Ajouter une licence ESU avec VAMT : guide complet d’activation Windows sans conflit (KMS/MAK)

Ce guide explique comment ajouter et activer une licence Extended Security Updates (ESU) avec VAMT sans perturber l’activation Windows. Vous y trouverez les prérequis, le bon ordre des opérations, des étapes détaillées, des scripts utiles et un plan de contrôle robuste.

Sommaire

Ajout d’une licence ESU avec VAMT

Les Extended Security Updates (ESU) permettent de continuer à recevoir des correctifs de sécurité pour des versions de Windows arrivées en fin de support. VAMT (Volume Activation Management Tool) est l’outil Microsoft destiné à gérer les activations en masse (clés MAK, KMS, et produits additionnels comme ESU) sur un parc hétérogène. Le cas d’usage typique : des serveurs et des postes clients nécessitent des correctifs critiques, mais ne peuvent être migrés immédiatement.

Ce qu’il faut absolument retenir

Ordre des opérations : activez d’abord Windows (clé KMS/MAK/GVLK selon votre modèle), puis ajoutez et activez la clé ESU. ESU ne remplace pas la licence Windows ; elle l’augmente.
Cohabitation : aucune collision entre la clé Windows et la clé ESU. Elles s’installent côte à côte et sont suivies séparément.
Industrialisation : VAMT sait gérer et activer les deux sur les mêmes machines sans incidence, y compris en proxy activation pour les hôtes sans accès Internet.

Enjeux soulevés

Ordre d’activation : faut‑il activer Windows d’abord puis l’ESU, ou l’inverse ?
Compatibilité : la clé ESU risque‑t‑elle de remplacer ou d’entrer en conflit avec la clé Windows déjà installée ?
Capacités de VAMT : peut‑il gérer à la fois la clé Windows et la clé ESU sur les mêmes postes sans incidence ?

Réponses et bonnes pratiques

Question	Solution proposée	Points clés
Quand appliquer la clé ESU ?	Après l’activation normale de Windows.	L’ESU prolonge uniquement la prise en charge de versions déjà activées ; elle ne se substitue pas à la licence Windows existante.
Y a‑t‑il conflit entre la clé ESU et la clé Windows ?	Aucun conflit.	Les deux clés cohabitent ; la clé ESU n’altère ni la validité ni le type de licence Windows en place.
VAMT peut‑il déployer la clé ESU ?	Oui.	VAMT gère plusieurs ID de produit (PID) par machine. Ajoutez la clé ESU dans la base VAMT et activez en masse comme n’importe quelle clé volume.

Panorama rapide : ESU, VAMT, KMS et MAK

ESU est une option de support étendue vendue par millésime (Année 1, Année 2, Année 3, etc.). VAMT est l’outil de pilotage des activations : il inventorie les machines, stocke les clés, déclenche les activations et fournit des rapports. MAK (Multiple Activation Key) active une machine de manière permanente en contactant les serveurs d’activation. KMS s’appuie sur un hôte interne ; les clients s’y activent périodiquement. ESU est délivré le plus souvent sous forme de clé MAK additionnelle qui s’installe sur un système déjà activé (KMS ou MAK).

Procédure détaillée pas à pas

Préparer l’environnement

Mettre à jour la machine de gestion VAMT (version la plus récente) et vérifier l’accès au réseau des cibles via WMI/WinRM.
Rassembler : clé Windows (si activation MAK locale), clé ESU de l’année en cours, comptes techniques, liste des hôtes.
Vérifier l’horloge et le fuseau sur les hôtes ; une dérive NTP peut faire échouer l’activation.

Installer les prérequis sur les machines cibles

Appliquer la Servicing Stack Update (SSU) et le Latest Cumulative Update (LCU) publiés avant la date de début de l’ESU.
S’assurer que les postes communiquent avec le KMS/MAK utilisé par VAMT ou disposent d’un accès Internet (direct ou via proxy) pour l’activation en ligne.
Pour les systèmes anciens, vérifier l’activation de TLS 1.2 côté OS si l’activation en ligne est requise.

