Compartir a través de

Actualizaciones de seguridad ampliada para Windows Server 2012

En este artículo se proporcionan pasos para habilitar la entrega de actualizaciones de seguridad extendidas (SU) a las máquinas de Windows Server 2012 incorporadas a servidores habilitados para Arc. Puede habilitar ESU en estas máquinas individualmente o a escala.

Antes de empezar

Planee y prepare la incorporación de máquinas a servidores habilitados para Azure Arc. Consulte Preparar para entregar actualizaciones de seguridad extendidas para Windows Server 2012 para obtener más información.

También necesitará el rol Colaborador en Azure RBAC para crear y asignar ESU a servidores habilitados para Arc.

Administración de licencias de ESU

  1. En el explorador, inicie sesión en Azure Portal.

  2. En el menú servicio, en Licencias, seleccione Licencias de ESU de Windows Server.

    Captura de pantalla de la ventana principal de ESU, que muestra la pestaña de licencias y la pestaña de recursos disponibles.

    Desde aquí, puede ver y crear licencias de ESU y ver recursos aptos para ESU.

Creación de licencias de Windows Server 2012 de Azure Arc

El primer paso es aprovisionar licencias de Actualización de seguridad extendida de Windows Server 2012 y 2012 R2 desde Azure Arc. Estas licencias se vinculan a uno o varios servidores habilitados para Arc que seleccione en la sección siguiente.

Después de aprovisionar una licencia de ESU, debe especificar la SKU (Estándar o Centro de datos), el tipo de núcleos (físico o núcleo virtual) y el número de núcleos para aprovisionar una licencia de ESU. También puede aprovisionar una licencia de Actualización de seguridad ampliada en un estado desactivado para que no inicie la facturación ni funcione en la creación. Además, los núcleos asociados a la licencia se pueden modificar después del aprovisionamiento.

Nota:

El aprovisionamiento de licencias de ESU requiere que atestigua su cobertura de SA o SPLA.

En la pestaña Licencias se muestran las licencias de Windows Server 2012 de Azure Arc que están disponibles. Desde aquí, puede seleccionar una licencia existente para aplicar o crear una nueva licencia.

Captura de pantalla que muestra las licencias existentes y la opción para crear una nueva.

  1. Para crear una nueva licencia de Windows Server 2012, seleccione Crear y proporcione la información necesaria para configurar la licencia en la página.

    Para obtener más información sobre cómo completar este paso, consulte Directrices de aprovisionamiento de licencias para actualizaciones de seguridad extendidas para Windows Server 2012.

  2. Revise la información que se ha proporcionado y, a continuación, seleccione Crear.

    La licencia que creó aparece en la lista. Puede vincularlo a uno o varios servidores habilitados para Arc siguiendo los pasos de la sección siguiente.

Puede seleccionar uno o varios servidores habilitados para Arc para vincular a una licencia de actualización de seguridad extendida. Una vez que vincule un servidor a una licencia ESU activada, el servidor puede recibir las ESU de Windows Server 2012 y 2012 R2.

Nota:

Tiene la flexibilidad de configurar la solución de aplicación de revisiones que prefiera para recibir estas actualizaciones, ya sea Update Manager, Windows Server Update Services, Microsoft Updates, Microsoft Endpoint Configuration Managero una solución de administración de revisiones de terceros.

  1. Seleccione la pestaña Recursos aptos para ver una lista de todos los servidores habilitados para Arc que ejecutan Windows Server 2012 y 2012 R2.

    Captura de pantalla de la pestaña de recursos disponibles que muestra los servidores aptos para recibir ESU.

    La columna estado de los ESUs indica si la máquina está habilitada o no para los ESUs.

  2. Para habilitar ESU para una o varias máquinas, selecciónelas en la lista y, a continuación, seleccione Habilitar ESU.

  3. En el panel Habilitar actualizaciones de seguridad extendidas , se muestra el número de máquinas seleccionadas para habilitar ESU y las licencias de Windows Server 2012 disponibles para aplicar. Seleccione una licencia para vincular a las máquinas seleccionadas y, a continuación, seleccione Habilitar.

    Captura de pantalla de las opciones para seleccionar la licencia que se va a aplicar a las máquinas elegidas anteriormente.

    Nota:

    Puede crear una licencia desde esta página, en lugar de elegir una existente, seleccionando Crear una licencia de ESU.

Cuando vuelva a la pestaña Recursos aptos , verá que el estado de las máquinas seleccionadas muestra Habilitado.

Si se producen problemas durante el proceso de habilitación, consulte Solución de problemas de entrega de actualizaciones de seguridad extendidas para Windows Server 2012 para obtener ayuda.

Habilitación de ESU a escala mediante Azure Policy

Para vincular servidores a escala a una licencia de actualización de seguridad extendida de Azure Arc y bloquear la modificación o creación de licencias, considere la posibilidad de usar las siguientes directivas integradas de Azure:

Las directivas de Azure se pueden especificar en una suscripción o grupo de recursos de destino para escenarios de auditoría y administración.

Otros escenarios

Hay algunos escenarios en los que puede optar para recibir revisiones de actualizaciones de seguridad extendidas sin costo adicional. Dos de estos escenarios admitidos por Azure Arc son Desarrollo/pruebas (Visual Studio) y Recuperación ante desastres (con derecho a instancias de recuperación ante desastres solo de Software Assurance o por suscripción). Ambos escenarios requieren que ya use las ESU de Windows Server 2012/R2 habilitadas por Azure Arc para máquinas de producción facturables.

