Vorbereiten der Bereitstellung erweiterter Sicherheitsupdates für Windows Server 2012

  • Artikel

Mit Windows Server 2012 und Windows Server 2012 R2, bei denen seit dem 10. Oktober 2023 keinen Support mehr gibt, können Sie mit Azure Arc-fähigen Servern Ihre vorhandenen Windows Server 2012/2012 R2-Computer unter Erweiterte Sicherheitsupdates (ESUs)registrieren. Azure Arc bietet sowohl Kostenflexibilität als auch eine verbesserte Bereitstellungserfahrung; so können Sie leichter zu Azure migrieren.

Dieser Artikel dient zum Verständnis der Vorteile und wie man sich zur Anwendung von Arc-fähigen Servern vorbereitet, um die Bereitstellung von ESUs zu ermöglichen.

Hinweis

Azure VMware Solutions (AVS)-Computer sind für kostenlose ESUs berechtigt und sollten sich nicht für ESUs registrieren, die über Azure Arc aktiviert sind.

Wesentliche Vorteile

Die Bereitstellung von ESUs auf Ihren Windows Server 2012/2012 R2-Computern bietet folgende wichtige Vorteile:

  • Pay-as-you-go: Flexibilität beim Registrieren für einen monatlichen Abonnementdienst mit der Möglichkeit, Mitte Jahr zu migrieren.

  • Azure in Rechnung gestellt: Sie können Ihre Kosten aus Ihrem vorhandenen Microsoft Azure-Verbrauchsverpflichtung (MACC) ziehen und mithilfe von Microsoft Cost Management und Billinganalysieren.

  • Integriertes Inventar: Der Abdeckungs- und Registrierungsstatus von Windows Server 2012/2012 R2 ESUs auf berechtigten Arc-fähigen Servern werden im Azure-Portal identifiziert, wobei Lücken und Statusänderungen hervorgehoben werden.

  • Schlüssellose Zustellung: Die Registrierung von ESUs auf den Azure Arc-fähigen Windows Server 2012/2012 R2-Computern erfordert weder den Erwerb noch die Aktivierung von Schlüsseln.

Zugriff auf Azure-Dienste

Für Azure Arc-fähige Server, die in Azure-fähigen WS2012 ESUs registriert sind, wird der kostenlose Zugriff auf die Azure-Dienste ab dem 10. Oktober 2023 gewährt:

  • Azure Update Manager – Einheitliche Verwaltung und Governance der Updatecompliance, die nicht nur Azure- und Hybridcomputer umfasst, sondern auch ESU-Updatecompliance für alle Windows Server 2012/2012 R2-Computer. Die Registrierung in ESUs wirkt sich nicht auf Azure Update Manager aus. Nach der Registrierung in ESUs über Azure Arc ist der Server für ESU-Patches berechtigt. Diese Patches können über Azure Update Manager oder eine andere Patchlösung geliefert werden. Sie werden weiterhin Updates von Microsoft Updates oder Windows Server Update Services konfigurieren müssen.
  • Azure Automation Change Tracking and Inventory – Nachverfolgen von Änderungen auf virtuellen Computern, die in Azure, lokal und anderen Cloudumgebungen gehostet werden.
  • Azure Policy Guest Configuration – Überwachen sie die Konfigurationseinstellungen auf einem virtuellen Computer. Die Gastkonfiguration unterstützt Azure-VMs nativ sowie physische und virtuelle Nicht-Azure-Server über Server mit Azure Arc-Unterstützung.

Andere Azure-Dienste über Azure Arc-fähige Server sind ebenfalls verfügbar, mit Angeboten wie:

  • Microsoft Defender für Cloud – Im Rahmen der Cloud Security Posture Management (CSPM)-Säule bietet es Serverschutz über Microsoft Defender für Server, um Sie vor verschiedenen Cyberbedrohungen und Sicherheitsrisiken zu schützen.

  • Verwenden Sie Microsoft Sentinel, um sicherheitsrelevante Ereignisse zu erfassen und sie mit anderen Datenquellen zu korrelieren.

    Hinweis

    Die Aktivierung der ESU ist für das dritte Quartal 2023 geplant. Die Verwendung von Azure-Diensten wie Azure Update Manager und Azure Policy zur Unterstützung der Verwaltung von ESU-berechtigten Windows Server 2012/2012 R2-Computern ist ebenfalls für das dritte Quartal geplant.

Vorbereiten der Übermittlung von ESUs

Planen Sie das Onboarding Ihrer Computer auf Azure Arc-fähigen Servern über die Installation des Azure Connected Machine-Agents (Version 1.34 oder höher), um eine Verbindung mit Azure herzustellen. Erweiterte Sicherheitsupdates für Windows Server 2012 unterstützen Windows Server 2012- und R2 Standard- und Datacenter-Editionen. Windows Server 2012 Storage wird nicht unterstützt.

