Sdílet prostřednictvím

Zajištění rozšířeného zabezpečení Aktualizace pro Windows Server 2012

  • Článek

Tento článek obsahuje postup povolení doručování rozšířených bezpečnostních Aktualizace (ESU) do počítačů s Windows Serverem 2012 nasazených na servery s podporou Arc. U těchto počítačů můžete povolit esU jednotlivě nebo ve velkém měřítku.

Než začnete

Naplánujte a připravte se na připojení počítačů k serverům s podporou Azure Arc. Další informace najdete v tématu Příprava k doručování rozšířených Aktualizace zabezpečení pro Windows Server 2012.

K vytvoření a přiřazení ESU serverům s podporou Arc budete také potřebovat roli Přispěvatel v Azure RBAC .

Správa licencí ESU

  1. V prohlížeči se přihlaste k webu Azure Portal.

  2. Na stránce Azure Arc vyberte v levém podokně rozšířené Aktualizace zabezpečení.

    Snímek obrazovky hlavního okna ESU s kartou Licence a kartou Opravňující prostředky

    Tady můžete zobrazit a vytvořit licence ESU a zobrazit způsobilé zdroje pro ESU.

Poznámka:

Při prohlížení všech serverů s podporou Arc na stránce Servery se zobrazí banner, který určuje, kolik počítačů s Windows 2012 má nárok na ESU. Potom můžete vybrat Možnost Zobrazit servery v rozšířeném zabezpečení Aktualizace a zobrazit seznam prostředků, které mají nárok na ESU společně s počítači, které jsou už povolené.

Vytvoření licencí WS2012 služby Azure Arc

Prvním krokem je zřízení licencí rozšířené aktualizace zabezpečení Windows Serveru 2012 a 2012 R2 z Azure Arc. Tyto licence propojite s jedním nebo více servery s podporou arc, které vyberete v další části.

Po zřízení licence ESU musíte zadat skladovou položku (Standard nebo Datacenter), typ jader (fyzické nebo virtuální jádro) a počet 16jádrových a 2jádrových balíčků pro zřízení licence ESU. Můžete také zřídit licenci Rozšířené aktualizace zabezpečení v deaktivovaném stavu, aby nespustí fakturaci nebo při vytváření fungovala. Kromě toho se po zřízení dají upravit jádra přidružená k licenci.

Poznámka:

Zřizování licencí ESU vyžaduje, abyste potvrdili jejich pokrytí SA nebo SPLA.

Na kartě Licence se zobrazí dostupné licence Azure Arc WS2012. Tady můžete vybrat existující licenci, kterou chcete použít, nebo vytvořit novou licenci.

Snímek obrazovky s existujícími licencemi

  1. Pokud chcete vytvořit novou licenci WS2012, vyberte Vytvořit a zadejte informace potřebné ke konfiguraci licence na stránce.

    Podrobnosti o dokončení tohoto kroku najdete v pokynech pro zřizování licencí pro rozšířenou Aktualizace zabezpečení pro Windows Server 2012.

  2. Zkontrolujte zadané informace a pak vyberte Vytvořit.

    Vytvořená licence se zobrazí v seznamu a můžete ji propojit s jedním nebo více servery s podporou Arc pomocí kroků v další části.

    Snímek obrazovky s kartou licence zobrazující nově vytvořenou licenci v seznamu

Můžete vybrat jeden nebo více serverů s podporou arc, které chcete propojit s licencí Extended Security Update. Po propojení serveru s aktivovanou licencí ESU má tento server nárok na příjem esU Windows Serveru 2012 a 2012 R2 ESU.

Poznámka:

Máte možnost nakonfigurovat řešení oprav, které si zvolíte pro příjem těchto aktualizací – ať už jde o Update Manager, Windows Server Update Services, Microsoft Aktualizace, Microsoft Endpoint Configuration Manager nebo řešení pro správu oprav třetích stran.

  1. Výběrem karty Způsobilé prostředky zobrazíte seznam všech serverů s podporou Arc se systémem Windows Server 2012 a 2012 R2.

