education N	2WH4N-8QGBV-H22JP-CT43Q-MDWWJ
Windows 10 Enterprise 2015 LTSB	WNMTR-4C88C-JK8YV-HQ7T2-76DF9
Windows 10 Enterprise 2015 LTSB N	2F77B-TNFGY-69QQF-B8YKP-D69TJ
Windows 10 Enterprise 2016 LTSB	DCPHK-NFMTC-H88MJ-PFHPY-QJ4BJ
Windows 10 Enterprise 2016 LTSB N	QFFDN-GRT3P-VKWWX-X7T3R-8B639
Windows Server 2012 R2
Windows Server 2012 R2 Standard	D2N9P-3P6X9-2R39C-7RTCD-MDVJX
Windows Server 2012 R2 Datacenter	W3GGN-FT8W3-Y4M27-J84CP-Q3VJ9
Windows Server 2012 R2 Essentials	KNC87-3J2TX-XB4WP-VCPJV-M4FWM
Windows 8.1
Windows 8.1 Professional	GCRJD-8NW9H-F2CDX-CCM8D-9D6T9
Windows 8.1 Professional N	HMCNV-VVBFX-7HMBH-CTY9B-B4FXY
Windows 8.1 Enterprise	MHF9N-XY6XB-WVXMC-BTDCT-MKKG7
Windows 8.1 Enterprise N	TT4HM-HN7YT-62K67-RGRQJ-JFFXW
Windows Server 2012
Windows Server 2012 Core	BN3D2-R7TKB-3YPBD-8DRP2-27GG4
Windows Server 2012 Core N	8N2M2-HWPGY-7PGT9-HGDD8-GVGGY
Windows Server 2012 Core Single Language	2WN2H-YGCQR-KFX6K-CD6TF-84YXQ
Windows Server 2012 Core Country Specific	4K36P-JN4VD-GDC6V-KDT89-DYFKP
Windows Server 2012 Server Standard	XC9B7-NBPP2-83J2H-RHMBY-92BT4
Windows Server 2012 Standard Core	XC9B7-NBPP2-83J2H-RHMBY-92BT4
Windows Server 2012 MultiPoint Standard	HM7DN-YVMH3-46JC3-XYTG7-CYQJJ
Windows Server 2012 MultiPoint Premium	XNH6W-2V9GX-RGJ4K-Y8X6F-QGJ2G
Windows Server 2012 Datacenter	48HP8-DN98B-MYWDG-T2DCC-8W83P
Windows Server 2012 Datacenter Core	48HP8-DN98B-MYWDG-T2DCC-8W83P
Windows 8
Windows 8 Professional	NG4HW-VH26C-733KW-K6F98-J8CK4
Windows 8 Professional N	XCVCF-2NXM9-723PB-MHCB7-2RYQQ
Windows 8 Enterprise	32JNW-9KQ84-P47T8-D8GGY-CWCK7
Windows 8 Enterprise N	JMNMF-RHW7P-DMY6X-RF3DR-X2BQT
Windows Server 2008 R2
Windows Server 2008 R2 HPC Edition	FKJQ8-TMCVP-FRMR7-4WR42-3JCD7
Windows Server 2008 R2 Datacenter	74YFP-3QFB3-KQT8W-PMXWJ-7M648
Windows Server 2008 R2 Enterprise	489J6-VHDMP-X63PK-3K798-CPX3Y
Windows Server 2008 R2 for Itanium-Based Systems	GT63C-RJFQ3-4GMB6-BRFB9-CB83V
Windows Server 2008 R2 Standard	YC6KT-GKW9T-YTKYR-T4X34-R7VHC
Windows Web Server 2008 R2	6TPJF-RBVHG-WBW2R-86QPH-6RTM4
Windows Server 2008
Windows Server 2008 Datacenter	7M67G-PC374-GR742-YH8V4-TCBY3
Windows Server 2008 Datacenter without Hyper-V	22XQ2-VRXRG-P8D42-K34TD-G3QQC
Windows Server 2008 for Itanium-Based Systems	4DWFP-JF3DJ-B7DTH-78FJB-PDRHK
Windows Server 2008 Enterprise	YQGMW-MPWTJ-34KDK-48M3W-X4Q6V
Windows Server 2008 Enterprise without Hyper-V	39BXF-X8Q23-P2WWT-38T2F-G3FPG
Windows Server 2008 Standard	TM24T-X9RMF-VWXK6-X8JC9-BFGM2
Windows Server 2008 Standard without Hyper-V	W7VD6-7JFBR-RX26B-YKQ3Y-6FFFJ
Windows Web Server 2008	WYR28-R7TFJ-3X2YQ-YCY4H-M249D
Windows 7
Windows 7 Professional	FJ82H-XT6CR-J8D7P-XQJJ2-GPDD4
Windows 7 Professional N	MRPKT-YTG23-K7D7T-X2JMM-QY7MG
Windows 7 Enterprise	33PXH-7Y6KF-2VJC9-XBBR8-HVTHH
Windows 7 Enterprise N	YDRBP-3D83W-TY26F-D46B2-XCKRJ
Windows 7 Enterprise E	C29WB-22CC8-VJ326-GHFJW-H9DH4
Windows Vista
Windows Vista Business	YFKBB-PQJJV-G996G-VWGXY-2V3X8
Windows Vista Business N	HMBQG-8H2RH-C77VX-27R82-VMQBT
Windows Vista Enterprise	VKK3X-68KWM-X2YGT-QR4M6-4BWMV
Windows Vista Enterprise N	VTC42-BM838-43QHV-84HX6-XJXKV

