Activer Windows Server 2022 Standard sous ESXi avec licences Datacenter ROK : guide MAK/KMS/ADBA

Vous exécutez VMware ESXi sur des hôtes Dell licenciés Windows Server 2022 Datacenter (OEM/ROK) et vos VM Windows Server 2022 Standard refusent de s’activer ? Voici un guide pas‑à‑pas, clair et actionnable, pour réussir l’activation (MAK, KMS ou ADBA) et rester pleinement conforme.

Sommaire

Contexte et problème rencontré

Scénario typique : trois serveurs Dell sont correctement couverts par des licences OEM ROK Windows Server 2022 Datacenter (16 cœurs par hôte). L’objectif est de déployer un nombre illimité de VM Windows Server 2022 Standard sous ESXi. L’installation des VM s’effectue avec une clé GVLK (clé client KMS), mais l’activation échoue : pas de serveur KMS, pas de clé MAK, et la clé Datacenter OEM n’est pas acceptée par l’édition Standard. Résultat : des VM installées mais non activées.

Ce blocage est normal : vos licences Datacenter ROK confèrent des droits de virtualisation sur l’hôte, pas une méthode d’activation intégrée pour les VM. Sous ESXi, vous devez fournir à chaque VM une méthode d’activation valide (MAK, KMS ou ADBA). AVMA n’est pas disponible car réservé aux hôtes Hyper‑V.

Licences Datacenter ROK vs activation des VM : bien distinguer

Deux notions à ne pas confondre :

Droits de virtualisation : la licence Datacenter couvre tous les cœurs physiques de l’hôte et autorise un nombre illimité de VM Windows Server sur cet hôte.
Activation logicielle : chaque instance de Windows dans une VM doit être activée via une méthode Volume (KMS/ADBA/MAK). Les clés OEM ROK de l’hôte ne permettent pas d’activer les VM Standard sous ESXi.

Rappels rapides sur les éditions et droits

Édition	Couverture physique requise	Droits VM	Remarques
Standard	Tous les cœurs (min. 16 par serveur)	2 OSE/VM par « pack » (stackable)	Pour plus de VM, rachetez (empilez) des droits.
Datacenter	Tous les cœurs (min. 16 par serveur)	VM illimitées sur l’hôte licencié	Parfait pour ESXi avec forte densité de VM.

Conclusion : Datacenter ROK vous donne le droit d’exécuter autant de VM que voulu sur l’hôte licencié. Mais l’activation de chaque VM reste à gérer via KMS/ADBA/MAK.

Panorama des méthodes d’activation sous ESXi

Méthode	Prérequis	Avantages	Limites	Cas d’usage
MAK (Multiple Activation Key)	Clé MAK (contrat VL ou achat via revendeur)	Simple, pas de serveur à maintenir	Compteur d’activations; gestion clé par VM	Environnements sans KMS ni AD, petites/moyennes volumétries
KMS (Key Management Service)	Clé hôte KMS (CSVLK) + serveur KMS interne	Activation centralisée; pas de clé par VM	Seuil d’activation (≥ 5 serveurs), serveur à maintenir	Moyennes/grandes volumétries, renouvellement automatique
ADBA (Activation basée sur AD)	Clé CSVLK publiée dans AD (schéma adéquat)	Aucune infra dédiée, activation à l’adhésion domaine	Nécessite AD; fonctionne pour OS 2012+	Domaines AD modernes, VMs jointes au domaine
AVMA	Hôte Hyper‑V Datacenter	Activation automatique des invités via l’hôte	Non pris en charge sous ESXi	—

Important : sous VMware ESXi, AVMA ne fonctionne pas. Concentrez‑vous donc sur MAK, KMS ou ADBA.

Solution directe : activer chaque VM avec une clé MAK

Si vous n’avez ni KMS ni contrat VL actif, la voie la plus rapide consiste à obtenir une clé d’activation multiple (MAK) pour Windows Server 2022 Standard, puis à l’installer dans chaque VM.

