Votre clé Windows Server 2022 Datacenter refuse l’activation ? Voici un guide opérationnel, fondé sur les causes réelles observées en production (clé non assortie, ISO Evaluation, KMS indisponible, proxy, horloge…), avec commandes prêtes à l’emploi pour résoudre le problème sans réinstaller.
Vue d’ensemble du problème
Un·e administrateur·trice tente depuis plusieurs mois d’activer une licence Windows Server 2022 Datacenter sans succès. Chaque essai renvoie une erreur (non affichée ici). Dans l’immense majorité des cas, l’échec provient d’un mismatch entre ISO et type de clé, d’un canal d’activation mal choisi (KMS/MAK/Retail), d’une édition « Evaluation » non convertie, d’un service de licence instable, d’un KMS injoignable ou d’un souci d’horloge/proxy.
Checklist express (résumé des actions)
| Étape | Action recommandée | Détails / Commandes |
|---|---|---|
| 1 | Vérifier la cohérence « ISO ↔ clé » | L’édition installée (Datacenter, Standard, Evaluation) doit correspondre au type de clé (KMS/MAK/Retail). Si ISO Evaluation : convertir avant d’activer : DISM /online /Set-Edition:ServerDatacenter /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula |
| 2 | Installer la clé en admin | slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXXslmgr /ato |
| 3 | Identifier le code d’erreur | slmgr /dlv ou slmgr /xpr : notez le code exact.Ex. : 0xC004F050 (clé invalide), 0xC004C003 (clé bloquée), 0xC004C020 (limite atteinte). |
| 4 | Tester l’activation téléphonique | slui 4 (choisir le pays, fournir l’ID d’installation, saisir l’ID de confirmation) |
| 5 | Relancer le service de licence | net stop sppsvc && net start sppsvc puis réessayer l’activation |
| 6 | Valider la connectivité KMS (si GVLK) | Client : nslookup -type=srv _vlmcs._tcp.<domaine>, Test-NetConnection <hôteKMS> -Port 1688KMS : vérifier qu’il gère l’ID 004F (Windows Server 2022 Datacenter). |
| 7 | Contacter Microsoft/revendeur | Fournir preuve d’achat + rapport slmgr /dli//dlv pour réinitialisation/remplacement de clé si besoin. |
Procédure détaillée et bonnes pratiques
1) Confirmer l’édition et le canal installés
Avant toute chose, vérifiez que le binaire installé correspond à l’édition et au canal d’activation visés.
- Édition en cours :
DISM /online /Get-CurrentEdition reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /v EditionID systeminfo | findstr /B /C:"OS Name" /C:"OS Version"Si vous voyezServerDatacenterEval, c’est une évaluation : elle n’accepte pas de clé commerciale tant qu’elle n’est pas convertie. - Éditions cibles possibles :
DISM /online /Get-TargetEditionsSiServerDatacenterfigure dans la liste, vous pouvez convertir (redémarrage nécessaire).
Commande de conversion :DISM /online /Set-Edition:ServerDatacenter /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula - Canal de licence : KMS (GVLK) ↔ MAK ↔ Retail. Une clé Datacenter n’activera pas une installation Standard et inversement.
2) Installer ou remplacer proprement la clé
Installez la clé depuis une invite Administrateur. Si une clé incorrecte est déjà présente, vous pouvez la retirer d’abord :
slmgr /upk &rem Désinstalle la clé courante
slmgr /cpky &rem Efface la clé du registre (sécurité)
slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
slmgr /ato &rem Tentative d’activation immédiateAstuce : si vous utilisez KMS, évitez de définir /skms si la découverte DNS fonctionne déjà (SRV _vlmcs._tcp). Sinon :
slmgr /skms kms-votre-domaine.local:1688
slmgr /atoPour annuler une configuration KMS explicite :
slmgr /ckms3) Lire et interpréter le code d’erreur
Ne poursuivez pas à l’aveugle : le code d’erreur vous oriente vers la solution.
