Partage via

Résoudre les problèmes de livraison des mises à jour de sécurité étendues pour Windows Server 2012

  • Article

Cet article fournit des informations sur la résolution des problèmes qui peuvent se produire lors de l’activation des mises à jour de sécurité étendues pour Windows Server 2012 et Windows Server 2012 R2 via des serveurs avec Arc.

Problèmes d’approvisionnement de licence

Si vous ne parvenez pas à approvisionner la licence d’une mise à jour de sécurité étendue Windows Server 2012 pour des serveurs avec Azure Arc, vérifiez ce qui suit :

  • Autorisations : vérifiez que vous disposez d’autorisations suffisantes (rôle Contributeur ou supérieur) dans l’étendue de l’approvisionnement et de la liaison des ESU.

  • Nombre minimum de cœurs : vérifiez que vous avez spécifié suffisamment de cœurs pour la licence ESU. Les licences basées sur les cœurs physiques nécessitent un minimum de 16 cœurs par machine, tandis que celles basées sur les cœurs virtuels nécessitent un minimum de 8 cœurs par machine virtuelle.

  • Conventions : vérifiez que vous avez sélectionné un abonnement et un groupe de ressources appropriés et fourni un nom unique pour la licence ESU.

Problèmes liés à l’inscription aux ESU

Si vous ne parvenez pas à lier votre serveur avec Azure Arc à une licence ESU activée, vérifiez que les conditions suivantes sont remplies :

  • Connectivité : le serveur avec Azure Arc est connecté. Pour plus d’informations sur l’affichage de l’état des machines avec Azure Arc, consultez État de l’agent.

  • Version de l’agent : la version 1.34 ou ultérieure de Connected Machine Agent est installée. Si la version de l’agent est inférieure à la version 1.34, vous devez la mettre à jour vers cette version ou une version ultérieure.

  • Système d’exploitation : seuls les serveurs avec Azure Arc exécutant les systèmes d’exploitation Windows Server 2012 et 2012 R2 peuvent s’inscrire aux mises à jour de sécurité étendues.

  • Environnement : la machine connectée ne doit pas s’exécuter sur Azure Stack HCI, la solution Azure VMware (AVS) ou en tant que machine virtuelle Azure. Dans ces scénarios, les ESU WS2012 sont disponibles gratuitement. Pour plus d’informations sur les ESU sans coût via Azure Stack HCI, consultez Mises à jour de sécurité étendues gratuites via Azure Stack HCI.

  • Propriétés de la licence : vérifiez que la licence est activée et qu’un nombre suffisant de cœurs physiques ou virtuels ont été alloués pour prendre en charge l’étendue prévue des serveurs.

Fournisseurs de ressources

Si vous ne parvenez pas à activer cette offre de service, passez en revue les fournisseurs de ressources inscrits sur l’abonnement, comme indiqué ci-dessous. Si vous recevez une erreur lors de la tentative d’inscription des fournisseurs de ressources, validez l’attribution de(s) rôle(s) sur l’abonnement. Passez également en revue les potentielles stratégies Azure pouvant être définies avec un effet Refuser, ce qui empêche l’activation de ces fournisseurs de ressources.

  • Microsoft.HybridCompute : ce fournisseur de ressources est essentiel pour les serveurs avec Azure Arc, ce qui vous permet d’intégrer et de gérer des serveurs locaux dans le Portail Azure.

  • Microsoft.GuestConfiguration : active les stratégies de configuration d’invité, qui sont utilisées pour évaluer et appliquer des configurations sur vos serveurs avec Arc pour la conformité et la sécurité.

  • Microsoft.Compute : ce fournisseur de ressources est nécessaire pour Azure Update Management, qui est utilisé pour gérer les mises à jour et les patchs sur vos serveurs locaux, y compris les mises à jour ESU.

  • Microsoft.Security : l’activation de ce fournisseur de ressources est essentielle pour implémenter des fonctionnalités et des configurations liées à la sécurité pour les serveurs Azure Arc et locaux.

