适用于：

提示

是否正在寻找有关零售激活的信息？

产品激活是在特定计算机上安装软件后与制造商验证该软件的过程。 激活确认产品是正版产品（不是欺诈性副本），并且产品密钥或序列号有效且未泄露或撤销。 激活还将建立产品密钥与特定安装之间的链接或关系。

在激活过程中，将检查有关特定安装的信息。 对于联机激活，此信息将发送到 Microsoft 的服务器。 此信息可能包括软件版本、产品密钥、计算机的 IP 地址以及有关设备的信息。 Microsoft 使用的激活方法旨在帮助保护用户隐私，不能用于跟踪计算机或用户。 收集的数据可确认软件是否为合法授权的副本，并且此数据可用于统计分析。 Microsoft 不会使用此信息来标识或联系用户或组织。

注意

IP 地址仅用于验证请求的位置，因为某些版本的 Windows (（如“初学者”版本) 只能在某些地理目标市场中激活。

通常情况下，通过三种主要渠道获取 Microsoft 软件：零售、原始设备制造商 (OEM) 和批量许可协议。 可通过每种渠道提供不同的激活方法。 由于组织可以随意地通过多种渠道获取软件（例如，以零售方式购买一些软件，通过批量许可计划获取其他软件），大多数组织选择将激活方法结合使用。

在 Windows 和 Windows Server 的多个版本中，零售激活方法没有更改。 每个已购买副本都附带一个唯一的产品密钥（通常称为零售密钥）。 用户在产品安装过程中输入此密钥。 安装完成后，计算机使用此零售密钥完成激活。 大多数激活都在联机状态下执行，但也提供电话激活。 最近，零售密钥已扩展到新的分配方案。 产品密钥卡可用于激活已预安装或已下载的产品。 Windows Anytime Upgrade 和 Get Genuine 等程序允许用户获取独立于软件的法律密钥。 这些以电子方式分配的密钥可能附带包含软件的媒体，它们可以作为软件交付来提供，或者通过印刷卡片或电子副本提供。 使用其中任一零售密钥激活产品的方法均相同。

大多数原始设备制造商 (OEM) 销售的系统都包含标准版本的 Windows 操作系统。 硬件供应商通过将操作系统与计算机的固件/BIOS 相关联来激活 Windows。 此激活发生在计算机发送给客户之前，无需执行其他操作。

只要客户在系统上使用 OEM 提供的映像，OEM 激活即为有效。 OEM 激活仅适用于通过 OEM 渠道购买并已预安装 Windows 操作系统的计算机。

批量许可提供了根据组织大小和购买意向定制的自定义程序。 若要成为批量许可客户，组织必须与 Microsoft 签订批量许可协议。 对于通过批量许可获取新计算机的许可证存在常见的误解。 有两种合法的方式为新计算机获取完整的 Windows 客户端许可证：

通过 OEM 预安装许可证

购买完全包装的零售产品

通过批量许可计划（例如 Open License、Select License 和 Enterprise Agreements）提供的许可证仅包含 Windows 客户端操作系统的升级。 执行通过批量许可获取的升级权限之前，运行 Windows 10、Windows 8.1 专业版、Windows 8 专业版、Windows 7 专业版（或旗舰版），或 Windows XP 专业版的每台计算机都需要现有具有零售或 OEM 操作系统许可证。 批量许可也可通过某些订阅或会员计划（例如 Microsoft 合作伙伴网络和 MSDN）提供。 这些批量许可可能包含特定的限制，或针对适用于批量许可的一般条款的其他更改。

注意

某些版本的操作系统（例如 Windows 10 企业版）以及某些版本的应用程序软件只能通过批量许可协议或订阅提供。

对于用户或 IT 部门，关于如何激活通过零售或 OEM 渠道获取的产品，并不存在任何重要的抉择。 OEM 在工厂执行激活，用户或 IT 部门无需执行任何激活步骤。

对于零售产品，在本指南稍后部分中介绍的批量激活管理工具 (VAMT) 可帮助你跟踪和管理密钥。 对于每个零售产品的激活，都可以选择以下方式：

联机激活

电话激活

VAMT 代理激活

电话激活主要用于一台计算机与所有网络都隔离的情况。 VAMT 代理激活（使用零售密钥）有时用于当 IT 部门希望集中零售激活或具有操作系统零售版本的计算机与 Internet 隔离但连接到 LAN 的情况。 但是，对于批量许可产品，你必须确定要在你的环境中使用的最佳方法或多种方法的组合。 对于 Windows 10 专业版和企业版，你可以在以下三种模型中进行选择：

