Przejdź do treści
Powrót do Centrum Pomocy
Microsoft Licencja
Licencje Microsoft

Klucz KMS — co to jest, jak działa aktywacja wolumenowa Microsoft i kiedy się ją stosuje

Key Management Service (KMS) to rola serwerowa wprowadzona przez Microsoft wraz z Windows Vista i Office 2010 jako następca nieweryfikowanych kluczy VLK (Volume

12 min czytania·Zaktualizowano 1 miesiąc temu

Klucz KMS (Key Management Service) to technologia aktywacji wolumenowej Microsoft przeznaczona dla organizacji zarządzających co najmniej 25 komputerami z Windows lub 5 stanowiskami z Office. Zamiast aktywować każdy komputer indywidualnie przez Internet, administrator uruchamia lokalny serwer KMS, który raz na 180 dni automatycznie odnawia aktywację wszystkim klientom w sieci — bez kontaktu każdego stanowiska z serwerami Microsoftu.

W skrócie

  • KMS to lokalny serwer aktywacyjny — komputery w sieci firmowej aktywują się przez niego, nie przez Internet
  • Próg aktywacji: 25 klientów dla Windows, 5 klientów dla Office — poniżej progu serwer KMS nie wydaje aktywacji
  • Każdy klient musi odnawiać aktywację co 180 dni (domyślnie); jeśli nie uda się połączyć, licencja wygasa po łącznie 210 dniach
  • Klucze KMS występują w dwóch rolach: klucz hosta KMS (instaluje się na serwerze) i klucz kliencki GVLK (Generic Volume License Key, preinstalowany lub wpisywany ręcznie na stacjach)
  • Alternatywy: MAK (Multiple Activation Key — aktywacja przez Internet, licznik zużyć) oraz ADBA (Active Directory-Based Activation — aktywacja przez domenę Active Directory)
  • KMS NIE jest przeznaczony dla użytkowników domowych — to wyłącznie mechanizm licencjonowania wolumenowego w ramach umów Volume Licensing

Pełna definicja: czym jest serwer KMS

Key Management Service (KMS) to rola serwerowa wprowadzona przez Microsoft wraz z Windows Vista i Office 2010 jako następca nieweryfikowanych kluczy VLK (Volume License Key) znanych z ery Windows XP. Celem było wyeliminowanie masowego piractwa przez pojedynczy, współdzielony klucz — i zastąpienie go mechanizmem, który wymusza obecność fizycznego serwera aktywacyjnego w sieci lokalnej.

Architektura KMS opiera się na trzech elementach:

  1. Serwer KMS (KMS Host) — maszyna (fizyczna lub wirtualna) z systemem Windows Server lub Windows 10/11 Pro/Enterprise, na której administrator instaluje klucz hosta KMS (KMS Host Key) uzyskany z portalu Microsoft 365 Admin Center (dawniej VLSC). Serwer jednorazowo aktywuje się w Microsoftzie, a następnie działa autonomicznie.
  2. Klient KMS — komputer z wolumenową edycją Windows (Pro, Enterprise, Education) lub Office (Professional Plus, Standard LTSC), który ma wgrany klucz GVLK. Klient co 7 dni próbuje odnowić aktywację, kontaktując się z serwerem KMS.
  3. DNS — klient lokalizuje serwer KMS automatycznie przez rekordy SRV w DNS (_vlmcs._tcp), publikowane przez serwer KMS. Alternatywnie można skonfigurować serwer ręcznie przez rejestr lub slmgr.vbs /skms.

Kluczową cechą KMS jest próg aktywacji (activation threshold): serwer zaczyna aktywować klientów dopiero, gdy zarejestruje minimalną liczbę unikalnych żądań — 25 dla Windows (wliczając klienty i serwery Windows) oraz 5 dla Office. Przed osiągnięciem progu klienci otrzymują błąd 0xC004F038 ("The KMS is unavailable, the count is too low").

