Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Con Windows Server 2012 y Windows Server 2012 R2 que han alcanzado la etapa de finalización del soporte técnico el 10 de octubre de 2023, los servidores habilitados para Azure Arc le permiten inscribir sus máquinas existentes de Windows Server 2012/2012 R2 en actualizaciones de seguridad extendidas (ESU). Azure Arc, que ofrece flexibilidad de costos y una experiencia de entrega mejorada, le posiciona mejor para migrar a Azure.
El propósito de este artículo es ayudarle a conocer las ventajas y prepararse para usar servidores habilitados para Arc para habilitar la entrega de ESU.
Nota:
Las máquinas de Azure VMware Solutions (AVS) son aptas para las ESU gratuitas y no deben inscribirse en las ESU habilitadas mediante Azure Arc.
Ventajas principales
La entrega de ESU a las máquinas con Windows Server 2012/2012 R2 ofrece las siguientes ventajas clave:
Pago por uso: flexibilidad para suscribirse a un servicio de suscripción mensual con la posibilidad de migrar a mediados del año.
Facturación de Azure: Puede extraer datos de su Compromiso de consumo de Microsoft Azure (MACC) existente y analizar sus costos a través de Microsoft Cost Management y Billing.
Inventario integrado: la cobertura y el estado de inscripción de las ESU de Windows Server 2012/2012 R2 en servidores habilitados para Arc aptos se identifican en Azure Portal, lo que resalta los cambios de intervalos y de estado.
Entrega sin claves: la inscripción de ESU en máquinas Windows Server 2012/2012 R2 habilitadas para Azure Arc no requerirá la adquisición ni activación de claves.
Acceso a servicios de Azure
En el caso de los servidores habilitados para Azure Arc inscritos en las ESU de WS2012 habilitadas para Azure Arc, se proporciona acceso gratuito a estos servicios de Azure desde el 10 de octubre de 2023:
- Azure Update Manager: administración unificada y gobernanza del cumplimiento en las actualizaciones que incluye no solo a Azure y a máquinas híbridas, sino también el cumplimiento con las actualizaciones de ESU en todas las máquinas Windows Server 2012/2012 R2. La inscripción en ESU no afecta a Azure Update Manager. Después de la inscripción en ESU mediante Azure Arc, el servidor se convierte en apto para la aplicación de revisiones de ESU. Estas revisiones se pueden entregar mediante Azure Update Manager o cualquier otra solución de aplicación de revisiones. Todavía tendrá que configurar las actualizaciones de Microsoft Updates o Windows Server Update Services.
- Seguimiento de cambios e inventario: realice un seguimiento de los cambios en las máquinas virtuales hospedadas en Azure, el entorno local y otros entornos en la nube.
- Configuración de invitado de Azure Policy: audite las opciones de configuración de una máquina virtual. La configuración de invitado admite máquinas virtuales de Azure de forma nativa y que no son servidores físicos y virtuales de Azure a través de servidores habilitados para Azure Arc.
Otros servicios de Azure mediante servidores habilitados para Azure Arc también están disponibles, con ofertas como:
- Microsoft Defender for Cloud: como parte del pilar de administración de la posición de seguridad en la nube (CSPM), proporciona protecciones de servidor mediante Microsoft Defender para servidores para ayudarle a protegerse de varias amenazas y vulnerabilidades cibernéticas.
- Microsoft Sentinel: Recopilar eventos relacionados con la seguridad y ponerlos en correlación con otros orígenes de datos.
Preparación de la entrega de ESU
Planee y prepare la conexión de las máquinas a servidores habilitados para Azure Arc mediante la instalación del agente de Azure Connected Machine (versión 1.34 o posterior) para establecer una conexión a Azure.
Después de establecer esta conexión, puede inscribir los servidores para recibir actualizaciones de seguridad extendidas (SU). Las actualizaciones de seguridad extendidas de Windows Server 2012 admiten las ediciones Windows Server 2012 y R2 Standard y Datacenter. No se admite el almacenamiento de Windows Server 2012.
Se recomienda implementar las máquinas en Azure Arc como preparación para cuando los servicios de Azure relacionados ofrezcan funcionalidad compatible para administrar ESU. Una vez que estas máquinas se incorporen a los servidores con compatibilidad para Azure Arc, tendrá visibilidad sobre su cobertura de ESU y podrá inscribirse a través del portal de Azure o mediante Azure Policy. La facturación de este servicio comienza a partir de octubre de 2023 (es decir, después del fin del soporte técnico de Windows Server 2012).
Nota:
Para adquirir ESU, debe disponer de Software Assurance a través de programas de licencias por volumen como Contrato Enterprise (EA), Suscripción al Contrato Enterprise (EAS), Inscripción para soluciones educativas (EES) o Inscripción en servidores y en la nube (SCE) o mediante los programas abiertos de valores de Microsoft. Alternativamente, si sus máquinas Windows Server 2012/2012 R2 tienen licencia a través de SPLA o con una suscripción de servidor, Software Assurance no es necesario para comprar ESU.
