Activer Windows Server 2022 hors‑ligne : Confirmation ID sans Internet (MAK, KMS, ADBA, VAMT)

Serveur isolé ? Vous avez déjà l’Installation ID de Windows Server 2022 et cherchez un Confirmation ID sans exposer le serveur à Internet. Voici les options officielles (MAK, KMS, ADBA, VAMT), leurs limites et des procédures détaillées étape par étape.

Activer Windows Server 2022 sans connexion Internet directe : vue d’ensemble

Contexte typique : un administrateur gère un serveur Windows Server 2022 hors‑ligne (réseau isolé, DMZ non routée, site sensible…). La clé de produit est connue et l’Installation ID a déjà été généré. Objectif : obtenir un Confirmation ID pour finaliser l’activation, mais éviter l’appel au serveur vocal.

La question centrale est donc : existe‑t‑il une alternative via un poste personnel connecté à Internet, tout en gardant le serveur cible hors‑ligne ?

Réponse & solutions proposées

Méthode	Principe	Connexion requise	Téléphone requis	Remarques
Activation en ligne (MAK)	slmgr /ato ou via l’interface	Serveur → Internet	Non	Impossible hors‑ligne.
Activation par téléphone (MAK)	slui 4 (ou slmgr /dti) → Installation ID ⇄ Confirmation ID	Aucune	Oui	Voie officielle quand le serveur ne voit pas Internet.
KMS / ADBA	Un KMS interne ou ADBA (dans AD) active via le LAN	LAN interne	Non	Nécessite une infra existante (KMS/AD). Plus d’appel si l’infra est déjà licenciée.
VAMT « proxy activation »	VAMT collecte l’Installation ID, exporte puis soumet via un poste connecté	Poste VAMT → Internet (au moins une fois)	Non	Le poste VAMT doit contacter Microsoft en ligne ; la machine cible peut rester hors‑ligne.

Conclusion claire :

• Sans accès Internet direct, le téléphone (ou le support Microsoft) reste la voie officielle pour convertir un Installation ID en Confirmation ID.
• Les alternatives sans appel sont KMS, ADBA ou VAMT, qui exigent toujours qu’au moins une machine (KMS ou poste VAMT) puisse dialoguer avec les serveurs d’activation Microsoft à un moment donné.
• Si vous ne disposez d’aucune de ces briques, l’appel téléphonique est le plus simple et le plus rapide.

Pourquoi faut‑il un échange Installation ID ⇄ Confirmation ID ?

Windows utilise le service Software Protection Platform (SPP). Lors d’une activation hors‑ligne (MAK par téléphone), le système génère un Installation ID (empreinte logicielle + clé + édition). Microsoft retourne un Confirmation ID qui valide cette combinaison. Le Confirmation ID reste valable tant que la configuration matérielle et l’édition ne changent pas de façon majeure.

Procédure détaillée : activation par téléphone (MAK)

Si vous optez pour la voie la plus directe pour un serveur totalement isolé :

1. Installer la clé (si ce n’est pas déjà fait) : slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
2. Obtenir l’Installation ID (54 chiffres) :
   • Interface : Paramètres ▸ Mise à jour et sécurité ▸ Activation ▸ Activer par téléphone (slui 4).
   • Serveur Core / sans GUI : cscript %SystemRoot%\System32\slmgr.vbs /dti Copiez soigneusement l’ID (ou redirigez vers un fichier si nécessaire).
3. Choisir le pays/la région depuis l’assistant afin d’obtenir les numéros gratuits.
4. Appeler le serveur vocal, dicter l’Installation ID, puis noter le Confirmation ID (7 blocs).
5. Valider le Confirmation ID :
   • Via l’assistant graphique d’activation, ou
   • En ligne de commande : cscript %SystemRoot%\System32\slmgr.vbs /atp <ConfirmationID>
6. Vérifier l’état : slmgr /dlv Recherchez la ligne indiquant État de la licence : sous licence.

Bonnes pratiques :

• Conservez une copie du Confirmation ID (inventaire, coffre de mots de passe). Il pourra resservir après une réinstallation identique.
• Ne diffusez jamais votre clé MAK. Limitez les droits d’affichage dans vos outils d’inventaire.

Cas particulier : conversion d’une évaluation

Si vous êtes parti d’une ISO d’évaluation (Evaluation), convertissez d’abord l’édition :

DISM /online /Set-Edition:ServerDatacenter /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula

Après redémarrage, reprenez la procédure d’activation.