Activer Windows (première étape obligatoire)

Si Windows n’est pas encore activé :

Modèle KMS : installer la clé cliente GVLK correspondant à l’édition, pointer vers l’hôte KMS (slmgr /skms kms.contoso.local) puis slmgr /ato.
Modèle MAK : slmgr /ipk <CLÉ‑MAK‑WINDOWS> puis slmgr /ato sur chaque machine ou via VAMT en masse.

Contrôler l’état avec slmgr /dlv ou via l’inventaire VAMT.

Ajouter et activer la clé ESU

Ouvrir VAMT, Actions ▸ Add Product Keys, importer la clé ESU (MAK).
Découvrir ou importer les machines : Active Directory, plage d’IP, fichier CSV, ou ajout manuel.
Sélectionner les machines cibles → Activate → choisir Online ou Proxy selon la connectivité.
Surveiller la progression et consulter le rapport ESU License Status.

Valider et documenter

Exporter les résultats (CSV/Excel) depuis VAMT pour tracer les CIDs utilisés et les hôtes activés.
Conserver un journal de changement : millésime ESU, parc couvert, exceptions.

Commandes utiles pour cibler ESU au script

Bien que VAMT couvre l’essentiel, les scripts restent utiles pour des pré‑contrôles ou des remédiations ciblées.

Slmgr (VBScript)

REM Installer la clé ESU
cscript //nologo %windir%\system32\slmgr.vbs /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX

REM Activer (connexion Internet, KMS, ou via proxy VAMT)
cscript //nologo %windir%\system32\slmgr.vbs /ato

REM Vérifier toutes les licences installées (dont ESU)
cscript //nologo %windir%\system32\slmgr.vbs /dlv

PowerShell (WMI CIM)

# Lister les produits de licence contenant "ESU"
Get-CimInstance -ClassName SoftwareLicensingProduct `
  | Where-Object { $_.Name -match 'ESU' -or $_.Description -match 'ESU' } `
  | Select-Object Name, Description, PartialProductKey, LicenseStatus

# Installer une clé (exemple générique)

Start-Process -FilePath cscript.exe -ArgumentList '//nologo', "$env:windir\system32\slmgr.vbs", '/ipk', 'XXXXX-XXXXX-XXXXX-XXXXX-XXXXX' -Wait

# Activer et relire l'état

Start-Process -FilePath cscript.exe -ArgumentList '//nologo', "$env:windir\system32\slmgr.vbs", '/ato' -Wait
Get-CimInstance -ClassName SoftwareLicensingProduct | Where-Object { $_.Name -match 'ESU' } |
Select-Object Name, LicenseStatus, GracePeriodRemaining

Conseil : sur des hôtes isolés, utilisez VAMT en Proxy Activation : VAMT collecte les Installation IDs (IIDs), obtient les Confirmation IDs (CIDs) depuis un poste connecté, puis réinjecte les CIDs sur les cibles.

Pré-requis techniques incontournables

SSU + LCU requis avant l’activation ESU. Sans ces mises à jour de base, l’activation échoue fréquemment.
Connectivité : vérifier DNS, pare‑feu, et proxy si nécessaire. Pour KMS : port 1688/TCP ouvert entre clients et hôte KMS.
Comptes et droits : VAMT requiert des privilèges d’administrateur local (ou équivalent via CredSSP/WinRM) pour déployer et activer à distance.
Horloge : synchronisation NTP des hôtes pour éviter les rejets d’activation (clock skew).

Gestion dans VAMT : mode d’emploi éclair

Inventorier : Discover Products depuis AD ou une plage d’IP. Vérifier que les machines répondent en WMI/WinRM.
Importer les clés : Actions ▸ Add Product Keys → coller votre MAK ESU. Option de balisage (description, emplacement).
Attribuer et activer : sélectionner machines → Assign, puis Activate (Online/Proxy). Surveillez les compteurs de consommation MAK.
Contrôler : vue ESU License Status, filtrage par License Status, export CSV pour audit.