Obtenir une clé MAK Windows Server 2022 Standard

Contactez votre revendeur agréé (Dell/partner) et demandez explicitement une clé MAK Windows Server 2022 Standard.
Ou souscrivez à un programme Microsoft Volume Licensing (Open Value/Enterprise, CSP VL, etc.) permettant d’accéder aux clés MAK dans votre portail de licences.
Conservez la preuve d’achat/affectation (inventaire de clés, nombre d’activations autorisées, hôtes couverts par Datacenter ROK, etc.).

Activer la VM avec la clé MAK

Exécutez ces commandes dans la VM (session Administrateur) :

slmgr /ipk VOTRE-MAK-WS2022-STD-XXXXX
slmgr /ato

Vérification :

slmgr /dlv

Si l’accès Internet est restreint, l’activation téléphonique est possible via l’assistant d’activation graphique (slui 4).

Automatiser pour plusieurs VM

Vous pouvez automatiser l’activation MAK avec PowerShell Remoting (WinRM activé, firewall autorisé) :

$vms = @(
  @{Name='SRV-APP01'; IP='10.10.1.21'},
  @{Name='SRV-DB01';  IP='10.10.1.22'},
  @{Name='SRV-WEB01'; IP='10.10.1.23'}
)
$mak = 'VOTRE-MAK-WS2022-STD-XXXXX'

foreach ($vm in $vms) {
Invoke-Command -ComputerName $vm.IP -ScriptBlock {
param($key)
cscript.exe $env:windir\system32\slmgr.vbs /ipk $key | Out-Null
cscript.exe $env:windir\system32\slmgr.vbs /ato  | Out-Null
cscript.exe $env:windir\system32\slmgr.vbs /dlv
} -ArgumentList $mak
} </code></pre>

  <h3>Intégrer la clé MAK dans l’image / la réponse d’installation</h3>
  <p>Pour des déploiements automatisés (<em>templates</em> vSphere, MDT, réponses Unattend), insérez la clé produit dans votre <code>unattend.xml</code> :</p>
  <pre><code>&lt;component name="Microsoft-Windows-Shell-Setup" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS"&gt;
  &lt;ProductKey&gt;VOTRE-MAK-WS2022-STD-XXXXX&lt;/ProductKey&gt;
&lt;/component&gt;
</code></pre>
</section>

<section>
  <h2>Alternative scalable&nbsp;: déployer un KMS (ou ADBA) interne</h2>
  <p>Si vous exploitez plusieurs dizaines/centaines de VM, un service d’activation centralisé est plus efficace que la gestion de clés MAK individuelles.</p>

  <h3>Mettre en place un serveur KMS</h3>
  <ol>
    <li>Préparez une VM Windows&nbsp;Server (idéalement 2022) dédiée au rôle KMS.</li>
    <li>Obtenez la <strong>clé hôte KMS (CSVLK)</strong> correspondant à Windows&nbsp;Server&nbsp;2022 via votre contrat VL.</li>
    <li>Sur le serveur KMS, exécutez&nbsp;:
      <pre><code>slmgr /ipk VOTRE-CSVLK-WS2022-XXXXX
slmgr /ato

Ouvrez le port TCP 1688 sur le pare-feu et autorisez la publication/présence de l’enregistrement DNS _VLMCS._tcp. Vérifiez que le compteur KMS atteint le seuil minimal (≥ 5 serveurs) avant activation des clients.

Configurer les VM clientes (KMS)

Dans chaque VM Standard, installez la GVLK de l’édition Standard (si ce n’est pas déjà le cas) puis forcez la découverte du KMS si nécessaire :

slmgr /ipk CLÉ-GVLK-WS2022-STD-XXXXX
slmgr /skms kms.votre-domaine.local:1688
slmgr /ato

Astuces : si le DNS AD publie bien _VLMCS._tcp, la commande /skms n’est pas requise. Les clients KMS renouvellent automatiquement leur activation (validité 180 jours, tentative de renouvellement tous les 7 jours).

