MENU
  1. Accueil
  2. Windows
  3. Windows Server
  4. Récupérer des clés Windows Server 2016 via VLSC : guide complet MAK/KMS, activation et conformité

Récupérer des clés Windows Server 2016 via VLSC : guide complet MAK/KMS, activation et conformité

Windows Server

Vous devez fournir des clés de produit Windows Server 2016 et l’accès au VLSC est perdu ? Voici une méthode éprouvée, détaillée et sécurisée pour récupérer les clés MAK/KMS et rétablir l’activation sans retarder la production.

Sommaire

Récupération des clés de licence Windows Server 2016 issues du programme de licences en volume (VLSC)

Vue d’ensemble de la question

Un fournisseur dispose de licences en volume Windows Server 2016 achetées pour un client public (fédéral), mais il ne peut plus se connecter au Volume Licensing Service Center (VLSC). Le client réclame les clés d’activation. Comment récupérer légalement et rapidement ces clés sans accès actif au portail ?

Réponse & solutions — plan d’action rapide

ÉtapeAction à entreprendreDétails pratiques / Conseils utiles
1. Vérifier les identifiants VLSC• Utiliser la fonction « Mot de passe oublié » sur le portail.
• Confirmer l’adresse Microsoft associée à l’accord de volume.
• Vérifier que le compte possède encore le rôle d’administrateur de l’accord/enrollment.		Changement d’administrateur, suppression du compte ou confusion d’adresse d’enrôlement : causes fréquentes de blocage. Chercher aussi des boîtes génériques (ex. licensing@…)
2. Contacter immédiatement le support VLSC• Appeler le support VLSC (coordonnées régionales « Contact us » dans le portail).
• Fournir : numéro d’accord/enrollment, n° de commande, preuve d’achat (facture/PO), e‑mail de confirmation, coordonnées complètes.		Le support peut : rétablir l’accès, nommer un nouvel administrateur, ou communiquer directement les clés MAK/KMS après validation d’identité et de propriété.
3. Escalader si l’accès reste impossible• En cas d’urgence (service en production), joindre le Licensing Activation Center (LAC).
• Si vous êtes LSP/CSP, ouvrir un ticket via Partner Center.		Le LAC peut délivrer une clé provisoire ou confirmer une clé existante après vérification, afin d’éviter une indisponibilité de service.
4. Sécuriser et transmettre les clésNe jamais envoyer les clés en clair par e‑mail non chiffré.
• Utiliser un coffre‑fort numérique ou un canal chiffré (M365 Message Encryption, outil de partage sécurisé).		Le fournisseur reste responsable de la confidentialité des clés jusqu’à la remise formelle au client et à l’accusé de réception.
5. Prévenir les problèmes futurs• Mettre à jour les contacts administratifs VLSC (adresse, téléphone).
• Activer la MFA.
• Archiver accords et confirmations hors ligne (PDF, coffre‑fort).		Un suivi administratif régulier évite les pertes d’accès lors d’audits ou de renouvellements.

Notes complémentaires utiles

  • Aucun outil automatique ne permet d’extraire des clés sans authentification VLSC : l’assistance Microsoft est incontournable pour des raisons de conformité.
  • Si l’environnement utilise KMS ou l’Activation basée sur Active Directory, une unique KMS host key peut suffire (les postes/serveurs clients utilisent des GVLK génériques). Cela réduit la diffusion de clés MAK multiples.
  • Stockez toutes les clés dans un gestionnaire sécurisé (Azure Key Vault, coffre compatible KeePass, etc.) et documentez la procédure de récupération pour les audits internes.

Comprendre les clés de volume : MAK, KMS, GVLK et Active Directory

Avant d’engager les démarches, clarifiez le modèle d’activation ciblé. Cela évite de réclamer la « mauvaise » clé et d’allonger les délais.

