Řešení potíží s doručováním rozšířených aktualizací zabezpečení pro Windows Server 2012

Článek
07/03/2024

Tento článek obsahuje informace o řešení potíží a řešení problémů, ke kterým může dojít při povolování rozšířených aktualizací zabezpečení pro Windows Server 2012 a Windows Server 2012 R2 prostřednictvím serverů s podporou arc.

Problémy se zřizováním licencí

Pokud nemůžete zřídit licenci rozšířené aktualizace zabezpečení windows serveru 2012 pro servery s podporou služby Azure Arc, zkontrolujte následující:

Oprávnění: Ověřte, že máte dostatečná oprávnění (role přispěvatele nebo vyšší) v rámci zřizování a propojení ESU.
Minimální počet jader: Ověřte, že jste zadali dostatek jader pro licenci ESU. Licence založené na fyzických jádrech vyžadují minimálně 16 jader na počítač a licence založené na virtuálních jádrech vyžadují minimálně 8 jader na virtuální počítač.
Konvence: Ověřte, že jste vybrali odpovídající předplatné a skupinu prostředků a zadali jedinečný název licence ESU.

Problémy s registrací ESU

Pokud se vám nedaří úspěšně propojit server s podporou Služby Azure Arc s aktivovanou licencí Rozšířených aktualizací zabezpečení, ověřte splnění následujících podmínek:

Připojení: Server s podporou Azure Arc je připojený. Informace o zobrazení stavu počítačů s podporou Azure Arc najdete v tématu Stav agenta.
Verze agenta: Agent připojeného počítače je verze 1.34 nebo vyšší. Pokud je verze agenta menší než 1.34, musíte ji aktualizovat na tuto nebo vyšší verzi.
Operační systém: K registraci do rozšířených aktualizací zabezpečení mají nárok jenom servery s podporou Azure Arc s operačním systémem Windows Server 2012 a 2012 R2.
Prostředí: Připojený počítač by neměl být spuštěný v Azure Stack HCI, řešení Azure VMware (AVS) ani jako virtuální počítač Azure. V těchto scénářích jsou ESU WS2012 k dispozici zdarma. Informace o bezplatných ESU prostřednictvím Azure Stack HCI najdete v tématu Bezplatné rozšířené aktualizace zabezpečení prostřednictvím Azure Stack HCI.
Vlastnosti licence: Ověřte, že je licence aktivovaná a byla přidělena dostatečná fyzická nebo virtuální jádra pro podporu zamýšleného rozsahu serverů.

Poskytovatelé prostředků

Pokud tuto nabídku služeb nemůžete povolit, projděte si poskytovatele prostředků zaregistrované v předplatném, jak je uvedeno níže. Pokud se při pokusu o registraci zprostředkovatelů prostředků zobrazí chyba, ověřte přiřazení rolí v předplatném. Zkontrolujte také všechny potenciální zásady Azure, které můžou být nastavené s účinkem Odepřít, což brání povolení těchto poskytovatelů prostředků.

Microsoft.HybridCompute: Tento poskytovatel prostředků je nezbytný pro servery s podporou služby Azure Arc, což umožňuje onboarding a správu místních serverů na webu Azure Portal.
Microsoft.GuestConfiguration: Umožňuje zásady konfigurace hosta, které slouží k vyhodnocení a vynucování konfigurací na serverech s podporou Arc pro dodržování předpisů a zabezpečení.
Microsoft.Compute: Tento poskytovatel prostředků se vyžaduje pro Azure Update Management, který se používá ke správě aktualizací a oprav na místních serverech, včetně aktualizací ESU.
Microsoft.Security: Povolení tohoto poskytovatele prostředků je zásadní pro implementaci funkcí a konfigurací souvisejících se zabezpečením pro Azure Arc i pro místní servery.
Microsoft.OperationalInsights: Tento poskytovatel prostředků je přidružený ke službě Azure Monitor a Log Analytics, které se používají k monitorování a shromažďování telemetrických dat z vaší hybridní infrastruktury, včetně místních serverů.
Microsoft.Sql: Pokud spravujete místní instance SQL Serveru a vyžadujete ESU pro SQL Server, je nutné povolit tohoto poskytovatele prostředků.
Microsoft.Storage: Povolení tohoto poskytovatele prostředků je důležité pro správu prostředků úložiště, což může být relevantní pro hybridní a místní scénáře.

