Partekatu honen bidez:


Preparación de la entrega de actualizaciones de seguridad extendidas para Windows Server 2012

Con Windows Server 2012 y Windows Server 2012 R2 que han alcanzado la etapa de finalización del soporte técnico el 10 de octubre de 2023, los servidores habilitados para Azure Arc le permiten inscribir sus máquinas existentes de Windows Server 2012/2012 R2 en actualizaciones de seguridad extendidas (ESU). Azure Arc, que ofrece flexibilidad de costos y una experiencia de entrega mejorada, le posiciona mejor para migrar a Azure.

El propósito de este artículo es ayudarle a conocer las ventajas y prepararse para usar servidores habilitados para Arc para habilitar la entrega de ESU.

Nota:

Las máquinas de Azure VMware Solutions (AVS) son aptas para las ESU gratuitas y no deben inscribirse en las ESU habilitadas mediante Azure Arc.

Ventajas principales

La entrega de ESU a las máquinas con Windows Server 2012/2012 R2 ofrece las siguientes ventajas clave:

  • Pago por uso: flexibilidad para suscribirse a un servicio de suscripción mensual con la posibilidad de migrar a mediados del año.

  • Facturación de Azure: puede usar el compromiso de consumo de Microsoft Azure (MACC) existente y analizar los costos mediante Microsoft Cost Management + Billing.

  • Inventario integrado: la cobertura y el estado de inscripción de las ESU de Windows Server 2012/2012 R2 en servidores habilitados para Arc aptos se identifican en Azure Portal, lo que resalta los cambios de intervalos y de estado.

  • Entrega sin claves: la inscripción de ESU en máquinas Windows Server 2012/2012 R2 habilitadas para Azure Arc no requerirá la adquisición ni activación de claves.

Acceso a servicios de Azure

En el caso de los servidores habilitados para Azure Arc inscritos en las ESU de WS2012 habilitadas para Azure Arc, se proporciona acceso gratuito a estos servicios de Azure desde el 10 de octubre de 2023:

  • Azure Update Manager: administración unificada y gobernanza del cumplimiento en las actualizaciones que incluye no solo a Azure y a máquinas híbridas, sino también el cumplimiento con las actualizaciones de ESU en todas las máquinas Windows Server 2012/2012 R2. La inscripción en ESU no afecta a Azure Update Manager. Después de la inscripción en ESU mediante Azure Arc, el servidor se convierte en apto para la aplicación de revisiones de ESU. Estas revisiones se pueden entregar mediante Azure Update Manager o cualquier otra solución de aplicación de revisiones. Seguirá siendo necesario configurar las actualizaciones en Microsoft Updates o Windows Server Update Services.
  • Seguimiento de cambios e inventario de Azure Automation: realice un seguimiento de los cambios en las máquinas virtuales hospedadas en Azure, el entorno local y otros entornos en la nube.
  • Configuración de invitado de Azure Policy: audite las opciones de configuración de una máquina virtual. La configuración de invitado admite máquinas virtuales de Azure de forma nativa y que no son servidores físicos y virtuales de Azure a través de servidores habilitados para Azure Arc.

Otros servicios de Azure mediante servidores habilitados para Azure Arc también están disponibles, con ofertas como:

  • Microsoft Defender for Cloud: como parte del pilar de administración de la posición de seguridad en la nube (CSPM), proporciona protecciones de servidor mediante Microsoft Defender para servidores para ayudarle a protegerse de varias amenazas y vulnerabilidades cibernéticas.
  • Microsoft Sentinel: Recopilar eventos relacionados con la seguridad y ponerlos en correlación con otros orígenes de datos.

Preparación de la entrega de ESU

Planee y prepare la incorporación de máquinas a servidores habilitados para Azure Arc mediante la instalación del agente de Azure Connected Machine (versión 1.34 o posteriores) para establecer una conexión a Azure. Las actualizaciones de seguridad extendidas de Windows Server 2012 admiten las ediciones Windows Server 2012 y R2 Standard y Datacenter. No se admite el almacenamiento de Windows Server 2012.

Se recomienda implementar las máquinas en Azure Arc como preparación para cuando los servicios de Azure relacionados ofrezcan funcionalidad compatible para administrar ESU. Una vez que estas máquinas se incorporen a los servidores habilitados para Azure Arc, tendrá visibilidad sobre su cobertura e inscripción de ESU mediante Azure Portal o Azure Policy. La facturación de este servicio comienza a partir de octubre de 2023 (es decir, después del fin del soporte técnico de Windows Server 2012).