Activer via ADBA (Activation basée sur AD)

Sur un contrôleur de domaine, installez l’outil d’activation par volume et installez la clé CSVLK Windows Server 2022.
Publiez l’objet d’activation dans AD. Les VM jointes au domaine s’activeront automatiquement lors de l’authentification.

ADBA élimine le besoin d’un serveur KMS et convient aux environnements entièrement AD, à condition de disposer des clés volume adéquates.

Convertir correctement vos images et éditions

Édition incorrecte : si une VM a été installée en Datacenter par erreur, vous pouvez changer d’édition (selon le chemin supporté) via DISM : DISM /online /Get-CurrentEdition DISM /online /Get-TargetEditions DISM /online /Set-Edition:ServerStandard /ProductKey:CLÉ-VALIDE-STD-XXXXX /AcceptEula
Évaluation vers licence : pour convertir une image Evaluation, utilisez une clé Volume (MAK/CSVLK) adaptée à l’édition cible, puis activez (KMS/MAK).

Bon à savoir : une GVLK seule n’accorde pas de droits ni ne « crée » un contrat VL ; c’est uniquement une clé client destinée à parler à KMS/ADBA.

Diagnostic des échecs d’activation

Concentrez‑vous sur les symptômes fréquents ci‑dessous :

Code / Message	Cause probable	Correctif
0xC004F074 (KMS non disponible)	DNS SRV absent, port 1688 bloqué, pas de KMS	Publier `_VLMCS._tcp`, ouvrir 1688/TCP, vérifier `slmgr /dlv` côté KMS
0xC004F038 (Seuil KMS non atteint)	Moins de 5 serveurs vus par KMS	Démarrer/joindre ≥ 5 VM serveur, patienter la remontée des compteurs
0xC004F050 (Clé invalide / édition)	Clé d’édition Datacenter sur VM Standard, ou GVLK inadaptée	Installer une clé MAK/CSVLK Standard, ou corriger l’édition avec DISM
0xC004C003 (Clé bloquée)	Quota MAK épuisé ou clé révoquée	Contacter le revendeur / portail VL pour réaffectation
Activation téléphonique échoue	Edition non supportée par la clé saisie	Vérifier l’édition cible et la correspondance clé‑édition

Où regarder côté journalisation

Journal des événements → Applications et services > Microsoft > Windows > SoftwareProtectionPlatform.
slmgr /dlv et slmgr /dli : statut détaillé, ID d’activation, hôte KMS détecté.
DNS : présence de _VLMCS._tcp (SRV), résolution du nom du KMS.

Bonnes pratiques de conformité et d’architecture

Couverture par hôte : chaque hôte ESXi qui peut exécuter des VM Windows doit être entièrement licencié (tous les cœurs) en Datacenter si vous exploitez les droits illimités.
Mobilité des VM : si vous déplacez des VM entre hôtes (vMotion, DRS), tous les hôtes du cluster cible doivent être couverts. Sans SA, les règles de réaffectation de licences physiques s’appliquent.
Segmentation : placez le KMS sur un segment réseau accessible par toutes les VM, avec supervision (disponibilité, sauvegarde de la VM KMS/AD).
Coffre‑fort de secrets : stockez MAK/CSVLK dans un gestionnaire de secrets (rotation, journalisation des accès).
Templates propres : créez des modèles vSphere sans clé et injectez la clé au déploiement (MAK) ou laissez KMS/ADBA activer automatiquement.
Inventaire : maintenez la traçabilité des VM, des clés MAK consommées, du compteur d’activations et du parc couvert par Datacenter ROK.

Procédure complète, de bout en bout

Valider la couverture Datacenter ROK sur chaque hôte ESXi (tous les cœurs, hôtes du cluster).
Choisir la méthode d’activation (MAK immédiat, KMS/ADBA pour centraliser).
MAK : commander la clé, l’injecter à l’installation (unattend) ou via slmgr, vérifier /dlv.
KMS : déployer le serveur, installer CSVLK, ouvrir 1688/TCP, valider le DNS SRV, atteindre le seuil, puis activer les VM avec GVLK Standard.
ADBA : publier la CSVLK dans AD, vérifier qu’une VM jointe s’active automatiquement.
Normaliser les images (éditions correctes, pas d’évaluation persistante, sysprep propre).
Documenter (captures d’écran d’activation, journaux, inventaire des clés).