Jak działa aktywacja KMS — cykl życia licencji

Przebieg aktywacji KMS krok po kroku:

  1. Instalacja klucza GVLK — na każdym kliencie musi być zainstalowany odpowiedni Generic Volume License Key. W wolumenowych wydaniach Windows 11 i Office LTSC 2024 klucz GVLK jest preinstalowany fabrycznie. Jeśli nie — administrator wpisuje go ręcznie przez slmgr.vbs /ipk <klucz>.
  2. Odnalezienie serwera KMS — klient wysyła zapytanie DNS o rekord SRV _vlmcs._tcp.<domena>. Serwer KMS automatycznie publikuje ten rekord co 24 godziny.
  3. Żądanie aktywacji — klient łączy się z serwerem KMS na porcie TCP 1688 i przesyła swój MachineID oraz identyfikator produktu.
  4. Weryfikacja progu — jeśli serwer KMS odebrał już minimum 25 (Windows) lub 5 (Office) unikalnych żądań, wydaje token aktywacji ważny 180 dni.
  5. Automatyczne odnawianie — klient co 7 dni próbuje połączyć się z serwerem KMS i odnowić licencję na kolejne 180 dni. Jeśli serwer jest dostępny, użytkownik nie zauważa żadnego procesu — aktywacja jest przezroczysta.
  6. Okres tolerancji (out-of-tolerance) — jeśli klient nie odnowi aktywacji przez 180 dni, wchodzi w 30-dniowy okres tolerancji, podczas którego wyświetlane są powiadomienia. Po łącznym okresie 210 dni bez aktywacji przechodzi w stan nielicencjonowany (ograniczona funkcjonalność, czerwony pasek tytułowy w Office, znak wodny w Windows).

Ważnym parametrem technicznym jest CMID (Client Machine ID) — unikalny identyfikator generowany przez klienta KMS. Serwer KMS zlicza unikalne CMID-y, by określić, czy próg został osiągnięty. Jeśli administrator przeinstaluje ten sam system na tym samym sprzęcie, CMID zmieni się (ze względu na nowy identyfikator instalacji), co zostanie policzone jako nowy klient.

Wersje kluczy KMS — tabela GVLK dla najpopularniejszych produktów (2026)

Poniżej znajdują się oficjalne klucze GVLK dla najczęściej używanych produktów w środowiskach KMS. Są to klucze publiczne, udokumentowane przez Microsoft — same w sobie nie dają licencji bez działającego serwera KMS z poprawnym kluczem hosta.

ProduktKlucz GVLK
Windows 11 / 10 ProW269N-WFGWX-YVC9B-4J6C9-T83GX
Windows 11 / 10 EnterpriseNPPR9-FWDCX-D2C8J-H872K-2YT43
Windows 11 Enterprise LTSC 2024M7XTQ-FN8P6-TTKYV-9D4CC-J462D
Windows Server 2025 StandardTVRH6-WHNXV-R9WG3-9XRFY-MY832
Windows Server 2025 DatacenterD764K-2NDRG-47T6Q-P8T8W-YP6DF
Windows Server 2022 StandardVDYBN-27WPP-V4HQT-9VMD4-VMK7H
Windows Server 2022 DatacenterWX4NM-KYWYW-QJJR4-XV3QB-6VM33
Office LTSC Professional Plus 2024XNJ4Y-Q42KR-3XG2B-8VJ9B-9HM6T (GVLK dla nowszej wersji — weryfikuj na docs.microsoft.com)
Office LTSC Professional Plus 2021HFPBN-RXG9X-Q7K6R-DX7K8-RMBQF

Uwaga: Powyższe klucze GVLK nie aktywują systemu samodzielnie — wymagają działającego serwera KMS z odpowiednim kluczem hosta, aktywowanego w ramach legalnej umowy Volume Licensing. Próba użycia klucza GVLK bez serwera KMS skutkuje stanem nielicencjonowanym.

KMS vs MAK vs ADBA — porównanie trzech metod aktywacji wolumenowej

Microsoft oferuje trzy ścieżki aktywacji w ramach Volume Licensing. Wybór zależy od wielkości organizacji, topologii sieci i strategii zarządzania.

