首页 » 批量激活服务 KMS » KMS 概述与实验环境

📡 KMS 概述与实验环境

批量激活服务 KMS · 第 1 篇 · 适用于 Windows Server 2019 / 2022 / 2025

📑 目录

  1. 1. 什么是 KMS
  2. 2. KMS 激活原理
  3. 3. KMS 与 MAK 激活对比
  4. 4. 实验环境规划
  5. 5. 安装 KMS 主机前的准备
  6. 6. 常见问题

1. 什么是 KMS

KMS(Key Management Service,密钥管理服务)是微软提供的批量激活方案,适用于企业环境中大量 Windows 和 Office 产品的激活。

KMS 采用客户端-服务器模式:一台 KMS 主机(服务器)为网络中的 KMS 客户端(Windows/Office)提供激活服务。客户端每 180 天联系一次 KMS 主机续期激活。

💡 KMS 适用场景
  • 企业内有大量 Windows 客户端(≥25 台)需要激活
  • Windows Server 批量部署(≥5 台)
  • Office 批量授权激活
  • 需要本地激活服务(无外网连接)

2. KMS 激活原理

2.1 激活流程

  1. KMS 主机安装 — 在 Windows Server 上安装 Volume Activation 角色,安装 KMS 主机密钥(KMS Host Key, KMS-HK)
  2. KMS 主机激活 — KMS 主机通过互联网或电话激活 KMS-HK
  3. 客户端配置 — 客户端配置 KMS 服务器地址(通过 slmgr.vbs /skms 或 DNS SRV 记录)
  4. 激活请求 — 客户端向 KMS 主机发送激活请求
  5. 激活确认 — KMS 主机返回激活确认 ID,客户端激活成功
  6. 续期 — 客户端每 180 天自动联系 KMS 主机续期

2.2 KMS 激活阈值

产品类型激活阈值说明
Windows 客户端(Win10/11)25 台至少 25 台客户端请求激活后,KMS 主机才开始激活
Windows Server5 台至少 5 台 Server 请求激活
Office(2019/2021/2024)5 台至少 5 台 Office 安装请求激活
⚠️ 注意

如果未达到阈值,KMS 主机不会激活客户端。这是微软防止滥用 KMS 的限制。实验环境中,可以通过快速创建多台虚拟机(或重用镜像)来满足阈值。

3. KMS 与 MAK 激活对比

对比项KMSMAK(Multiple Activation Key)
激活方式本地网络激活(内网)直接连接微软激活服务器(外网)
适用场景大量客户端,长期部署少量客户端,或远程办公设备
激活期限180 天(自动续期)永久激活
阈值限制有(25/5 台)
隐私不发送数据到微软需要连接微软服务器
适用产品Windows + OfficeWindows + Office

4. 实验环境规划

本系列沿用 iehang.cn 域环境,新增 KMS 主机角色。

角色配置
域控 DC01Windows Server 2022,192.168.10.254(已有)
域控 DC02Windows Server 2022,192.168.10.253(已有)
KMS 主机Windows Server 2022,192.168.10.254(新建)
客户端 Win10Windows 10 LTSC 2021,192.168.10.10(已有)
客户端 Win10-2~25Windows 10 LTSC(快速克隆,满足 KMS 阈值)
域名iehang.cn
💡 实验环境说明

KMS 主机可以与域控制器在同一台服务器上,但推荐独立部署。本实验将 KMS 部署在 DC01(192.168.10.254)上,简化实验步骤。

5. 安装 KMS 主机前的准备

1

确保 DC01 已安装 AD DS 和 DNS 角色(前面的实验已完成)

2

获取 KMS 主机密钥(KMS-HK):登录 Microsoft Volume Licensing Service Center (VLSC)Microsoft Business Center 获取 KMS Host Key。

实验环境可以使用微软提供的 测试密钥(不会真正激活,但可以用于实验 KMS 功能)。

3

确认防火墙开放 TCP 1688 端口(KMS 默认通信端口)

PowerShell - 检查防火墙
# 检查 1688 端口是否开放
Get-NetFirewallPortFilter -Protocol "TCP" -LocalPort 1688

# 如果未开放,添加防火墙规则
New-NetFirewallRule -Name "KMS-TCP-1688" `
    -DisplayName "KMS Service (TCP 1688)" `
    -Protocol "TCP" `
    -LocalPort 1688 `
    -Action "Allow" `
    -Direction "Inbound"

# 验证规则
Get-NetFirewallRule -Name "KMS-TCP-1688"

6. 常见问题

Q1:没有 KMS 主机密钥怎么办?

实验环境可以使用微软提供的 测试密钥(N 版或 KMS Client Setup Key)。这些密钥不会真正激活 Windows,但可以用于测试 KMS 功能流程。

正式环境必须从 VLSC 或 Microsoft Business Center 获取正式的 KMS Host Key。

Q2:KMS 客户端提示"未满足激活阈值"怎么办?

这是正常现象。KMS 要求至少 25 台 Windows 客户端(或 5 台 Server)请求激活后才会开始激活。

实验环境中,可以快速克隆多台 Windows 10 虚拟机(使用 Sysprep 通用化),或者修改 Windows 注册表跳过阈值检查(仅用于实验)。

Q3:KMS 主机可以和域控制器在同一台服务器上吗?

可以。KMS 主机只是一个软件服务,可以与 AD DS、DNS、DHCP 等角色共存。生产环境推荐独立部署以获得更好的性能和可管理性。