Vous devez fournir des clés de produit Windows Server 2016 et l’accès au VLSC est perdu ? Voici une méthode éprouvée, détaillée et sécurisée pour récupérer les clés MAK/KMS et rétablir l’activation sans retarder la production.
Sommaire
Récupération des clés de licence Windows Server 2016 issues du programme de licences en volume (VLSC)
Vue d’ensemble de la question
Un fournisseur dispose de licences en volume Windows Server 2016 achetées pour un client public (fédéral), mais il ne peut plus se connecter au Volume Licensing Service Center (VLSC). Le client réclame les clés d’activation. Comment récupérer légalement et rapidement ces clés sans accès actif au portail ?
Réponse & solutions — plan d’action rapide
| Étape | Action à entreprendre | Détails pratiques / Conseils utiles |
|---|---|---|
| 1. Vérifier les identifiants VLSC | • Utiliser la fonction « Mot de passe oublié » sur le portail. • Confirmer l’adresse Microsoft associée à l’accord de volume. • Vérifier que le compte possède encore le rôle d’administrateur de l’accord/enrollment. | Changement d’administrateur, suppression du compte ou confusion d’adresse d’enrôlement : causes fréquentes de blocage. Chercher aussi des boîtes génériques (ex. licensing@…) |
| 2. Contacter immédiatement le support VLSC | • Appeler le support VLSC (coordonnées régionales « Contact us » dans le portail). • Fournir : numéro d’accord/enrollment, n° de commande, preuve d’achat (facture/PO), e‑mail de confirmation, coordonnées complètes. | Le support peut : rétablir l’accès, nommer un nouvel administrateur, ou communiquer directement les clés MAK/KMS après validation d’identité et de propriété. |
| 3. Escalader si l’accès reste impossible | • En cas d’urgence (service en production), joindre le Licensing Activation Center (LAC). • Si vous êtes LSP/CSP, ouvrir un ticket via Partner Center. | Le LAC peut délivrer une clé provisoire ou confirmer une clé existante après vérification, afin d’éviter une indisponibilité de service. |
| 4. Sécuriser et transmettre les clés | • Ne jamais envoyer les clés en clair par e‑mail non chiffré. • Utiliser un coffre‑fort numérique ou un canal chiffré (M365 Message Encryption, outil de partage sécurisé). | Le fournisseur reste responsable de la confidentialité des clés jusqu’à la remise formelle au client et à l’accusé de réception. |
| 5. Prévenir les problèmes futurs | • Mettre à jour les contacts administratifs VLSC (adresse, téléphone). • Activer la MFA. • Archiver accords et confirmations hors ligne (PDF, coffre‑fort). | Un suivi administratif régulier évite les pertes d’accès lors d’audits ou de renouvellements. |
Notes complémentaires utiles
- Aucun outil automatique ne permet d’extraire des clés sans authentification VLSC : l’assistance Microsoft est incontournable pour des raisons de conformité.
- Si l’environnement utilise KMS ou l’Activation basée sur Active Directory, une unique KMS host key peut suffire (les postes/serveurs clients utilisent des GVLK génériques). Cela réduit la diffusion de clés MAK multiples.
- Stockez toutes les clés dans un gestionnaire sécurisé (Azure Key Vault, coffre compatible KeePass, etc.) et documentez la procédure de récupération pour les audits internes.
Comprendre les clés de volume : MAK, KMS, GVLK et Active Directory
Avant d’engager les démarches, clarifiez le modèle d’activation ciblé. Cela évite de réclamer la « mauvaise » clé et d’allonger les délais.
