Ce guide explique comment ajouter et activer une licence Extended Security Updates (ESU) avec VAMT sans perturber l’activation Windows. Vous y trouverez les prérequis, le bon ordre des opérations, des étapes détaillées, des scripts utiles et un plan de contrôle robuste.
Ajout d’une licence ESU avec VAMT
Les Extended Security Updates (ESU) permettent de continuer à recevoir des correctifs de sécurité pour des versions de Windows arrivées en fin de support. VAMT (Volume Activation Management Tool) est l’outil Microsoft destiné à gérer les activations en masse (clés MAK, KMS, et produits additionnels comme ESU) sur un parc hétérogène. Le cas d’usage typique : des serveurs et des postes clients nécessitent des correctifs critiques, mais ne peuvent être migrés immédiatement.
Ce qu’il faut absolument retenir
- Ordre des opérations : activez d’abord Windows (clé KMS/MAK/GVLK selon votre modèle), puis ajoutez et activez la clé ESU. ESU ne remplace pas la licence Windows ; elle l’augmente.
- Cohabitation : aucune collision entre la clé Windows et la clé ESU. Elles s’installent côte à côte et sont suivies séparément.
- Industrialisation : VAMT sait gérer et activer les deux sur les mêmes machines sans incidence, y compris en proxy activation pour les hôtes sans accès Internet.
Enjeux soulevés
- Ordre d’activation : faut‑il activer Windows d’abord puis l’ESU, ou l’inverse ?
- Compatibilité : la clé ESU risque‑t‑elle de remplacer ou d’entrer en conflit avec la clé Windows déjà installée ?
- Capacités de VAMT : peut‑il gérer à la fois la clé Windows et la clé ESU sur les mêmes postes sans incidence ?
Réponses et bonnes pratiques
Question | Solution proposée | Points clés |
---|---|---|
Quand appliquer la clé ESU ? | Après l’activation normale de Windows. | L’ESU prolonge uniquement la prise en charge de versions déjà activées ; elle ne se substitue pas à la licence Windows existante. |
Y a‑t‑il conflit entre la clé ESU et la clé Windows ? | Aucun conflit. | Les deux clés cohabitent ; la clé ESU n’altère ni la validité ni le type de licence Windows en place. |
VAMT peut‑il déployer la clé ESU ? | Oui. | VAMT gère plusieurs ID de produit (PID) par machine. Ajoutez la clé ESU dans la base VAMT et activez en masse comme n’importe quelle clé volume. |
Panorama rapide : ESU, VAMT, KMS et MAK
ESU est une option de support étendue vendue par millésime (Année 1, Année 2, Année 3, etc.). VAMT est l’outil de pilotage des activations : il inventorie les machines, stocke les clés, déclenche les activations et fournit des rapports. MAK (Multiple Activation Key) active une machine de manière permanente en contactant les serveurs d’activation. KMS s’appuie sur un hôte interne ; les clients s’y activent périodiquement. ESU est délivré le plus souvent sous forme de clé MAK additionnelle qui s’installe sur un système déjà activé (KMS ou MAK).
Procédure détaillée pas à pas
Préparer l’environnement
- Mettre à jour la machine de gestion VAMT (version la plus récente) et vérifier l’accès au réseau des cibles via WMI/WinRM.
- Rassembler : clé Windows (si activation MAK locale), clé ESU de l’année en cours, comptes techniques, liste des hôtes.
- Vérifier l’horloge et le fuseau sur les hôtes ; une dérive NTP peut faire échouer l’activation.
Installer les prérequis sur les machines cibles
- Appliquer la Servicing Stack Update (SSU) et le Latest Cumulative Update (LCU) publiés avant la date de début de l’ESU.
- S’assurer que les postes communiquent avec le KMS/MAK utilisé par VAMT ou disposent d’un accès Internet (direct ou via proxy) pour l’activation en ligne.
- Pour les systèmes anciens, vérifier l’activation de TLS 1.2 côté OS si l’activation en ligne est requise.