Scripts utiles pour l’exploitation

Forcer la (ré)activation sur un ensemble de VM

$servers = Get-Content .\liste-serveurs.txt  # un FQDN/IP par ligne
foreach ($s in $servers) {
  Invoke-Command -ComputerName $s -ScriptBlock {
    cscript $env:windir\system32\slmgr.vbs /ato
    cscript $env:windir\system32\slmgr.vbs /dlv
  }
}

Basculer une VM vers KMS (depuis MAK)

# Remplacez par la GVLK Standard WS2022
$gvlk = 'CLÉ-GVLK-WS2022-STD-XXXXX'
$kms  = 'kms.votre-domaine.local:1688'

cscript $env:windir\system32\slmgr.vbs /ipk $gvlk
cscript $env:windir\system32\slmgr.vbs /skms $kms
cscript $env:windir\system32\slmgr.vbs /ato

Inventorier le statut d’activation

$servers = Get-Content .\liste-serveurs.txt
$result = foreach ($s in $servers) {
  Invoke-Command -ComputerName $s -ScriptBlock {
    $lic = (Get-CimInstance SoftwareLicensingProduct | Where-Object { $_.PartialProductKey -and $_.Name -like '*Windows*Server*' } | Select-Object Name, LicenseStatus)
    [PSCustomObject]@{
      Computer = $env:COMPUTERNAME
      Product  = $lic.Name
      Status   = switch ($lic.LicenseStatus) {
        0 {'Unlicensed'} 1 {'Licensed'} 2 {'OOBGrace'} 3 {'OOTGrace'}
        4 {'NonGenuineGrace'} 5 {'Notification'} 6 {'ExtendedGrace'}
        Default {'Unknown'}
      }
    }
  }
}
$result | Format-Table -AutoSize

FAQ (questions fréquentes)

Pouvons‑nous activer des VM Standard avec la clé Datacenter ROK fournie par le constructeur ?

Non. La clé OEM Datacenter est destinée à l’édition Datacenter sur le matériel concerné. Elle n’active pas les VM Standard, surtout sous ESXi. Utilisez MAK, KMS ou ADBA.

La GVLK utilisée lors de l’installation suffit‑elle ?

Non. Une GVLK n’est qu’une clé client KMS. Sans KMS/ADBA opérationnel, l’activation échouera (erreur type 0xC004F074). D’où l’alternative MAK.

Pourquoi AVMA ne marche‑t‑il pas avec ESXi ?

AVMA s’appuie sur les intégrations Hyper‑V (hôte Datacenter Hyper‑V → invités). Sous VMware, cette voie n’existe pas.

Combien de VM pouvons‑nous mettre sur chaque hôte Datacenter ?

Autant que les ressources le permettent. Les droits Datacenter donnent des VM illimitées du point de vue licence (après couverture de tous les cœurs), sans préjuger de la capacité matérielle.

Quel est le seuil KMS pour les serveurs ?

Le seuil est de 5 machines serveur. En‑dessous, les activations KMS ne s’aboutissent pas.

Nous n’avons aucun contrat VL. Que faire rapidement ?

Achetez des clés MAK Windows Server 2022 Standard via votre revendeur ou adhérez à un programme de licences en volume (Open Value/Enterprise) pour obtenir des clés volume.