| Type | Usage typique | Mode de déploiement | Atouts | Points d’attention |
|---|---|---|---|---|
| MAK (Multiple Activation Key) | Sites isolés, réseaux sans accès KMS, VM ponctuelles | Installation de la clé sur chaque serveur : slmgr /ipk puis slmgr /ato | Autonome, pas de dépendance réseau vers un hôte KMS | Compteur d’activations limité ; attention aux réimages |
| KMS (Key Management Service) | Parcs importants, datacenters, renouvellement fréquent | Installer une KMS host key sur un serveur KMS ; clients avec GVLK génériques | Activation automatique des clients, pas de gestion unitaire | Seuils d’activation (compte minimum) ; dépend d’un hôte KMS disponible |
| GVLK (KMS client key) | Clés « génériques » côté clients KMS | Déployées via image, GPO, script : slmgr /ipk <GVLK> | Pas de secret critique (publique), simplifie l’industrialisation | Nécessite un KMS fonctionnel ou l’AD‑Based Activation |
| AD‑Based Activation | Environnements AD modernes (Windows Server 2012+) | Active Directory porte l’activation : clients activés via AD | Pas d’hôte KMS dédié, intégré au SSO AD | Nécessite un schéma AD et des contrôleurs compatibles |
Conseil d’architecture : si votre client fédéral tolère un unique point d’administration, privilégiez KMS ou AD‑Based Activation pour limiter la distribution de secrets (MAK) et faciliter les renouvellements.
Checklist express : préparez ces éléments avant d’appeler
- Numéro(s) d’accord : Enterprise Agreement, MPSA, Open Value, etc.
- Numéro de commande / PO / facture (et date d’achat).
- Raison sociale du titulaire de l’accord, adresse, Tenant ou domaine associé, et anciens contacts/licensing admins connus.
- Preuve de relation contractuelle (bon de commande client, courriel d’attribution, SOW).
- Contexte d’urgence (ex. serveurs en attente d’activation, audit imminent) : impact, nombre de serveurs, date butoir.
- Canal de réception sécurisé accepté par le client (coffre, chiffrement M365, partage sécurisé).
| Pièces justificatives fréquentes | Pourquoi c’est utile |
|---|---|
| Facture/PO du revendeur (PDF) | Lien entre l’accord et votre organisation |
| Courriel de confirmation de Microsoft | Identifie l’enrollment et le contact d’enrôlement |
| Numéro d’accord/enrollment | Accélère la vérification par le support |
| Lettre d’autorisation du client | Autorise Microsoft à communiquer des clés au prestataire |
Procédure détaillée selon trois scénarios
Scénario A — Vous contrôlez le compte VLSC mais l’accès est verrouillé
- Réinitialisation : lancer « Mot de passe oublié » et vérifier la réception sur l’adresse d’enrôlement (y compris spam/quarantaine).
- Rôle administrateur : si l’accès est rétabli mais sans visibilité des clés, valider que votre compte est Administrator de l’accord dans VLSC.
- Téléchargement : dans VLSC, section « Licenses » > « Relationship Summary » > sélectionner l’accord > « Product Keys » > rechercher « Windows Server 2016 » et récupérer MAK ou KMS host key selon besoin.
- Traçabilité : enregistrer l’opération (date, accord, clé masquée, destinataire) dans votre registre d’accès aux secrets.
Scénario B — L’administrateur VLSC n’est plus disponible (départ, boîte fermée)
- Support VLSC : appeler le support régional via le portail. Décrire la situation (perte d’accès, continuité de service) et fournir les preuves de propriété. Proposer deux options :
- Option 1 : rétablissement d’accès au compte existant (réinitialisation, MFA, mise à jour e‑mail).
- Option 2 : désignation immédiate d’un nouvel administrateur de l’accord avec son e‑mail.
- Lettre d’autorisation : si vous êtes le prestataire, faites signer par le client une lettre simple autorisant Microsoft à dialoguer avec vous et à délivrer les clés au canal sécurisé défini.
- Réception des clés : selon la politique régionale, les clés peuvent être communiquées au titulaire, au nouvel admin, ou chargées dans VLSC après rétablissement.
Scénario C — Urgence opérationnelle (service bloqué)
- Licensing Activation Center (LAC) : exposer l’impact (serveurs en production, audit, délai). Après vérification, le LAC peut confirmer une clé, octroyer une clé provisoire ou accélérer l’escalade interne.
- Partner Center (si LSP/CSP) : ouvrir un dossier prioritaire « Activation/Keys ». Joindre factures et n° d’accord pour corrélation immédiate.
- Mesures de continuité : pendant l’attente, valider l’usage temporaire de GVLK (si KMS/AD‑BA) ou l’activation téléphonique. Documenter toute dérogation.