    Snímek obrazovky s kartou Opravňující prostředky zobrazující servery, které mají nárok na příjem ESU

    Sloupec se stavem ESU označuje, jestli je počítač povolený nebo ne.

  2. Pokud chcete povolit ESU pro jeden nebo více počítačů, vyberte je v seznamu a pak vyberte Povolit ESU.

  3. Na stránce Povolit rozšířené zabezpečení Aktualizace se zobrazí počet počítačů vybraných pro povolení ESU a licencí WS2012, které se dají použít. Vyberte licenci, která se má propojit s vybranými počítači, a pak vyberte Povolit.

    Snímek obrazovky s oknem pro výběr licence, která se má použít u dříve zvolených počítačů

    Poznámka:

    Na této stránce můžete také vytvořit licenci výběrem možnosti Vytvořit licenci ESU.

Stav vybraných počítačů se změní na Povoleno.

Snímek obrazovky s kartou Opravňující prostředky zobrazující stav povolených pro dříve vybrané servery

Pokud během procesu povolení dojde k nějakým problémům, požádejte o pomoc řešení potíží s doručováním rozšířených Aktualizace zabezpečení pro Windows Server 2012.

Azure Policy ve velkém měřítku

Pokud chcete škálovat propojení serverů s licencí Azure Arc Extended Security Update a uzamknout úpravy nebo vytváření licencí, zvažte použití následujících předdefinovaných zásad Azure:

Zásady Azure je možné zadat pro cílové předplatné nebo skupinu prostředků pro scénáře auditování i správy.

Další scénáře

Existují některé scénáře, ve kterých můžete mít nárok na získání oprav rozšířeného zabezpečení Aktualizace bez dalších poplatků. Dva z těchto scénářů podporované službou Azure Arc jsou (1) Vývoj/testování (Visual Studio) a (2) Zotavení po havárii (oprávněné instance zotavení po havárii z programu Software Assurance nebo předplatného). Oba tyto scénáře vyžadují, aby zákazník už používal esU Windows Serveru 2012/R2 povolené službou Azure Arc pro fakturovatelné a produkční počítače.

Upozorňující

Nevytvávejte licenci ESU pro Windows Server 2012/R2 jenom pro úlohy pro vývoj/testování nebo zotavení po havárii. Pro nefakturovatelné úlohy byste neměli zřizovat licenci ESU. Kromě toho se vám budou účtovat plně všechna jádra zřízená pomocí licence ESU a všechna vývojová/testovací jádra v licenci se nebudou účtovat, pokud budou odpovídajícím způsobem označená na základě následujících kvalifikací.

Pokud chcete získat nárok na tyto scénáře, musíte už mít:

  • Fakturovatelná licence ESU. Musíte už mít zřízenou a aktivovanou licenci WS2012 Arc ESU, která má být propojená s běžnými servery s podporou Azure Arc spuštěnými v produkčních prostředích (tj. obvykle fakturovaných scénářů ESU). Tato licence by se měla zřídit jenom pro fakturovatelná jádra, ne jádra, která mají nárok na bezplatnou rozšířenou Aktualizace zabezpečení, například pro vývoj a testování jader.

  • Servery s podporou arc. Nasadili jste počítače s Windows Serverem 2012 a Windows Serverem 2012 R2 k serverům s podporou Azure Arc pro účely vývoje a testování pomocí předplatných sady Visual Studio nebo zotavení po havárii.

Pokud chcete zaregistrovat servery s podporou Služby Azure Arc, které mají nárok na ESU bez dalších poplatků, označte je a propojte podle těchto kroků:

  1. Označte licenci WS2012 Arc ESU (vytvořenou pro produkční prostředí s jádry pouze pro produkční servery prostředí) i neprodukční servery s podporou Azure Arc s jedním z následujících párů name-value, které odpovídají příslušné výjimce:

    1. Název: "Využití ESU"; Hodnota: WS2012 VISUAL STUDIO DEV TEST

    2. Název: "Využití ESU"; Hodnota: "WS2012 DISASTER RECOVERY"

    V případě, že používáte licenci ESU pro více scénářů výjimek, označte licenci značkou: Name: "ESU Usage"; Hodnota: "WS2012 MULTIPURPOSE"

  2. Propojte označenou licenci (vytvořenou pro produkční prostředí s jádry pouze pro produkční servery prostředí) se značkami neprodukčními počítači s Windows Serverem 2012 a Windows Serverem 2012 R2. Nelicencujte jádra pro tyto servery nebo vytvořte novou licenci ESU pouze pro tyto servery.

