Freigeben über


Vorbereiten der Bereitstellung erweiterter Sicherheitsupdates für Windows Server 2012

Mit Windows Server 2012 und Windows Server 2012 R2, bei denen seit dem 10. Oktober 2023 keinen Support mehr gibt, können Sie mit Azure Arc-fähigen Servern Ihre vorhandenen Windows Server 2012/2012 R2-Computer unter Erweiterte Sicherheitsupdates (ESUs)registrieren. Azure Arc bietet sowohl Kostenflexibilität als auch eine verbesserte Bereitstellungserfahrung; so können Sie leichter zu Azure migrieren.

Dieser Artikel dient zum Verständnis der Vorteile und wie man sich zur Anwendung von Arc-fähigen Servern vorbereitet, um die Bereitstellung von ESUs zu ermöglichen.

Hinweis

Azure VMware Solutions (AVS)-Computer sind für kostenlose ESUs berechtigt und sollten sich nicht für ESUs registrieren, die über Azure Arc aktiviert sind.

Wesentliche Vorteile

Die Bereitstellung von ESUs auf Ihren Windows Server 2012/2012 R2-Computern bietet folgende wichtige Vorteile:

  • Pay-as-you-go: Flexibilität beim Registrieren für einen monatlichen Abonnementdienst mit der Möglichkeit, Mitte Jahr zu migrieren.

  • Azure in Rechnung gestellt: Sie können Ihre Kosten aus Ihrem vorhandenen Microsoft Azure-Verbrauchsverpflichtung (MACC) ziehen und mithilfe von Microsoft Cost Management und Billinganalysieren.

  • Integriertes Inventar: Der Abdeckungs- und Registrierungsstatus von Windows Server 2012/2012 R2 ESUs auf berechtigten Arc-fähigen Servern werden im Azure-Portal identifiziert, wobei Lücken und Statusänderungen hervorgehoben werden.

  • Schlüssellose Zustellung: Die Registrierung von ESUs auf den Azure Arc-fähigen Windows Server 2012/2012 R2-Computern erfordert weder den Erwerb noch die Aktivierung von Schlüsseln.

Zugriff auf Azure-Dienste

Für Azure Arc-fähige Server, die in Azure-fähigen WS2012 ESUs registriert sind, wird der kostenlose Zugriff auf die Azure-Dienste ab dem 10. Oktober 2023 gewährt:

  • Azure Update Manager – Einheitliche Verwaltung und Governance der Updatecompliance, die nicht nur Azure- und Hybridcomputer umfasst, sondern auch ESU-Updatecompliance für alle Windows Server 2012/2012 R2-Computer. Die Registrierung in ESUs wirkt sich nicht auf Azure Update Manager aus. Nach der Registrierung in ESUs über Azure Arc ist der Server für ESU-Patches berechtigt. Diese Patches können über Azure Update Manager oder eine andere Patchlösung geliefert werden. Sie werden weiterhin Updates von Microsoft Updates oder Windows Server Update Services konfigurieren müssen.
  • Änderungsnachverfolgung und Bestand – Nachverfolgen von Änderungen auf virtuellen Computern, die in Azure, lokal und in anderen Cloudumgebungen gehostet werden.
  • Azure Policy Guest Configuration – Überwachen sie die Konfigurationseinstellungen auf einem virtuellen Computer. Die Gastkonfiguration unterstützt Azure-VMs nativ sowie physische und virtuelle Nicht-Azure-Server über Server mit Azure Arc-Unterstützung.

Andere Azure-Dienste über Azure Arc-fähige Server sind ebenfalls verfügbar, mit Angeboten wie:

Vorbereiten der Übermittlung von ESUs

  1. Planen Sie das Verbinden Ihrer Computer auf Azure Arc-fähigen Servern über die Installation des Azure Connected Machine-Agents (Version 1.34 oder höher), um eine Verbindung mit Azure herzustellen.

    Nach dem Herstellen dieser Verbindung können Sie Ihre Server registrieren, um erweiterte Sicherheitsupdates (EXTENDED Security Updates, ESUs) zu erhalten. Erweiterte Sicherheitsupdates für Windows Server 2012 unterstützen Windows Server 2012- und R2 Standard- und Datacenter-Editionen. Windows Server 2012 Storage wird nicht unterstützt.

    Es wird empfohlen, Ihre Computer in Azure Arc bereitzustellen und sie für die zugehörigen Azure-Dienste vorzubereiten, die unterstützte Funktionen zum Verwalten von ESU liefern. Sobald diese Computer in Azure Arc-fähige Server integriert sind, haben Sie einen Überblick über ihre ESU-Abdeckung und Registrierung über das Azure-Portal oder die Verwendung von Azure-Richtlinien. Die Abrechnung für diesen Dienst beginnt ab Oktober 2023 (d. h. nach Dem Ende des Supports für Windows Server 2012).