MAK

KMS

基于 Active Directory 的激活

注意

当已批准的客户依赖隔离且高安全性环境中的公钥基础结构时，适用于 Windows 企业版 (（包括 LTSC) 和 Windows Server）的基于令牌的激活。 有关详细信息，请联系你的 Microsoft 帐户团队或服务代表。

多激活密钥 (MAK) 通常用于具有批量许可协议的中小型组织，但它们不满足运行 KMS 的要求，或者他们更喜欢更简单的方法。 MAK 还允许永久激活与 KMS 隔离或属于隔离网络的计算机，这些计算机没有足够的计算机来使用 KMS。

若要使用 MAK，要激活的计算机必须安装 MAK。 MAK 用于借助 Microsoft 联机托管的激活服务通过电话或通过使用 VAMT 代理激活执行的一次性激活。 简单地说，MAK 的行为类似于零售密钥，只不过 MAK 可用于激活多台计算机。 每个 MAK 都可以使用特定次数。 VAMT 有助于跟踪已对每个密钥执行的激活数以及剩余的激活数。

组织可以从批量许可服务中心网站下载 MAK 和 KMS 密钥。 每个 MAK 都有预设的激活数量，基于组织所购买许可总数的百分比；但是，你可以通过致电 Microsoft 来增加 MAK 的可用激活数量。

使用密钥管理服务 (KMS)，IT 专业人员可以在本地网络完成激活，而无需将个别计算机连接到 Microsoft 进行产品激活。 KMS 是一种轻量级服务，不需要专用系统，并且可以轻松地在提供其他服务的系统上共同托管。

批量版本的 Windows 10 和 Windows Server 2012 R2（除了自 Windows Vista 和 Windows Server 2008 起的操作系统版本的批量版本）将自动连接到托管 KMS 的系统以请求激活。 用户无需执行任何操作。

KMS 在网络环境中需要最少数量的计算机（物理计算机或虚拟机）。 组织必须至少包含五台计算机来激活 Windows Server 2012 R2，至少 25 台计算机来激活运行 Windows 10 的客户端计算机。 这些最小值称为激活阈值。

计划使用 KMS 包括选择 KMS 主机的最佳位置以及需要具有多少个 KMS 主机。 一个 KMS 主机可以处理大量激活，但组织通常会部署两个 KMS 主机以确保可用性。 使用两个以上的 KMS 主机的情况很少见。 KMS 可以托管在客户端计算机或服务器上，并且可以运行在较旧版本的操作系统中（如果采取了正确的配置步骤）。 将在本指南的稍后部分中讨论如何设置 KMS。

基于 Active Directory 的激活是一种最新的批量激活类型，它在 Windows 8 中引入。 在许多方面，基于 Active Directory 的激活类似于使用 KMS 进行激活，但激活的计算机不需要与 KMS 主机保持定期连接。 运行 Windows 10、Windows 8.1、Windows 8、Windows Server 2012 R2 或 Windows Server 2012 R2 且已加入域的计算机改为查询 AD DS 是否存在存储于域中的批量激活对象。 操作系统将检查激活对象中包含的数字签名，然后激活设备。

基于 Active Directory 的激活允许企业通过连接到域激活计算机。 许多公司的计算机位于远程或分支机构，连接到 KMS 是不切实际的，或者不会达到 KMS 激活阈值。 基于 Active Directory 的激活提供了一种方法来激活运行 Windows 10、Windows 8.1、Windows 8、Windows Server 2012 R2 或 Windows Server 2012 R2 的计算机，只要计算机可以联系公司的域。 基于 Active Directory 的激活提供了可在任何已具有域的位置扩展批量激活服务的优势。

现代企业网络中包含许多细微差别和相互联系。 本节讨论如何评估可用于确定批量激活执行方式的网络和连接。

核心网络属于网络的一部分，享用与基础结构服务器之间的稳定、高速、可靠的连接。 在许多情况下，核心网络也连接到 Internet，但在配置 KMS 服务器或 AD DS 并处于活动状态后，不需要使用基于 KMS 或 Active Directory 的激活。 核心网络可能由多个网段组成。 在许多组织中，核心网络占业务网络的大部分。

在核心网络中，建议使用集中式 KMS 解决方案。 也可以使用基于 Active Directory 的激活，但在许多组织中，仍需要 KMS 来激活未加入域的旧客户端计算机和计算机。 某些管理员希望同时运行这两种解决方案，以实现最大灵活性，而其他用户为简单起见希望仅选择基于 KMS 的解决方案。 如果组织中的所有客户端都运行 Windows 10、Windows 8.1 或 Windows 8，则作为唯一解决方案的基于 Active Directory 的激活可适用。

