Klucz KMS (Key Management Service) to technologia aktywacji wolumenowej Microsoft przeznaczona dla organizacji zarządzających co najmniej 25 komputerami z Windows lub 5 stanowiskami z Office. Zamiast aktywować każdy komputer indywidualnie przez Internet, administrator uruchamia lokalny serwer KMS, który raz na 180 dni automatycznie odnawia aktywację wszystkim klientom w sieci — bez kontaktu każdego stanowiska z serwerami Microsoftu.
W skrócie
- KMS to lokalny serwer aktywacyjny — komputery w sieci firmowej aktywują się przez niego, nie przez Internet
- Próg aktywacji: 25 klientów dla Windows, 5 klientów dla Office — poniżej progu serwer KMS nie wydaje aktywacji
- Każdy klient musi odnawiać aktywację co 180 dni (domyślnie); jeśli nie uda się połączyć, licencja wygasa po łącznie 210 dniach
- Klucze KMS występują w dwóch rolach: klucz hosta KMS (instaluje się na serwerze) i klucz kliencki GVLK (Generic Volume License Key, preinstalowany lub wpisywany ręcznie na stacjach)
- Alternatywy: MAK (Multiple Activation Key — aktywacja przez Internet, licznik zużyć) oraz ADBA (Active Directory-Based Activation — aktywacja przez domenę Active Directory)
- KMS NIE jest przeznaczony dla użytkowników domowych — to wyłącznie mechanizm licencjonowania wolumenowego w ramach umów Volume Licensing
Pełna definicja: czym jest serwer KMS
Key Management Service (KMS) to rola serwerowa wprowadzona przez Microsoft wraz z Windows Vista i Office 2010 jako następca nieweryfikowanych kluczy VLK (Volume License Key) znanych z ery Windows XP. Celem było wyeliminowanie masowego piractwa przez pojedynczy, współdzielony klucz — i zastąpienie go mechanizmem, który wymusza obecność fizycznego serwera aktywacyjnego w sieci lokalnej.
Architektura KMS opiera się na trzech elementach:
- Serwer KMS (KMS Host) — maszyna (fizyczna lub wirtualna) z systemem Windows Server lub Windows 10/11 Pro/Enterprise, na której administrator instaluje klucz hosta KMS (KMS Host Key) uzyskany z portalu Microsoft 365 Admin Center (dawniej VLSC). Serwer jednorazowo aktywuje się w Microsoftzie, a następnie działa autonomicznie.
- Klient KMS — komputer z wolumenową edycją Windows (Pro, Enterprise, Education) lub Office (Professional Plus, Standard LTSC), który ma wgrany klucz GVLK. Klient co 7 dni próbuje odnowić aktywację, kontaktując się z serwerem KMS.
- DNS — klient lokalizuje serwer KMS automatycznie przez rekordy SRV w DNS (_vlmcs._tcp), publikowane przez serwer KMS. Alternatywnie można skonfigurować serwer ręcznie przez rejestr lub
slmgr.vbs /skms.
Kluczową cechą KMS jest próg aktywacji (activation threshold): serwer zaczyna aktywować klientów dopiero, gdy zarejestruje minimalną liczbę unikalnych żądań — 25 dla Windows (wliczając klienty i serwery Windows) oraz 5 dla Office. Przed osiągnięciem progu klienci otrzymują błąd 0xC004F038 ("The KMS is unavailable, the count is too low").
Jak działa aktywacja KMS — cykl życia licencji
Przebieg aktywacji KMS krok po kroku:
- Instalacja klucza GVLK — na każdym kliencie musi być zainstalowany odpowiedni Generic Volume License Key. W wolumenowych wydaniach Windows 11 i Office LTSC 2024 klucz GVLK jest preinstalowany fabrycznie. Jeśli nie — administrator wpisuje go ręcznie przez
slmgr.vbs /ipk <klucz>. - Odnalezienie serwera KMS — klient wysyła zapytanie DNS o rekord SRV
_vlmcs._tcp.<domena>. Serwer KMS automatycznie publikuje ten rekord co 24 godziny. - Żądanie aktywacji — klient łączy się z serwerem KMS na porcie TCP 1688 i przesyła swój MachineID oraz identyfikator produktu.
