Actualizaciones de seguridad ampliada para Windows Server 2012

  • Artículo

En este artículo se proporcionan pasos para habilitar la entrega de actualizaciones de seguridad extendidas (SU) a las máquinas de Windows Server 2012 incorporadas a servidores habilitados para Arc. Puede habilitar ESU en estas máquinas individualmente o a escala.

Antes de empezar

Planee y prepare la incorporación de máquinas a servidores habilitados para Azure Arc. Consulte Preparar para entregar actualizaciones de seguridad extendidas para Windows Server 2012 para obtener más información.

También necesitará el rol Colaborador en RBAC de Azurepara crear y asignar ESU a servidores habilitados para Arc.

Administración de licencias de ESU

  1. En el explorador, inicie sesión en Azure Portal.

  2. En la página Azure Arc, seleccione Actualizaciones de seguridad extendidas en el panel izquierdo.

    Captura de pantalla de la ventana principal de ESU, que muestra la pestaña de licencias y la pestaña de recursos disponibles.

    Desde aquí, puede ver y crear licencias de ESU y ver recursos aptos para ESU.

Nota:

Al ver todos los servidores habilitados para Arc desde la página Servidores, un banner especifica cuántos equipos Windows 2012 son aptos para las ESU. Después, puede seleccionar Ver servidores en Actualizacionesde seguridad extendidas para ver una lista de recursos que son aptos para ESU, junto con las máquinas ya habilitadas para ESU.

Creación de licencias de Azure Arc WS2012

El primer paso es aprovisionar licencias de Actualización de seguridad extendida de Windows Server 2012 y 2012 R2 desde Azure Arc. Estas licencias se vinculan a uno o varios servidores habilitados para Arc que seleccione en la sección siguiente.

Después de aprovisionar una licencia ESU, debe especificar la SKU (Estándar o Centro de datos), el tipo de núcleos (físico o núcleo virtual) y el número de paquetes de 16 núcleos y 2 núcleos para aprovisionar una licencia de ESU. También puede aprovisionar una licencia de actualización de seguridad extendida en un estado desactivado para que no inicie la facturación ni funcione en la creación. Además, los núcleos asociados a la licencia se pueden modificar después del aprovisionamiento.

Nota:

El aprovisionamiento de licencias de ESU requiere que atestigua su cobertura de SA o SPLA.

La pestaña Licencias muestra las licencias de Azure Arc WS2012 disponibles. Desde aquí, puede seleccionar una licencia existente para aplicar o crear una nueva licencia.

Captura de pantalla que muestra las licencias existentes.

  1. Para crear una nueva licencia WS2012, seleccione Creary proporcione la información necesaria para configurar la licencia en la página.

    Para obtener más información sobre cómo completar este paso, consulte Directrices de aprovisionamiento de licencias para actualizaciones de seguridad extendidas para Windows Server 2012.

  2. Revise la información que se ha proporcionado y, a continuación, seleccione Crear.

    La licencia que creó aparece en la lista y puede vincularla a uno o varios servidores habilitados para Arc siguiendo los pasos de la siguiente sección.

    Captura de pantalla de la pestaña de licencias que muestra la licencia recién creada en la lista.

Puede seleccionar uno o varios servidores habilitados para Arc para vincular a una licencia de actualización de seguridad extendida. Una vez que haya vinculado un servidor a una licencia ESU activada, el servidor podrá recibir ESU de Windows Server 2012 y 2012 R2.

Nota:

Tiene la flexibilidad de configurar la solución de aplicación de revisiones que prefiera para recibir estas actualizaciones, ya sea Update Manager, Windows Server Update Services, Microsoft Updates, Microsoft Endpoint Configuration Managero una solución de administración de revisiones de terceros.

  1. Seleccione la pestaña Recursos aptos para ver una lista de todos los servidores habilitados para Arc que ejecutan Windows Server 2012 y 2012 R2.

    Captura de pantalla de la pestaña de recursos disponibles que muestra los servidores aptos para recibir ESU.