包含 KMS 主机的典型核心网络如图 1 所示。

图 1. 典型核心网络

在大型网络中，由于安全原因或地理位置或连接问题，可以保证隔离某些段。

有时称为高度安全区域的特定网段可能通过防火墙或完全从其他网络断开连接来隔离在核心网络之外。 在隔离网络中激活计算机的最佳解决方案取决于组织中的就地安全策略。

如果独立网络可以使用 TCP 端口 1688 上的出站请求访问核心网络，并且允许其接收远程过程调用 (RPC) ，则可以使用核心网络中 KMS 执行激活，从而避免达到其他激活阈值的需要。

如果隔离网络完全加入公司林中，并且可以建立与域控制器的典型连接（例如使用轻型目录访问协议 (LDAP) 进行查询以及使用域名服务 (DNS) 进行名称解析），这将是一个很好的机会对 Windows 10、Windows 8.1、Windows 8、Windows Server 2012 R2 和 Windows Server 2012 R2 使用基于 Active Directory 的激活。

如果隔离网络无法与核心网络的 KMS 服务器通信，并且无法使用基于 Active Directory 的激活，则可以在隔离网络中设置 KMS 主机。 此配置如图 2 所示。 但是，如果隔离网络仅包含几台计算机，它将无法达到 KMS 激活阈值。 在这种情况下，你可以使用 MAK 激活。

如果网络完全隔离，则推荐使用 MAK 独立激活，或许可以使用电话选项。 但 VAMT 代理激活也可能适用。 在设置期间，还可以使用 MAK 激活新计算机，然后再将其置于隔离网络中。

图 2. 隔离网络中的新 KMS 主机

从采矿业务到海上船舶，组织通常有几台计算机不容易连接到核心网络或 Internet。 某些组织在较大且内部连接良好的分支机构具有网段，但与组织其余部分的 WAN 链接较慢且不可靠。 在这些情况下，你具有多种选择：

基于 Active Directory 的激活。 在客户端计算机运行 Windows 10 的任何站点中，支持基于 Active Directory 的激活，并且该站点可以通过加入域进行激活。

本地 KMS。 如果某个站点具有 25 台以上的客户端计算机，它可以针对本地 KMS 服务器来激活。

远程（核心）KMS。 如果远程站点已连接到现有 KMS （可能通过虚拟专用网络 (VPN) 连接到核心网络），则可以使用该 KMS。 使用现有 KMS 意味着只需满足该服务器上的激活阈值即可。

MAK 激活。 如果该站点仅具有几台计算机，并且未连接到现有 KMS 主机，则 MAK 激活是最佳选择。

某些用户可能位于远程位置或将前往多个位置。 此方案常用于漫游客户端（例如销售人员使用的计算机，或在公司外但不在分支机构的其他用户所使用的计算机）。 此方案也适用于未连接到核心网络的远程分支机构位置。 可以将此分支机构视为“隔离网络”，其中的计算机数为 1。 断开连接的计算机可以使用基于 Active Directory 的激活、KMS 或 MAK，具体取决于客户端版本以及计算机连接到核心网络的频率。

如果计算机已加入域并且运行的是 Windows 10、Windows 8.1、Windows 8、Windows Server 2012 R2 或 Windows Server 2012 R2 8，你可以每 180 天至少使用一次基于 Active Directory 的激活（直接使用或通过 VPN）。 如果计算机至少每 180 天使用 KMS 主机连接到一个网络，但它不支持基于 Active Directory 的激活，则可以使用 KMS 激活。 另外，对于很少或从不连接到网络的计算机，请使用 MAK 独立激活（通过使用电话或 Internet）。

实验室环境通常具有大量虚拟机和物理计算机，并且实验室中的虚拟机将频繁进行重新配置。 因此，请先确定测试和开发实验室中的计算机是否需要激活。 包含批量许可的Windows 10版本将正常运行，即使它们无法立即激活。

如果已确保操作系统的测试或开发副本符合许可协议，则可能不需要激活实验室计算机（如果它们将经常重新生成）。 如果需要激活实验室计算机，请将实验室视为独立的网络，并使用本指南前面所述的方法。 在计算机和几个 KMS 客户端的实验室中，必须监视 KMS 激活计数。 你可能需要调整 KMS 缓存激活请求的时间。 默认值为 30 天。

现在，是时候将各个部分组合成一个工作解决方案了。 通过评估网络连接性、每个站点的计算机数量以及环境中使用的操作系统版本，你收集了确定哪种激活方法最适合你所需的信息。 可以在表 1 中填写信息，以帮助你做出此决定。