Activer Windows (première étape obligatoire)
Si Windows n’est pas encore activé :
- Modèle KMS : installer la clé cliente GVLK correspondant à l’édition, pointer vers l’hôte KMS (
slmgr /skms kms.contoso.local
) puisslmgr /ato
. - Modèle MAK :
slmgr /ipk <CLÉ‑MAK‑WINDOWS>
puisslmgr /ato
sur chaque machine ou via VAMT en masse.
Contrôler l’état avec slmgr /dlv
ou via l’inventaire VAMT.
Ajouter et activer la clé ESU
- Ouvrir VAMT, Actions ▸ Add Product Keys, importer la clé ESU (MAK).
- Découvrir ou importer les machines : Active Directory, plage d’IP, fichier CSV, ou ajout manuel.
- Sélectionner les machines cibles → Activate → choisir Online ou Proxy selon la connectivité.
- Surveiller la progression et consulter le rapport ESU License Status.
Valider et documenter
- Exporter les résultats (CSV/Excel) depuis VAMT pour tracer les CIDs utilisés et les hôtes activés.
- Conserver un journal de changement : millésime ESU, parc couvert, exceptions.
Commandes utiles pour cibler ESU au script
Bien que VAMT couvre l’essentiel, les scripts restent utiles pour des pré‑contrôles ou des remédiations ciblées.
Slmgr (VBScript)
REM Installer la clé ESU
cscript //nologo %windir%\system32\slmgr.vbs /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
REM Activer (connexion Internet, KMS, ou via proxy VAMT)
cscript //nologo %windir%\system32\slmgr.vbs /ato
REM Vérifier toutes les licences installées (dont ESU)
cscript //nologo %windir%\system32\slmgr.vbs /dlv
PowerShell (WMI CIM)
# Lister les produits de licence contenant "ESU"
Get-CimInstance -ClassName SoftwareLicensingProduct `
| Where-Object { $_.Name -match 'ESU' -or $_.Description -match 'ESU' } `
| Select-Object Name, Description, PartialProductKey, LicenseStatus
# Installer une clé (exemple générique)
Start-Process -FilePath cscript.exe -ArgumentList '//nologo', "$env:windir\system32\slmgr.vbs", '/ipk', 'XXXXX-XXXXX-XXXXX-XXXXX-XXXXX' -Wait
# Activer et relire l'état
Start-Process -FilePath cscript.exe -ArgumentList '//nologo', "$env:windir\system32\slmgr.vbs", '/ato' -Wait
Get-CimInstance -ClassName SoftwareLicensingProduct | Where-Object { $_.Name -match 'ESU' } |
Select-Object Name, LicenseStatus, GracePeriodRemaining
Conseil : sur des hôtes isolés, utilisez VAMT en Proxy Activation : VAMT collecte les Installation IDs (IIDs), obtient les Confirmation IDs (CIDs) depuis un poste connecté, puis réinjecte les CIDs sur les cibles.
Pré-requis techniques incontournables
- SSU + LCU requis avant l’activation ESU. Sans ces mises à jour de base, l’activation échoue fréquemment.
- Connectivité : vérifier DNS, pare‑feu, et proxy si nécessaire. Pour KMS : port 1688/TCP ouvert entre clients et hôte KMS.
- Comptes et droits : VAMT requiert des privilèges d’administrateur local (ou équivalent via CredSSP/WinRM) pour déployer et activer à distance.
- Horloge : synchronisation NTP des hôtes pour éviter les rejets d’activation (clock skew).
Gestion dans VAMT : mode d’emploi éclair
- Inventorier : Discover Products depuis AD ou une plage d’IP. Vérifier que les machines répondent en WMI/WinRM.
- Importer les clés : Actions ▸ Add Product Keys → coller votre MAK ESU. Option de balisage (description, emplacement).
- Attribuer et activer : sélectionner machines → Assign, puis Activate (Online/Proxy). Surveillez les compteurs de consommation MAK.
- Contrôler : vue ESU License Status, filtrage par License Status, export CSV pour audit.
Rapports et suivi
Rapport VAMT | Ce qu’il montre | Utilisation recommandée |
---|---|---|
ESU License Status | État d’activation de l’add-on ESU par hôte | Validation post‑déploiement, audit de conformité |
Product Keys | Clés importées, nombre d’activations consommées/restantes | Suivi de la capacité MAK et planification des renouvellements |
Product Status | Activation Windows (KMS/MAK) et autres produits | Détection des hôtes non activés avant ESU |
Durée, millésimes et renouvellement
- ESU est annuel. Chaque millésime possède sa propre clé.