Toto propojení neaktivuje porušení předpisů ani blok vynucení, což vám umožní rozšířit aplikaci licence nad rámec jeho zřízených jader. Očekávání spočívá v tom, že licence zahrnuje pouze jádra pro produkční a fakturované servery. Všechna další jádra se budou účtovat a vést k nadměrné fakturaci.

Důležité

Přidáním těchto značek do vaší licence se licence neuplatní bezplatně ani nezmenšuje počet jader licencí, které se účtují. Tyto značky umožňují propojit počítače Azure se stávajícími licencemi, které jsou už nakonfigurované s placenými jádry, aniž byste museli vytvářet nové licence nebo přidávat další jádra k vašim bezplatným počítačům.

Příklad:

  • Máte 8 instancí Windows Serveru 2012 R2 Standard, z nichž každá má 8 fyzických jader. Šest z těchto počítačů s Windows Serverem 2012 R2 Standard je určených pro produkční prostředí a 2 z těchto počítačů Se systémem Windows Server 2012 R2 Standard jsou způsobilé pro bezplatné ESU, protože operační systém byl licencován prostřednictvím předplatného Visual Studio Dev Test.
    • Nejprve byste měli zřídit a aktivovat běžnou licenci ESU pro Windows Server 2012/R2, která je edice Standard a má 48 fyzických jader pro pokrytí 6 produkčních počítačů. Tuto běžnou produkční licenci ESU byste měli propojit se 6 produkčními servery.
    • Dále byste měli tuto stávající licenci znovu použít, nepřidávejte žádná další jádra ani zřiďte samostatnou licenci a propojte tuto licenci se 2 neprodukčními počítači s Windows Serverem 2012 R2. Měli byste označit licenci ESU a 2 neprodukční počítače s Windows Serverem 2012 R2 Standard s názvem: "Využití ESU" a hodnota: "WS2012 VISUAL STUDIO DEV TEST".
    • Výsledkem bude licence ESU na 48 jader a za těchto 48 jader se vám bude účtovat 48 jader. Za dalších 16 jader vývojových testovacích serverů, které jste přidali do této licence, se vám nebudou účtovat poplatky, pokud jsou správně označené licence ESU a prostředky vývojového testovacího serveru.

Poznámka:

Abyste mohli začít s běžnou produkční licencí, budete se vám účtovat jenom za produkční jádra.

Upgrade z Windows Serveru 2012/2012 R2

Při upgradu počítače s Windows Serverem 2012/2012R na Windows Server 2016 nebo novější není nutné z počítače odebrat Připojení agenta počítače. Nový operační systém se pro počítač v Azure zobrazí během několika minut od dokončení upgradu. Upgradované počítače už nevyžadují ESU a už na ně nemají nárok. Žádná licence ESU přidružená k počítači není automaticky odpojena od počítače. Pokyny k tomu najdete v článku Zrušení propojení licence ručně.

Posouzení stavu oprav ESU WS2012

Pokud chcete zjistit, jestli jsou vaše servery s podporou Služby Azure Arc opravené s nejnovějšími Aktualizace rozšířeného zabezpečení Windows Serveru 2012/R2, můžete použít rozšířenou Aktualizace rozšířeného zabezpečení služby Azure Policy, které by měly být nainstalované na počítačích s Windows Serverem 2012 Arc –Microsoft Azure. Tato služba Azure Policy využívající konfiguraci počítače identifikuje, jestli server obdržel nejnovější opravy ESU. Toto je pozorovatelné ze zobrazení přiřazení hosta a dodržování předpisů pro Azure Policy, která jsou integrovaná na webu Azure Portal.