    Hinweis

    Um ESUs zu erwerben, müssen Sie über Volumenlizenzprogramme wie einen Enterprise Agreement (EA), ein Enterprise Agreement-Abonnement (EAS), Registrierung für Education Solutions (EES), Server- und Cloudregistrierung (SCE) oder über Microsoft Open Value Programs verfügen. Wenn Ihre Windows Server 2012/2012 R2-Computer über SPLA oder mit einem Serverabonnement lizenziert sind, muss Software Assurance keine ESUs erwerben.

  2. Laden Sie sowohl das Lizenzierungspaket als auch das Wartungsstapelupdate (SSU) für den Azure Arc-fähigen Server herunter, wie unter KB5031043 dokumentiert: Verfahren, um weiterhin Sicherheitsupdates zu erhalten, nachdem der erweiterte Support am 10. Oktober 2023 beendet wurde.

Bereitstellungsoptionen

Es gibt mehrere Onboardingoptionen für Azure Arc-fähige Server:

Hinweis

Es wird nicht empfohlen, die ESUs über Azure Arc den virtuellen Computern zuzuliefern, die auf Virtual Desktop Infrastructure (VDI) laufen. VDI-Systeme sollten Multiple Aktivierungsschlüssel (MAK) verwenden, um ESUs anzuwenden. Weitere Informationen finden Sie unter Zugreifen auf Ihren Mehrfachaktivierungsschlüssel über das Microsoft 365-Admin Center.

Netzwerk

Stellen Sie sicher, dass Ihre Computer über die erforderliche Netzwerkkonnektivität mit Azure Arc verfügen. Zu den Konnektivitätsoptionen gehören:

  • Öffentlicher Endpunkt
  • Proxyserver
  • Privater Link oder Azure Express Route.

Überprüfen Sie die Netzwerkvoraussetzungen, um die Nicht-Azure-Umgebungen für die Bereitstellung in Azure Arc vorzubereiten.

Wenn Sie Azure Arc-fähige Server nur für erweiterte Sicherheitsupdates für eins oder beide der folgenden Produkte verwenden:

  • Windows Server 2012
  • SQL Server 2012

Sie können die folgende Teilmenge von Endpunkten aktivieren:

Agent-Ressource Beschreibung Wenn erforderlich Endpunkt, der mit einem privaten Link verwendet wird
download.microsoft.com Wird zum Herunterladen des Windows-Installationspakets verwendet. Zur Installationszeit nur 1 Öffentlich
login.windows.net Microsoft Entra ID Immer Öffentlich
login.microsoftonline.com Microsoft Entra ID Immer Öffentlich
*.login.microsoft.com Microsoft Entra ID Immer Öffentlich
management.azure.com Azure Resource Manager: Zum Erstellen oder Löschen der Arc-Serverressource Beim Verbinden oder Trennen eines Servers nur Öffentlich, es sei denn, dass eine private Ressourcenmanagementverbindung ebenfalls konfiguriert ist.
*.his.arc.azure.com Metadaten- und Hybrididentitätsdienste Immer Privat
*.guestconfiguration.azure.com Erweiterungs- und Gastkonfigurationsdienste Immer Privat
www.microsoft.com/pkiops/certs Zwischenzertifikatupdates für ESUs (Hinweis: verwendet HTTP/TCP 80 und HTTPS/TCP 443) Immer für automatische Updates oder vorübergehend, wenn Zertifikate manuell heruntergeladen werden. Öffentlich
*.<region>.arcdataservices.com Azure Arc-Datenverarbeitungsdienst und Diensttelemetrie. SQL Server-ESUs Öffentlich
*.blob.core.windows.net Sql Server-Erweiterungspaket herunterladen SQL Server-ESUs Bei Verwendung einer privaten Verbindung nicht erforderlich

1 Zugriff auf diese URL ist auch erforderlich, wenn Updates automatisch ausgeführt werden.

Tipp

Um das gesamte Angebot für die Arc-fähige Server wie Erweiterungen und Remotekonnektivität zu nutzen, stellen Sie sicher, dass Sie die zusätzlichen URLs zulassen, die für Ihr Szenario gelten. Weitere Informationen finden Sie unter Netzwerkanforderungen für verbundene Computer-Agents.

Erforderliche Zertifizierungsstellen

Die folgenden Zertifizierungsstellen sind für erweiterte Sicherheitsupdates für Windows Server 2012 erforderlich:

Bei Bedarf können diese Zertifizierungsstellen manuell heruntergeladen und installiert werden.

Nächste Schritte