Bonnes pratiques de sécurité et conformité
- Chiffrement : ne jamais envoyer une clé en clair. Utiliser un coffre : Azure Key Vault, solution HSM, ou fichier chiffré partagé avec mot de passe transmis par canal séparé.
- Principe du moindre privilège : limiter les personnes autorisées à voir la clé. Préférer une remise à la demande avec masquage visuel (ex. XX‑XXXX‑XXXXX‑DERNIERS5).
- Journalisation : tenir un registre : qui a demandé, qui a fourni, quand, via quel canal, quelle clé (masquée), sur quels serveurs. Conserver les preuves sous scellé.
- MFA & rotation : imposer MFA sur les comptes VLSC/Partner, révoquer les accès des collaborateurs sortants, et revoir les administrateurs au moins semestriellement.
- Séparation des rôles : distinguer « provisionnement des clés » et « déploiement sur serveurs ». Une personne ne devrait pas pouvoir à la fois obtenir la clé et la déployer en prod sans contrôle.
Procédure d’installation/validation côté serveur
Une fois la clé obtenue, sécurisez l’activation technique :
- Identifier l’édition :
systeminfoouDISM /online /Get-CurrentEditionpour confirmer Standard/Datacenter et éviter une clé inadaptée. - Installer la clé :
- MAK/KMS host sur un serveur :
slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX - Activer :
slmgr /ato(ou activation téléphonique si réseau restreint)
- MAK/KMS host sur un serveur :
- Validation :
- État de licence :
slmgr /dliouslmgr /dlv - Péremption :
slmgr /xpr
- État de licence :
- Pour KMS côté clients : installer la GVLK correspondant à Windows Server 2016 si nécessaire (
slmgr /ipk <GVLK 2016>), puisslmgr /ato. Vérifier la découverte de l’hôte KMS (DNS SRV _VLMCS).
Astuce déploiement : pour les images de VM, stockez uniquement les GVLK (non sensibles). La clé KMS hôte reste confinée sur l’infrastructure d’activation. Vous réduisez considérablement le risque de fuite.
Communication type avec le support — modèle d’e‑mail
Objet : Récupération clés Windows Server 2016 – [Nom Client] – [N° Accord/Enrollment] Bonjour, Nous devons activer plusieurs serveurs Windows Server 2016 pour un client fédéral. L’accès VLSC associé à l’accord [référence] n’est plus opérationnel (administrateur indisponible). Pièces jointes : facture/PO, confirmation d’achat, lettre d’autorisation du client. Demandes : 1. Rétablissement d’accès VLSC et désignation du nouvel administrateur : [Prénom NOM, e‑mail]. 2. Communication sécurisée des clés nécessaires (MAK/KMS host) via [coffre/OME/partage chiffré]. Contrainte temps : [date butoir], impact : [nombre de serveurs/critique]. Merci de votre aide, [Signature]
Gouvernance spécifique « client fédéral »
- Traçabilité renforcée : conserver un audit trail détaillé et signer numériquement les comptes-rendus d’échange.
- Canal approuvé : valider auprès du RSSI/ISSO le canal de transmission des clés (OME, coffre approuvé, segmentation réseau).
- Principe de divulgation minimale : ne communiquer que le strict nécessaire (ex. KMS host key plutôt que plusieurs MAK).
- Sensibilité des métadonnées : éviter d’exposer dans les objets e‑mail les références d’accord complètes si la politique l’interdit (utiliser un identifiant interne chiffré).
Erreurs fréquentes & correctifs
| Symptôme | Cause probable | Correctif rapide |
|---|---|---|
| « Clé invalide pour cette édition » | Mauvaise édition (Standard vs Datacenter) ou clé OEM/Retail | Vérifier l’édition (DISM) et demander la clé de volume correspondante |
| Quota MAK épuisé | Réimages multiples non comptabilisées | Demander un top‑up au support avec justification (inventaire, tickets) |
| Clients KMS n’arrivent pas à s’activer | DNS SRV manquant, hôte KMS indisponible, seuil non atteint | Vérifier en nslookup -type=srv _vlmcs._tcp, service KMS et compteur |
| VLSC ne montre pas l’accord | Compte non administrateur ou mauvais e‑mail d’enrôlement | Faire nommer un nouvel administrateur via support VLSC |
| Urgence audit, pas de clé en main | Perte d’accès totale, délais de vérification | Escalader LAC, demander clé provisoire, documenter l’exception |
Plan de continuité pendant la récupération
- Évaluation/Grace period : en environnement de test, exploiter l’évaluation en règle si disponible le temps du rétablissement (respecter les obligations de licence).
