Présentation : Vue d’ensemble de Windows VISTA Activation en volume pour Windows Vista VLK 2.0

Activation dans Vista et Longhorn Il existe 3 moyens d’activer Vista et Longhorn Server : Machines pré-activées par les OEM Ces machines échappent aux principes d’activation VLK 2.0 KMS (Service de gestion de clés) Clé destinée aux environnements gérés où les utilisateurs se c connectent au réseau de l’entreprise MAK (Clé d’activation multiple) Clé destinée aux réseaux décentralisés où les utilisateurs se connectent rarement, voire jamais, au réseau de l’entreprise

Service KMS - Introduction Key Management Service (KMS) est le service central de VLK 2.0 qui gère les clés d’activation en volume de tous les ordinateurs clients et serveurs d’un réseau d’entreprise Cible : Réseaux plutôt importants (25 machines minimum) auxquels des ordinateurs clients se connectent régulièrement Avantages : Administration sécurisée et centralisée des clés, Déploiement OS facilité avec activation automatique des machines clientes, Sécurité permanente renforcée, Inventaire et dépannage simplifiés Fonctionne sur client Vista ou Longhorn Server Support WS2K3 prévu après la mise sur le marché de Vista

KMS activation une seule fois Architecture KMS VPN KMS activation une seule fois Setup KMS service inside corporate network, and activate KMS once Client systems (>25) automatically connect to KMS and request activation KMS activates the client systems for 180 days upon each connection Systems silently re-connect regularly (default 7 days) to renew activation

Service KMS - Configuration Rien de plus facile que de déployer le service KMS Procurez-vous les clés de licence en volume et le support produit (comme aujourd’hui via le portail en ligne – MVLS / Eopen) Installez Vista ou Longhorn sur la machine qui hébergera le service KMS Installez les clés de licence en volume pour activer KMS KMS chiffre et stocke les VLK dans une base de données de confiance pour assurer une parfaite sécurité Aucune autre action n’est requise Configurez KMS pour que les clients puissent communiquer avec KMS à intervalles réguliers Les machines sous KMS se réactivent automatiquement, mais dépassent le seuil de tolérance après 180 jours de déconnexion Configurez le port TCP et le pare-feu (facultatif) Configurez le DNS comme souhaité pour la détection de KMS

Configuration clients Vista/LH Server Une fois le service KMS activé, déployez les machines clientes Déployez les « clients » Vista ou Longhorn Server (en suivant les mêmes méthodes que pour Windows XP : DVD, image disque, déploiement d’image à distance - WDS) (facultatif) Configurez les clients pour localiser KMS si l’autodétection n’est pas utilisée (voir diapositive suivante) Chaque client dispose d’une période de 30 jours après l’installation pour contacter le service KMS Seuls les 25 premiers clients à contacter KMS sont comptés et restent dans la liste KMS pendant 30 jours Tout client suivant peut s’activer automatiquement Les 25 premiers clients réessayent automatiquement toutes les 2 heures, puis s’activent

Déploiement KMS - Détails Détection du service KMS KMS tente l’auto-inscription avec le DNS (via les enregistrements de ressources SRV) Le DNS peut demander la définition d’autorisations pour KMS selon le réseau La requête client obtient une liste de tous les ordinateurs KMS du domaine DNS et sélectionne le service KMS de façon aléatoire Communication avec le service KMS Utilisation de RPC anonymes sur TCP (ouverture du port sur le pare-feu) Port TCP (1688 par défaut) configurable via WMI (clé de registre) Requêtes asynchrones et légères (200 octets) Un seul service KMS sur un poste de travail peut absorber 20 000 requêtes/heure Prise en charge des utilisateurs qui se connectent par intermittence grâce à une détection automatique dès connexion de la machine Gestion du service KMS Support WMI pour gestion à distance des clients et du service KMS Toutes les activités sont consignées dans le journal d’événements des applications, du côté des clients et de KMS Outils de création de rapports et packs MOM bientôt fournis Remarque : les fonctionnalités ont changé par rapport au plan d’origine suite aux commentaires fournis par les clients participant au TAP : Utilisation d’un seul port TCP bien défini pour les appels RPC (au lieu des canaux nommés au préalable – protocole SMB) Possibilité de prendre en charge l’activation pour des utilisateurs en déplacement avec connexion intermittente Autodétection à l’aide du DNS

