Preparación de la entrega de actualizaciones de seguridad extendidas para Windows Server 2012
Con Windows Server 2012 y Windows Server 2012 R2 que han alcanzado la etapa de finalización del soporte técnico el 10 de octubre de 2023, los servidores habilitados para Azure Arc le permiten inscribir sus máquinas existentes de Windows Server 2012/2012 R2 en actualizaciones de seguridad extendidas (ESU). Azure Arc, que ofrece flexibilidad de costos y una experiencia de entrega mejorada, le posiciona mejor para migrar a Azure.
El propósito de este artículo es ayudarle a conocer las ventajas y prepararse para usar servidores habilitados para Arc para habilitar la entrega de ESU.
Nota:
Las máquinas de Azure VMware Solutions (AVS) son aptas para las ESU gratuitas y no deben inscribirse en las ESU habilitadas mediante Azure Arc.
Ventajas principales
La entrega de ESU a las máquinas con Windows Server 2012/2012 R2 ofrece las siguientes ventajas clave:
Pago por uso: flexibilidad para suscribirse a un servicio de suscripción mensual con la posibilidad de migrar a mediados del año.
Facturación de Azure: puede usar el compromiso de consumo de Microsoft Azure (MACC) existente y analizar los costos mediante Microsoft Cost Management + Billing.
Inventario integrado: la cobertura y el estado de inscripción de las ESU de Windows Server 2012/2012 R2 en servidores habilitados para Arc aptos se identifican en Azure Portal, lo que resalta los cambios de intervalos y de estado.
Entrega sin claves: la inscripción de ESU en máquinas Windows Server 2012/2012 R2 habilitadas para Azure Arc no requerirá la adquisición ni activación de claves.
Acceso a servicios de Azure
En el caso de los servidores habilitados para Azure Arc inscritos en las ESU de WS2012 habilitadas para Azure Arc, se proporciona acceso gratuito a estos servicios de Azure desde el 10 de octubre de 2023:
- Azure Update Manager: administración unificada y gobernanza del cumplimiento en las actualizaciones que incluye no solo a Azure y a máquinas híbridas, sino también el cumplimiento con las actualizaciones de ESU en todas las máquinas Windows Server 2012/2012 R2. La inscripción en ESU no afecta a Azure Update Manager. Después de la inscripción en ESU mediante Azure Arc, el servidor se convierte en apto para la aplicación de revisiones de ESU. Estas revisiones se pueden entregar mediante Azure Update Manager o cualquier otra solución de aplicación de revisiones. Seguirá siendo necesario configurar las actualizaciones en Microsoft Updates o Windows Server Update Services.
- Seguimiento de cambios e inventario de Azure Automation: realice un seguimiento de los cambios en las máquinas virtuales hospedadas en Azure, el entorno local y otros entornos en la nube.
- Configuración de invitado de Azure Policy: audite las opciones de configuración de una máquina virtual. La configuración de invitado admite máquinas virtuales de Azure de forma nativa y que no son servidores físicos y virtuales de Azure a través de servidores habilitados para Azure Arc.
Otros servicios de Azure mediante servidores habilitados para Azure Arc también están disponibles, con ofertas como:
- Microsoft Defender for Cloud: como parte del pilar de administración de la posición de seguridad en la nube (CSPM), proporciona protecciones de servidor mediante Microsoft Defender para servidores para ayudarle a protegerse de varias amenazas y vulnerabilidades cibernéticas.
- Microsoft Sentinel: Recopilar eventos relacionados con la seguridad y ponerlos en correlación con otros orígenes de datos.
Preparación de la entrega de ESU
Planee y prepare la incorporación de máquinas a servidores habilitados para Azure Arc mediante la instalación del agente de Azure Connected Machine (versión 1.34 o posteriores) para establecer una conexión a Azure. Las actualizaciones de seguridad extendidas de Windows Server 2012 admiten las ediciones Windows Server 2012 y R2 Standard y Datacenter. No se admite el almacenamiento de Windows Server 2012.
Se recomienda implementar las máquinas en Azure Arc como preparación para cuando los servicios de Azure relacionados ofrezcan funcionalidad compatible para administrar ESU. Una vez que estas máquinas se incorporen a los servidores habilitados para Azure Arc, tendrá visibilidad sobre su cobertura e inscripción de ESU mediante Azure Portal o Azure Policy. La facturación de este servicio comienza a partir de octubre de 2023 (es decir, después del fin del soporte técnico de Windows Server 2012).
Nota:
Para adquirir ESU, debe disponer de Software Assurance a través de programas de licencias por volumen como Contrato Enterprise (EA), Suscripción al Contrato Enterprise (EAS), Inscripción para soluciones educativas (EES) o Inscripción en servidores y en la nube (SCE) o mediante los programas abiertos de valores de Microsoft. Alternativamente, si sus máquinas Windows Server 2012/2012 R2 tienen licencia a través de SPLA o con una suscripción de servidor, Software Assurance no es necesario para comprar ESU.