表 1. 激活方法的条件

当你知道你需要哪些密钥时，你必须获取它们。 通常来说，有两种方式收集批量许可密钥：

转到批量许可服务中心的产品密钥部分查找以下协议：Open、Open Value、Select、Enterprise 和 Services Provider License。

请联系 Microsoft 激活中心。

KMS 主机需要一个密钥向 Microsoft 激活（或验证）该 KMS 主机。 此密钥称为 KMS 主机密钥，但它在 CSVLK) (正式称为 Microsoft 客户特定的批量许可证密钥 。 早于 Windows 8.1 的大多数文档和 Internet 参考都使用术语 KMS 密钥，但当前的文档和管理工具更常使用 CSVLK。

运行 Windows Server 2012 R2、Windows Server 2012 或 Windows Server 2008 R2 的 KMS 主机可以激活 Windows Server 和 Windows 客户端操作系统。 在 AD DS 中创建激活对象也需要 KMS 主机密钥，如本指南稍后部分中所述。 如果要使用基于 Active Directory 的激活，则需要为要设置的任何 KMS 的 KMS 主机密钥。

为将通过 KMS 或基于 Active Directory 的激活激活的客户端计算机创建安装媒体或映像时，请为要创建的 Windows 版本安装通用批量许可证密钥 (GVLK) 。 GVLK 也称为 KMS 客户端设置密钥。

来自 Microsoft 的面向 Windows 操作系统企业版本的安装介质可能已包含 GVLK。 一个 GVLK 可用于每种安装类型。 GLVK 不会针对 Microsoft 激活服务器激活软件，而是针对基于 KMS 或 Active Directory 的激活对象激活软件。 换句话说，除非可以找到有效的 KMS 主机密钥，否则 GVLK 不起作用。 GVLK 是唯一不需要保密的产品密钥。

通常，无需手动输入 GVLK，除非计算机已使用 MAK 或零售密钥激活，并且该计算机已转换为 KMS 激活或基于 Active Directory 的激活。 如果需要查找特定客户端版本的 GVLK，请参阅 附录 A：KMS 客户端设置密钥。

还需要具有适当数量的可用激活的 MAK 密钥。 你可以在批量许可服务中心网站或 VAMT 中查看 MAK 已使用了多少次。

KMS 不需要专用服务器。 它可以与其他服务（例如 AD DS 域控制器和只读域控制器）联合托管。

KMS 主机可以在运行任何受支持的 Windows 操作系统的物理计算机或虚拟机上运行。 运行 Windows Server 2012 R2、Windows Server 2012 或 Windows Server 2008 R2 的 KMS 主机可以激活任何支持批量激活的 Windows 客户端或服务器操作系统。 运行 Windows 10 的 KMS 主机只能激活运行 Windows 10、Windows 8.1、Windows 8、Windows 7 或 Windows Vista 的计算机。

单个 KMS 主机可以支持无限数量的 KMS 客户端，但出于故障转移的目的，Microsoft 建议最少部署两个 KMS 主机。 但是，随着更多的客户端通过基于 Active Directory 的激活进行激活，KMS 和 KMS 的冗余变得不再重要。 大多数组织可以仅将两个 KMS 主机用于整个基础结构。

KMS 激活的流程如图 3 所示，并遵循以下顺序：

管理员使用 VAMT 控制台配置 KMS 主机并安装 KMS 主机密钥。

Microsoft 验证 KMS 主机密钥，然后 KMS 主机开始侦听请求。

KMS 主机更新 DNS 中的资源记录以使客户端能够找到 KMS 主机。 (如果环境不支持 DNS 动态更新协议，则需要手动添加 DNS 记录。)

通过 GVLK 配置的客户端使用 DNS 查找 KMS 主机。

客户端将一个数据包发送到 KMS 主机。

KMS 主机记录有关请求客户端的信息（通过使用客户端 ID）。 客户端 ID 用于维持客户端的计数并检测同一计算机何时再次请求激活。 客户端 ID 仅用于确定是否满足激活阈值。 ID 不会永久存储或传输到 Microsoft。 如果重新启动 KMS，客户端 ID 收集将再次启动。

如果 KMS 主机具有与 GVLK 中的产品匹配的 KMS 主机密钥，KMS 主机将向客户端发送回一个数据包。 此数据包包含从该 KMS 主机请求激活的计算机数量的计数。

如果计数超过要激活的产品的激活阈值，则激活客户端。 如果尚未达到激活阈值，客户端将重试。

图 3. KMS 激活流程