Problémy s opravami ESU

Stav opravy ESU

Pokud chcete zjistit, jestli jsou vaše servery s podporou služby Azure Arc opravené s nejnovějšími rozšířenými aktualizacemi zabezpečení Windows Serveru 2012/R2, použijte Azure Update Manager nebo rozšířené aktualizace zabezpečení Azure Policy by se měly nainstalovat na počítače s Windows Serverem 2012 Arc – Microsoft Azure, které kontroluje, jestli byly přijaty nejnovější opravy ESU WS2012. Obě tyto možnosti jsou k dispozici bez dalších poplatků pro servery s podporou Azure Arc zaregistrované v ESU WS2012, které podporuje Azure Arc.

Požadavky ESU

Ujistěte se, že se pro server s podporou Azure Arc stáhnou licenční balíček i aktualizace zásobníku údržby (SSU), jak je uvedeno v KB5031043: Postup pokračování v přijímání aktualizací zabezpečení po ukončení rozšířené podpory 10. října 2023. Ujistěte se, že splňujete všechny požadavky na síť, jak je uvedeno v části Příprava na doručování rozšířených aktualizací zabezpečení pro Windows Server 2012.

Chyba: Pokus o kontrolu IMDS znovu (HRESULT 12002 nebo 12029)

Pokud instalace rozšířené aktualizace zabezpečení povolené službou Azure Arc selže s chybami, jako je ESU: Pokus o kontrolu IMDS Again LastError=HRESULT_FROM_WIN32(12029)" nebo ESU: Pokus o kontrolu IMDS Again LastError=HRESULT_FROM_WIN32(12002)" možná budete muset aktualizovat zprostředkující certifikační autority důvěryhodné vaším počítačem jedním z následujících způsobů.

Důležité

Pokud používáte nejnovější verzi agenta počítače připojeného k Azure, není nutné instalovat certifikáty zprostředkující certifikační autority nebo povolit přístup k adrese URL PKI. Pokud se ale licence už přiřadila před upgradem agenta, může trvat až 15 dnů, než se starší licence nahradí. Během této doby se bude stále vyžadovat zprostředkující certifikát. Po upgradu agenta můžete odstranit licenční soubor %ProgramData%\AzureConnectedMachineAgent\certs\license.json a vynutit jeho aktualizaci.

Možnost 1: Povolení přístupu k adrese URL PKI

Nakonfigurujte bránu firewall sítě nebo proxy server tak, aby umožňoval přístup z počítačů s Windows Serverem 2012 (R2) do http://www.microsoft.com/pkiops/certs a https://www.microsoft.com/pkiops/certs (tcp 80 i 443). Tím umožníte počítačům automaticky načíst všechny chybějící certifikáty zprostředkující certifikační autority od Microsoftu.

Po provedení změn sítě, které umožní přístup k adrese URL PKI, zkuste nainstalovat aktualizace systému Windows znovu. Možná budete muset restartovat počítač, aby se projevila automatická instalace certifikátů a ověření licence.

Možnost 2: Ruční stažení a instalace certifikátů zprostředkující certifikační autority

Pokud nemůžete povolit přístup k adrese URL PKI ze serverů, můžete certifikáty na každý počítač stáhnout a nainstalovat ručně.

Na jakémkoli počítači s přístupem k internetu si stáhněte tyto certifikáty zprostředkující certifikační autority:
Zkopírujte soubory certifikátu do počítačů s Windows Serverem 2012 (R2).
Spuštěním libovolné sady následujících příkazů v příkazovém řádku se zvýšenými oprávněními nebo v relaci PowerShellu přidejte certifikáty do úložiště "Zprostředkující certifikační autority" pro místní počítač. Příkaz by se měl spustit ze stejného adresáře jako soubory certifikátů. Příkazy jsou idempotentní a pokud jste certifikát už naimportovali, neprovádí žádné změny:
```
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"
```
Zkuste nainstalovat aktualizace Windows znovu. Aby bylo možné rozpoznat nově importované certifikáty zprostředkující certifikační autority, budete možná muset restartovat počítač pro logiku ověření.

Chyba: Nemá nárok (HRESULT 1633)

Pokud dojde k chybě "ESU: není způsobilý HRESULT_FROM_WIN32(1633)", postupujte takto:

Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds

Pokud máte další problémy s příjmem ESU po úspěšné registraci serveru prostřednictvím serverů s podporou arc nebo potřebujete další informace související s problémy ovlivňujícími nasazení ESU, přečtěte si téma Řešení potíží v ESU.

Sdílet prostřednictvím