Alibaba Cloud ECS で利用できるWindows Server のライセンス認証について調べてみました。
目次
1. Windows Server 2019
KMSクライアントとして構成されており、また、KMSホストは”jp.kms.cloud.aliyuncs.com:1688″に設定されています。
KMSサーバのIPアドレスは 100.100.3.8 ということでAlibaba Cloud が管理しているグローバルIPアドレスです。
2. WIndows Server 2016
Windows Server 2016 も 2019同様に “jp.kms.cloud.aliyuncs.com:1688” をKMSホストとして参照していることが確認出来ました。
3. Windows Server 2012 R2
Windows Server 2012 R2 も2019および2016と同じ構成でした。 “jp.kms.cloud.aliyuncs.com:1688” をKMSホストとして参照していることが確認出来ました。
4. Windows Server 2008 R2
Windows Server 2008 R2 も2019/2016/2012 R2と同じ構成であることが確認出来ました。
5. パブリックIPを持たないECS インスタンス
Windows Server はバージョン(2019/2016/2012 R2/2008 R2)問わず、すべてKMSクライアントとして構成されており、KMSホストは共通で “jp.kms.cloud.aliyuncs.com:1688” を参照していました。
この “jp.kms.cloud.aliyuncs.com:1688” ですが、IPアドレスとしては”100.100.3.8”になります。 パブリックIPを持たないECS インスタンスはこのIPアドレスと通信出来るのか、そしてKMS認証は問題なく行われるかを確認します。
テスト用にパブリックIPを持たないWindows Server 2019 を作成します。
以下はslmgr.vbs コマンドの実行結果ですが、パブリックIPを持つインスタンスと同様に “jp.kms.cloud.aliyuncs.com:1688 ”をKMSホストとして参照しています。
nslookupコマンドとPingから “jp.kms.cloud.aliyuncs.com:1688 ” に正常に通信が出来ていることが確認出来ます。
結論、パブリックIPを持たないECSインスタンスでもこのAlibaba Cloud が管理する100.100.3.8 には通信が可能で、KMSの認証も正常に行えていることが確認出来ました。
なお、この “jp.kms.cloud.aliyuncs.com”ですが、Alibaba Cloud の外(Internet)からは名前解決も出来ず、また、IPアドレス直接のPingも応答しないことも確認しています。 まあ、到達出来てしまうとAlibaba Cloud の外で作ったWindows Server のKMS認証が可能になってしまうため出来ないことは当然の結果ではあります。
6. まとめ
Alibaba Cloud ECS のWindows Server のライセンス認証について以下のことがわかりました。
- ECS で選択できるすべてのWindows Server (2019/2016/2012 R2/2008 R2)はすべてKMSクライアントとして構成されている
- KMSホストは ”jp.kms.cloud.aliyuncs.com”となりIPはAlibaba Cloud が管理するパブリックIP
- パブリックIPを持たないECS インスタンスについても正常にKMS認証が行える
ここでよからぬことを考えてしまいます。 例えばオンプレミスにWindows Server をインストールし、VPN Gateway などでAlibaba Cloud に接続します。 VPN Gateway で接続したネットワークはVPCの中の扱いになります。このとき、オンプレミスのWindows Server でKMSホストに ”jp.kms.cloud.aliyuncs.com” を指定した場合、ライセンス認証が出来てしまうのではないかと。 KMSホストの仕様上、接続元を限定することは出来ないはずで机上ではライセンス認証を行えてしまうのかなと。 試してみたいですが明らかなライセンス違反となるためテストは控えておきます。