- À chaque nouvelle période, répétez l’import et l’activation de la clé ESU de l’année sur les hôtes éligibles.
- Conservez la traçabilité des activations par millésime pour simplifier les audits internes/externes.
Compatibilité et périmètre
Les clés ESU sont spécifiques à la version et parfois à l’édition. Une clé ESU pour une famille serveur n’est pas valable pour une édition cliente, et inversement. Vérifiez systématiquement le couple version/édition visé avant d’importer les clés dans VAMT.
Sécurité et conformité
- Sans ESU, un OS en fin de support ne reçoit plus de correctifs, ce qui expose à des risques de sécurité, de conformité et d’assurabilité.
- Appliquez ESU après activation Windows pour rétablir le flux de correctifs de sécurité et maintenir les obligations de sécurité.
- Combinez le déploiement ESU avec un plan de durcissement (désactivation des protocoles obsolètes, inventaire des logiciels tiers non maintenus, micro‑segmentation réseau).
Scénarios de déploiement typiques
Parc mixte KMS + MAK
Windows est activé via KMS (clients et serveurs récents), mais certains serveurs historiques (isolés) utilisent MAK. Dans ce scénario :
- Conservez KMS pour Windows ; ajoutez ESU en MAK via VAMT sur les hôtes concernés.
- Surveillez la consommation des activations MAK dans VAMT (Product Keys).
Sites distants avec liens intermittents
Utilisez Proxy Activation dans VAMT : depuis un poste maître connecté au réseau central, récupérez les IIDs, obtenez les CIDs, puis poussez l’activation sur chaque site lors des fenêtres de connectivité.
Environnements isolés
Privilégiez l’injection de clés via scripts signés et le mode proxy depuis un bastion qui a accès aux services d’activation. Documentez chaque activation avec un numéro de ticket de changement.
Check‑list opératoire
- ✔️ Inventaire des hôtes à couvrir (nom, édition, version, connectivité, rôle).
- ✔️ SSU/LCU appliqués sur chaque cible.
- ✔️ Windows activé (KMS ou MAK) : état vérifié dans VAMT.
- ✔️ Clé ESU de l’année importée dans VAMT et étiquetée.
- ✔️ Activation ESU exécutée (Online/Proxy), résultats exportés.
- ✔️ Plan de renouvellement consigné (J‑30 rappel, ticket CR, fenêtre de maintenance).
Gestion des erreurs fréquentes
Code / symptôme | Cause probable | Correctif recommandé |
---|---|---|
0xC004F050 (clé invalide) | Clé ESU mal saisie, version/édition non concordante | Vérifier l’édition ciblée, regénérer l’import VAMT, réessayer |
0xC004F074 (KMS introuvable) | Client tente KMS alors qu’il devrait être MAK ou KMS non résolu | Confirmer le modèle d’activation, DNS SRV KMS et port 1688, sinon basculer en MAK |
0xC004C003 (clé bloquée) | Clé MAK suspendue ou épuisée | Contrôler le compteur dans VAMT, contacter l’approvisionnement, appliquer une nouvelle clé |
Échec d’activation ESU après SSU/LCU | Redémarrage en attente, composant de licence non initialisé | Redémarrer, relancer slmgr /ato ou l’activation VAMT, revalider /dlv |
Machines injoignables depuis VAMT | Pare‑feu, WMI/WinRM désactivés, droits insuffisants | Ouvrir les ports nécessaires, activer WinRM, utiliser des comptes d’administration locaux ou JEA |
Modèle de plan de déploiement
- Pré‑audit : export d’inventaire depuis VAMT/CMDB, qualification des éditions et versions.
- Pré‑requis : déploiement SSU/LCU, validation NTP/TLS, tests de connectivité.
- Pilote : 5–10 % des hôtes représentatifs, suivi rapproché des codes d’erreur et du reporting.