Check‑list de mise en œuvre (copiable)

[ ] Tous les hôtes ESXi couverts en Datacenter (tous cœurs, inventoriés)
[ ] Choix validé : MAK ou KMS/ADBA
[ ] Clés obtenues : MAK Standard ou CSVLK + GVLK Standard
[ ] KMS : VM dédiée, port 1688 ouvert, SRV DNS publié, seuil ≥ 5
[ ] ADBA : CSVLK publiée dans AD, VM jointes au domaine
[ ] Templates vSphere à jour (édition correcte, pas d’évaluation)
[ ] Scripts d’activation testés (slmgr/PowerShell), journalisation OK
[ ] Inventaire clés/activations et preuves de conformité archivés

Résumé opérationnel

Clé de voûte : vos licences Datacenter ROK couvrent l’exécution illimitée des VM Windows Server sur vos hôtes, mais elles ne fournissent pas la mécanique d’activation des VM sous ESXi. Pour activer proprement vos VM Windows Server 2022 Standard :

Option immédiate → Obtenez une clé MAK Standard et activez chaque VM via slmgr /ipk puis /ato.
Option industrialisée → Déployez un KMS (ou ADBA) avec une clé CSVLK, utilisez la GVLK Standard côté VM, et laissez le renouvellement automatique faire le reste.
À éviter → Tenter d’utiliser la clé Datacenter OEM sur une VM Standard, ou compter sur AVMA sous ESXi.

En suivant les modèles et scripts ci‑dessus, vous obtenez une activation fiable, audit‑proof et pérenne, tout en tirant pleinement parti de vos licences Datacenter OEM.

Annexe : matrice de décision

Critère	MAK	KMS	ADBA
Déploiement initial	Très rapide (clé par VM)	Mise en place du serveur + DNS	Configuration AD + publication de la clé
Échelle (10 VM → 100 VM)	Gestion plus lourde	Très bon passage à l’échelle	Très bon passage à l’échelle
Dépendance à l’infra	Aucune	Serveur KMS + DNS	Active Directory
Renouvellement automatique	Non (clé statique)	Oui (tous les 7 jours)	Oui (à l’authentification AD)
Conformité / traçabilité	Compteur d’activations	Journal KMS central	Journal AD

Mise en garde et conseils pratiques

Évitez les mélanges hasardeux : une VM configurée hier en MAK et aujourd’hui dirigée vers un KMS peut conserver des traces d’anciennes activations. Normalisez votre stratégie et documentez les bascules.
Sécurisez les GVLK : bien que publiques, ne les placez pas en clair dans des dépôts externes. Utilisez des variables d’environnement/secrets.
Supervisez : créez des alertes sur la disponibilité du KMS/ADBA, le port 1688, la présence du SRV DNS et les quotas MAK.
Images « évaluation » : ne clonez pas des templates restés en édition Evaluation. Convertissez‑les proprement avant d’en faire des modèles.

Exemples concrets de scripts de déploiement

Post‑provisionnement d’une VM (cloud‑init/guest customization)

# Exemple rudimentaire : activer et journaliser
$log = 'C:\Windows\Temp\activation.log'
$mak = 'VOTRE-MAK-WS2022-STD-XXXXX'
Start-Transcript -Path $log -Append

cscript $env:windir\system32\slmgr.vbs /ipk $mak
cscript $env:windir\system32\slmgr.vbs /ato
cscript $env:windir\system32\slmgr.vbs /dlv

Stop-Transcript

Validation périodique par tâche planifiée

$action = New-ScheduledTaskAction -Execute 'powershell.exe' -Argument '-NoProfile -WindowStyle Hidden -Command "cscript $env:windir\system32\slmgr.vbs /ato"'
$trigger = New-ScheduledTaskTrigger -Daily -At 3am
Register-ScheduledTask -TaskName 'WS-Activation-Renew' -Action $action -Trigger $trigger -RunLevel Highest

Conclusion

La combinaison « ESXi + hôtes Datacenter ROK » est excellente pour la densité de VM, mais elle sépare clairement le droit d’exécuter des VM Windows du mécanisme d’activation des invités. Sans KMS/ADBA/MAK, vos Windows Server 2022 Standard resteront non activés. En pratique : soit vous achetez des clés MAK et vous activez chaque VM, soit vous mettez en place un KMS (ou ADBA) et vous automatisez l’activation à grande échelle. Ce guide vous donne la marche à suivre, les scripts et les contrôles pour y parvenir rapidement et proprement.