- Weryfikacja progu — jeśli serwer KMS odebrał już minimum 25 (Windows) lub 5 (Office) unikalnych żądań, wydaje token aktywacji ważny 180 dni.
- Automatyczne odnawianie — klient co 7 dni próbuje połączyć się z serwerem KMS i odnowić licencję na kolejne 180 dni. Jeśli serwer jest dostępny, użytkownik nie zauważa żadnego procesu — aktywacja jest przezroczysta.
- Okres tolerancji (out-of-tolerance) — jeśli klient nie odnowi aktywacji przez 180 dni, wchodzi w 30-dniowy okres tolerancji, podczas którego wyświetlane są powiadomienia. Po łącznym okresie 210 dni bez aktywacji przechodzi w stan nielicencjonowany (ograniczona funkcjonalność, czerwony pasek tytułowy w Office, znak wodny w Windows).
Ważnym parametrem technicznym jest CMID (Client Machine ID) — unikalny identyfikator generowany przez klienta KMS. Serwer KMS zlicza unikalne CMID-y, by określić, czy próg został osiągnięty. Jeśli administrator przeinstaluje ten sam system na tym samym sprzęcie, CMID zmieni się (ze względu na nowy identyfikator instalacji), co zostanie policzone jako nowy klient.
Wersje kluczy KMS — tabela GVLK dla najpopularniejszych produktów (2026)
Poniżej znajdują się oficjalne klucze GVLK dla najczęściej używanych produktów w środowiskach KMS. Są to klucze publiczne, udokumentowane przez Microsoft — same w sobie nie dają licencji bez działającego serwera KMS z poprawnym kluczem hosta.
| Produkt | Klucz GVLK |
|---|---|
| Windows 11 / 10 Pro | W269N-WFGWX-YVC9B-4J6C9-T83GX |
| Windows 11 / 10 Enterprise | NPPR9-FWDCX-D2C8J-H872K-2YT43 |
| Windows 11 Enterprise LTSC 2024 | M7XTQ-FN8P6-TTKYV-9D4CC-J462D |
| Windows Server 2025 Standard | TVRH6-WHNXV-R9WG3-9XRFY-MY832 |
| Windows Server 2025 Datacenter | D764K-2NDRG-47T6Q-P8T8W-YP6DF |
| Windows Server 2022 Standard | VDYBN-27WPP-V4HQT-9VMD4-VMK7H |
| Windows Server 2022 Datacenter | WX4NM-KYWYW-QJJR4-XV3QB-6VM33 |
| Office LTSC Professional Plus 2024 | XNJ4Y-Q42KR-3XG2B-8VJ9B-9HM6T (GVLK dla nowszej wersji — weryfikuj na docs.microsoft.com) |
| Office LTSC Professional Plus 2021 | HFPBN-RXG9X-Q7K6R-DX7K8-RMBQF |
Uwaga: Powyższe klucze GVLK nie aktywują systemu samodzielnie — wymagają działającego serwera KMS z odpowiednim kluczem hosta, aktywowanego w ramach legalnej umowy Volume Licensing. Próba użycia klucza GVLK bez serwera KMS skutkuje stanem nielicencjonowanym.