Advertencia

No cree una licencia de ESU de Windows Server 2012/R2 solo para cargas de trabajo de Desarrollo/pruebas o recuperación ante desastres. No debería aprovisionar una licencia ESU solo para cargas de trabajo no facturables. Además, se le facturarán íntegramente todos los núcleos aprovisionados con una licencia ESU, y los núcleos de desarrollo/pruebas de la licencia no se facturarán siempre y cuando se etiqueten según las siguientes calificaciones.

Para calificar para estos escenarios, ya debe tener:

  • Licencia de ESU facturable. Ya debe haber aprovisionado y activado una licencia de ESU de WS2012 Arc diseñada para vincularse a servidores estándar habilitados para Azure Arc que se ejecutan en entornos de producción (como escenarios de ESU con facturación habitual). Esta licencia solo debe aprovisionarse para núcleos facturables, no para núcleos que sean aptos para actualizaciones de seguridad extendidas gratuitas, por ejemplo, núcleos de desarrollo/pruebas.

  • Servidores habilitados para Arc. Ha incorporado las máquinas Windows Server 2012 y Windows Server 2012 R2 a los servidores habilitados para Azure Arc con el fin de Desarrollo/pruebas con suscripciones de Visual Studio o recuperación ante desastres.

Para inscribir servidores habilitados para Azure Arc aptos para ESU sin costo adicional, siga estos pasos para etiquetar y vincular:

  1. Etiquete la licencia ESU de WS2012 Arc (creada para el entorno de producción con núcleos solo para los servidores de entorno de producción) y los servidores habilitados para Azure Arc que no sean de producción con uno de los siguientes pares nombre-valor, correspondientes a la excepción adecuada:

    1. Nombre: "Uso de ESU"; Valor: "WS2012 VISUAL STUDIO DEV TEST"

    2. Nombre: "Uso de ESU"; Valor: "WS2012 DISASTER RECOVERY"

    En caso de que use la licencia de ESU para varios escenarios de excepción, marque la licencia con la etiqueta: Name: "Uso de ESU"; Valor: "WS2012 MULTIPURPOSE"

  2. Vincule la licencia etiquetada (creada para el entorno de producción solo con núcleos para los servidores de entorno de producción) a las máquinas con Windows Server 2012 y Windows Server 2012 R2 etiquetadas que no son de producción de Azure Arc. No conceda licencias de núcleos para estos servidores ni cree una nueva licencia de ESU solo para estos servidores.

Esta vinculación no desencadenará una infracción de cumplimiento ni un bloque de cumplimiento, lo que le permite ampliar la aplicación de una licencia más allá de sus núcleos aprovisionados. La expectativa es que la licencia solo incluya núcleos para servidores facturados y de producción. Los núcleos adicionales se cobrarán y darán lugar a una facturación excesiva.

Importante

Agregar estas etiquetas a su licencia no hace que la licencia sea gratuita ni reduzca el número de núcleos de licencia que se pueden cobrar. Estas etiquetas permiten vincular las máquinas de Azure a las licencias existentes que ya están configuradas con núcleos de pago sin necesidad de crear licencias nuevas o agregar núcleos adicionales a las máquinas gratuitas.

Ejemplo:

  • Tiene ocho instancias de Windows Server 2012 R2 Standard, cada una con ocho núcleos físicos. Seis de estas máquinas Windows Server 2012 R2 Estándar son para producción y dos de estas máquinas Windows Server 2012 R2 Estándar son aptas para ESU gratuitas porque se otorgó licencia para el sistema operativo a través de la suscripción de Prueba de desarrollo de Visual Studio.
    • Primero debe aprovisionar y activar una licencia de ESU normal para Windows Server 2012/R2 que es una edición Estándar y tiene 48 núcleos físicos para cubrir las 6 máquinas de producción. Debe vincular esta licencia de ESU de producción normal a los seis servidores de producción.
    • A continuación, debe reutilizar esta licencia existente, no agregar más núcleos ni aprovisionar una licencia independiente y vincular esta licencia a las dos máquinas estándar de Windows Server 2012 R2 que no sean de producción. Debe etiquetar la licencia ESU y las dos máquinas estándar de Windows Server 2012 R2 sin producción con el nombre: "Uso de ESU" y Valor: "WS2012 VISUAL STUDIO DEV TEST".
    • Esto da como resultado una licencia de ESU para 48 núcleos y se le facturarán esos 48 núcleos. No se le cobrarán los 16 núcleos adicionales de los servidores de pruebas de desarrollo que agregó a esta licencia, siempre que la licencia de ESU y los recursos del servidor de pruebas de desarrollo se etiqueten correctamente.

Nota:

Para empezar, necesita una licencia de producción normal y sólo se le facturarán los núcleos de producción.

Actualización desde Windows Server 2012/2012 R2

Al actualizar una máquina Windows Server 2012/2012R a Windows Server 2016 o superior, no es necesario quitar el agente de Connected Machine de la máquina. El nuevo sistema operativo estará visible para la máquina en Azure en unos minutos después de la finalización de la actualización. Las máquinas actualizadas ya no requieren ESU y ya no son aptas para ellas. Cualquier licencia de ESU asociada a la máquina no se desvincula automáticamente de la máquina. Consulte Desvincular una licencia para obtener instrucciones sobre cómo hacerlo manualmente.

Evaluar el estado de revisión ESU de WS2012

Para detectar si los servidores habilitados para Azure Arc están parcheados con las actualizaciones de seguridad extendidas más recientes de Windows Server 2012/R2, puede usar la política de Azure Las actualizaciones de seguridad extendidas deben instalarse en máquinas Windows Server 2012 Arc. Esta definición de directiva, con tecnología de Configuración de máquina, identifica si el servidor ha recibido las revisiones de ESU más recientes. Esto es observable desde las vistas de asignación de invitados y cumplimiento de Azure Policy integradas en Azure Portal.