Freigeben über

Liefern von erweiterten Sicherheitsupdates für Windows Server 2012

Dieser Artikel enthält Schritte zum Aktivieren der Bereitstellung von erweiterten Sicherheitsupdates (EXTENDED Security Updates, ESUs) auf den Windows-Server-2012-Computern, die in Arc-fähigen Server integriert sind. Sie können ESUs für diese Computer einzeln oder gruppenweise aktivieren.

Bevor Sie beginnen

Planen Sie das Onboarding Ihrer Computer auf Azure Arc-fähigen Servern. Weitere Informationen finden Sie unter Vorbereiten der Bereitstellung erweiterter Sicherheitsupdates für Windows Server 2012.

Außerdem benötigen Sie die Rolle "Mitwirkender" in Azure RBAC zum Erstellen und Zuweisen von ESUs zu Arc-fähigen Servern.

ESU-Lizenzen verwalten

  1. Melden Sie sich in Ihrem Browser beim Azure-Portal an.

  2. Wählen Sie im Dienstmenü unter "Lizenzen" windows Server ESU-Lizenzen aus.

    Screenshot: ESU-Hauptfenster mit der Registerkarte „Lizenzen“ und der Registerkarte „Berechtigte Ressourcen“

    Von hier aus können Sie ESU Lizenzen anzeigen und erstellen sowie Zulässige Ressourcen für ESUs ansehen.

Erstellen von Azure Arc Windows Server 2012-Lizenzen

Der erste Schritt ist die Bereitstellung der Windows Server 2012- und 2012 R2 Extended Security Update-Lizenzen von Azure Arc. Sie verknüpfen diese Lizenzen mit einem oder mehreren Arc-fähigen Servern, die Sie im nächsten Abschnitt auswählen.

Nachdem Sie eine ESU-Lizenz bereitgestellt haben, müssen Sie die SKU (Standard oder Datacenter), den Kerntyp (Physical oder vCore) und die Anzahl der Kerne angeben, die eine ESU-Lizenz bereitstellen sollen. Sie können auch eine erweiterte Sicherheitsupdate-Lizenz in einem deaktivierten Zustand bereitstellen, sodass sie keine Abrechnung initiiert oder bei der Erstellung funktionsfähig ist. Darüber hinaus können die mit der Lizenz verbundenen Kerne nach der Bereitstellung geändert werden.

Hinweis

Die Bereitstellung von ESU-Lizenzen erfordert, dass Sie deren SA- oder SPLA-Abdeckung bestätigen.

Auf der Registerkarte "Lizenzen " werden azure Arc Windows Server 2012-Lizenzen angezeigt, die verfügbar sind. Hier können Sie eine vorhandene Lizenz auswählen, um eine neue Lizenz anzuwenden oder zu erstellen.

Screenshot mit vorhandenen Lizenzen und der Option zum Erstellen einer neuen Lizenz.

  1. Um eine neue Windows Server 2012-Lizenz zu erstellen, wählen Sie "Erstellen" aus, und geben Sie dann die erforderlichen Informationen zum Konfigurieren der Lizenz auf der Seite an.

    Ausführliche Informationen zum Ausführen dieses Schritts finden Sie unter Lizenzbereitstellungsrichtlinien für erweiterte Sicherheitsupdates für Windows Server 2012.

  2. Überprüfen Sie die von Ihnen bereitgestellten Informationen und wählen Sie dann Erstellen aus.

    Die von Ihnen erstellte Lizenz wird in der Liste angezeigt. Sie können ihn mit einem oder mehreren Arc-fähigen Servern verknüpfen, indem Sie die Schritte im nächsten Abschnitt ausführen.

Sie können einen oder mehrere Arc-fähige Server auswählen, um eine Verknüpfung mit einer Lizenz für erweiterte Sicherheitsupdates zu erstellen. Sobald Sie einen Server mit einer aktivierten ESU-Lizenz verknüpfen, kann der Server Windows Server 2012 und 2012 R2 ESUs erhalten.

Hinweis

Sie haben die Flexibilität beim Konfigurieren Ihrer Patchinglösung für den Empfang dieser Updates – unabhängig davon, ob es einUpdate-Manager, Windows Server Update Services, Microsoft Updates, Microsoft Endpoint Configuration Manager oder eine Patchverwaltungslösung eines Drittanbieters ist.

  1. Wählen Sie die Registerkarte "Berechtigte Ressourcen " aus, um eine Liste aller Arc-fähigen Server mit Windows Server 2012 und 2012 R2 anzuzeigen.

    Screenshot: Registerkarte „Berechtigte Ressourcen“ mit Servern, die für den Empfang von ESUs berechtigt sind

    Die ESUs-Statusspalte gibt an, ob der Computer für ESUs aktiviert ist.