CechaKMSMAKADBA
Jak działaLokalny serwer aktywuje klienty w sieciKlucz wielokrotnego użytku, aktywacja przez Internet lub telefonAktywacja przez domenę Active Directory, bez osobnego serwera
Minimalna liczba klientów25 (Windows), 5 (Office)1 — brak proguBrak formalnego progu, wymaga domeny AD
Połączenie z InternetemTylko serwer KMS (jednorazowo do aktywacji hosta); klienci — nieKażdy klient potrzebuje Internetu lub aktywacji telefonicznejTylko przy pierwszym dołączeniu do domeny
Okres ważności aktywacji180 dni + automatyczne odnawianie co 7 dniBezterminowo (chyba że wyczerpie się limit aktywacji)Automatycznie przy każdym logowaniu do domeny
Zdalni pracownicy / offline❌ Problematyczne — po 180 dniach bez połączenia z KMS aktywacja wygasa; wymaga VPN✅ Raz aktywowany — działa bezterminowo❌ Wymaga łączności z kontrolerem domeny
Komputery poza domeną / workgroup✅ Tak, jeśli ręcznie skonfiguruje się adres serwera KMS i DNS✅ Tak❌ Nie — wymaga domeny AD
Zarządzanie licencjami (śledzenie zużyć)Ograniczone — serwer KMS zlicza CMID-y, ale nie raportuje ich do MicrosoftuPrzez portal Microsoft 365 Admin Center — widoczny licznik aktywacjiPrzez domenę AD, ograniczona widoczność centralna
Najlepsze dlaDuże sieci (50+ stanowisk), gdzie stacje stale są w LANMałe firmy (<50 stanowisk), pracownicy zdalni, komputery rzadko w sieciOrganizacje z domeną AD, bez chęci utrzymywania osobnego serwera KMS

Kiedy wybrać KMS

  • Organizacja ma minimum 50 stanowisk Windows (próg 25 to absolutne minimum, ale dla stabilności lepiej mieć zapas)
  • Komputery są stale podłączone do sieci firmowej (LAN lub zawsze aktywny VPN)
  • Chcesz zautomatyzować aktywację bez ręcznego wprowadzania kluczy na każdym stanowisku
  • Nie chcesz, aby każde stanowisko łączyło się z Internetem do Microsoftu

Kiedy KMS NIE jest dobrym wyborem

  • Mała firma (5–20 komputerów) — nie osiągniesz progu 25 klientów dla Windows; lepszy będzie MAK
  • Pracownicy w pełni zdalni bez stałego VPN — po 180 dniach stracą aktywację
  • Komputery w workgroup bez domeny i bez kontrolowanego DNS — automatyczne odnajdywanie serwera KMS jest wtedy utrudnione

KMS a bezpieczeństwo — na co uważać

Mechanizm KMS niesie ze sobą konkretne implikacje bezpieczeństwa, które administrator powinien znać:

Publicznie dostępne serwery KMS

Serwer KMS nie może być wystawiony do Internetu. Jeśli nieuprawnione osoby spoza organizacji wyślą 25 żądań aktywacji na publicznie dostępny serwer, ten przekroczy próg aktywacji i zacznie wydawać tokeny każdemu, kto zna adres IP i klucz GVLK — w tym nielegalnym użytkownikom. Microsoft aktywnie monitoruje takie sytuacje i może unieważnić klucz hosta KMS, odcinając wszystkie legalnie aktywowane stacje w organizacji.

Zasady bezpiecznego wdrożenia KMS:

  • ✅ Serwer KMS za firewallem, port 1688/TCP otwarty tylko dla wewnętrznych podsieci
  • ✅ Dostęp dla pracowników zdalnych wyłącznie przez VPN (KMS przez VPN działa poprawnie)
  • ✅ Regularny audyt logów serwera KMS (slmgr.vbs /dlv pokazuje aktualną liczbę klientów)
  • Nigdy nie przekierowuj portu 1688 na zewnątrz przez NAT

Emulatory KMS i fałszywe aktywatory

W internecie krążą nieoficjalne emulatory serwera KMS (np. KMSpico, Microsoft Toolkit), które lokalnie emulują serwer KMS i aktywują Windows lub Office bez legalnej licencji. Są one:

  • Nielegalne — naruszają warunki licencji Microsoft
  • Niebezpieczne — często zawierają malware, backdoory, cryptominery
  • Łatwo wykrywalne przez Windows Defender i inne narzędzia bezpieczeństwa
  • Blokowane przez Microsoft — aktywacja emulatorem KMS jest odwracana przy najbliższej aktualizacji definicji Windows Defender

Używanie nieoficjalnych aktywatorów KMS w środowisku firmowym naraża organizację na ryzyko audytu licencji Microsoft (tzw. SAM — Software Asset Management) i potencjalne kary finansowe.

KMS w 2026 roku — czy Microsoft wycofuje tę technologię?

