理解Windows操作系统的KMS与MAK密钥

从Windows Vista开始，Microsoft采用新的密钥管理方式，原来Windows XP、Windows Server 2003时的VOL密钥将不再采用。如果为企业部署Windows操作系统、使用何种激活方式，是每个网管员需要了解的问题。本文将就这一问题做出解答。1.Windows Vista时代采用新的激活机制
在Windows XP与Windows Server 2003的时代，Microsoft的许可密钥有两种：一种是需要激活（可以通过网络、电话）的密钥，另一种是针对“大客户”的VOL密钥。对于同一种系统，例如Windows XP Professional，由于使用的密钥类型不同、激活的方式不同，所以，每一种产品都有不同的安装介质（虽然操作系统的用途、功能是完全一样的），两者不能混用。例如，如果你是购买的VOL密钥，则需要用VL版的安装光盘（或光盘镜像），不能用“零售版（该序列号通常需要激活）”的安装介质。随着 Windows Vista 的发布，Microsoft改进了密钥管理方法。从Vista开始，所有的Windows操作系统（Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2）必须要激活才能使用。Microsoft针对批量许可证客户推出了两种新的密钥类型：“密钥管理服务 (KMS)”以及 “多次激活密钥 (MAK)”。【说明】：（1）KMS是Key Management Services的简称，这种方式采用“客户/服务器方式”，需要在企业内配置KMS管理服务器，为企业中的其他操作系统提供批量激活的服务。KMS的密钥是一对，其中用于KMS服务器端的，称KMS KEY，用于客户端的，则称为VOL KEY。VOL KEY是Microsoft公开的，不需要购买。在安装Windows 7、Windows Server 2008 R2时，如果不输入序列号，则会采用这些VOL KEY进行安装。在采用KMS机制时，有一个最低限度的计算机数量（客户端25台、服务器5台）。并且，当计算机被激活之后，每180天将要重新连接KMS服务器进行激活。（2）MAK，是Multiple Activation Key的简称，这种开放式许可KEY允许多次激活。该激活是永久性的，在激活之后，只要操作系统不重新安装，激活将一直有效。2.KMS产品密钥与分组
从Vista之后，Microsoft操作系统的密钥以产品分组进行组织。目前，共有 4 个产品分组，包括了所有 Windows 客户端及 Windows Server 操作系统。 其中一个分组针对客户端版本，其他三个分组涉及服务器版本。截止到目前，Windows有两套产品分组：Windows 7时代的产品分组与Windows Vista时代的产品分组。当前Windows 7与Windows Server 2008 R2操作系统的分组如下：Windows 客户端分组：Windows 7Professional、Windows 7 Enterprise；服务器分组A：Windows Web Server 2008 R2、Windows Server2008 R2 HPC Edition、Windows HPC Server 2008 R2；服务器分组B：Windows Server 2008 R2 Standard、WindowsServer 2008 R2 Enterprise；服务器分组C：Windows Server 2008 R2 Datacenter、WindowsServer 2008 R2 Itanium-based System。该分组情况如下图所示。


Windows Vista 与 Windows Server 2008 的产品分组非常相似，如下图所示。


在上面的分组中，是有“级别”的，WindowsServer 2008 R2 Datacenter 高于 Windows Web Server 2008 R2，以及最新发布或生成的产品，例如Windows 7 大于 Windows Vista，用高级别的密钥组成的KMS服务器可以激活低级别的系统。


KMS的密钥类型旨在激活指定主机系统的服务，然后便可以在计算机上安装各种Windows版本激活。 因此，我们说 KMS 密钥在本质上是按等级划分的。（1）KMS 密钥可发布至特定的产品分组，并与它们相互关联。例如，对于服务器分组B，Windows Server 2008 R2的标准版与企业版，是相同的产品分组。（2）每种 KMS 密钥可以激活产品组内以及该层次结构中级别更低的产品组中的产品。例如，对于Windows7时代的服务器分组B，除了可以激活同一组内的WindowsServer 2008 R2的标准版与企业版，还可以激活服务器分组C中的Windows Web Server 2008 R2、Windows HPCServer 2008 R2，还可以激活客户端分组中的Windows 7专业版与企业版。（3）每种 KMS 密钥可以激活产品组内以及该层次结构中级别更低的产品组中的产品。例如，对于Windows7时代的服务器分组B，除了激活Windows 7时代的服务器分组C、Windows 7客户端外，还可以激活Windows Vista时代的服务器分组B、Windows Vista时代的服务器分组C及Windows Vista商业版与企业版。1.多次激活密钥 (MAK)
在采用KMS密钥的时候，需要网络中有一台计算机（安装Windows Server操作系统并采用KMS密钥进行激活），该计算机将为网络中的其他Windows Vista或（和）Windows 7、Windows Server 2008、Windows Server 2008 R2提供激活的服务。但是，并不是所有的企业都需要（能）采用KMS激活机制。所以，Microsoft同时提供MAK密钥。MAK 密钥与零售密钥行为相类似，不同的是它们拥有更多的激活方法。激活数量视客户购买的许可协议而定。购买的许可证数量与每个密钥提供的激活数量不会 1:1 配对。 MAK密钥的分组也是按照“服务器C”、“服务器B”、“服务器A”、“客户端”的方式进行分组，分组的内容也与KMS的KEY分组相同，但是，与 KMS不同，MAK 密钥用于激活个别系统而不是服务。采用 MAK 后，激活将会与单一产品组直接相关，并且仅可激活特定产品组内的Windows版本。因此，我们说 MAK 密钥本质上是横向的。采用 MAK 后，同样重要的是了解如何实现不同代 Windows 产品共同协作。 如上所述，有两套产品分组，一套是针对当前这代Windows 产品（Windows 7 和 WindowsServer 2008 R2），另一套是针对上一代产品（Windows Vista 与 Windows Server 2008）。（1）MAK 密钥可发布至特定的产品分组，并与它们相互关联。（2）每种 MAK 密钥仅可激活该产品组内的产品，不能激活不在同一产品组内的产品（例如，服务器B分组中的Windows Server 2008 R2企业版的密钥，只能激活WindowsServer 2008 R2的企业版与标准版，不能激活Windows Server 2008 R2数据中心版、Web版，也不能激活Windows 7）。（3）每种 MAK 密钥仅可激活这一代的产品（例如，Windows 7时代的，服务器分组B的密钥—Windows Server 2008 R2，不能激活Windows Vista时代的服务器分组B内的产品Windows Server 2008标准版或企业版）。2.KMS 工作原理
示例：具有连接到企业网络的台式计算机和便携计算机的大中型组织
Contoso, Ltd. 有 175 台始终连接到企业网络的台式计算机和 50 台定期连接到企业网络的便携计算机。解决方案是为台式计算机和便携计算机均使用KMS 激活，并确保便携计算机连接进行初始激活并至少每 180 天后再进行重新激活。