slmgr /xpr &rem État d’activation (permanent / période de grâce / expiré)
slmgr /dlv &rem Détails complets, canal, ID d’activation, etc.| Code | Cause fréquente | Correctif recommandé |
|---|---|---|
| 0xC004F050 | Clé invalide ou non adaptée à l’édition | Confirmez l’édition (DISM /Get-CurrentEdition), installez la clé correspondant exactement à ServerDatacenter et au canal (KMS/MAK/Retail). Convertissez l’ISO Evaluation au besoin. |
| 0xC004C003 | Clé bloquée par Microsoft | Essayez l’activation téléphonique (slui 4). Si échec, contactez le support/revendeur pour réémission après vérification de l’achat. |
| 0xC004C020 | Quota d’activations MAK dépassé | Procédez via téléphone (slui 4) ou demandez une extension de compteur à Microsoft avec preuve de licence. |
| 0xC004F074 | Client KMS n’a pas trouvé/joindre le KMS | Vérifiez DNS SRV _vlmcs._tcp, pare-feu 1688/TCP, slmgr /skms si nécessaire, et la disponibilité du KMS. |
| 0xC004F038 | Seuil KMS non atteint (count < 5 pour serveurs) | Activez via MAK pour les premiers serveurs, ou ajoutez des hôtes supplémentaires jusqu’au seuil, ou utilisez l’AD‑based activation. |
| 0x80072F8F | Erreur de sécurité (certificat/horloge) | Corrigez l’heure/NT P, vérifiez TLS côté proxy/WinHTTP, réessayez. |
| 0x80072EE7 | DNS/nom d’hôte introuvable | Réparez la résolution DNS pour les hôtes d’activation ou le KMS interne. |
4) Activation hors‑ligne (téléphone)
Quand l’accès Internet est filtré ou qu’un proxy casse TLS, l’activation téléphonique débloque souvent la situation :
slui 4- Choisissez le pays/région.
- Communiquez l’ID d’installation au serveur vocal.
- Saisissez l’ID de confirmation fourni.
5) Stabiliser le service de protection logicielle
Un service de licence figé entraîne des échecs aléatoires. Redémarrez‑le proprement :
net stop sppsvc
net start sppsvc
slmgr /atoSi la corruption persiste, réinstallez les fichiers de licence puis vérifiez l’intégrité système :
slmgr /rilc
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth6) Vérifier la connectivité KMS (clients GVLK)
Pour un environnement KMS :
- Découverte DNS (SRV
_vlmcs._tcp) :nslookup -type=srv _vlmcs._tcp.votre-domaine.localVous devez obtenir l’hôte KMS et son port (1688 par défaut). - Test réseau :
Test-NetConnection kms-hote -Port 1688 telnet kms-hote 1688 &rem si Telnet Client est installé - KMS host : le serveur doit disposer d’un CSVLK compatible et annoncer l’ID 004F (Windows Server 2022 Datacenter). Vérifiez sur l’hôte KMS :
slmgr /dlvConfirmez que l’édition 2022 est couverte et que le compteur de clients (current count) progresse. - Publication DNS : activez/désactivez selon vos besoins sur le KMS :
slmgr /sdns &rem publier l’enregistrement SRV slmgr /cdns &rem ne pas publier
Rappel : le seuil KMS minimal pour activer des serveurs est de 5. En‑dessous, le code 0xC004F038 peut apparaître.
7) Proxy, TLS et synchronisation horaire
- Horloge système : un décalage ±5 minutes suffit à faire échouer l’activation. Sur machine autonome :
w32tm /query /status w32tm /resync w32tm /config /manualpeerlist:"pool.ntp.org" /syncfromflags:manual /updateImportant : en domaine, ne modifiez pas l’horloge des membres ; corrigez la source NTP côté contrôleur de domaine PDC Emulator. - Proxy/WinHTTP : l’activation en ligne utilise WinHTTP ; alignez sa configuration avec celle d’IE si nécessaire :
netsh winhttp show proxy netsh winhttp import proxy source=ie - Pare‑feu : autorisez HTTPS sortant (443) vers les hôtes Microsoft, ou utilisez
slui 4en configuration isolée.
8) Cas d’images clonées et changements matériels
Après clonage/restauration, l’empreinte matérielle évolue ; une activation MAK peut atteindre son plafond plus vite que prévu. Bonnes pratiques :
- Exécuter
sysprep /generalizeavant capture d’image. - Préférer KMS ou AD‑Based Activation dans les fermes virtualisées.
- En cas de migration matérielle massive, l’activation téléphonique débloque souvent la situation ; gardez la preuve de licence à portée de main.