Na rok 2026 Microsoft nie ogłosił planów wycofania KMS. Technologia jest w pełni wspierana dla:

  • Windows 11 (wszystkie wydania Volume Licensing, w tym LTSC 2024)
  • Windows Server 2025 (Standard, Datacenter, Azure Edition)
  • Office LTSC 2024 (Professional Plus, Standard)
  • Starszych wersji: Windows 10, Windows Server 2022/2019/2016, Office LTSC 2021

Trend jest jednak wyraźny: Microsoft stopniowo przesuwa akcent z licencjonowania wieczystego (perpetual) na subskrypcyjne Microsoft 365. Nowe funkcje zarządzania aktywacją — jak subscription-based activation dla Microsoft 365 Apps — nie korzystają z KMS, tylko z kont Microsoft 365 w chmurze. KMS pozostaje więc mechanizmem dla tradycyjnych wdrożeń on-premise z licencjami wieczystymi.

Dla porównania: Office 2016 i Office 2019 osiągnęły koniec wsparcia 14 października 2025 — nie otrzymują już poprawek bezpieczeństwa. Firmy korzystające z tych wersji w połączeniu z KMS powinny rozważyć migrację do Office LTSC 2024 lub Microsoft 365 Apps.

Częste pytania

Czy klucz KMS działa na pojedynczym komputerze domowym?

Nie. KMS wymaga serwera aktywacyjnego w sieci lokalnej oraz minimalnego progu 25 klientów Windows. Na pojedynczym komputerze domowym klucz GVLK (np. ten publicznie dostępny) nie aktywuje systemu — Windows pozostanie w stanie nielicencjonowanym. Użytkownicy domowi powinni korzystać z licencji Retail lub OEM, dostępnych m.in. w sklepie KluczeSoft.pl.

Co się stanie, gdy serwer KMS przestanie działać?

Istniejące aktywacje klientów pozostają ważne przez 180 dni od ostatniego udanego odnowienia. Jeśli serwer KMS nie zostanie przywrócony w ciągu 210 dni (180 + 30 dni tolerancji), klienci przechodzą w stan nielicencjonowany. W Windows pojawia się znak wodny i ograniczenie personalizacji; w Office — czerwony pasek i komunikaty o aktywacji. Dlatego w środowiskach produkcyjnych zaleca się uruchamianie dwóch serwerów KMS (nadmiarowość) lub skorzystanie z ADBA jako rozwiązania zapasowego.

Jak sprawdzić, ile klientów jest aktualnie aktywowanych przez KMS?

Na serwerze KMS użyj polecenia slmgr.vbs /dlv w wierszu poleceń z uprawnieniami administratora. W wynikach znajdziesz pole "Current count" — liczba unikalnych CMID-ów, które skontaktowały się z serwerem. Jeśli wartość jest poniżej 25, serwer nie wydaje aktywacji (chyba że dla Office — tam próg to 5). Komenda pokazuje też datę ostatniego żądania i całkowity okres aktywności serwera.

Czy można używać tego samego serwera KMS do Windows i Office?

Tak. Jeden serwer KMS może jednocześnie obsługiwać aktywację Windows (klient i serwer) oraz Office. Wymaga to jednak zainstalowania osobnych kluczy hosta KMS — jednego dla Windows i jednego dla Office — na tym samym serwerze. Klucz hosta KMS dla Office instaluje się przez narzędzie ospp.vbs (z pakietu Office), nie przez slmgr.vbs.

Czym różni się KMS od aktywacji przez Active Directory (ADBA)?

ADBA (Active Directory-Based Activation) to nowszy mechanizm, dostępny od Windows 8 / Server 2012. Zamiast osobnego serwera KMS, token aktywacyjny jest przechowywany w domenie Active Directory i automatycznie aktywuje każdy komputer przy dołączaniu do domeny. ADBA nie ma progu 25 klientów, nie wymaga utrzymywania serwera KMS, ale działa wyłącznie w domenie AD. KMS działa również dla komputerów w workgroup.

Czy klucze GVLK są tajne?

Nie. Microsoft jawnie publikuje wszystkie klucze GVLK w swojej dokumentacji technicznej (Microsoft Learn), ponieważ sam klucz GVLK nie daje licencji — jest jedynie identyfikatorem, który mówi klientowi: "szukaj serwera KMS". Licencję zapewnia dopiero serwer KMS aktywowany legalnym kluczem hosta, którego Microsoft nie publikuje — jest on wydawany wyłącznie w ramach umów Volume Licensing.

Czy mogę legalnie kupić klucz KMS jako zwykły użytkownik?

Nie. Klucze hosta KMS są wydawane wyłącznie organizacjom posiadającym umowy Volume Licensing z Microsoftem (Open Value, Open License, Enterprise Agreement, MPSA). Nie ma możliwości legalnego zakupu pojedynczego klucza KMS do użytku domowego. Jeśli potrzebujesz legalnej licencji Windows lub Office w uczciwej cenie, sprawdź ofertę licencji Retail i OEM w KluczeSoft.pl — są w pełni legalne w UE i nie wymagają serwera aktywacyjnego.


