KMS 故障排除指南

在部署过程中，许多企业客户安装了密钥管理服务 (KMS)，用于在其环境中激活 Windows。 这是一种用于安装 KMS 主机的简单过程，经过此过程后，KMS 客户端可发现主机并尝试自行激活主机。 但如果该过程不起作用，会发生什么情况？ 接下来要如何操作？ 本文介绍完成问题排查所需的资源。 有关事件日志条目和 Slmgr.vbs 脚本的详细信息，请参阅 Volume Activation Technical Reference（批量激活技术参考）。

首先，我们来快速回顾一下 KMS 激活。 KMS 是一种客户端-服务器模型。 从概念上讲，类似于 DHCP。 KMS 会启用产品激活，而不是向客户端针对其请求发出 IP 地址。 KMS 也是一种续订模型，客户端可尝试定期重新激活。 具有两个角色：KMS 主机和 KMS 客户端 。

从故障排除的角度看，可能需要查看两端（主机和客户端），确定发生的情况。

KMS 主机上需要检查两个区域。 首先，检查主机软件许可服务的状态。 其次，检查事件查看器，查看与许可或激活相关的事件。

若要查看软件许可服务的详细输出，请打开提升的命令提示符窗口，并在命令提示符处输入 slmgr.vbs /dlv。 以下屏幕截图显示 Microsoft 内其中一台 KMS 主机上此命令的结果。

最重要的故障排除字段如下所示。 要查找的内容可能有所不同，具体取决于要解决的问题。

版本信息。 slmgr.vbs /dlv 输出的顶部是软件许可服务版本。 这可能有助于确定是否已安装最新版本的服务。 例如，Windows Server 2003 上的 KMS 服务更新支持不同的 KMS 主机密钥。 此数据可用于评估版本是否为最新版本，并支持你尝试安装的 KMS 主机密钥。 有关这些更新的详细信息，请参阅更新可用于 Windows Vista 和 Windows Server 2008，以扩展对 Windows 7 和 Windows Server 2008 R2 的 KMS 激活支持。

“名称”。 这指示 KMS 主机系统上安装的 Windows 版本。 如果在添加或更改 KMS 主机密钥时遇到问题（例如，验证该操作系统版本是否支持该密钥），此字段对于故障排除很重要。

“说明”。 此字段中显示已安装的密钥。 使用此字段可验证用于激活服务的密钥，以及该密钥是否为已部署 KMS 客户端的正确密钥。

许可证状态。 此字段是 KMS 主机系统的状态。 该值应为“已获许可”。 任何其他值都表示出现问题，你可能必须重新激活主机。

当前计数。 显示的计数介于 0 和 50 之间 。 计数在操作系统之间是累积的，指示在 30 天内尝试激活的有效系统的数目。

如果计数为 0，则服务最近已激活，或者任何有效的客户端都未连接到 KMS 主机。

无论环境中存在多少个有效系统，计数都不会增大到 50 以上。 这是因为计数设置为仅缓存 KMS 客户端返回的最大许可策略的两倍。 现在的最大策略由 Windows 客户端操作系统设置，这需要来自 KMS 主机的 25 或更大计数，才能自行激活。 因此，KMS 主机上的最大计数是 2 x 25 或 50。 请注意，在仅包含 Windows Server KMS 客户端的环境中，KMS 主机上的最大计数为 10。 这是因为 Windows Server 版本的阈值为 5（2 x 5，或 10）。

一个与计数相关的常见问题是：环境中具有已激活的 KMS 主机和足够的客户端，但计数不会增大到 1 以上。 核心问题在于，部署的客户端映像未正确配置 (sysprep /generalize)，并且系统不具有唯一的客户端计算机 ID (CMID)。 有关详细信息，请参阅 KMS 客户端和在将基于 Windows Vista 或 Windows 7 的新客户端计算机添加到网络时，KMS 当前计数不会增加。 我们的一名支持上报工程师通过 KMS Host Client Count not Increasing Due to Duplicate CMID’S（由于CMID 重复导致 KMS 主机客户端计数没有增加）也发布了有关此问题的博客文章。