    La columna de estado de LAS ESU indica si la máquina está habilitada o no.

  2. Para habilitar ESU para una o varias máquinas, selecciónelas en la lista y, a continuación, seleccione Habilitar ESU.

  3. En la página Habilitar actualizaciones de seguridad ampliadas, se muestra el número de máquinas seleccionadas para habilitar ESU y las licencias WS2012 disponibles para aplicar. Seleccione una licencia para vincular a las máquinas seleccionadas y, a continuación, seleccione Habilitar.

    Captura de pantalla de la ventana para seleccionar la licencia que se va a aplicar a las máquinas elegidas anteriormente.

    Nota:

    También puede crear una licencia desde esta página seleccionando Crear una licencia de ESU.

El estado de las máquinas seleccionadas cambia a Habilitado.

Captura de pantalla de la pestaña recursos disponibles que muestra el estado de habilitado para los servidores seleccionados anteriormente.

Si se produce algún problema durante el proceso de habilitación, consulte Solución de problemas de entrega de actualizaciones de seguridad extendidas para Windows Server 2012 para obtener ayuda.

Azure Policy a escala

Para la vinculación a escala de servidores a una licencia de actualización de seguridad extendida de Azure Arc y bloqueo de la modificación o creación de licencias, tenga en cuenta el uso de las siguientes directivas integradas de Azure:

Las directivas de Azure se pueden especificar en una suscripción o grupo de recursos de destino para escenarios de auditoría y administración.

Otros escenarios

Hay algunos escenarios en los que puede optar para recibir revisiones de actualizaciones de seguridad extendidas sin costo adicional. Dos de estos escenarios admitidos por Azure Arc son (1) Desarrollo/pruebas (Visual Studio) y (2) Recuperación ante desastres (con derecho a instancias de recuperación ante desastres solo de Software Assurance o por suscripción). Ambos escenarios requieren que el cliente ya use ESU de Windows Server 2012/R2 habilitadas por Azure Arc para máquinas de producción facturables.

Advertencia

No cree una licencia de ESU de Windows Server 2012/R2 solo para cargas de trabajo de Desarrollo/pruebas o recuperación ante desastres. No debe aprovisionar una licencia ESU solo para cargas de trabajo no facturables. Además, se le facturarán íntegramente todos los núcleos aprovisionados con una licencia ESU, y los núcleos de desarrollo/pruebas de la licencia no se facturarán siempre y cuando se etiqueten según las siguientes calificaciones.

Para calificar para estos escenarios, ya debe tener:

  • Licencia de ESU facturable. Ya debe haber aprovisionado y activado una licencia de ESU de WS2012 Arc destinada a estar vinculada a servidores normales habilitados para Azure Arc que se ejecutan en entornos de producción (es decir, escenarios de ESU facturados normalmente). Esta licencia solo debe aprovisionarse para núcleos facturables, no para núcleos que sean aptos para actualizaciones de seguridad extendidas gratuitas, por ejemplo, núcleos de desarrollo/pruebas.

  • Servidores habilitados para Arc. Ha incorporado las máquinas Windows Server 2012 y Windows Server 2012 R2 a los servidores habilitados para Azure Arc con el fin de Desarrollo/pruebas con suscripciones de Visual Studio o recuperación ante desastres.

Para inscribir servidores habilitados para Azure Arc aptos para ESU sin costo adicional, siga estos pasos para etiquetar y vincular:

  1. Etiquete la licencia ESU de WS2012 Arc (creada para el entorno de producción con núcleos solo para los servidores de entorno de producción) y los servidores habilitados para Azure Arc que no sean de producción con uno de los siguientes pares nombre-valor, correspondientes a la excepción adecuada:

    1. Nombre: "Uso de ESU"; Valor: "WS2012 VISUAL STUDIO DEV TEST”

    2. Nombre: "Uso de ESU"; Valor: "RECUPERACIÓN ANTE DESASTRES WS2012”

    En caso de que use la licencia de ESU para varios escenarios de excepción, marque la licencia con la etiqueta: Name: "Uso de ESU"; Valor: "WS2012 MULTIPURPOSE”

  2. Vincule la licencia etiquetada (creada para el entorno de producción solo con núcleos para los servidores de entorno de producción) a las máquinas con Windows Server 2012 y Windows Server 2012 R2 etiquetadas que no son de producción de Azure Arc. No conceda licencias de núcleos para estos servidores ni cree una nueva licencia de ESU solo para estos servidores.