- Activation téléphonique : si sortie Internet restreinte, utiliser le canal téléphonique pour
slui 4ouslmgr /atoavec proxy conforme à la politique de l’organisation. - Standardiser les images : intégrer les GVLK et scripts d’activation, jamais une clé MAK en dur.
Processus de prévention à long terme
- Cartographie : référentiel des accords, contacts admins, dates clés (renouvellement, support).
- Contrôles trimestriels : revue des rôles VLSC/Partner, test d’accès, test MFA, mise à jour des contacts et de la lettre d’autorité.
- Automatisation sécurisée : scripts pour interroger l’état d’activation (
slmgr /dlv), rapports d’inventaire, alertes en cas d’expiration. - Archivage : contrats et confirmations en PDF signés, stockés chiffrés, avec politique de rétention.
- Formation : sensibilisation des équipes sur la manipulation des clés et les obligations de licence.
FAQ ciblée
Peut‑on récupérer des clés sans passer par VLSC ?
Oui, mais uniquement via les canaux officiels : support VLSC, LAC, et Partner Center si vous êtes LSP/CSP. Une validation d’identité et de propriété est obligatoire.
Le support peut‑il donner la clé directement au client ?
Oui. Selon la politique régionale, la clé est fournie au titulaire de l’accord ou au nouvel administrateur désigné, parfois via un canal sécurisé convenu. Anticipez en fournissant la lettre d’autorisation.
Nous utilisons KMS : avons‑nous besoin de multiples clés ?
Non. Généralement une seule KMS host key suffit côté infrastructure. Les serveurs clients utilisent des GVLK génériques.
Que faire si nous avons dépassé le compteur MAK ?
Contacter le support VLSC avec une justification (inventaire, historique de réimages). Un réajustement de quota peut être étudié.
Quelles preuves préparer avant d’appeler ?
Numéro d’accord/enrollment, facture/PO, courriel de confirmation, identité de l’organisation cliente, contact autorisé, lettre d’autorisation si vous appelez au nom du client.
Checklist finale d’exécution
- Rassembler preuves d’achat et références d’accord.
- Appeler le support VLSC : demander rétablissement d’accès et/ou désignation d’un nouvel admin.
- En cas d’urgence : escalader LAC et Partner Center (si applicable).
- Réceptionner la clé via canal chiffré, enregistrer la traçabilité.
- Déployer la clé (MAK/KMS) selon le modèle cible, valider l’activation (
/dli,/xpr), documenter. - Mettre à jour la gouvernance : MFA, contacts, archivage, revue périodique.
Modèle de registre (exemple à adapter)
| Date | Accord | Type de clé | Clé (masquée) | Serveurs concernés | Destinataire | Canal | Opérateur |
|---|---|---|---|---|---|---|---|
| AAAA‑MM‑JJ | EA‑123456 | KMS host / MAK | XXXXX‑XXXXX‑XXXXX‑XXXXX‑ABCDE | SRV‑APP‑01; SRV‑DB‑02 | Nom Prénom | Coffre chiffré / OME | Initiales |
Conclusion
La récupération de clés Windows Server 2016 sans accès VLSC actif est possible, mais uniquement via les canaux officiels Microsoft (support VLSC, LAC, Partner Center) et avec des preuves de propriété. En préparant en amont vos références d’accord, vos justificatifs et un canal de remise sécurisé, vous accélérez la résolution, réduisez l’exposition des secrets et garantissez la conformité lors des audits. Pérennisez ensuite l’accès (MFA, administrateurs mis à jour), standardisez l’activation (KMS/AD‑BA quand c’est pertinent) et tenez une traçabilité rigoureuse. Ainsi, vous combinez réactivité opérationnelle, sécurité et maîtrise des licences.