Rapports et suivi

Rapport VAMT	Ce qu’il montre	Utilisation recommandée
ESU License Status	État d’activation de l’add-on ESU par hôte	Validation post‑déploiement, audit de conformité
Product Keys	Clés importées, nombre d’activations consommées/restantes	Suivi de la capacité MAK et planification des renouvellements
Product Status	Activation Windows (KMS/MAK) et autres produits	Détection des hôtes non activés avant ESU

Durée, millésimes et renouvellement

ESU est annuel. Chaque millésime possède sa propre clé.
À chaque nouvelle période, répétez l’import et l’activation de la clé ESU de l’année sur les hôtes éligibles.
Conservez la traçabilité des activations par millésime pour simplifier les audits internes/externes.

Compatibilité et périmètre

Les clés ESU sont spécifiques à la version et parfois à l’édition. Une clé ESU pour une famille serveur n’est pas valable pour une édition cliente, et inversement. Vérifiez systématiquement le couple version/édition visé avant d’importer les clés dans VAMT.

Sécurité et conformité

Sans ESU, un OS en fin de support ne reçoit plus de correctifs, ce qui expose à des risques de sécurité, de conformité et d’assurabilité.
Appliquez ESU après activation Windows pour rétablir le flux de correctifs de sécurité et maintenir les obligations de sécurité.
Combinez le déploiement ESU avec un plan de durcissement (désactivation des protocoles obsolètes, inventaire des logiciels tiers non maintenus, micro‑segmentation réseau).

Scénarios de déploiement typiques

Parc mixte KMS + MAK

Windows est activé via KMS (clients et serveurs récents), mais certains serveurs historiques (isolés) utilisent MAK. Dans ce scénario :

Conservez KMS pour Windows ; ajoutez ESU en MAK via VAMT sur les hôtes concernés.
Surveillez la consommation des activations MAK dans VAMT (Product Keys).

Sites distants avec liens intermittents

Utilisez Proxy Activation dans VAMT : depuis un poste maître connecté au réseau central, récupérez les IIDs, obtenez les CIDs, puis poussez l’activation sur chaque site lors des fenêtres de connectivité.

Environnements isolés

Privilégiez l’injection de clés via scripts signés et le mode proxy depuis un bastion qui a accès aux services d’activation. Documentez chaque activation avec un numéro de ticket de changement.

Check‑list opératoire

✔️ Inventaire des hôtes à couvrir (nom, édition, version, connectivité, rôle).
✔️ SSU/LCU appliqués sur chaque cible.
✔️ Windows activé (KMS ou MAK) : état vérifié dans VAMT.
✔️ Clé ESU de l’année importée dans VAMT et étiquetée.
✔️ Activation ESU exécutée (Online/Proxy), résultats exportés.
✔️ Plan de renouvellement consigné (J‑30 rappel, ticket CR, fenêtre de maintenance).

Gestion des erreurs fréquentes

Code / symptôme	Cause probable	Correctif recommandé
`0xC004F050` (clé invalide)	Clé ESU mal saisie, version/édition non concordante	Vérifier l’édition ciblée, regénérer l’import VAMT, réessayer
`0xC004F074` (KMS introuvable)	Client tente KMS alors qu’il devrait être MAK ou KMS non résolu	Confirmer le modèle d’activation, DNS SRV KMS et port 1688, sinon basculer en MAK
`0xC004C003` (clé bloquée)	Clé MAK suspendue ou épuisée	Contrôler le compteur dans VAMT, contacter l’approvisionnement, appliquer une nouvelle clé
Échec d’activation ESU après SSU/LCU	Redémarrage en attente, composant de licence non initialisé	Redémarrer, relancer `slmgr /ato` ou l’activation VAMT, revalider `/dlv`
Machines injoignables depuis VAMT	Pare‑feu, WMI/WinRM désactivés, droits insuffisants	Ouvrir les ports nécessaires, activer WinRM, utiliser des comptes d’administration locaux ou JEA

Modèle de plan de déploiement

Pré‑audit : export d’inventaire depuis VAMT/CMDB, qualification des éditions et versions.
Pré‑requis : déploiement SSU/LCU, validation NTP/TLS, tests de connectivité.
Pilote : 5–10 % des hôtes représentatifs, suivi rapproché des codes d’erreur et du reporting.
Généralisation : lots par environnement (Dev/Qualif/Prod) avec fenêtre de maintenance.
Contrôle : export ESU License Status signé et archivé (audit interne).
Amélioration continue : leçons apprises, mise à jour du runbook, préparation du renouvellement année N+1.