  2. Um ESUs für einen oder mehrere Computer zu aktivieren, wählen Sie diese aus der Liste und dann ESUs aktivieren aus.

  3. Im Bereich "Erweiterte Sicherheitsupdates aktivieren " wird die Anzahl der Computer angezeigt, die ausgewählt sind, um ESU und die verfügbaren Windows Server 2012-Lizenzen zu aktivieren. Wählen Sie eine Lizenz zum Verknüpfen mit den ausgewählten Computern und klicken Sie auf Aktivieren.

    Screenshot der Optionen zum Auswählen der Lizenz, die auf zuvor ausgewählte Computer angewendet werden soll.

    Hinweis

    Sie können auf dieser Seite eine Lizenz erstellen, anstatt eine vorhandene Lizenz auszuwählen, indem Sie eine ESUs-Lizenz erstellen.

Wenn Sie zur Registerkarte " Berechtigte Ressourcen " zurückkehren, wird der Status der ausgewählten Computer aktiviert angezeigt.

Wenn Während des Aktivierungsprozesses Probleme auftreten, finden Sie unter "Problembehandlung bei der Zustellung erweiterter Sicherheitsupdates für Windows Server 2012 " weitere Informationen.

Aktivieren von ESUs im großen Stil mit Azure Policy

Wenn Sie Server in großem Umfang mit einer erweiterten Sicherheitsupdate-Lizenz für Azure Arc verbinden und Änderungen oder die Erstellung von Lizenzen unterbinden möchten, sollten Sie die folgenden integrierten Azure-Richtlinien verwenden:

Azure-Richtlinien können für Überwachungs- und Verwaltungsszenarien in einem gezielten Abonnement oder einer Ressourcengruppe angegeben werden.

Zusätzliche -Szenarien

Es gibt einige Szenarien, in denen Sie möglicherweise berechtigt sind, Patches für erweiterte Sicherheitsupdates ohne zusätzliche Kosten zu erhalten. Zwei dieser Szenarien, die von Azure Arc unterstützt werden, sind Dev/Test (Visual Studio) und Disaster Recovery (für Vergünstigungen berechtigte DR-Instanzen nur von Software Assurance oder Abonnement). Beide Szenarien erfordern, dass Sie bereits Windows Server 2012/R2-ESUs verwenden, die von Azure Arc für abrechnungsfähige Produktionscomputer aktiviert sind.

Warnung

Erstellen Sie keine Windows Server 2012/R2 ESU-Lizenz für Nur Dev/Test- oder Notfallwiederherstellungsworkloads. Sie sollten keine ESU-Lizenz nur für die nicht abrechenbaren Workloads bereitstellen. Außerdem werden Ihnen alle mit einer ESU-Lizenz bereitgestellten CPU-Kerne vollständig in Rechnung gestellt, und alle Entwicklungs- oder Testprozessoren auf der Lizenz werden nicht berechnet, solange sie entsprechend den folgenden Voraussetzungen gekennzeichnet sind.

Um sich für diese Szenarien zu qualifizieren, müssen Sie bereits folgendes haben:

  • Abrechenbare ESU-Lizenz. Sie müssen bereits eine WS2012 Arc ESU-Lizenz bereitgestellt und aktiviert haben, die mit regulären Azure Arc-fähigen Servern verknüpft werden soll, die in Produktionsumgebungen ausgeführt werden (z. B. normal berechnete ESU-Szenarien). Diese Lizenz sollte nur für die abrechenbaren Kerne bereitgestellt werden, nicht für Kerne, die für kostenlose erweiterte Sicherheitsupdates berechtigt sind, z. B. Dev/Test-Kerne.

  • Server mit Arc-Unterstützung. Onboarding Ihrer Windows Server 2012 und Windows Server 2012 R2 Computer an den Azure Arc-fähigen Servern zwecks Dev/Test mit Visual Studio-Abonnement oder Notfallwiederherstellung.

Führen Sie die folgenden Schritte aus, um Azure Arc-fähige Server ohne zusätzliche Kosten für ESUs zu registrieren:

  1. Markieren Sie sowohl die WS2012 Arc ESU-Lizenz (die für die Produktionsumgebung mit Kernen nur für die Produktionsumgebungsserver erstellt wurde) als auch die nichtproduktiven Azure Arc-fähigen Server mit einem der folgenden Namenswertpaare, die der entsprechenden Ausnahme entsprechen:

    1. Name: „ESU Usage”; Wert: „WS2012 VISUAL STUDIO DEV TEST”

    2. Name: "ESU-Nutzung"; Wert: "WS2012 Notfallwiederherstellung"

    Wenn Sie die ESU-Lizenz für mehrere Ausnahmeszenarien verwenden, markieren Sie die Lizenz mit dem Tag: Name: "ESU Usage"; Wert: "WS2012 MULTIPURPOSE"

  2. Verknüpfen Sie die markierte Lizenz (erstellt für die Produktionsumgebung mit Kernen nur für die Produktionsumgebungsserver) mit Ihren markierten nicht produktbezogenen Azure Arc-fähigen Windows Server 2012- und Windows Server 2012 R2-Computern. Lizenzieren Sie keine Kerne für diese Server und erstellen keine neue ESU-Lizenz nur für diese Server.

