Activar Windows y ESU con VAMT: Guía Completa

Gestionar claves MAK de Extended Security Updates (ESU) mediante VAMT puede parecer complejo, pero un flujo ordenado simplifica la activación y evita errores de soporte. Esta guía explica paso a paso cómo combinar licencias base de Windows con ESU sin conflictos.

Qué es el ESU y por qué resulta crítico para la seguridad

El programa Extended Security Updates (ESU) es la iniciativa oficial de Microsoft para ofrecer parches de seguridad a sistemas operativos que han alcanzado el fin de soporte convencional. Con un ESU activo se obtiene:

• Corrección de vulnerabilidades críticas y de gravedad importante que podrían permitir la ejecución remota de código o la elevación de privilegios.
• Tiempo adicional para planificar migraciones sin exponer la infraestructura a amenazas recién descubiertas.
• Cumplimiento normativo en sectores regulados (sanidad, finanzas, administración pública) donde la aplicación de actualizaciones de seguridad es obligatoria.

El ESU no desbloquea nuevas características ni amplía la garantía, sino que prorroga la distribución de actualizaciones mensuales exclusivamente de seguridad.

Requisitos previos antes de implementar ESU

Versiones de Windows compatibles

Solo las ediciones que han agotado su soporte estándar pueden beneficiarse del programa ESU. En julio de 2025 las versiones activas más habituales son:

• Windows Server 2012 y 2012 R2 (Años 1 y 2).
• Windows Server 2008 R2 (Programa concluido en enero 2024).
• Windows 7 SP1 (Programa concluido en enero 2023).

Los sistemas en soporte regular (por ejemplo Windows 10, 11 o Server 2025) no pueden recibir una clave ESU porque ya obtienen actualizaciones estándar.

Tipos de clave ESU

Para cada año de cobertura Microsoft emite una clave MAK distinta. Esto significa que:

• Año 1, Año 2 y Año 3 son licencias independientes y acumulativas.
• La clave de Año 2 no activa el sistema si la de Año 1 falta. Deben estar todas instaladas y activadas en orden cronológico.
• La activación puede producirse por Internet, por proxy KMS o por teléfono, dependiendo de la conectividad del entorno.

Flujo recomendado de licenciamiento con VAMT

El Volume Activation Management Tool (VAMT) centraliza la gestión de licencias MAK y KMS. A continuación se detalla un flujo de trabajo probado para minimizar errores:

Paso 1 — Verificar la activación base de Windows

1. En VAMT, realiza un Discovery de los equipos objetivo mediante IP Range, Active Directory o importando una lista.
2. Selecciona los hosts y elige Update Status para refrescar la información de licenciamiento.
3. Comprueba que la columna License Status muestre Licensed o Genuine. Un estado Unlicensed o Notification debe resolverse antes de continuar.

Paso 2 — Registrar la clave ESU en el repositorio de VAMT

1. En Manage Product Keys ▶ Add Product Key introduce la clave MAK del ESU correspondiente a la arquitectura y al año de cobertura.
2. VAMT validará el formato y, si es correcto, la mostrará en la vista Product Keys.

Paso 3 — Instalar y activar la clave ESU en los equipos

1. Selecciona los equipos objetivo, haz clic con el botón derecho y elige Install Product Key.
2. En la lista, marca la clave ESU y confirma. El agente slmgr.vbs del equipo hará la instalación silenciosa.
3. Una vez instalada la clave, repite el proceso con Activate. Si tu entorno no tiene salida directa a Internet, VAMT almacenará el Installation ID para una activación diferida por teléfono o proxy KMS.

Paso 4 — Confirmar resultados

Actualiza el estado de los equipos y comprueba dos líneas clave en VAMT o con slmgr /dlv:

• License Status: Licensed
• Product Description: debe incluir Extended Security Updates

Preguntas frecuentes y sus respuestas

¿Debo activar Windows antes que la ESU?

Sí. La licencia ESU es un complemento que exige la existencia de una licencia válida de Windows. Instalar la ESU primero no dañará el sistema, pero hasta que la copia base no esté “Licensed”, la ESU se mostrará como “Unlicensed”.