Descargue tanto el paquete de licencias como la actualización de la pila de mantenimiento (SSU) para el servidor habilitado para Azure Arc como se documenta en KB5031043: Procedimiento para seguir recibiendo actualizaciones de seguridad después de que el soporte extendido haya finalizado el 10 de octubre de 2023.
Opciones de implementación
Hay varias opciones de incorporación a escala para servidores habilitados para Azure Arc:
Ejecute una secuencia de tareas personalizada a través de Configuration Manager.
Implemente una tarea programada a través de la directiva de grupo.
Use Máquinas virtuales administradas de VMware vCenter Server a través de Azure Arc.
Use máquinas virtuales administradas de SCVMM a través de Azure Arc.
Nota:
No se recomienda la entrega de ESU a través de Azure Arc a máquinas virtuales que se ejecuten en la infraestructura de escritorio virtual (VDI). Los sistemas VDI deben usar claves de activación múltiple (MAK) para aplicar ESU. Consulte Acceso a la clave de activación múltiple desde el Centro de administración de Microsoft 365 para obtener más información.
Redes
Asegúrese de que las máquinas tienen la conectividad de red necesaria a Azure Arc. Las opciones de conectividad incluyen:
- Punto de conexión público
- Servidor proxy
- Private Link o Azure ExpressRoute.
Revise los requisitos previos de red para preparar entornos que no sean de Azure para la implementación en Azure Arc.
Si usa servidores habilitados para Azure Arc solo para actualizaciones de seguridad extendidas para cualquiera de los siguientes productos:
- Windows Server 2012
- SQL Server 2012
Puede habilitar el siguiente subconjunto de puntos de conexión:
| Recurso del agente | Descripción | Cuándo es necesario | Punto de conexión usado con vínculo privado |
|---|---|---|---|
download.microsoft.com |
Se usa para descargar el paquete de instalación de Windows | En el momento de la instalación, solo 1 | Público |
login.windows.net |
Microsoft Entra ID | Siempre | Público |
login.microsoftonline.com |
Microsoft Entra ID | Siempre | Público |
*.login.microsoft.com |
Microsoft Entra ID | Siempre | Público |
management.azure.com |
Azure Resource Manager: para crear o eliminar el recurso del servidor de Arc | Solo al conectar o desconectar un servidor | Público, a menos que se configure también un vínculo privado de administración de recursos |
*.his.arc.azure.com |
Metadatos y servicios de identidad híbridos | Siempre | Privada |
*.guestconfiguration.azure.com |
Servicios de administración de extensiones y configuración de invitado | Siempre | Privada |
www.microsoft.com/pkiops/certs |
Actualizaciones intermedias de certificados para ESU (nota: usa HTTP/TCP 80 y HTTPS/TCP 443) | Siempre para las actualizaciones automáticas, o temporalmente, si se descargan los certificados manualmente. | Público |
*.<region>.arcdataservices.com |
Telemetría de servicio y servicio de procesamiento de datos de Azure Arc. | ESU de SQL Server | Público |
*.blob.core.windows.net |
Descarga del paquete de extensión de Sql Server | ESU de SQL Server | No es necesario si se usa Private Link |
1 El acceso a esta dirección URL también es necesario al realizar actualizaciones automáticamente.
Sugerencia
Para aprovechar la gama completa de ofertas para servidores habilitados para Arc, como extensiones y conectividad remota, asegúrese de que permite las direcciones URL adicionales aplicables a su escenario. Para más información, consulte Requisitos de red del agente de la máquina conectada.
Entidades de certificación necesarias
Las siguientes entidades de certificación son necesarias para las actualizaciones de seguridad extendidas para Windows Server 2012:
- Microsoft Azure RSA TLS Issuing CA 03
- Microsoft Azure RSA TLS Issuing CA 04
- Microsoft Azure RSA TLS Issuing CA 07
- Microsoft Azure RSA TLS Issuing CA 08
Si es necesario, estas entidades de certificación se pueden descargar e instalar manualmente.
Pasos siguientes
Obtenga más información sobre cómo planear el fin del soporte técnico de Windows Server y SQL Server y obtener actualizaciones de seguridad extendidas.
Obtenga información sobre los procedimientos recomendados y los patrones de diseño a través del acelerador de la zona de aterrizaje de Azure Arc en entornos híbridos y multinube.
Obtenga más información sobre los servidores habilitados para Arc y cómo funcionan con Azure a través del agente de Azure Connected Machine.
Explore las opciones para incorporar las máquinas a servidores habilitados para Azure Arc.