Alternative sans appel : VAMT en « proxy activation »

VAMT (Volume Activation Management Tool) permet d’activer par procuration vos machines en utilisant un poste relais. Deux scénarios sont possibles :

Scénario A : poste VAMT dans le réseau isolé

1. Installer VAMT (via le kit ADK) sur un poste du réseau isolé. VAMT utilisera une base locale (SQL Express).
2. Découvrir le serveur cible : dans VAMT, Ajouter des ordinateurs (WMI/WinRM). Assurez‑vous d’avoir les droits administrateur et l’ouverture des ports nécessaires en interne.
3. Mettre à jour l’état de licence depuis VAMT (clic droit ▸ Actualiser l’état) pour récupérer l’Installation ID du serveur.
4. Exporter les données de proxy‑activation (Fichier .cilx) sur une clé USB.
5. Sur un poste connecté à Internet (chez vous par exemple), ouvrir VAMT, importer le fichier .cilx et acquérir les Confirmation ID auprès des services Microsoft (l’ordinateur connecté agit comme relais).
6. Ré‑exporter le fichier .cilx désormais enrichi des Confirmation ID.
7. De retour dans le réseau isolé, importer le .cilx dans le VAMT hors‑ligne et appliquer les Confirmation ID aux machines (clic droit ▸ Activer ▸ Par procuration).

Scénario B : poste VAMT directement connecté au serveur cible

Si le serveur isolé est joignable en interne mais que seul le poste VAMT a Internet :

1. Installez VAMT sur ce poste connecté.
2. Ajoutez les serveurs (WMI/WinRM), mettez à jour l’état, puis lancez l’activation par procuration directement (le poste VAMT contactera les serveurs Microsoft en ligne et déposera les CIDs sur les serveurs internes).

Avantages : pas d’appel téléphonique, historisation des activations, gestion de lots. Contraintes : nécessite VAMT et une machine qui a Internet (au moins ponctuellement). Le serveur cible, lui, peut rester 100 % hors‑ligne.

Alternative d’infrastructure : KMS et ADBA

KMS (Key Management Service)

Un hôte KMS interne active automatiquement les machines clientes via le LAN (port 1688/TCP). Conditions clés :

• Un hôte KMS doit être activé (avec une clé CSVLK) auprès de Microsoft — une fois — via Internet ou par téléphone.
• Seuil d’activation (compteurs d’activation) : typiquement 25 hôtes Windows client et 5 hôtes Windows Server sur le réseau pour déclencher l’activation KMS côté clients.
• Un enregistrement _vlmcs._tcp (SRV) en DNS facilite la découverte du KMS. À défaut, forcez le KMS sur les clients : slmgr /skms kms-hote.exemple.local:1688 slmgr /ato
• Les serveurs clients doivent utiliser la clé KMS générique (GVLK) correspondant à leur édition (souvent déjà présente par défaut).

ADBA (Activation basée sur Active Directory)

ADBA enregistre un objet d’activation dans l’Active Directory. Toute machine joint au domaine et compatible s’active automatiquement grâce à AD, sans contact direct avec Internet.

Pré‑requis : schéma/forêt au niveau requis (Windows Server 2012 ou ultérieur), droits pour installer les Volume Activation Tools et publier l’objet ADBA.

KMS vs ADBA : quand choisir quoi ?

Critère	KMS	ADBA
Machines hors domaine	✔️ (découverte DNS)	❌ (doivent être jointes au domaine)
Infrastructure AD minimale	Non nécessaire	Requise
Seuils d’activation	Oui (25/5)	Non
Complexité de mise en œuvre	Moyenne	Moyenne (côté AD)

Procédures complémentaires utiles

Vérifier l’état de licence et la clé installée

slmgr /dli
slmgr /dlv

Changer de clé ou revenir à une clé KMS générique (GVLK)

slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX  <-- Remplacez par votre clé (MAK ou GVLK)
slmgr /ato

Forcer un hôte KMS spécifique

slmgr /skms kms-hote.exemple.local:1688
slmgr /ato

Tester la résolution DNS et la connectivité KMS

nslookup -type=SRV _vlmcs._tcp.exemple.local
Test-NetConnection -ComputerName kms-hote.exemple.local -Port 1688

Réinitialiser l’état d’activation (cas limité)

À utiliser avec parcimonie, notamment après une conversion d’édition ou une image de référence :

slmgr /rearm
redémarrage requis

Dépannage : erreurs fréquentes et correctifs

Code/Message	Cause probable	Correctif recommandé
0xC004C020	Quota d’activation MAK atteint	Contacter le centre de licences en volume pour un réajustement. En attendant, KMS/ADBA peuvent éviter l’épuisement des activations.
0xC004C008	Clé trop utilisée / suspicion de réutilisation	Vérifier le parc et l’inventaire des clés. Contacter le support volume si usage légitime.
0xC004F074	Client KMS ne trouve pas l’hôte KMS	Créer l’enregistrement DNS _vlmcs._tcp, ou configurer slmgr /skms vers l’hôte KMS, vérifier le port 1688.
0x8007232B	Nom DNS introuvable (clé KMS générique sans KMS actif)	Installer une clé MAK valide (slmgr /ipk) ou déployer un KMS/ADBA.
0x8007007B	Nom KMS invalide ou paramètre incorrect	Reconfigurer slmgr /skms avec nom:port corrects. Purger avec slmgr /ckms si besoin, puis /ato.
0xC004F210	Clé ne correspond pas à l’édition	Vérifier l’édition installée (Standard vs Datacenter). Convertir l’édition via DISM /Set-Edition si nécessaire.
0xC004E016	Clé invalide	Confirmer la clé, tester en cscript slmgr.vbs /ipk depuis une session élevée, vérifier l’édition.
0xC004F025	Accès refusé	Exécuter le shell en tant qu’administrateur. Vérifier UAC et stratégies.