KMS vs MAK vs ADBA — porównanie trzech metod aktywacji wolumenowej
Microsoft oferuje trzy ścieżki aktywacji w ramach Volume Licensing. Wybór zależy od wielkości organizacji, topologii sieci i strategii zarządzania.
| Cecha | KMS | MAK | ADBA |
|---|---|---|---|
| Jak działa | Lokalny serwer aktywuje klienty w sieci | Klucz wielokrotnego użytku, aktywacja przez Internet lub telefon | Aktywacja przez domenę Active Directory, bez osobnego serwera |
| Minimalna liczba klientów | 25 (Windows), 5 (Office) | 1 — brak progu | Brak formalnego progu, wymaga domeny AD |
| Połączenie z Internetem | Tylko serwer KMS (jednorazowo do aktywacji hosta); klienci — nie | Każdy klient potrzebuje Internetu lub aktywacji telefonicznej | Tylko przy pierwszym dołączeniu do domeny |
| Okres ważności aktywacji | 180 dni + automatyczne odnawianie co 7 dni | Bezterminowo (chyba że wyczerpie się limit aktywacji) | Automatycznie przy każdym logowaniu do domeny |
| Zdalni pracownicy / offline | ❌ Problematyczne — po 180 dniach bez połączenia z KMS aktywacja wygasa; wymaga VPN | ✅ Raz aktywowany — działa bezterminowo | ❌ Wymaga łączności z kontrolerem domeny |
| Komputery poza domeną / workgroup | ✅ Tak, jeśli ręcznie skonfiguruje się adres serwera KMS i DNS | ✅ Tak | ❌ Nie — wymaga domeny AD |
| Zarządzanie licencjami (śledzenie zużyć) | Ograniczone — serwer KMS zlicza CMID-y, ale nie raportuje ich do Microsoftu | Przez portal Microsoft 365 Admin Center — widoczny licznik aktywacji | Przez domenę AD, ograniczona widoczność centralna |
| Najlepsze dla | Duże sieci (50+ stanowisk), gdzie stacje stale są w LAN | Małe firmy (<50 stanowisk), pracownicy zdalni, komputery rzadko w sieci | Organizacje z domeną AD, bez chęci utrzymywania osobnego serwera KMS |
Kiedy wybrać KMS
- Organizacja ma minimum 50 stanowisk Windows (próg 25 to absolutne minimum, ale dla stabilności lepiej mieć zapas)
- Komputery są stale podłączone do sieci firmowej (LAN lub zawsze aktywny VPN)
- Chcesz zautomatyzować aktywację bez ręcznego wprowadzania kluczy na każdym stanowisku
- Nie chcesz, aby każde stanowisko łączyło się z Internetem do Microsoftu
Kiedy KMS NIE jest dobrym wyborem
- Mała firma (5–20 komputerów) — nie osiągniesz progu 25 klientów dla Windows; lepszy będzie MAK
- Pracownicy w pełni zdalni bez stałego VPN — po 180 dniach stracą aktywację
- Komputery w workgroup bez domeny i bez kontrolowanego DNS — automatyczne odnajdywanie serwera KMS jest wtedy utrudnione
KMS a bezpieczeństwo — na co uważać
Mechanizm KMS niesie ze sobą konkretne implikacje bezpieczeństwa, które administrator powinien znać:
Publicznie dostępne serwery KMS
Serwer KMS nie może być wystawiony do Internetu. Jeśli nieuprawnione osoby spoza organizacji wyślą 25 żądań aktywacji na publicznie dostępny serwer, ten przekroczy próg aktywacji i zacznie wydawać tokeny każdemu, kto zna adres IP i klucz GVLK — w tym nielegalnym użytkownikom. Microsoft aktywnie monitoruje takie sytuacje i może unieważnić klucz hosta KMS, odcinając wszystkie legalnie aktywowane stacje w organizacji.