- Généralisation : lots par environnement (Dev/Qualif/Prod) avec fenêtre de maintenance.
- Contrôle : export ESU License Status signé et archivé (audit interne).
- Amélioration continue : leçons apprises, mise à jour du runbook, préparation du renouvellement année N+1.
FAQ ciblée
Faut‑il retirer la clé ESU à la fin de l’année ?
Non : vous ajoutez la clé du millésime suivant. L’ancienne reste tracée mais n’interfère pas.
Peut‑on activer ESU avant d’activer Windows ?
Non : l’OS doit être activé en premier. ESU est un droit additionnel applicable à un OS déjà activé.
La clé ESU change‑t‑elle le canal (KMS ↔ MAK) de Windows ?
Non : l’activation Windows reste ce qu’elle est. ESU ajoute un produit de licence séparé.
VAMT sait‑il distinguer Windows et ESU ?
Oui : les rapports séparent les statuts d’activation Windows et ESU, avec filtres et export.
Exemple de script de contrôle en amont
Le script ci‑dessous vérifie qu’un hôte est apte à recevoir ESU : activation Windows OK, SSU/LCU présents (exemple générique), WinRM disponible.
# Exemple générique à adapter : contrôle pré-ESU
$hostName = $env:COMPUTERNAME
Write-Host "Contrôles pré-ESU sur $hostName"
# 1) Windows activé ?
$win = Get-CimInstance -ClassName SoftwareLicensingProduct ` | Where-Object { $_.PartialProductKey -and $_.Name -notmatch 'ESU' }`
| Sort-Object LicenseStatus -Descending | Select-Object -First 1
if ($win.LicenseStatus -eq 1) { Write-Host "OK - Windows activé" }
else { Write-Warning "KO - Windows non activé (LicenseStatus=$($win.LicenseStatus))" }
# 2) Paquets de maintenance à jour ? (exemple indicatif : à remplacer par vos KB cibles)
$requiredKbs = @('SSU-KB-PLACEHOLDER','LCU-KB-PLACEHOLDER')
$hotfix = Get-HotFix | Select-Object -ExpandProperty HotFixID
$missing = $requiredKbs | Where-Object { $_ -notin $hotfix }
if ($missing.Count -eq 0) { Write-Host "OK - SSU/LCU présents" }
else { Write-Warning "KO - KB manquants : $($missing -join ', ')" }
# 3) WinRM opérationnel ?
try {
Test-WSMan -ComputerName $hostName -ErrorAction Stop | Out-Null
Write-Host "OK - WinRM opérationnel"
}
catch { Write-Warning "KO - WinRM indisponible : $($_.Exception.Message)" }
Bonnes pratiques d’exploitation
- Étiquetez les clés dans VAMT : nom du contrat, année, périmètre. Facilite la lisibilité et l’audit.
- Séparez les vagues par criticité applicative et fenêtre de maintenance.
- Surveillez le stock MAK et anticipez la ré‑allocation sur les machines décommissionnées.
- Automatisez les contrôles post‑déploiement (état ESU, correctifs appliqués, redémarrage en attente).
- Documentez dans un runbook : prérequis, procédures, erreurs connues, contacts d’escalade.
Tableau récapitulatif des rôles
Rôle | Responsabilités | Livrables |
---|---|---|
Administrateur VAMT | Importer les clés, inventorier les hôtes, exécuter les activations | Exports VAMT (ESU License Status, Product Keys), journal de changement |
Équipe Systèmes | SSU/LCU, durcissement, disponibilité WinRM/WMI | Conformité patch, rapports de santé des hôtes |
Sécurité | Exigences de conformité, fenêtre d’exploitation | Validation des exceptions et des risques résiduels |
Licensing/ITAM | Approvisionnement des clés ESU, suivi de consommation | Registre des clés, alignement avec les droits contractuels |
En résumé
Activez toujours Windows en premier, puis déployez la clé ESU via VAMT. Aucun conflit n’est à craindre ; l’outil gère nativement la cohabitation des deux licences. En respectant les prérequis (SSU/LCU, connectivité, droits) et en exploitant les rapports VAMT, vous obtenez un déploiement maîtrisé, auditable et répétable à chaque millésime ESU.