Vorbereiten der Bereitstellung erweiterter Sicherheitsupdates für Windows Server 2012

2025-04-24

Mit Windows Server 2012 und Windows Server 2012 R2, bei denen seit dem 10. Oktober 2023 keinen Support mehr gibt, können Sie mit Azure Arc-fähigen Servern Ihre vorhandenen Windows Server 2012/2012 R2-Computer unter Erweiterte Sicherheitsupdates (ESUs)registrieren. Azure Arc bietet sowohl Kostenflexibilität als auch eine verbesserte Bereitstellungserfahrung; so können Sie leichter zu Azure migrieren.

Dieser Artikel dient zum Verständnis der Vorteile und wie man sich zur Anwendung von Arc-fähigen Servern vorbereitet, um die Bereitstellung von ESUs zu ermöglichen.

Hinweis

Azure VMware Solutions (AVS)-Computer sind für kostenlose ESUs berechtigt und sollten sich nicht für ESUs registrieren, die über Azure Arc aktiviert sind.

Wesentliche Vorteile

Die Bereitstellung von ESUs auf Ihren Windows Server 2012/2012 R2-Computern bietet folgende wichtige Vorteile:

Pay-as-you-go: Flexibilität beim Registrieren für einen monatlichen Abonnementdienst mit der Möglichkeit, Mitte Jahr zu migrieren.
Azure in Rechnung gestellt: Sie können Ihre Kosten aus Ihrem vorhandenen Microsoft Azure-Verbrauchsverpflichtung (MACC) ziehen und mithilfe von Microsoft Cost Management und Billinganalysieren.
Integriertes Inventar: Der Abdeckungs- und Registrierungsstatus von Windows Server 2012/2012 R2 ESUs auf berechtigten Arc-fähigen Servern werden im Azure-Portal identifiziert, wobei Lücken und Statusänderungen hervorgehoben werden.
Schlüssellose Zustellung: Die Registrierung von ESUs auf den Azure Arc-fähigen Windows Server 2012/2012 R2-Computern erfordert weder den Erwerb noch die Aktivierung von Schlüsseln.

Zugriff auf Azure-Dienste

Für Azure Arc-fähige Server, die in Azure-fähigen WS2012 ESUs registriert sind, wird der kostenlose Zugriff auf die Azure-Dienste ab dem 10. Oktober 2023 gewährt:

Azure Update Manager – Einheitliche Verwaltung und Governance der Updatecompliance, die nicht nur Azure- und Hybridcomputer umfasst, sondern auch ESU-Updatecompliance für alle Windows Server 2012/2012 R2-Computer. Die Registrierung in ESUs wirkt sich nicht auf Azure Update Manager aus. Nach der Registrierung in ESUs über Azure Arc ist der Server für ESU-Patches berechtigt. Diese Patches können über Azure Update Manager oder eine andere Patchlösung geliefert werden. Sie werden weiterhin Updates von Microsoft Updates oder Windows Server Update Services konfigurieren müssen.
Änderungsnachverfolgung und Bestand – Nachverfolgen von Änderungen auf virtuellen Computern, die in Azure, lokal und in anderen Cloudumgebungen gehostet werden.
Azure Policy Guest Configuration – Überwachen sie die Konfigurationseinstellungen auf einem virtuellen Computer. Die Gastkonfiguration unterstützt Azure-VMs nativ sowie physische und virtuelle Nicht-Azure-Server über Server mit Azure Arc-Unterstützung.

Andere Azure-Dienste über Azure Arc-fähige Server sind ebenfalls verfügbar, mit Angeboten wie:

Microsoft Defender für Cloud – Im Rahmen der Cloud Security Posture Management (CSPM)-Säule bietet es Serverschutz über Microsoft Defender für Server, um Sie vor verschiedenen Cyberbedrohungen und Sicherheitsrisiken zu schützen.
Verwenden Sie Microsoft Sentinel, um sicherheitsrelevante Ereignisse zu erfassen und sie mit anderen Datenquellen zu korrelieren.