Как работает

Хотим развенчать страхи пользователей, относительно подобных средств. Это не совсем взлом — программа использует легальные ключи многоразового использования для корпоративных лицензий. Поэтому активация через KMSAuto Net это почти легальный способ.

С одной разницей. Если с настоящим KMS система отправляет запрос для проверки подлинности ключа на удалённый сервер KMS, то в нашем случае, программа просто эмулирует этот «удаленный» сервер на клиентском ПК, чтобы система «думала», что связалась непосредственно с официальным KMS. После чего ключ встраивается в систему и всё, мы получаем вполне легальную лицензию.

Использование ПО пошагово

Чтобы активировать Виндовс, сделайте вот что:

1. После запуска программы нажмите большую кнопку «Активация», которая находится прямо посреди открытого окна.

Рис. 2. Кнопка «Активация» в КМС

2. Дальше появятся две новые кнопки – «Активировать Windows» и «Активировать Office». Нам нужен первый вариант, поэтому жмите на него.

Рис. 3. Кнопка «Активировать Windows» в КМС

3. Появится новое окно. В нем необходимо будет ввести ключ продукта

Разумеется, у нас его нет, но следует обратить внимание на поле «Частичный ключ». Там отображается часть лицензионного ключа, который требуется

Формат требуемого ключа такой: ХХХХХ-ХХХХХ-ХХХХХ-ХХХХХ-ХХХХХ. То есть 5 блоков по 5 символов. Введите абсолютно любой ключ, но с той частью, которая отображается как частичная. Например, в нашем случае частичный ключ: PTMXQ. Мы можем ввести такой код: PTMXQ-PTMXQ-PTMXQ-PTMXQ-PTMXQ или же PTMXQ-XXXXX-XXXXX-XXXXX-XXXXX или любые другие символы, но только чтобы там было PTMXQ. Нажмите «Продолжить».

Рис. 4. Окно ввода ключа Виндовс

4. Почти такое же окно появится еще раз. Там в поле «Частичный ключ» уже будет показан полный ключ, который нужно ввести. Введите его таким же образом. На этом активация завершена!

Как видите, все предельно просто.

Активация офисного пакета происходит точно так же, только в самом начале, на втором шаге списка выше, нужно будет нажать кнопку «Активировать Office».

В программе также есть некоторые настройки.

Они находятся во вкладке «Система».

Разберем их более подробно:

В блоке «KMS-Sercive» находятся две кнопки – установки и удаления. Они предназначены для того, чтобы создать ярлык данного ПО в системе. Если этого не сделать, потребуется каждый раз запускать скачанный ярлык.
Ниже находится блок способов активации. Лучше там оставить отметку на надписи «Auto», чтобы ПО самостоятельно определяло, что лучше.
Правее можно видеть еще два параметра – «Вести Лог файл» и «Определять IP-адрес». Эти параметры можно установить или убрать по желанию.
В блоке «Планировщик» указываются задачи, которые будет выполнять программа. Например, можно выполнять повторную активацию один раз в 10 дней.
Блок «Установка GVLK ключа» понадобится в тех случаях, которая программа не сможет активировать ОС или офисный пакет. Это, если говорить просто, более мощный способ активации.
Внизу можно изменить язык программы.

Рис. 5. Окно настроек КМС

После выбора параметров нажмите кнопку «Выполнить», чтобы их применить.

Как убрать Сбой активации продукта Microsoft Office

Если на компьютере установлена пробная версия Microsoft Office 2010, 2013, или 2016, после окончания free-trial версии появится сбой активации продукта. Мастер активации будет говорить при каждом запуске, что Эта копия Microsoft Office не активирована. Код ошибки: 0x8007007B.

Убрать сбой активации можно двумя способами: купить лицензию или использовать активатор вроде KMSAUTO NET (для любой версии Office). Поскольку программа стоит действительно дорого, многие пользователи предпочитают использовать бесплатный активатор для Office. Это позволит избавиться от надоедливого сообщения о сбое активации продукта и пользоваться всеми возможностями программ из офисного пакета.