9) AD‑Based Activation (ADBA) et AVMA : alternatives utiles
- AD‑Based Activation (ADBA) : le contrôleur de domaine publie l’objet d’activation. Les membres du domaine s’activent automatiquement sans contacter un hôte KMS dédié. Vérifiez le canal via
slmgr /dlv(description VOLUME_ACTIVATION / canal AD). - AVMA (Automatic Virtual Machine Activation) : si l’hôte Hyper‑V est Datacenter et correctement activé, les VMs invitées s’activent automatiquement avec les clés AVMA officielles. Utile en environnements déconnectés. Assurez‑vous d’utiliser la clé AVMA correspondant à l’édition invitée.
10) Bonnes pratiques de conformité
- Conservez un inventaire exact des clés et affectations (serveur, hôte, VM, date d’activation).
- Évitez les scripts qui exposent des clés en clair dans des dépôts ou journaux (
slmgr /cpkyaprès installation). - N’utilisez jamais d’outils non officiels (cracks, émulateurs KMS). Outre l’illégalité, ils compromettent la sécurité.
Diagnostic guidé (arbre de décision textuel)
- Votre ISO est‑elle Evaluation ? Si oui, convertissez vers ServerDatacenter puis activez. Si non, étape suivante.
- La clé correspond‑elle à l’édition & canal ? Si doute, réinstallez la clé correcte (
/ipk). Sinon, étape suivante. - Quel code renvoie
slmgr /dlv?- 0xC004F050 : mauvaise clé/édition → corriger la correspondance.
- 0xC004F074 : KMS introuvable → DNS SRV, port 1688,
/skms. - 0x80072F8F : temps/TLS → NTP et proxy/WinHTTP.
- 0xC004C020 : MAK saturé → téléphoner/support.
- 0xC004C003 : clé bloquée → support/revendeur.
- Activation téléphonique (
slui 4) réussit‑elle ? Oui → terminé. Non → réinstaller fichiers de licence (/rilc),sfc/DISM, retenter. - Toujours en échec ? Collectez un pack de preuves et contactez l’éditeur/revendeur.
Vérifications réseau et KMS : check‑list prête à l’emploi
| Point | Commande | Résultat attendu |
|---|---|---|
| Découverte KMS via DNS | nslookup -type=srv _vlmcs._tcp.votre-domaine.local | Hôte KMS et port 1688 listés |
| Port KMS joignable | Test-NetConnection kms-hote -Port 1688 | TcpTestSucceeded = True |
| Proxy WinHTTP | netsh winhttp show proxy | Configuration cohérente (ou Direct access) |
| Heure système | w32tm /query /status | Décalage minime (< 5 min) |
| État d’activation | slmgr /xpr | « Cette machine est activée de manière permanente » |
Scripts utiles pour gagner du temps
Collecte automatique d’un mini‑rapport d’activation (PowerShell)
$report = "C:\Temp\activation-report.txt"
New-Item -ItemType Directory -Force C:\Temp | Out-Null
"==== Editions ====" | Out-File $report
dism /online /Get-CurrentEdition | Out-File $report -Append
dism /online /Get-TargetEditions | Out-File $report -Append
"`n==== slmgr /dlv ====" | Out-File $report -Append
cscript //Nologo %windir%\system32\slmgr.vbs /dlv | Out-File $report -Append
"`n==== slmgr /xpr ====" | Out-File $report -Append
cscript //Nologo %windir%\system32\slmgr.vbs /xpr | Out-File $report -Append
"`n==== Réseau KMS ====" | Out-File $report -Append
"nslookup -type=srv _vlmcs._tcp.votre-domaine.local" | Out-File $report -Append
nslookup -type=srv _vlmcs._tcp.votre-domaine.local | Out-File $report -Append
"`n==== WinHTTP Proxy ====" | Out-File $report -Append
netsh winhttp show proxy | Out-File $report -Append
"`n==== Heure système ====" | Out-File $report -Append
w32tm /query /status | Out-File $report -Append
Write-Host "Rapport généré: $report"Conversion d’une ISO Evaluation en Datacenter (CMD)
DISM /online /Get-CurrentEdition
DISM /online /Get-TargetEditions
DISM /online /Set-Edition:ServerDatacenter /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula
shutdown /r /t 0Informations complémentaires essentielles
- Limite de réaffectation : Retail/MAK tolèrent un nombre restreint d’activations ; au‑delà, utilisez le téléphone (
slui 4) ou sollicitez une extension auprès de l’éditeur. - Datacenter vs Standard : une clé Datacenter n’active pas Standard et inversement. Vérifiez l’édition avant d’appliquer la clé.