计数可能不会增加的另一个原因是，环境中的 KMS 主机过多，而计数在所有这些主机中分布。

侦听端口。 与 KMS 的通信使用匿名 RPC。 默认情况下，客户端使用 1688 TCP 端口来连接到 KMS 主机。 请确保此端口在 KMS 客户端与 KMS 主机之间打开。 可更改或配置 KMS 主机上的端口。 在通信过程中，KMS 主机会向 KMS 客户端发送端口标识。 如果更改 KMS 客户端上的端口，则在客户端与主机联系时会覆盖端口标识。

我们经常被问及 slmgr.vbs /dlv 输出的“累计请求数”部分。 通常，此数据对于故障排除没有用。 KMS 主机会持续记录每个尝试激活或重新激活的 KMS 客户端的状态。 失败的请求表示 KMS 主机不支持的 KMS 客户端。 例如，如果 Windows 7 KMS 客户端尝试针对使用 Windows Vista KMS 密钥激活的 KMS 主机进行激活，则激活会失败。 “具有许可证状态的请求”行说明过去和现在所有可能的许可证状态。 从故障排除的角度来看，仅当计数不按预期增加时，此数据才适用。 在这种情况下，应看到失败的请求数增加。 这表明应检查用于激活 KMS 主机系统的产品密钥。 另请注意，仅当重新安装 KMS 主机系统时，累积请求值才会重置。

KMS 客户端为激活而联系主机时，KMS 主机会记录事件 ID 12290。 事件 ID 12290 提供大量可用于确定与主机联系的客户端类型和故障发生原因的信息。 事件 ID 12290 项的以下段来自 KMS 主机的密钥管理服务事件日志。

事件详细信息包括下列信息：

如果要对客户端进行故障排除，并且在 KMS 主机上找不到相应的事件 ID 12290，则客户端未连接到 KMS 主机。 事件 ID 12290 项可能不存在的原因如下：

KMS 客户端记录两个对应事件，即事件 ID 12288 和事件 ID 12289。 有关这些事件的信息，请参阅 KMS 客户端部分。

在 KMS 主机上查找的另一个相关事件是事件 ID 12293。 此事件表示主机未在 DNS 中发布所需的记录。 已知这种情况会导致故障，因此应该在安装主机之后并在部署客户端之前进行验证 。 有关 DNS 问题的详细信息，请参阅 KMS 和 DNS 问题的常见排查过程。

在客户端上使用相同的工具（Slmgr 和事件查看器）来排查激活问题。

若要查看软件许可服务的详细输出，请打开提升的命令提示符窗口，并在命令提示符处输入 slmgr.vbs /dlv。 以下屏幕截图显示 Microsoft 内其中一台 KMS 主机上此命令的结果。

以下列表包括最重要的故障排除字段。 要查找的内容可能有所不同，具体取决于要解决的问题。

KMS 客户端成功激活或重新激活时，客户端会记录两个事件：事件 ID 12288 和事件 ID 12289。 事件 ID 12288 项的以下段来自 KMS 客户端的密钥管理服务事件日志。

如果只看到事件 ID 12288（而没有对应的事件 ID 12289），这意味着 KMS 客户端无法联系 KMS 主机，KMS 主机无响应，或者客户端未收到响应。 在这种情况下，请验证 KMS 主机是否可发现，以及 KMS 客户端是否可以联系该主机。

事件 ID 12288 中最相关的信息是“信息”部分中的数据。 例如，此部分显示客户端的当前状态，以及客户端在尝试激活时使用的 FQDN 和 TCP 端口。 可使用 FQDN 来解决 KMS 主机上的计数不会增加的问题。 例如，如果客户端可用的 KMS 主机过多（合法或未授权系统），则该计数可能在所有客户端中分布。

激活失败并不总是意味着客户端有 12288，而没有 12289。 激活或重新激活失败可能也有这两个事件。 在这种情况下，必须检查第二个事件来验证失败的原因。

事件 ID 12289 的信息部分提供以下信息：

如果必须致电支持人员才能解决激活问题，支持工程师通常会要求提供以下信息：