Esta vinculación no desencadenará una infracción de cumplimiento ni un bloque de cumplimiento, lo que le permite ampliar la aplicación de una licencia más allá de sus núcleos aprovisionados. La expectativa es que la licencia solo incluya núcleos para servidores facturados y de producción. Los núcleos adicionales se cobrarán y darán lugar a una facturación excesiva.

Importante

Agregar estas etiquetas a su licencia NO hará que la licencia sea gratuita ni reducirá el número de núcleos de licencia facturables. Estas etiquetas permiten vincular las máquinas de Azure a las licencias existentes que ya están configuradas con núcleos de pago sin necesidad de crear licencias nuevas o agregar núcleos adicionales a las máquinas gratuitas.

Ejemplo:

  • Tiene 8 instancias de Windows Server 2012 R2 estándar, cada una con 8 núcleos físicos. Seis de estas máquinas Windows Server 2012 R2 Estándar son para producción y dos de estas máquinas Windows Server 2012 R2 Estándar son aptas para ESU gratuitas porque se otorgó licencia para el sistema operativo a través de la suscripción de Prueba de desarrollo de Visual Studio.
    • Primero debe aprovisionar y activar una licencia de ESU normal para Windows Server 2012/R2 que es una edición Estándar y tiene 48 núcleos físicos para cubrir las 6 máquinas de producción. Debe vincular esta licencia de ESU de producción normal a los 6 servidores de producción.
    • A continuación, debe reusar esta licencia existente, no agregar más núcleos ni aprovisionar una licencia independiente, y vincular esta licencia a las 2 máquinas Estándar de Windows Server 2012 R2 que no sean de producción. Debe etiquetar la licencia ESU y las 2 máquinas Estándar de Windows Server 2012 R2 que no son de producción con el nombre: "Uso de ESU" y Valor: "WS2012 VISUAL STUDIO DEV TEST".
    • Esto dará lugar a una licencia de ESU para 48 núcleos y se le facturarán esos 48 núcleos. No se le cobrarán los 16 núcleos adicionales de los servidores de pruebas de desarrollo que agregó a esta licencia, siempre que la licencia de ESU y los recursos del servidor de pruebas de desarrollo se etiqueten correctamente.

Nota:

Para empezar, necesita una licencia de producción normal y sólo se le facturarán los núcleos de producción.

Actualización desde Windows Server 2012/2012 R2

Al actualizar una máquina Windows Server 2012/2012R a Windows Server 2016 o superior, no es necesario quitar el agente de Connected Machine de la máquina. El nuevo sistema operativo estará visible para la máquina en Azure en unos minutos después de la finalización de la actualización. Las máquinas actualizadas ya no requieren ESU y ya no son aptas para ellas. Cualquier licencia de ESU asociada a la máquina no se desvincula automáticamente de la máquina. Consulte Desvincular una licencia para obtener instrucciones sobre cómo hacerlo manualmente.

Evaluar el estado de revisión ESU de WS2012

Para detectar si los servidores habilitados para Azure Arc están revisados con las actualizaciones de seguridad ampliada de Windows Server 2012/R2 más recientes, puede usar las Azure Policy Las actualizaciones de seguridad ampliada deben instalarse en máquinas Windows Server 2012 con Arc: Microsoft Azure. Esta Azure Policy, con tecnología de configuración de máquina, identifica si el servidor ha recibido las revisiones ESU más recientes. Esto se puede observar desde las vistas de asignación de invitados y cumplimiento de Azure Policy integradas en Azure Portal.