Nota:

Para adquirir ESU, debe disponer de Software Assurance a través de programas de licencias por volumen como Contrato Enterprise (EA), Suscripción al Contrato Enterprise (EAS), Inscripción para soluciones educativas (EES) o Inscripción en servidores y en la nube (SCE) o mediante los programas abiertos de valores de Microsoft. Alternativamente, si sus máquinas Windows Server 2012/2012 R2 tienen licencia a través de SPLA o con una suscripción de servidor, Software Assurance no es necesario para comprar ESU.

También debe descargar tanto el paquete de licencias como la actualización de la pila de mantenimiento (SSU) para el servidor habilitado para Azure Arc como se documenta en KB5031043: Procedimiento para seguir recibiendo actualizaciones de seguridad después de que el soporte extendido haya finalizado el 10 de octubre de 2023.

Opciones de implementación

Hay varias opciones de incorporación a gran escala de los servidores habilitados para Azure Arc, incluida la ejecución de una secuencia de tareas personalizada mediante Configuration Manager y la implementación de una tarea programada mediante una directiva de grupo. También hay opciones de entrega de ESU a escala para máquinas virtuales administradas de VMware vCenter y máquinas virtuales administradas de SCVMM a través de Azure Arc.

Nota:

No se recomienda la entrega de ESU a través de Azure Arc a máquinas virtuales que se ejecuten en la infraestructura de escritorio virtual (VDI). Los sistemas VDI deben usar claves de activación múltiple (MAK) para aplicar ESU. Consulte Acceso a la clave de activación múltiple desde el Centro de administración de Microsoft 365 para obtener más información.

Redes

Entre las opciones de conectividad se incluyen el punto de conexión público, el servidor proxy y el vínculo privado o Azure Express Route. Revise los requisitos previos de red para preparar entornos que no sean de Azure para la implementación en Azure Arc.

Si usa servidores habilitados para Azure Arc solo para actualizaciones de seguridad extendidas para cualquiera de los siguientes productos:

  • Windows Server 2012
  • SQL Server 2012

Puede habilitar el siguiente subconjunto de puntos de conexión:

Recurso del agente Descripción Cuándo es necesario Punto de conexión que se usa con un vínculo privado
aka.ms Se usa para resolver el script de descarga durante la instalación Solo en el momento de la instalación Public
download.microsoft.com Se usa para descargar el paquete de instalación de Windows Solo en el momento de la instalación Public
login.windows.net Microsoft Entra ID Siempre Public
login.microsoftonline.com Microsoft Entra ID Siempre Public
*login.microsoft.com Microsoft Entra ID Siempre Public
management.azure.com Azure Resource Manager: para crear o eliminar el recurso del servidor de Arc Solo al conectar o desconectar un servidor Público, a menos que se configure también un vínculo privado de administración de recursos
*.his.arc.azure.com Metadatos y servicios de identidad híbridos Siempre Privada
*.guestconfiguration.azure.com Servicios de administración de extensiones y configuración de invitado Siempre Privada
www.microsoft.com/pkiops/certs Actualizaciones intermedias de certificados para ESU (nota: usa HTTP/TCP 80 y HTTPS/TCP 443) Siempre para las actualizaciones automáticas, o temporalmente, si se descargan los certificados manualmente. Público
*.<region>.arcdataservices.com Telemetría de servicio y servicio de procesamiento de datos de Azure Arc. ESU de SQL Server Público
*.blob.core.windows.net Descarga del paquete de extensión de Sql Server ESU de SQL Server No es necesario si se usa Private Link

Sugerencia

Para aprovechar la gama completa de ofertas para servidores habilitados para Arc, como extensiones y conectividad remota, asegúrese de que permite las direcciones URL adicionales aplicables a su escenario. Para más información, consulte Requisitos de red del agente de la máquina conectada.

Entidades de certificación necesarias

Las siguientes entidades de certificación son necesarias para las actualizaciones de seguridad extendidas para Windows Server 2012:

Si es necesario, estas entidades de certificación se pueden descargar e instalar manualmente.

Pasos siguientes