- Synchronisation temporelle : un écart d’horloge provoque souvent des erreurs TLS (
0x80072F8F). Assurez la cohérence NTP. - Azure Stack HCI : les clés Datacenter « classiques » ne s’y appliquent pas.
- Seuil KMS : pour Windows Server, le seuil minimal est 5. Tant qu’il n’est pas atteint, les clients restent en grâce et ne s’activent pas définitivement.
Exemples concrets de scénarios & correctifs
- ISO Evaluation installée par erreur : le serveur affiche ServerDatacenterEval. La clé MAK/Retail est refusée (
0xC004F050). Solution : commandeDISM /Set-Editionavec votre clé, redémarrage, puisslmgr /ato. - Migration vers nouveau matériel : l’activation MAK échoue (
0xC004C020). Solution :slui 4(téléphone) pour obtenir un nouvel ID de confirmation, ou support pour réinitialiser le compteur. - Client en DMZ sans Internet : l’activation en ligne est impossible. Solution : KMS exposé en interne (1688/TCP) avec GVLK, ou activation téléphonique ponctuelle.
- Ferme de VMs éphémères : MAK atteint rapidement son plafond. Solution : KMS ou ADBA ; si l’hôte est Datacenter Hyper‑V, envisagez AVMA pour les invités.
- Proxy cassant TLS : codes réseau (
0x80072F8F/EE7). Solution : corriger WinHTTP (import IE), autoriser HTTPS sortant, ou basculer sur téléphone.
Journalisation et traces utiles
- Observateur d’événements :
- Applications and Services Logs → Microsoft → Windows → Software Protection Platform Service (SPP)
- Applications and Services Logs → Key Management Service (côté KMS)
- WMI/PowerShell :
Get-CimInstance -ClassName SoftwareLicensingProduct | Where-Object { $_.PartialProductKey } | Select-Object Name, Description, LicenseStatus, PartialProductKey | Format-List
FAQ rapide
Q : Puis‑je activer Datacenter avec une clé Standard ?
R : Non. L’édition doit correspondre exactement. Convertissez vers l’édition correcte avant activation.
Q : Combien de serveurs minimum pour KMS ?
R : Cinq serveurs au moins (seuil KMS). En‑dessous, utilisez MAK/ADBA ou attendez que le seuil soit atteint.
Q : Le téléphone est‑il obligatoire sans Internet ?
R : Non si vous avez KMS/ADBA internes. Sinon, l’activation téléphonique est la voie officielle hors‑ligne.
Q : Redémarrer sppsvc interrompt‑il des services ?
R : Non pour les rôles courants. Faites‑le sur une fenêtre de maintenance si votre politique interne l’exige.
Q : Dois‑je changer de clé en cas de réinstallation sur le même hôte ?
R : Pas forcément. Mais une MAK a un quota ; si dépassé, passez par le téléphone ou demandez une remise à zéro.
Avant de contacter le support : préparez ces éléments
- Preuve d’achat (contrat, facture, référence de licence).
- Sorties
slmgr /dli,slmgr /dlv,slmgr /xpr(copie d’écran/texte). - État réseau :
nslookupSRV,Test-NetConnection1688/TCP, configuration proxy WinHTTP. - État NTP :
w32tm /query /status. - Journal SPP et (si concerné) logs KMS.
Conclusion
La quasi‑totalité des échecs d’activation de Windows Server 2022 Datacenter provient d’un petit nombre de causes : ISO Evaluation non convertie, clé/édition/canal non assortis, synchronisation horaire/proxy, KMS injoignable ou sous‑dimensionné. En déroulant la check‑list ci‑dessus (vérification d’édition, slmgr, connectivité KMS, NTP/WinHTTP, service sppsvc, puis téléphone si nécessaire), vous identifierez rapidement la source du refus et rétablirez l’activation sans réinstaller le serveur.