Zasady bezpiecznego wdrożenia KMS:
- ✅ Serwer KMS za firewallem, port 1688/TCP otwarty tylko dla wewnętrznych podsieci
- ✅ Dostęp dla pracowników zdalnych wyłącznie przez VPN (KMS przez VPN działa poprawnie)
- ✅ Regularny audyt logów serwera KMS (
slmgr.vbs /dlvpokazuje aktualną liczbę klientów) - ❌ Nigdy nie przekierowuj portu 1688 na zewnątrz przez NAT
Emulatory KMS i fałszywe aktywatory
W internecie krążą nieoficjalne emulatory serwera KMS (np. KMSpico, Microsoft Toolkit), które lokalnie emulują serwer KMS i aktywują Windows lub Office bez legalnej licencji. Są one:
- Nielegalne — naruszają warunki licencji Microsoft
- Niebezpieczne — często zawierają malware, backdoory, cryptominery
- Łatwo wykrywalne przez Windows Defender i inne narzędzia bezpieczeństwa
- Blokowane przez Microsoft — aktywacja emulatorem KMS jest odwracana przy najbliższej aktualizacji definicji Windows Defender
Używanie nieoficjalnych aktywatorów KMS w środowisku firmowym naraża organizację na ryzyko audytu licencji Microsoft (tzw. SAM — Software Asset Management) i potencjalne kary finansowe.
KMS w 2026 roku — czy Microsoft wycofuje tę technologię?
Na rok 2026 Microsoft nie ogłosił planów wycofania KMS. Technologia jest w pełni wspierana dla:
- Windows 11 (wszystkie wydania Volume Licensing, w tym LTSC 2024)
- Windows Server 2025 (Standard, Datacenter, Azure Edition)
- Office LTSC 2024 (Professional Plus, Standard)
- Starszych wersji: Windows 10, Windows Server 2022/2019/2016, Office LTSC 2021
Trend jest jednak wyraźny: Microsoft stopniowo przesuwa akcent z licencjonowania wieczystego (perpetual) na subskrypcyjne Microsoft 365. Nowe funkcje zarządzania aktywacją — jak subscription-based activation dla Microsoft 365 Apps — nie korzystają z KMS, tylko z kont Microsoft 365 w chmurze. KMS pozostaje więc mechanizmem dla tradycyjnych wdrożeń on-premise z licencjami wieczystymi.
Dla porównania: Office 2016 i Office 2019 osiągnęły koniec wsparcia 14 października 2025 — nie otrzymują już poprawek bezpieczeństwa. Firmy korzystające z tych wersji w połączeniu z KMS powinny rozważyć migrację do Office LTSC 2024 lub Microsoft 365 Apps.
Częste pytania
Czy klucz KMS działa na pojedynczym komputerze domowym?
Nie. KMS wymaga serwera aktywacyjnego w sieci lokalnej oraz minimalnego progu 25 klientów Windows. Na pojedynczym komputerze domowym klucz GVLK (np. ten publicznie dostępny) nie aktywuje systemu — Windows pozostanie w stanie nielicencjonowanym. Użytkownicy domowi powinni korzystać z licencji Retail lub OEM, dostępnych m.in. w sklepie KluczeSoft.pl.
Co się stanie, gdy serwer KMS przestanie działać?
Istniejące aktywacje klientów pozostają ważne przez 180 dni od ostatniego udanego odnowienia. Jeśli serwer KMS nie zostanie przywrócony w ciągu 210 dni (180 + 30 dni tolerancji), klienci przechodzą w stan nielicencjonowany. W Windows pojawia się znak wodny i ograniczenie personalizacji; w Office — czerwony pasek i komunikaty o aktywacji. Dlatego w środowiskach produkcyjnych zaleca się uruchamianie dwóch serwerów KMS (nadmiarowość) lub skorzystanie z ADBA jako rozwiązania zapasowego.
Jak sprawdzić, ile klientów jest aktualnie aktywowanych przez KMS?
Na serwerze KMS użyj polecenia slmgr.vbs /dlv w wierszu poleceń z uprawnieniami administratora. W wynikach znajdziesz pole "Current count" — liczba unikalnych CMID-ów, które skontaktowały się z serwerem. Jeśli wartość jest poniżej 25, serwer nie wydaje aktywacji (chyba że dla Office — tam próg to 5). Komenda pokazuje też datę ostatniego żądania i całkowity okres aktywności serwera.
Czy można używać tego samego serwera KMS do Windows i Office?