Niniejszy artykuł ma charakter edukacyjny. KluczeSoft.pl jest niezależnym sprzedawcą oprogramowania i nie jest powiązany z Microsoft Corporation. Microsoft, Windows, Office i KMS są znakami towarowymi Microsoft Corporation.

Sprawdź też

<!-- IL-V1 -->

Powiązane artykuły

Najczęściej zadawane pytania

Nie. KMS wymaga serwera aktywacyjnego w sieci lokalnej oraz minimalnego progu 25 klientów Windows. Na pojedynczym komputerze domowym klucz GVLK (np. ten publicznie dostępny) nie aktywuje systemu — Windows pozostanie w stanie nielicencjonowanym. Użytkownicy domowi powinni korzystać z licencji Retail lub OEM, dostępnych m.in. w sklepie [KluczeSoft.pl](https://kluczesoft.pl/klucze-windows).
Istniejące aktywacje klientów pozostają ważne przez 180 dni od ostatniego udanego odnowienia. Jeśli serwer KMS nie zostanie przywrócony w ciągu 210 dni (180 + 30 dni tolerancji), klienci przechodzą w stan nielicencjonowany. W Windows pojawia się znak wodny i ograniczenie personalizacji; w Office — czerwony pasek i komunikaty o aktywacji. Dlatego w środowiskach produkcyjnych zaleca się uruchamianie **dwóch serwerów KMS** (nadmiarowość) lub skorzystanie z ADBA jako rozwiązania zapasowego.
Na serwerze KMS użyj polecenia `slmgr.vbs /dlv` w wierszu poleceń z uprawnieniami administratora. W wynikach znajdziesz pole **"Current count"** — liczba unikalnych CMID-ów, które skontaktowały się z serwerem. Jeśli wartość jest poniżej 25, serwer nie wydaje aktywacji (chyba że dla Office — tam próg to 5). Komenda pokazuje też datę ostatniego żądania i całkowity okres aktywności serwera.
Tak. Jeden serwer KMS może jednocześnie obsługiwać aktywację Windows (klient i serwer) oraz Office. Wymaga to jednak zainstalowania **osobnych kluczy hosta KMS** — jednego dla Windows i jednego dla Office — na tym samym serwerze. Klucz hosta KMS dla Office instaluje się przez narzędzie `ospp.vbs` (z pakietu Office), nie przez `slmgr.vbs`.
ADBA (Active Directory-Based Activation) to nowszy mechanizm, dostępny od Windows 8 / Server 2012. Zamiast osobnego serwera KMS, token aktywacyjny jest przechowywany w domenie Active Directory i automatycznie aktywuje każdy komputer przy dołączaniu do domeny. ADBA nie ma progu 25 klientów, nie wymaga utrzymywania serwera KMS, ale działa wyłącznie w domenie AD. KMS działa również dla komputerów w workgroup.
Nie. Microsoft **jawnie publikuje** wszystkie klucze GVLK w swojej dokumentacji technicznej (Microsoft Learn), ponieważ sam klucz GVLK nie daje licencji — jest jedynie identyfikatorem, który mówi klientowi: "szukaj serwera KMS". Licencję zapewnia dopiero serwer KMS aktywowany legalnym kluczem hosta, którego Microsoft nie publikuje — jest on wydawany wyłącznie w ramach umów Volume Licensing.
Nie. Klucze hosta KMS są wydawane wyłącznie organizacjom posiadającym umowy Volume Licensing z Microsoftem (Open Value, Open License, Enterprise Agreement, MPSA). Nie ma możliwości legalnego zakupu pojedynczego klucza KMS do użytku domowego. Jeśli potrzebujesz legalnej licencji Windows lub Office w uczciwej cenie, sprawdź ofertę licencji Retail i OEM w [KluczeSoft.pl](https://kluczesoft.pl/klucze-windows) — są w pełni legalne w UE i nie wymagają serwera aktywacyjnego. --- *Niniejszy artykuł ma charakter edukacyjny. KluczeSoft.pl jest niezależnym sprzedawcą oprogramowania i nie jest powiązany z Microsoft Corporation. Microsoft, Windows, Office i KMS są znakami towarowymi Microsoft Corporation

Czy ten artykuł był pomocny?