¿Cambia la validez de la ESU si instalo la clave antes o después de Windows?

No. El contador de días de gracia de la ESU (30 días) se inicia al instalarla, independientemente de cuándo se activó Windows. Sin embargo, si Windows no se autentica, la ESU tampoco se validará.

¿Puedo desplegar la ESU en un equipo con Windows 10?

No. Windows 10 todavía recibe parches en el canal General Availability. La ESU está pensada para versiones fuera de soporte. Instalar la clave en Windows 10 arrojará el error 0xC004F050 - Invalid Product Key.

¿Genera conflictos que VAMT instale múltiples claves en un mismo host?

No. El servicio de licenciamiento de Windows permite coexistencia de varias licencias siempre que pertenezcan a SKU distintos (ej.: “Windows Server 2012 Standard” y “ESU Year 1”). Nunca sustituye la clave original salvo que el SKU coincida.

Buenas prácticas en despliegues masivos

Buena práctica	Beneficio	Herramienta recomendada
Crear grupos lógicos en VAMT por sistema y año ESU	Evita aplicar la clave equivocada a un entorno heterogéneo	VAMT Collections
Registrar los CID de activaciones telefónicas	Permite reinstalar sin repetir la llamada si la VM se restaura desde backup	Planilla Excel protegida
Scriptar la detección con PowerShell	Automatiza el descubrimiento y reduce tiempo operativo	Get-WmiObject Win32_OperatingSystem
Auditar semanalmente el estado de licencias	Detecta de inmediato expiraciones de gracia o hosts no cubiertos	Reportes CSV desde VAMT

Solución de problemas frecuentes

Error 0xC004F00F — Software Licensing Service reported that the product key does not match any of the Windows editions

Aparece cuando se emplea una clave ESU en un SKU no soportado. Valida que la edición sea exactamente la esperada (por ejemplo “Server 2012 Standard”).

Error 0xC004F038 — The Software Licensing Service reported that the computer could not be activated

Indica fallo de comunicación con los servidores de activación. Verifica:

• DNS y reglas de firewall hacia activation.microsoft.com.
• Si usas proxy KMS, que el contador de clientes (mínimo 25) esté alcanzado.

El estado cambia a Notification después de una actualización KB

Algunas compilaciones requieren parches prerequisite antes de la ESU (por ejemplo KB 4538483 en Windows 7). Instálalos con WSUS o manualmente y vuelve a activar.

Automatización avanzada con PowerShell y VAMT

Para entornos extensos o desconectados, PowerShell complementa a VAMT:

# Descubrir hosts y exportar Installation ID
Import-Module VAMT
$machines = Get-VamtProduct -ComputerName WSUS-01 -ErrorAction Stop
$machines | Where-Object {$_.LicenseStatus -eq "Unlicensed"} |
    Export-VamtProductActivationData -Path "C:\ESU\request.xml"

Una vez obtenido el CID

Invoke-VamtActivation -InputFile "C:\ESU\confirmation.xml"

Estos cmdlets replican las acciones de la consola gráfica, facilitando la integración en pipelines de CI/CD o en scripts de recuperación ante desastres.

Auditoría y seguimiento de licencias

La clave MAK ESU dispone de un número finito de activaciones. Para evitar sobreconsumo:

1. Genera informes mensuales desde VAMT y guarda los CSV en un repositorio inmutable.
2. Correlaciona el Machine ID de cada host con su número de serie o UUID para detectar clonaciones no autorizadas.
3. Si reinstalas un servidor, usa el ID anterior; así no consumirás una activación adicional.

En auditorías de software, disponer de esta trazabilidad demuestra el uso legítimo de licencias y previene sanciones.

Conclusión

Incorporar Extended Security Updates es una solución imprescindible para mantener protegido un servidor heredado mientras se planea su renovación. Al seguir la secuencia activar Windows → instalar ESU → activar ESU y aprovechar las funciones de inventario de VAMT, se evitan conflictos de licenciamiento y se garantiza la recepción ininterrumpida de parches críticos. Dedicar tiempo a documentar claves, capturar CID y auditar activaciones no solo reduce incidencias, sino que demuestra cumplimiento normativo ante cualquier revisión externa.