Vorbereiten der Übermittlung von ESUs

Planen Sie das Verbinden Ihrer Computer auf Azure Arc-fähigen Servern über die Installation des Azure Connected Machine-Agents (Version 1.34 oder höher), um eine Verbindung mit Azure herzustellen.

Nach dem Herstellen dieser Verbindung können Sie Ihre Server registrieren, um erweiterte Sicherheitsupdates (EXTENDED Security Updates, ESUs) zu erhalten. Erweiterte Sicherheitsupdates für Windows Server 2012 unterstützen Windows Server 2012- und R2 Standard- und Datacenter-Editionen. Windows Server 2012 Storage wird nicht unterstützt.

Es wird empfohlen, Ihre Computer in Azure Arc bereitzustellen und sie für die zugehörigen Azure-Dienste vorzubereiten, die unterstützte Funktionen zum Verwalten von ESU liefern. Sobald diese Computer in Azure Arc-fähige Server integriert sind, haben Sie einen Überblick über ihre ESU-Abdeckung und Registrierung über das Azure-Portal oder die Verwendung von Azure-Richtlinien. Die Abrechnung für diesen Dienst beginnt ab Oktober 2023 (d. h. nach Dem Ende des Supports für Windows Server 2012).

Hinweis

Um ESUs zu erwerben, müssen Sie über Volumenlizenzprogramme wie einen Enterprise Agreement (EA), ein Enterprise Agreement-Abonnement (EAS), Registrierung für Education Solutions (EES), Server- und Cloudregistrierung (SCE) oder über Microsoft Open Value Programs verfügen. Wenn Ihre Windows Server 2012/2012 R2-Computer über SPLA oder mit einem Serverabonnement lizenziert sind, muss Software Assurance keine ESUs erwerben.
Laden Sie sowohl das Lizenzierungspaket als auch das Wartungsstapelupdate (SSU) für den Azure Arc-fähigen Server herunter, wie unter KB5031043 dokumentiert: Verfahren, um weiterhin Sicherheitsupdates zu erhalten, nachdem der erweiterte Support am 10. Oktober 2023 beendet wurde.

Bereitstellungsoptionen

Es gibt mehrere Onboardingoptionen für Azure Arc-fähige Server:

Führen Sie eine benutzerdefinierte Tasksequenz über Configuration Manager aus.
Bereitstellen einer geplanten Aufgabe über Gruppenrichtlinien.
Verwenden Sie VMware vCenter verwaltete VMs über Azure Arc.
Verwenden Sie scVMM-verwaltete VMs über Azure Arc.

Hinweis

Es wird nicht empfohlen, die ESUs über Azure Arc den virtuellen Computern zuzuliefern, die auf Virtual Desktop Infrastructure (VDI) laufen. VDI-Systeme sollten Multiple Aktivierungsschlüssel (MAK) verwenden, um ESUs anzuwenden. Weitere Informationen finden Sie unter Zugreifen auf Ihren Mehrfachaktivierungsschlüssel über das Microsoft 365-Admin Center.

Netzwerk

Stellen Sie sicher, dass Ihre Computer über die erforderliche Netzwerkkonnektivität mit Azure Arc verfügen. Zu den Konnektivitätsoptionen gehören:

Öffentlicher Endpunkt
Proxyserver
Privater Link oder Azure Express Route.

Überprüfen Sie die Netzwerkvoraussetzungen, um die Nicht-Azure-Umgebungen für die Bereitstellung in Azure Arc vorzubereiten.

Wenn Sie Azure Arc-fähige Server nur für erweiterte Sicherheitsupdates für eins oder beide der folgenden Produkte verwenden:

Windows Server 2012
SQL Server 2012

Sie können die folgende Teilmenge von Endpunkten aktivieren:

Agent-Ressource	Beschreibung	Wenn erforderlich	Endpunkt, der mit einem privaten Link verwendet wird
`download.microsoft.com`	Wird zum Herunterladen des Windows-Installationspakets verwendet.	Zur Installationszeit nur ¹	Öffentlich
`login.windows.net`	Microsoft Entra ID	Immer	Öffentlich
`login.microsoftonline.com`	Microsoft Entra ID	Immer	Öffentlich
`*.login.microsoft.com`	Microsoft Entra ID	Immer	Öffentlich
`management.azure.com`	Azure Resource Manager: Zum Erstellen oder Löschen der Arc-Serverressource	Beim Verbinden oder Trennen eines Servers nur	Öffentlich, es sei denn, dass eine private Ressourcenmanagementverbindung ebenfalls konfiguriert ist.
`*.his.arc.azure.com`	Metadaten- und Hybrididentitätsdienste	Immer	Privat
`*.guestconfiguration.azure.com`	Erweiterungs- und Gastkonfigurationsdienste	Immer	Privat
`www.microsoft.com/pkiops/certs`	Zwischenzertifikatupdates für ESUs (Hinweis: verwendet HTTP/TCP 80 und HTTPS/TCP 443)	Immer für automatische Updates oder vorübergehend, wenn Zertifikate manuell heruntergeladen werden.	Öffentlich
`*.<region>.arcdataservices.com`	Azure Arc-Datenverarbeitungsdienst und Diensttelemetrie.	SQL Server-ESUs	Öffentlich
`*.blob.core.windows.net`	Sql Server-Erweiterungspaket herunterladen	SQL Server-ESUs	Bei Verwendung einer privaten Verbindung nicht erforderlich

¹ Zugriff auf diese URL ist auch erforderlich, wenn Updates automatisch ausgeführt werden.

Ressource des Agenten	Beschreibung	Wenn erforderlich	Endpunkt, der mit privater Verbindung verwendet wird
`download.microsoft.com`	Wird zum Herunterladen des Windows-Installationspakets verwendet.	Zur Installationszeit nur ¹	Öffentlich
`login.microsoftonline.us`	Microsoft Entra ID	Immer	Öffentlich
`management.usgovcloudapi.net`	Azure Resource Manager: Zum Erstellen oder Löschen der Arc-Serverressource	Beim Verbinden oder Trennen eines Servers nur	Öffentlich, es sei denn, dass auch eine private Verbindung für das Ressourcenmanagement konfiguriert ist.
`*.his.arc.azure.us`	Metadaten- und Hybrididentitätsdienste	Immer	Privat
`*.guestconfiguration.azure.us`	Erweiterungs- und Gastkonfigurationsdienste	Immer	Privat
`www.microsoft.com/pkiops/certs`	Zwischenzertifikatupdates für ESUs (Hinweis: verwendet HTTP/TCP 80 und HTTPS/TCP 443)	Immer für automatische Updates oder vorübergehend, wenn Zertifikate manuell heruntergeladen werden.	Öffentlich
`*.blob.core.usgovcloudapi.net`	Sql Server-Erweiterungspaket herunterladen	SQL Server-ESUs	Bei Verwendung einer privaten Verbindung nicht erforderlich

¹ Zugriff auf diese URL ist auch erforderlich, wenn Updates automatisch ausgeführt werden.

Tipp

Um das gesamte Angebot für die Arc-fähige Server wie Erweiterungen und Remotekonnektivität zu nutzen, stellen Sie sicher, dass Sie die zusätzlichen URLs zulassen, die für Ihr Szenario gelten. Weitere Informationen finden Sie unter Netzwerkanforderungen für verbundene Computer-Agents.

Erforderliche Zertifizierungsstellen

Die folgenden Zertifizierungsstellen sind für erweiterte Sicherheitsupdates für Windows Server 2012 erforderlich:

Bei Bedarf können diese Zertifizierungsstellen manuell heruntergeladen und installiert werden.

Nächste Schritte

Erfahren Sie mehr über die Planung für das Ende des Supports von Windows Server und SQL Server und den Erhalt von erweiterten Sicherheitsupdates.
Erfahren Sie mehr über bewährte Methoden und Entwurfsmuster mit dem Azure Arc Landezonen-Accelerator für hybride und Multicloud-Umgebungen.
Erfahren Sie mehr über Arc-fähige Server und wie sie mit Azure über den Azure Connected Machine-Agent arbeiten.
Erkunden Sie Optionen zum Onboarding Ihrer Computer auf Azure Arc-fähigen Servern.