FAQ pragmatique

Puis‑je générer un Confirmation ID depuis mon PC personnel connecté ?

Oui, mais pas « à la main ». Vous ne pouvez pas calculer un Confirmation ID localement. Vous pouvez toutefois utiliser VAMT pour soumettre l’Installation ID d’une machine hors‑ligne, obtenir les Confirmation ID en ligne, puis les réimporter dans le réseau isolé. Le serveur cible ne parlera jamais à Internet.

« slui 4 » n’ouvre rien sur Server Core

Sur Server Core, utilisez :

cscript %SystemRoot%\System32\slmgr.vbs /dti
cscript %SystemRoot%\System32\slmgr.vbs /atp <ConfirmationID>

Le Confirmation ID est‑il réutilisable ?

Oui, tant que l’empreinte matérielle et l’édition ne changent pas substantiellement. Ne le partagez pas hors de votre équipe et stockez‑le de manière sécurisée.

Mon entreprise a peu de serveurs : KMS est‑il pertinent ?

Avec moins de 5 hôtes serveur, le seuil KMS peut être bloquant. Dans ce cas, ADBA (si vous avez AD) ou MAK (avec VAMT pour éviter le téléphone) sont souvent plus simples.

Checklist avant de se lancer

• Édition correcte : Standard vs Datacenter, Desktop Experience vs Core.
• Clé correspondante : MAK adaptée à l’édition, ou GVLK pour KMS.
• Horloge synchronisée : un décalage important entraîne des erreurs d’activation.
• Droits admin sur la machine et, pour VAMT, accès WMI/WinRM (ou plan d’échange de fichiers .cilx).
• Documentation interne : conservez clé, Installation ID, Confirmation ID, captures /dlv.

Exemples concrets

Activer un serveur totalement hors‑ligne en 10 minutes

1. Installer la clé MAK : slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX.
2. Obtenir l’Installation ID : cscript slmgr.vbs /dti.
3. Appeler le numéro gratuit affiché par slui 4 depuis n’importe quel téléphone.
4. Entrer le Confirmation ID reçu : cscript slmgr.vbs /atp <CID>.
5. Vérifier : slmgr /dlv.

Éviter définitivement le téléphone grâce à VAMT

1. Installer VAMT sur un poste connecté à Internet.
2. Ajouter le serveur (si joignable via LAN), Actualiser l’état, puis Activer ▸ Par procuration.
3. Si le serveur n’est joignable que sur un réseau isolé, déployer VAMT dans ce réseau, exporter .cilx, traiter les CIDs depuis un poste Internet, puis ré‑importer et Appliquer.

Rappels essentiels & sécurité

• Ne copiez pas arbitrairement des fichiers comme tokens.dat entre machines : c’est non supporté et source d’instabilités.
• Documentez chaque activation (ticket, change request). En cas d’audit, votre traçabilité sera précieuse.
• Segmentez les responsabilités : l’équipe « poste connecté » exécute VAMT, l’équipe « serveurs isolés » applique les CIDs.

En résumé

Pour obtenir un Confirmation ID sans connecter votre Windows Server 2022 à Internet, trois voies existent : l’appel téléphonique (officiel, immédiat), VAMT (proxy d’activation, sans appel mais avec un poste Internet), ou KMS/ADBA (si l’infrastructure le permet). Le choix dépend de votre contexte : nombre de serveurs, présence d’AD, contraintes d’isolement, et gouvernance des clés.

---

Annexes utiles

Commandes slmgr courantes

Commande	Effet
slmgr /ipk <Clé>	Installe une clé MAK/GVLK
slmgr /upk	Supprime la clé (désinstalle)
slmgr /cpky	Efface la clé du registre
slmgr /dli	Affiche un résumé d’activation
slmgr /dlv	Affiche des détails étendus
slmgr /dti	Affiche l’Installation ID
slmgr /atp <CID>	Active avec le Confirmation ID (téléphone/Proxy)
slmgr /ato	Active en ligne (Internet ou KMS/ADBA selon configuration)
slmgr /skms <kms:port>	Force l’hôte KMS
slmgr /ckms	Supprime l’hôte KMS configuré
slmgr /rearm	Réinitialise l’état de licence

Journaux et diagnostics

• Observateur d’événements ▸ Applications et services ▸ Microsoft ▸ Windows ▸ Software Protection Platform/Service (SPP) : erreurs d’activation détaillées.
• Connectivité (KMS) : port 1688/TCP, latence et MTU, règles de pare‑feu internes.
• Heure : synchronisation NTP entre clients et KMS/contrôleurs de domaine.

---

En un coup d’œil

• Vous voulez aller vite → Appel téléphonique avec slui 4 et slmgr /atp.
• Vous refusez tout appel → VAMT (proxy d’activation) avec fichier .cilx transféré via un poste Internet.
• Vous avez une infra → KMS ou ADBA pour automatiser et éliminer durablement l’étape téléphonique.