Tak. Jeden serwer KMS może jednocześnie obsługiwać aktywację Windows (klient i serwer) oraz Office. Wymaga to jednak zainstalowania osobnych kluczy hosta KMS — jednego dla Windows i jednego dla Office — na tym samym serwerze. Klucz hosta KMS dla Office instaluje się przez narzędzie ospp.vbs (z pakietu Office), nie przez slmgr.vbs.
Czym różni się KMS od aktywacji przez Active Directory (ADBA)?
ADBA (Active Directory-Based Activation) to nowszy mechanizm, dostępny od Windows 8 / Server 2012. Zamiast osobnego serwera KMS, token aktywacyjny jest przechowywany w domenie Active Directory i automatycznie aktywuje każdy komputer przy dołączaniu do domeny. ADBA nie ma progu 25 klientów, nie wymaga utrzymywania serwera KMS, ale działa wyłącznie w domenie AD. KMS działa również dla komputerów w workgroup.
Czy klucze GVLK są tajne?
Nie. Microsoft jawnie publikuje wszystkie klucze GVLK w swojej dokumentacji technicznej (Microsoft Learn), ponieważ sam klucz GVLK nie daje licencji — jest jedynie identyfikatorem, który mówi klientowi: "szukaj serwera KMS". Licencję zapewnia dopiero serwer KMS aktywowany legalnym kluczem hosta, którego Microsoft nie publikuje — jest on wydawany wyłącznie w ramach umów Volume Licensing.
Czy mogę legalnie kupić klucz KMS jako zwykły użytkownik?
Nie. Klucze hosta KMS są wydawane wyłącznie organizacjom posiadającym umowy Volume Licensing z Microsoftem (Open Value, Open License, Enterprise Agreement, MPSA). Nie ma możliwości legalnego zakupu pojedynczego klucza KMS do użytku domowego. Jeśli potrzebujesz legalnej licencji Windows lub Office w uczciwej cenie, sprawdź ofertę licencji Retail i OEM w KluczeSoft.pl — są w pełni legalne w UE i nie wymagają serwera aktywacyjnego.
Niniejszy artykuł ma charakter edukacyjny. KluczeSoft.pl jest niezależnym sprzedawcą oprogramowania i nie jest powiązany z Microsoft Corporation. Microsoft, Windows, Office i KMS są znakami towarowymi Microsoft Corporation.
Sprawdź też
- Licencja VL (Volume License) — co to jest, jak działa KMS i MAK, i kiedy wybrać licencję wolumenową Microsoft
- Klucz MAK (Multiple Activation Key) — co to jest, jak działa i czym różni się od KMS
- Klucz OEM — co to jest, jak działa i kiedy warto go wybrać
- Klucz aktywacyjny — co to jest, jak działa i dlaczego bez niego nie uruchomisz legalnego oprogramowania
Powiązane artykuły
- Klucz MAK (Multiple Activation Key) — co to jest, jak działa i czym różni się od KMS — Klucz MAK (Multiple Activation Key) to wielokrotnego użytku klucz produktu przydzielany organizacjom posiadającym umowę volume licensing z M.
- Klucz OEM — co to jest, jak działa i kiedy warto go wybrać — Nazwa OEM wywodzi się z angielskiego Original Equipment Manufacturer i pierwotnie odnosiła się do producenta, który wytwarza komponenty lub.
- Klucz produktu — co to jest, jak działa i czym różni się od licencji cyfrowej (2026) — Klucz produktu to nie tylko ciąg znaków.
- Licencja subskrypcyjna — co to jest, jak działa i czym różni się od licencji wieczystej — Licencja subskrypcyjna to umowa między dostawcą oprogramowania a użytkownikiem, w której dostęp do programu nie jest sprzedawany na własność.
- Microsoft Stream — co to jest, jak działa i czym różni się od Stream (Classic) w 2026 — Microsoft Stream to platforma Enterprise Video — rozwiązanie do hostingu, odtwarzania i zarządzania treściami wideo wewnątrz organizacji.