FAQ ciblée

Faut‑il retirer la clé ESU à la fin de l’année ?
Non : vous ajoutez la clé du millésime suivant. L’ancienne reste tracée mais n’interfère pas.

Peut‑on activer ESU avant d’activer Windows ?
Non : l’OS doit être activé en premier. ESU est un droit additionnel applicable à un OS déjà activé.

La clé ESU change‑t‑elle le canal (KMS ↔ MAK) de Windows ?
Non : l’activation Windows reste ce qu’elle est. ESU ajoute un produit de licence séparé.

VAMT sait‑il distinguer Windows et ESU ?
Oui : les rapports séparent les statuts d’activation Windows et ESU, avec filtres et export.

Exemple de script de contrôle en amont

Le script ci‑dessous vérifie qu’un hôte est apte à recevoir ESU : activation Windows OK, SSU/LCU présents (exemple générique), WinRM disponible.

# Exemple générique à adapter : contrôle pré-ESU
$hostName = $env:COMPUTERNAME

Write-Host "Contrôles pré-ESU sur $hostName"

# 1) Windows activé ?

$win = Get-CimInstance -ClassName SoftwareLicensingProduct `  | Where-Object { $_.PartialProductKey -and $_.Name -notmatch 'ESU' }`
| Sort-Object LicenseStatus -Descending | Select-Object -First 1

if ($win.LicenseStatus -eq 1) { Write-Host "OK - Windows activé" }
else { Write-Warning "KO - Windows non activé (LicenseStatus=$($win.LicenseStatus))" }

# 2) Paquets de maintenance à jour ? (exemple indicatif : à remplacer par vos KB cibles)

$requiredKbs = @('SSU-KB-PLACEHOLDER','LCU-KB-PLACEHOLDER')
$hotfix = Get-HotFix | Select-Object -ExpandProperty HotFixID
$missing = $requiredKbs | Where-Object { $_ -notin $hotfix }
if ($missing.Count -eq 0) { Write-Host "OK - SSU/LCU présents" }
else { Write-Warning "KO - KB manquants : $($missing -join ', ')" }

# 3) WinRM opérationnel ?

try {
Test-WSMan -ComputerName $hostName -ErrorAction Stop | Out-Null
Write-Host "OK - WinRM opérationnel"
}
catch { Write-Warning "KO - WinRM indisponible : $($_.Exception.Message)" }

Bonnes pratiques d’exploitation

Étiquetez les clés dans VAMT : nom du contrat, année, périmètre. Facilite la lisibilité et l’audit.
Séparez les vagues par criticité applicative et fenêtre de maintenance.
Surveillez le stock MAK et anticipez la ré‑allocation sur les machines décommissionnées.
Automatisez les contrôles post‑déploiement (état ESU, correctifs appliqués, redémarrage en attente).
Documentez dans un runbook : prérequis, procédures, erreurs connues, contacts d’escalade.

Tableau récapitulatif des rôles

Rôle	Responsabilités	Livrables
Administrateur VAMT	Importer les clés, inventorier les hôtes, exécuter les activations	Exports VAMT (ESU License Status, Product Keys), journal de changement
Équipe Systèmes	SSU/LCU, durcissement, disponibilité WinRM/WMI	Conformité patch, rapports de santé des hôtes
Sécurité	Exigences de conformité, fenêtre d’exploitation	Validation des exceptions et des risques résiduels
Licensing/ITAM	Approvisionnement des clés ESU, suivi de consommation	Registre des clés, alignement avec les droits contractuels

En résumé

Activez toujours Windows en premier, puis déployez la clé ESU via VAMT. Aucun conflit n’est à craindre ; l’outil gère nativement la cohabitation des deux licences. En respectant les prérequis (SSU/LCU, connectivité, droits) et en exploitant les rapports VAMT, vous obtenez un déploiement maîtrisé, auditable et répétable à chaque millésime ESU.