Volume Activation 2.0
今回はVolume Activation 2.0について書きます。Volume Activation2.0以前のライセンス認証は、結局のところ「やるべきこと」はシンプルだったので、ある意味やりさえすればよかったのですが、Volume Activation 2.0では事実上「設計」、「運用」のタスクが認証に関して発生しています。 このあたりをよく理解せずに「とりあえず動いているから」といって客先にサーバーを納品してしまったりすると、しばらくして「使えなくなった!」と連絡が来てしまうなんていうことにもなりかねません。しっかりと動作を理解しましょう。 対象 まず、Volume Activation 2.0の対象を抑えましょう。対象は2009年9月7日現在では以下のものだけです。 - Windows Vista - Windows7 - Windows Server 2008 (R2) 要するにWindows Vista移行のOS(クライアント、サーバー共に)のみ、ということですね。 目的 次に、目的を理解しましょう。Volume Activation 2.0はアクティベーションを容易にしつつ、不正利用を防ぐための方法なのです。 Windows XP, 2003より前のOSではアクティベーションは必要ありませんでした。基本的にインストール時にキーは必要ですが、それを入力さえすればあとは何もする必要がありませんでした。 Windows XP, 2003ではアクティベーションが導入されました。これは製品の不正利用を防ぐために導入されました。インターネットに接続できるならアクティベーションのウィザードを実行するだけです。基本的にインターネットや電話でアクティベーションを実施しないと、OSが使えないようにする仕組みが備わったわけです。個人のPCであればこの方法で問題ありません。 しかし、企業用のPCとなると、数百、数千、数万台になります。これに対して一台一台すべてアクティベーションを実施して回るのは現実的ではありません。そこで企業向けには「ボリュームライセンスメディア」と「ボリュームライセンスキー」というものが存在しています。「ボリュームライセンスメディア」を使ってインストールし、インストール時に「ボリュームライセンスキー」を入力すると、アクティベーションの必要がなく使い続けられるわけです。この仕組みのおかげで企業のシステム管理者は大量のクライアントのアクティベーションを個別に実施しなくて良かったわけです。 しかし、この方法には問題点があります。企業向けのボリュームライセンスメディアとそのキーが外部に漏れてしまえば、アクティベーション無しでOSが不正使用し放題になってしまうからです。 そこで、企業向けのボリュームライセンスに関してもアクティベーションを行うようにするための仕組みがVolume Activation 2.0で、Windows Vista移行とりいれられたわけです。 なされるべきこと 企業向けのクライアントを全部アクティベーションさせようというわけですから、何らかのうまい仕組みが必要になります。「全部のクライアントで都度アクティベーションさせる」というのはもちろんNGなわけですから、自動化の仕組みが必要です。必ずしもインターネットに接続できるわけではないので、インターネットに接続できなくても問題ない仕組みも必要です。さらに長期間出張にノートPCを持ち出す…なんていうケースもあるでしょうから、そこへの対応も必要です。 このあたりをうまく解決するソリューション…なかなか難しそうですよね。マイクロソフトも単一の方法だけでは実現できないと判断したようで、出した答えはKMSとMAKという2つの方式の組み合わせです。以下、見ていきましょう。 KMS KMSはKey Management Serviceの略で、これがVolume Activation 2.0の本命です。要は社内に認証サーバー(KMSホスト)を立て、ボリュームライセンスメディアでインストールされたクライアントは自動的にその認証サーバー(KMSホスト)をみつけて、アクティベートしてもらう、という仕組みです。 管理者はKMSホストにのみKMSキーの入力を行い、あとはボリュームライセンスメディアでOSをインストールしておけば、あとのことは裏で勝手にやってくれるわけです。KMSホストのみがInternet経由でMSのアクティベーションセンターと通信を1度だけすることになります。 ポイントは一度認証されたら、ずっと使い続けることができるわけではなく、定期的に更新が必要な点です。この間隔は180日に設定されています。つまり、常に社内ネットワークに接続されているデスクトップPCや、外に持ち出しはするけれども、最低でも数カ月に一度は社内ネットワークに接続されるような端末がKMSの対象になるわけです。 一度だけ社内でセットアップ、認証しておいて、家に持って帰って自宅でずっと使う…ということはできないようになっているわけですね。 MAK MAKはMultiple Activation Keyの略で、ひとつのMAKキーで複数台のアクティベーションを行うことができます。これは結局今までのXP, 2003時代のアクティベーションとほぼ同様です。1台1台個別にキーを入力し、Internet経由あるいは電話で認証させます。期限も無期限です。 この方式はつまり、KMSでは管理できないクライアントのために残されている、というように理解するのがよいと思います。認証のための手間はかかりますが、MAKキーを入れておけばずっと使い続けられるわけです。 基本的な設計 これらのことから基本的な設計としては以下のようになると思います。 - まず、社内にKMSホストを構築する - 社内ネットワークに接続するクライアントにはボリュームライセンスメディアにてインストールする - 社内ネットワークに接続されない状態で半年以上利用し続ける可能性のあるクライアントにはボリュームライセンスでインストール後、MAKキーをセットする - KMSとMAKの切り替えを行う必要が出てきた場合には都度入れ替えを行う KMSであろうと、MAKであろうと、MSのアクティベーションセンターは台数の情報をきちんと把握することができるため、不正利用の心配はなくなります。(Volume Activation 2.0自体の機構が破られない限りは) ...