Additional information about Active Directory-based activation

Active Directory-based activation uses the same keys that are used by Key Management Service (KMS). However, Active Directory-based activation doesn’t require a dedicated KMS host computer. The activation object is replicated across all the domain controllers in the Active Directory forest.
A successful Active Directory-based activation of Office lasts for up to 180 days. The Software Protection service running on the computer periodically attempts to re-activate Office by querying Active Directory for the activation object. If Active Directory can’t be contacted, Office will try to activate by using a discoverable KMS host computer.

Дополнительная информация

Пользователи, компьютеры и группы, созданные API более ранней версии, создают объекты в пути DN, указанном в атрибуте WellKnownObjects. Атрибут WellKnownObjects расположен в главе NC домена. В следующем примере кода показаны соответствующие пути в атрибуте WellKnownObjects из CONTOSO.COM области NC.

Dn: DC=CONTOSO,DC=COM

Например, в следующих операциях используются API более ранней версии, которые отвечают на пути, определенные в атрибуте WellKnownObjects:

Операция	Версии операционной системы
Пользовательский интерфейс «Регистрация домена»	Windows NT версии4.0Windows 2000Windows XP ProfessionalWindows XP UltimateWindows Server 2003Windows Server 2003 R2Windows VistaWindows Server 2008Windows 7Windows Server 2008 R2
NET COMPUTER	Все версии
NET GROUP	Все версии
NET USER	Все версии
ДОБАВЛЕНИЕ NETDOM, где команда /ou не указана или поддерживается	Все версии

Полезно сделать контейнер по умолчанию для групп пользователей, компьютеров и безопасности OU по нескольким причинам, в том числе:

Групповые политики можно применять в контейнерах OU, но не в контейнерах класса CN, где по умолчанию ставятся основные принципы безопасности.
Передовая практика — упорядочность принципов безопасности в иерархию OU, которая отражает организационную структуру, географическое расположение или модель администрирования.

При перенаправлении папок CN=Users и CN=Computers следует помнить о следующих проблемах:

Целевой домен должен быть настроен для запуска на уровне Windows Server 2003 или выше. Для функционального уровня Windows Server 2003 это означает:
- Windows Сервер 2003 или более новый
- Windows Сервер 2003 или более новый
- Все контроллеры домена в целевом домене должны работать Windows Server 2003 или более новые.
- Windows Необходимо включить функциональный уровень домена Server 2003 или более высокий.
В отличие от CN=USERS и CN=COMPUTERS, контейнеры OU подвергаются случайным удалениям привилегированных учетных записей пользователей, в том числе администраторов.

Контейнеры CN=USERS и CN=COMPUTERS — это объекты, защищенные системой, которые не могут и не должны удаляться для обратной совместимости. Но их можно переименовать. Организационные подразделения могут быть удалены администраторами случайно.

Windows Версии сервера 2003 для пользователей Active Directory & компьютеров могут выполнять действия в Области Защиты организационного подразделения от случайного удаления.

Windows Сервер 2008 и более новые версии оснастки пользователей и компьютеров Active Directory имеют объект Protect от случайного удаления, который можно выбрать при создании нового контейнера OU. Вы также можете выбрать его на вкладке Объект в диалоговом окне Свойства для существующего контейнера OU.

Сценарий задокументирован в script to Protect Organizational Units (OUs) от случайного удаления.
Exchange Server 2000 и 2003 годах с ошибками.

Сбой активации в лицензионном Office

Сбой активации может произойти при запуске любого продукта из офисного пакета Microsoft Office: Word, Excel, PowerPoint. Обычно это происходит после окончания пробной версии программ. Система предлагает ввести лицензионный ключ при каждом запуске. Это изрядно надоедает пользователям, особенно вместе с урезанным функционалом Office.

Изредка ошибка при активации Microsoft Office может появляться на лицензионной версии, где ключ введен и раньше все было нормально. Это происходит в случае, если Windows не может подключиться к серверам Microsoft или проверка подлинности лицензии по каким-то причинам недоступна.

Основные причины сбоев:

В реальности все гораздо проще — софт не активирован, потому что никто не приобретал лицензию.

Windows 10, все поддерживаемые версии Semi-Annual Channel Windows 10, all supported Semi-Annual Channel versions

См. в разделе Справочные материалы по жизненному циклу Windows сведения о поддерживаемых версиях и конечных датах обслуживания. See the Windows lifecycle fact sheet for information about supported versions and end of service dates.

На страницах сайта WinITPro.ru мы уже не раз касались разных аспектов настройки и функционирования службы активации продуктов Microsoft по программе Volume License у корпоративных заказчиков — KMS (Key Management Server – служба управления ключами). Попробуем собрать всю основную информацию и необходимые ссылки о технологии KMS активации в одной статье.