TypeUsage typiqueMode de déploiementAtoutsPoints d’attention
MAK (Multiple Activation Key)Sites isolés, réseaux sans accès KMS, VM ponctuellesInstallation de la clé sur chaque serveur : slmgr /ipk puis slmgr /atoAutonome, pas de dépendance réseau vers un hôte KMSCompteur d’activations limité ; attention aux réimages
KMS (Key Management Service)Parcs importants, datacenters, renouvellement fréquentInstaller une KMS host key sur un serveur KMS ; clients avec GVLK génériquesActivation automatique des clients, pas de gestion unitaireSeuils d’activation (compte minimum) ; dépend d’un hôte KMS disponible
GVLK (KMS client key)Clés « génériques » côté clients KMSDéployées via image, GPO, script : slmgr /ipk <GVLK>Pas de secret critique (publique), simplifie l’industrialisationNécessite un KMS fonctionnel ou l’AD‑Based Activation
AD‑Based ActivationEnvironnements AD modernes (Windows Server 2012+)Active Directory porte l’activation : clients activés via ADPas d’hôte KMS dédié, intégré au SSO ADNécessite un schéma AD et des contrôleurs compatibles

Conseil d’architecture : si votre client fédéral tolère un unique point d’administration, privilégiez KMS ou AD‑Based Activation pour limiter la distribution de secrets (MAK) et faciliter les renouvellements.

Checklist express : préparez ces éléments avant d’appeler

  • Numéro(s) d’accord : Enterprise Agreement, MPSA, Open Value, etc.
  • Numéro de commande / PO / facture (et date d’achat).
  • Raison sociale du titulaire de l’accord, adresse, Tenant ou domaine associé, et anciens contacts/licensing admins connus.
  • Preuve de relation contractuelle (bon de commande client, courriel d’attribution, SOW).
  • Contexte d’urgence (ex. serveurs en attente d’activation, audit imminent) : impact, nombre de serveurs, date butoir.
  • Canal de réception sécurisé accepté par le client (coffre, chiffrement M365, partage sécurisé).
Pièces justificatives fréquentesPourquoi c’est utile
Facture/PO du revendeur (PDF)Lien entre l’accord et votre organisation
Courriel de confirmation de MicrosoftIdentifie l’enrollment et le contact d’enrôlement
Numéro d’accord/enrollmentAccélère la vérification par le support
Lettre d’autorisation du clientAutorise Microsoft à communiquer des clés au prestataire

Procédure détaillée selon trois scénarios

Scénario A — Vous contrôlez le compte VLSC mais l’accès est verrouillé

  1. Réinitialisation : lancer « Mot de passe oublié » et vérifier la réception sur l’adresse d’enrôlement (y compris spam/quarantaine).
  2. Rôle administrateur : si l’accès est rétabli mais sans visibilité des clés, valider que votre compte est Administrator de l’accord dans VLSC.
  3. Téléchargement : dans VLSC, section « Licenses » > « Relationship Summary » > sélectionner l’accord > « Product Keys » > rechercher « Windows Server 2016 » et récupérer MAK ou KMS host key selon besoin.
  4. Traçabilité : enregistrer l’opération (date, accord, clé masquée, destinataire) dans votre registre d’accès aux secrets.

Scénario B — L’administrateur VLSC n’est plus disponible (départ, boîte fermée)

  1. Support VLSC : appeler le support régional via le portail. Décrire la situation (perte d’accès, continuité de service) et fournir les preuves de propriété. Proposer deux options :
    • Option 1 : rétablissement d’accès au compte existant (réinitialisation, MFA, mise à jour e‑mail).
    • Option 2 : désignation immédiate d’un nouvel administrateur de l’accord avec son e‑mail.
  2. Lettre d’autorisation : si vous êtes le prestataire, faites signer par le client une lettre simple autorisant Microsoft à dialoguer avec vous et à délivrer les clés au canal sécurisé défini.
  3. Réception des clés : selon la politique régionale, les clés peuvent être communiquées au titulaire, au nouvel admin, ou chargées dans VLSC après rétablissement.

Scénario C — Urgence opérationnelle (service bloqué)

  1. Licensing Activation Center (LAC) : exposer l’impact (serveurs en production, audit, délai). Après vérification, le LAC peut confirmer une clé, octroyer une clé provisoire ou accélérer l’escalade interne.
  2. Partner Center (si LSP/CSP) : ouvrir un dossier prioritaire « Activation/Keys ». Joindre factures et n° d’accord pour corrélation immédiate.
  3. Mesures de continuité : pendant l’attente, valider l’usage temporaire de GVLK (si KMS/AD‑BA) ou l’activation téléphonique. Documenter toute dérogation.