También debe descargar tanto el paquete de licencias como la actualización de la pila de mantenimiento (SSU) para el servidor habilitado para Azure Arc como se documenta en KB5031043: Procedimiento para seguir recibiendo actualizaciones de seguridad después de que el soporte extendido haya finalizado el 10 de octubre de 2023.
Opciones de implementación
Hay varias opciones de incorporación a gran escala de los servidores habilitados para Azure Arc, incluida la ejecución de una secuencia de tareas personalizada mediante Configuration Manager y la implementación de una tarea programada mediante una directiva de grupo. También hay opciones de entrega de ESU a escala para máquinas virtuales administradas de VMware vCenter y máquinas virtuales administradas de SCVMM a través de Azure Arc.
Nota:
No se recomienda la entrega de ESU a través de Azure Arc a máquinas virtuales que se ejecuten en la infraestructura de escritorio virtual (VDI). Los sistemas VDI deben usar claves de activación múltiple (MAK) para aplicar ESU. Consulte Acceso a la clave de activación múltiple desde el Centro de administración de Microsoft 365 para obtener más información.
Redes
Entre las opciones de conectividad se incluyen el punto de conexión público, el servidor proxy y el vínculo privado o Azure Express Route. Revise los requisitos previos de red para preparar entornos que no sean de Azure para la implementación en Azure Arc.
Si usa servidores habilitados para Azure Arc solo para actualizaciones de seguridad extendidas para cualquiera de los siguientes productos:
- Windows Server 2012
- SQL Server 2012
Puede habilitar el siguiente subconjunto de puntos de conexión:
| Recurso del agente | Descripción | Cuándo es necesario | Punto de conexión que se usa con un vínculo privado |
|---|---|---|---|
aka.ms |
Se usa para resolver el script de descarga durante la instalación | Solo en el momento de la instalación | Public |
download.microsoft.com |
Se usa para descargar el paquete de instalación de Windows | Solo en el momento de la instalación | Public |
login.windows.net |
Microsoft Entra ID | Siempre | Public |
login.microsoftonline.com |
Microsoft Entra ID | Siempre | Public |
*login.microsoft.com |
Microsoft Entra ID | Siempre | Public |
management.azure.com |
Azure Resource Manager: para crear o eliminar el recurso del servidor de Arc | Solo al conectar o desconectar un servidor | Público, a menos que se configure también un vínculo privado de administración de recursos |
*.his.arc.azure.com |
Metadatos y servicios de identidad híbridos | Siempre | Privada |
*.guestconfiguration.azure.com |
Servicios de administración de extensiones y configuración de invitado | Siempre | Privada |
www.microsoft.com/pkiops/certs |
Actualizaciones intermedias de certificados para ESU (nota: usa HTTP/TCP 80 y HTTPS/TCP 443) | Siempre para las actualizaciones automáticas, o temporalmente, si se descargan los certificados manualmente. | Público |
*.<region>.arcdataservices.com |
Telemetría de servicio y servicio de procesamiento de datos de Azure Arc. | ESU de SQL Server | Público |
*.blob.core.windows.net |
Descarga del paquete de extensión de Sql Server | ESU de SQL Server | No es necesario si se usa Private Link |
Sugerencia
Para aprovechar la gama completa de ofertas para servidores habilitados para Arc, como extensiones y conectividad remota, asegúrese de que permite las direcciones URL adicionales aplicables a su escenario. Para más información, consulte Requisitos de red del agente de la máquina conectada.
Entidades de certificación necesarias
Las siguientes entidades de certificación son necesarias para las actualizaciones de seguridad extendidas para Windows Server 2012:
- Microsoft Azure RSA TLS Issuing CA 03
- Microsoft Azure RSA TLS Issuing CA 04
- Microsoft Azure RSA TLS Issuing CA 07
- Microsoft Azure RSA TLS Issuing CA 08
Si es necesario, estas entidades de certificación se pueden descargar e instalar manualmente.
Pasos siguientes
Obtenga más información sobre cómo planear el fin del soporte técnico de Windows Server y SQL Server y obtener actualizaciones de seguridad extendidas.
Obtenga información sobre los procedimiento recomendado y los patrones de diseño a través del acelerador de la zona de aterrizaje de Azure Arc en entornos híbrido y multi nube.
Obtenga más información sobre los servidores habilitados para Arc y cómo funcionan con Azure a través del agente de Azure Connected Machine.
Explore las opciones para incorporar las máquinas a servidores habilitados para Azure Arc.