Azure上にデプロイしたWindows VMはAzure環境にあるKMSサーバと通信をしてライセンス認証をおこなっていますが、このKMSサーバのFQDNおよびIPアドレスが変更されます。
影響がある環境
強制トンネリング環境
強制トンネリングとはデフォルトゲートウェイをオンプレミス側に向けて、インターネット宛の通信がAzureから直接出ていくのではなく、オンプレミス経由で出ていくように設定することです。AzureのKMSサーバはAzureから来た通信のみをライセンス認証する仕組みになっていますが、強制トンネリング環境では送信元がオンプレミスの出口のIPアドレスになってしまうため、ライセンス認証が拒否されます。この対処策として強制トンネリング環境ではユーザ定義ルート(UDR)を用いてKMSサーバ宛の通信はAzureから直接インターネットに出るように設定します。今回KMSサーバの宛先IPアドレスが変更されるため、ユーザ定義ルートの設定の追加が必要になります。
Azure上のファイアウォールで通信制限している環境
今回KMSサーバのIPアドレスおよびFQDNが変更されるため、Azure上のファイアウォールでインターネット宛の通信を制御している場合、設定の変更が必要になる可能性があります。
変更内容
変更前のKMSサーバは「kms.core.windows.net(23.102.135.246)」でした。
2022年7月以降に新規にデプロイしたVMではKMSサーバの宛先が「azkms.core.windows.net」に設定されています。
それより以前にデプロイしているVMではKMSサーバが「kms.core.windows.net」に設定されています。自動的に「azkms.core.windows.net」へ置き換わることはありません。
影響を抑えるため、以下のように段階的に切り替えが行われる計画になっているようです。
2022年10月3日まで
| KMSサーバのFQDN | IPアドレス | 補足 |
|---|---|---|
| azkms.core.windows.net | 23.102.135.246 | 移行措置としてkms.core.windows.netを指すようになっている |
| kms.core.windows.net | 23.102.135.246 |
2022年10月3日以降
| KMSサーバのFQDN | IPアドレス |
|---|---|
| azkms.core.windows.net | 20.118.99.224 40.83.235.53 |
| kms.core.windows.net | 23.102.135.246 |
また、2023年3月1日までにkms.core.windows.net は「23.102.135.246」ではなく 「20.118.99.224」を指すように変更されるようです。
何をすればよいのか
- 強制トンネリング環境では「20.118.99.224」と「40.83.235.53」宛の通信がインターネットに直接出るようにルートを追加します。
- ファイアウォールで制限している環境では「azkms.core.windows.net」、「20.118.99.224」、「40.83.235.53」宛の通信が許可されるように設定します。
対応しないとどうなる?
- 新規にデプロイするWindows VMのライセンス認証が失敗します。
- 既存のライセンス認証済みのWindows VMについても、180日以内に未ライセンス認証状態になってしまいます。KMSは180日に1回は再認証をしないといけない仕組みとなっているため、時間差でトラブルが発生します。