Es wird empfohlen, Ihre Computer in Azure Arc bereitzustellen und sie für die zugehörigen Azure-Dienste vorzubereiten, die unterstützte Funktionen zum Verwalten von ESU liefern. Sobald diese Computer in Azure Arc-fähige Server integriert sind, haben Sie einen Überblick über ihre ESU-Abdeckung und Registrierung über das Azure-Portal oder die Verwendung von Azure-Richtlinien. Die Abrechnung für diesen Dienst beginnt ab Oktober 2023 (d. h. nach Dem Ende des Supports für Windows Server 2012).

Hinweis

Um ESUs zu erwerben, müssen Sie über Volumenlizenzprogramme wie einen Enterprise Agreement (EA), ein Enterprise Agreement-Abonnement (EAS), Registrierung für Education Solutions (EES), Server- und Cloudregistrierung (SCE) oder über Microsoft Open Value Programs verfügen. Wenn Ihre Windows Server 2012/2012 R2-Computer über SPLA oder mit einem Serverabonnement lizenziert sind, muss Software Assurance keine ESUs erwerben.

Sie müssen auch sowohl das Lizenzierungspaket als auch das Wartungsstapelupdate (SSU) für den Azure Arc-fähigen Server herunterladen. Siehe dazu die Dokumentation KB5031043: Verfahren zur Erhaltung von Sicherheitsupdates nach dem Einstellen des erweiterten Supports am 10. Oktober 2023.

Bereitstellungsoptionen

Es gibt mehrere Onboarding-Optionen für Azure Arc-fähige Server, darunter auch Ausführen einer benutzerdefinierten Tasksequenz über den Configuration Manager und die Bereitstellung einer Geplanten Aufgabe über Gruppenrichtlinien. Es gibt auch umfangreiche ESU-Bereitstellungsoptionen für verwaltete VMware vCenter-VMs und verwaltete SCVMM-VMs über Azure Arc.

Hinweis

Es wird nicht empfohlen, die ESUs über Azure Arc den virtuellen Computern zuzuliefern, die auf Virtual Desktop Infrastructure (VDI) laufen. VDI-Systeme sollten Multiple Aktivierungsschlüssel (MAK) verwenden, um ESUs anzuwenden. Weitere Informationen finden Sie unter Zugreifen auf Ihren Mehrfachaktivierungsschlüssel über das Microsoft 365-Admin Center.

Netzwerk

Konnektivitätsoptionen umfassen öffentliche Endpunkte, Proxyserver und private Verknüpfungen oder Azure Express Route. Überprüfen Sie die Netzwerkvoraussetzungen, um die Nicht-Azure-Umgebungen für die Bereitstellung in Azure Arc vorzubereiten.

Wenn Sie Azure Arc-fähige Server nur für erweiterte Sicherheitsupdates für eins oder beide der folgenden Produkte verwenden:

  • Windows Server 2012
  • SQL Server 2012

Sie können die folgende Teilmenge von Endpunkten aktivieren:

Agent-Ressource Beschreibung Wenn erforderlich Mit privatem Link verwendeter Endpunkt
aka.ms Wird verwendet, um das Downloadskript während der Installation aufzulösen. Nur zur Installationszeit Öffentlich
download.microsoft.com Wird zum Herunterladen des Windows-Installationspakets verwendet. Nur zur Installationszeit Öffentlich
login.windows.net Microsoft Entra ID Always Öffentlich
login.microsoftonline.com Microsoft Entra ID Always Öffentlich
management.azure.com Azure Resource Manager: Zum Erstellen oder Löschen der Arc-Serverressource Nur beim Verbinden oder Trennen eines Servers Öffentlich, außer eine private Ressourcenmanagementverbindung ist ebenfalls konfiguriert.
*.his.arc.azure.com Metadaten- und Hybrididentitätsdienste Always Privat
*.guestconfiguration.azure.com Erweiterungs- und Gastkonfigurationsdienste Always Privat
www.microsoft.com/pkiops/certs Zwischenzertifikatupdates für ESUs (Hinweis: verwendet HTTP/TCP 80 und HTTPS/TCP 443) Immer für automatische Updates oder vorübergehend, wenn Zertifikate manuell heruntergeladen werden. Öffentlich
*.<region>.arcdataservices.com Azure Arc-Datenverarbeitungsdienst und Diensttelemetrie. SQL Server-ESUs Öffentlich

Tipp

Um das gesamte Angebot für die Arc-fähige Server wie Erweiterungen und Remotekonnektivität zu nutzen, stellen Sie sicher, dass Sie die zusätzlichen URLs zulassen, die für Ihr Szenario gelten. Weitere Informationen finden Sie unter Netzwerkanforderungen für verbundene Computer-Agents.

Nächste Schritte