Scénario et délai d’activation La machine s’active automatiquement et se réactive pendant la période de grâce ou d’expiration La machine dépasse la période de grâce de 30 jours (période de tolérance) et passe en mode de fonctionnalités réduites (RFM), ce qui empêche l’utilisateur de se connecter L’utilisateur administrateur installe la clé MAK et l’active dans un délai de 30 jours (l’activation n’est associée à aucune date d’expiration) Demandes d’activation automatique (2 h par déf.) Demandes de renouvellement d’activation automatique (7 jours par déf.) Demandes d’activation automatique (2 h par déf.) Grâce Activation Grâce RFM 30 jours Réactivation après expiration 180 jours (chaque renouvellement donne droit à une nouvelle période de 180 jours) 30 jours L’utilisateur ne peut plus se connecter

Mode de fonctionnalités réduites (RFM) Des avertissements tels que « Procédez à l’activation sinon certaines fonctionnalités ne seront plus disponibles » s’affichent de plus en plus souvent vers la fin de la période de grâce, juste avant le passage en mode RFM Pour quitter le mode RFM : Connectez la machine au réseau d’entreprise hébergeant le service KMS L’utilisateur doté de privilèges d’administrateur peut saisir manuellement une clé MAK (lors d’une tentative de connexion – et éventuellement à l’aide d’un script)

Clé d’activation multiple (MAK) Si vous ne savez pas si un utilisateur se trouvera régulièrement sur le réseau de l’entreprise, émettez une clé MAK Les clés MAK peuvent être utilisées à maintes reprises (100 activations par exemple), mais ont un plafond… Il est possible de suivre l’emploi des clés MAK via les portails en ligne de Microsoft et de demander gratuitement d’autres activations, Les clés MAK sont stockées dans une base de données de confiance, mais la sécurité permanente est moindre et l’inventaire non centralisé (par rapport à KMS)

Clé d’activation multiple (suite) Les clés MAK doivent être déployées sur chaque machine. Il est possible, pour cela, d’utiliser un script ou de faire figurer une MAK dans l’image Vista. Les MAK doivent être activées par MS une fois par machine, soit en ligne automatiquement, soit hors ligne à l’aide d’un ID de confirmation reçu par téléphone. Cet ID de confirmation peut servir plusieurs fois pour réactiver le même matériel. Un administrateur peut configurer l’activation automatique des MAK. L’activation en masse des MAK par téléphone est prise en charge de façon à pouvoir recevoir l’ID de confirmation sur plusieurs machines, via une seule transaction. Les activations MAK ne sont associées à aucune date d’expiration, mais peuvent dépasser le seuil de tolérance en cas d’importantes modifications matérielles. Les utilisateurs peuvent passer d’une activation KMS à une clé MAK, par simple installation de cette dernière.

Architecture MAK MAK Activation indépendante MAK Proxy avec VAMT 2 1 3 4

Architecture MAK Volume Activation Management Tool Simple Graphical User Interface Can perform both MAK Proxy and MAK Independent activation Provides activation status on machines in the enterprise Supports Active Directory (AD), workgroup, and individual (by IP address and Machine Name) discovery of machines in the environment. All data is stored in a well defined XML format Supports Importing and Exporting of data between tools

Comparaison des activations VLK Activation VLK 1.0 Activation KMS VLK 2.0 Activation MAK VLK 2.0 Obtention des clés Accéder au site de licence ou téléphoner au centre d’appels Fournir informations d’authentification Acquérir VLK Demander/recevoir MAK Configuration Inclure VLK dans fichier unattend.txt en vue du déploiement Installer VLK sur la machine KMS et configurer la détection de KMS, ainsi que le mode de communication NA Installation OS Installer/Déployer l’image Période de grâce Non applicable (NA) Délai de 30 jours pour activer Activation L’activation se fait automatiquement sur le réseau L’utilisateur doté de privilèges d’administrateur saisit la clé MAK (interface ou script), puis l’active en ligne ou appelle MS pour une activation par téléphone Expiration & réactivation Expiration au bout de 180 jours. Réactivation automatique auprès du service KMS Tolérance du matériel Des modifications matérielles imposeront une réactivation sous 30 jours Certaine modifications matérielles imposeront une réactivation sous 30 jours