Diese Verknüpfung löst keinen Complianceverletzungs- oder Erzwingungsblock aus, sodass Sie die Anwendung einer Lizenz über die bereitgestellten Kerne hinaus erweitern können. Die Erwartung besteht darin, dass die Lizenz nur Kerne für Produktions- und Rechnungsserver enthält. Alle zusätzlichen Kerne werden in Rechnung gestellt und die Rechnung wird hoch.

Wichtig

Durch das Hinzufügen dieser Tags zu Ihrer Lizenz wird die Lizenz nicht kostenlos oder die Anzahl der kostenpflichtigen Lizenzkerne reduziert. Mit diesen Tags können Sie Ihre Azure-Computer mit vorhandenen Lizenzen verknüpfen, die bereits mit kostenpflichtigen Kerne konfiguriert sind, ohne neue Lizenzen zu erstellen oder Ihren kostenlosen Computern zusätzliche Kerne hinzuzufügen.

Beispiel:

  • Sie verfügen über acht Windows Server 2012 R2 Standard-Instanzen mit jeweils acht physischen Kernen. Sechs dieser Windows Server 2012 R2 Standard-Computer sind für die Produktion vorgesehen, und 2 von ihnen sind für kostenlose ESUs berechtigt, weil das Betriebssystem über das Visual Studio Dev Test-Abonnement lizenziert wurde.
    • Sie sollten zuerst eine reguläre ESU-Lizenz für Windows Server 2012/R2 bereitstellen und aktivieren. Sie muss eine Standardversion sein und 48 physische Kerne aufweisen, um die 6 Produktionscomputer abzudecken. Sie sollten diese reguläre ESU-Produktionslizenz mit Ihren sechs Produktionsservern verknüpfen.
    • Als Nächstes sollten Sie diese vorhandene Lizenz wiederverwenden, keine weiteren Kerne hinzufügen oder eine separate Lizenz bereitstellen und diese Lizenz mit Ihren beiden nicht produktfremden Windows Server 2012 R2-Standardcomputern verknüpfen. Sie sollten die ESU-Lizenz und die beiden Nichtproduktions-Windows Server 2012 R2-Standardcomputer mit dem Namen "ESU Usage" und dem Wert "WS2012 VISUAL STUDIO DEV TEST" markieren.
    • Dies führt zu einer ESU-Lizenz für 48 Kerne, und diese 48 Kerne werden Ihnen in Rechnung gestellt. Die zusätzlichen 16 Kerne der Dev/Test-Server, die Sie zu dieser Lizenz hinzugefügt haben, werden Ihnen nicht in Rechnung gestellt, solange die ESU-Lizenz und die Dev/Test-Server-Ressourcen entsprechend gekennzeichnet sind.

Hinweis

Zum Start benötigten Sie eine reguläre Produktionslizenz, und Ihnen werden nur die Produktionskerne in Rechnung gestellt.

Upgrade von Windows Server 2012/2012 R2

Beim Upgrade eines Windows Server 2012/2012R-Computers auf Windows Server 2016 oder höher ist es nicht erforderlich, den Connected Machine-Agent vom Computer zu entfernen. Das neue Betriebssystem wird innerhalb weniger Minuten nach Abschluss des Upgrades für den Computer in Azure angezeigt. Aktualisierte Computer benötigen keine ESUs mehr und sind nicht mehr für sie berechtigt. Jede ESU-Lizenz, die dem Computer zugeordnet ist, wird nicht automatisch vom Computer getrennt. Anweisungen zur manuellen Vorgehensweise finden Sie unter Aufheben der Verknüpfung einer Lizenz.

Bewerten des WS2012 ESU-Patchstatus

Um zu ermitteln, ob Ihre Azure Arc-fähigen Server mit den neuesten erweiterten Windows Server 2012/R2-Sicherheitsupdates gepatcht sind, können Sie die Azure-Richtlinie Erweiterte Sicherheitsupdates sollten auf Windows Server 2012 Arc-Instanzen installiert werden verwenden. Diese Richtliniendefinition, die von der Computerkonfiguration unterstützt wird, identifiziert, ob der Server die neuesten ESU-Patches erhalten hat. Dies ist aus den Ansichten "Gastzuweisung" und "Azure-Richtliniencompliance" im Azure-Portal feststellbar.