Bonnes pratiques de sécurité et conformité

  • Chiffrement : ne jamais envoyer une clé en clair. Utiliser un coffre : Azure Key Vault, solution HSM, ou fichier chiffré partagé avec mot de passe transmis par canal séparé.
  • Principe du moindre privilège : limiter les personnes autorisées à voir la clé. Préférer une remise à la demande avec masquage visuel (ex. XX‑XXXX‑XXXXX‑DERNIERS5).
  • Journalisation : tenir un registre : qui a demandé, qui a fourni, quand, via quel canal, quelle clé (masquée), sur quels serveurs. Conserver les preuves sous scellé.
  • MFA & rotation : imposer MFA sur les comptes VLSC/Partner, révoquer les accès des collaborateurs sortants, et revoir les administrateurs au moins semestriellement.
  • Séparation des rôles : distinguer « provisionnement des clés » et « déploiement sur serveurs ». Une personne ne devrait pas pouvoir à la fois obtenir la clé et la déployer en prod sans contrôle.

Procédure d’installation/validation côté serveur

Une fois la clé obtenue, sécurisez l’activation technique :

  1. Identifier l’édition : systeminfo ou DISM /online /Get-CurrentEdition pour confirmer Standard/Datacenter et éviter une clé inadaptée.
  2. Installer la clé :
    • MAK/KMS host sur un serveur : slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
    • Activer : slmgr /ato (ou activation téléphonique si réseau restreint)
  3. Validation :
    • État de licence : slmgr /dli ou slmgr /dlv
    • Péremption : slmgr /xpr
  4. Pour KMS côté clients : installer la GVLK correspondant à Windows Server 2016 si nécessaire (slmgr /ipk <GVLK 2016>), puis slmgr /ato. Vérifier la découverte de l’hôte KMS (DNS SRV _VLMCS).

Astuce déploiement : pour les images de VM, stockez uniquement les GVLK (non sensibles). La clé KMS hôte reste confinée sur l’infrastructure d’activation. Vous réduisez considérablement le risque de fuite.

Communication type avec le support — modèle d’e‑mail

Objet : Récupération clés Windows Server 2016 – [Nom Client] – [N° Accord/Enrollment]

Bonjour,

Nous devons activer plusieurs serveurs Windows Server 2016 pour un client fédéral. L’accès VLSC associé à l’accord [référence] n’est plus opérationnel (administrateur indisponible).
Pièces jointes : facture/PO, confirmation d’achat, lettre d’autorisation du client.

Demandes :

1. Rétablissement d’accès VLSC et désignation du nouvel administrateur : [Prénom NOM, e‑mail].
2. Communication sécurisée des clés nécessaires (MAK/KMS host) via [coffre/OME/partage chiffré].

Contrainte temps : [date butoir], impact : [nombre de serveurs/critique].

Merci de votre aide,
[Signature]

Gouvernance spécifique « client fédéral »

  • Traçabilité renforcée : conserver un audit trail détaillé et signer numériquement les comptes-rendus d’échange.
  • Canal approuvé : valider auprès du RSSI/ISSO le canal de transmission des clés (OME, coffre approuvé, segmentation réseau).
  • Principe de divulgation minimale : ne communiquer que le strict nécessaire (ex. KMS host key plutôt que plusieurs MAK).
  • Sensibilité des métadonnées : éviter d’exposer dans les objets e‑mail les références d’accord complètes si la politique l’interdit (utiliser un identifiant interne chiffré).

Erreurs fréquentes & correctifs

SymptômeCause probableCorrectif rapide
« Clé invalide pour cette édition »Mauvaise édition (Standard vs Datacenter) ou clé OEM/RetailVérifier l’édition (DISM) et demander la clé de volume correspondante
Quota MAK épuiséRéimages multiples non comptabiliséesDemander un top‑up au support avec justification (inventaire, tickets)
Clients KMS n’arrivent pas à s’activerDNS SRV manquant, hôte KMS indisponible, seuil non atteintVérifier en nslookup -type=srv _vlmcs._tcp, service KMS et compteur
VLSC ne montre pas l’accordCompte non administrateur ou mauvais e‑mail d’enrôlementFaire nommer un nouvel administrateur via support VLSC
Urgence audit, pas de clé en mainPerte d’accès totale, délais de vérificationEscalader LAC, demander clé provisoire, documenter l’exception