Scénarios d’activation en volume de Vista Nous fournissons le support produit à l’OEM qui se charge de pré-installer nos machines OEM (KMS et MAK inutiles) Nos utilisateurs appartiennent à un réseau géré et se connectent régulièrement au domaine KMS Nous évoluons au sein d’un environnement multinational comportant plusieurs domaines et quelque 100 000 PC connectés Nous avons une force de vente mobile qui se connecte au réseau moins de deux fois par an MAK Nous disposons d’un bureau à distance qui possède son propre réseau et compte moins de 25 utilisateurs Nous envoyons nos « troupes » sur le terrain qui auront peut-être à réinstaller et à réactiver Vista sans accès à Internet ni au téléphone MAK (avec ID confirmation) Nous possédons un laboratoire totalement déconnecté, composé de 1000 machines sans liaison Internet MAK (avec activation en masse) Nous avons des utilisateurs dans une région reculée qui ne disposent que d’une liaison Internet très lente et plutôt onéreuse MAK ou KMS (modifier l’intervalle)

Cas pratique

Politiques d’activation VLK 2.0 Activation des clés KMS Stratégie-N (nombre minimum de machines par KMS) : 25 Période d’expiration jusqu’à réactivation : 180 jours (30 jours pour les tests Bêta 2) Tolérance matérielle : liée au disque dur du système Période de grâce après installation : 30 jours Seuil de tolérance : 30 jours Si l’utilisateur a dépassé la date d’expiration ou changé de disque dur Activation des clés MAK Aucune stratégie-N Aucune date d’expiration Tolérance matérielle : certaines modifications matérielles imposeront une réactivation et compteront dans le total de MAK. En cas de modification matérielle uniquement

Questions fréquentes En quoi le coût total de possession est-il affecté ? L’impact sur le coût total de possession varie en fonction de la configuration du réseau de l’entreprise. Généralement, l’impact reste très faible puisque aucune infrastructure/administration supplémentaire n’est requise. Dans bien des cas, les fonctions de gestion d’actifs intégrées à VLK 2.0 compensent largement les coûts de gestion informatique occasionnés. Aucun nouveau matériel n’est requis. KMS est léger et cohabite avec d’autres services. Quelles sont les éditions en volume compatibles avec KMS ? Client Professionnel, Client Entreprise, Serveur Entreprise Les versions clientes sont uniquement des mises à jour. Pourquoi la valeur « n » est-elle fixée à 25 machines ? Des études poussées et les réactions de nos clients ont montré qu’un réseau de 25 machines constitue un juste équilibre entre le confort d’utilisation et la prévention de réseaux illégaux. Les entreprises dotées de réseaux de moins de 25 machines auront recours aux clés MAK. N’est-ce pas pour Microsoft l’occasion d’accroître ses revenus ? Si la lutte contre le piratage des logiciels Windows profite à Microsoft, aucune entreprise ne peut approuver l’utilisation illégale de ses clés de licence en volume. Les clients de Microsoft sont surtout les premiers à bénéficier d’une sécurité renforcée et d’un compte précis de leurs clés et logiciels de licence en volume.

Scripts intégrés cscript \windows\system32\slmgr.vbs –ipk cscript C:\windows\system32\slmgr.vbs [NomOrdinateur NomUtilisateur MotDePasse] <Option> cscript \windows\system32\slmgr.vbs –ato Activation manuelle cscript \windows\system32\slmgr.vbs –ipk Activation de la machine qui devient un serveur KMS cscript \windows\system32\slmgr.vbs –dbi Affichage des informations sur KMS et licence client