Plan de continuité pendant la récupération

  • Évaluation/Grace period : en environnement de test, exploiter l’évaluation en règle si disponible le temps du rétablissement (respecter les obligations de licence).
  • Activation téléphonique : si sortie Internet restreinte, utiliser le canal téléphonique pour slui 4 ou slmgr /ato avec proxy conforme à la politique de l’organisation.
  • Standardiser les images : intégrer les GVLK et scripts d’activation, jamais une clé MAK en dur.

Processus de prévention à long terme

  1. Cartographie : référentiel des accords, contacts admins, dates clés (renouvellement, support).
  2. Contrôles trimestriels : revue des rôles VLSC/Partner, test d’accès, test MFA, mise à jour des contacts et de la lettre d’autorité.
  3. Automatisation sécurisée : scripts pour interroger l’état d’activation (slmgr /dlv), rapports d’inventaire, alertes en cas d’expiration.
  4. Archivage : contrats et confirmations en PDF signés, stockés chiffrés, avec politique de rétention.
  5. Formation : sensibilisation des équipes sur la manipulation des clés et les obligations de licence.

FAQ ciblée

Peut‑on récupérer des clés sans passer par VLSC ?
Oui, mais uniquement via les canaux officiels : support VLSC, LAC, et Partner Center si vous êtes LSP/CSP. Une validation d’identité et de propriété est obligatoire.

Le support peut‑il donner la clé directement au client ?
Oui. Selon la politique régionale, la clé est fournie au titulaire de l’accord ou au nouvel administrateur désigné, parfois via un canal sécurisé convenu. Anticipez en fournissant la lettre d’autorisation.

Nous utilisons KMS : avons‑nous besoin de multiples clés ?
Non. Généralement une seule KMS host key suffit côté infrastructure. Les serveurs clients utilisent des GVLK génériques.

Que faire si nous avons dépassé le compteur MAK ?
Contacter le support VLSC avec une justification (inventaire, historique de réimages). Un réajustement de quota peut être étudié.

Quelles preuves préparer avant d’appeler ?
Numéro d’accord/enrollment, facture/PO, courriel de confirmation, identité de l’organisation cliente, contact autorisé, lettre d’autorisation si vous appelez au nom du client.

Checklist finale d’exécution

  1. Rassembler preuves d’achat et références d’accord.
  2. Appeler le support VLSC : demander rétablissement d’accès et/ou désignation d’un nouvel admin.
  3. En cas d’urgence : escalader LAC et Partner Center (si applicable).
  4. Réceptionner la clé via canal chiffré, enregistrer la traçabilité.
  5. Déployer la clé (MAK/KMS) selon le modèle cible, valider l’activation (/dli, /xpr), documenter.
  6. Mettre à jour la gouvernance : MFA, contacts, archivage, revue périodique.

Modèle de registre (exemple à adapter)

DateAccordType de cléClé (masquée)Serveurs concernésDestinataireCanalOpérateur
AAAA‑MM‑JJEA‑123456KMS host / MAKXXXXX‑XXXXX‑XXXXX‑XXXXX‑ABCDESRV‑APP‑01; SRV‑DB‑02Nom PrénomCoffre chiffré / OMEInitiales

Conclusion

La récupération de clés Windows Server 2016 sans accès VLSC actif est possible, mais uniquement via les canaux officiels Microsoft (support VLSC, LAC, Partner Center) et avec des preuves de propriété. En préparant en amont vos références d’accord, vos justificatifs et un canal de remise sécurisé, vous accélérez la résolution, réduisez l’exposition des secrets et garantissez la conformité lors des audits. Pérennisez ensuite l’accès (MFA, administrateurs mis à jour), standardisez l’activation (KMS/AD‑BA quand c’est pertinent) et tenez une traçabilité rigoureuse. Ainsi, vous combinez réactivité opérationnelle, sécurité et maîtrise des licences.

Windows Server
KMS activation Windows Server 2016 MAK VLSC
Sommaire