  • Microsoft.OperationalInsights : ce fournisseur de ressources est associé à Azure Monitor et Log Analytics, qui sont utilisés pour surveiller et collecter des données de télémétrie à partir de votre infrastructure hybride, y compris des serveurs locaux.

  • Microsoft.Sql : si vous gérez des instances SQL locales et que vous avez besoin d’ESU pour SQL Server, l’activation de ce fournisseur de ressources est nécessaire.

  • Microsoft.Storage : l’activation de ce fournisseur de ressources est importante pour la gestion des ressources de stockage, ce qui peut être pertinent pour les scénarios hybrides et locaux.

Problèmes de correctifs de sécurité étendus

État des correctifs de sécurité étendus

Pour détecter si les derniers correctifs de sécurité étendus Windows Server 2012/R2 ont été appliqués à vos serveurs avec Azure Arc, utilisez le Gestionnaire de mise à jour Azure ou la stratégie Azure suivante : Les correctifs de sécurité étendus doivent être installés sur des machines Windows Server 2012 dotées d’Arc – Microsoft Azure, qui vérifie si les correctifs de sécurité étendus WS2012 les plus récents ont été installés. Ces deux options sont disponibles sans frais supplémentaires pour les serveurs dotés d’Azure Arc inscrits dans les correctifs de sécurité étendus WS2012 dotés d’Azure Arc.

Conditions préalables à l’ESU

Assurez-vous que le package de licence et la mise à jour de la pile de maintenance (SSU) sont téléchargés pour le serveur avec Azure Arc, comme indiqué dans l’article KB5031043 : Procédure pour continuer à recevoir des mises à jour de sécurité après la fin du support étendu le 10 octobre 2023. Veillez à respecter tous les prérequis en matière de mise en réseau enregistrés dans Se préparer à fournir des mises à jour de sécurité étendues pour Windows Server 2012.

Erreur : nouvelle tentative de vérification d’IMDS (HRESULT 12002 ou 12029)

Si l’installation du correctif de sécurité étendu activé par Azure Arc échoue avec des erreurs telles que « ESU : nouvelle tentative de vérification d’IMDS LastError=HRESULT_FROM_WIN32(12029) » ou « ESU : nouvelle tentative de vérification d’IMDS LastError=HRESULT_FROM_WIN32(12002) », vous devrez peut-être mettre à jour les autorités de certification intermédiaires approuvées par votre ordinateur à l’aide de l’une des méthodes suivantes.

Important

Si vous exécutez la dernière version de l’agent Azure Connected Machine, il n’est pas nécessaire d’installer les certificats d’autorité de certification intermédiaires ou d’autoriser l’accès à l’URL PKI. Toutefois, si une licence a déjà été attribuée avant la mise à niveau de l’agent, le remplacement de l’ancienne licence peut prendre jusqu’à 15 jours. Pendant cette période, le certificat intermédiaire sera toujours requis. Après avoir mis à jour l’agent, vous pouvez supprimer le fichier de licence%ProgramData%\AzureConnectedMachineAgent\certs\license.json pour forcer son actualisation.

Option 1 : autoriser l’accès à l’URL PKI

Configurez votre pare-feu réseau et/ou votre serveur proxy pour autoriser l’accès à partir des machines Windows Server 2012 (R2) vers http://www.microsoft.com/pkiops/certs et https://www.microsoft.com/pkiops/certs (TCP 80 et 443). Cela permet aux machines de récupérer automatiquement les certificats d’autorité de certification intermédiaires manquants dans Microsoft.

Une fois les modifications apportées au réseau pour autoriser l’accès à l’URL PKI, réessayez d’installer les mises à jour Windows. Vous devrez peut-être redémarrer votre ordinateur pour que l’installation automatique des certificats et la validation de la licence prennent effet.

Option 2 : télécharger et installer manuellement les certificats d’autorité de certification intermédiaires

Si vous ne parvenez pas à autoriser l’accès à l’URL PKI à partir de vos serveurs, vous pouvez télécharger et installer manuellement les certificats sur chaque ordinateur.

  1. Sur n’importe quel ordinateur disposant d’un accès Internet, téléchargez ces certificats d’autorité de certification intermédiaires :

    1. Microsoft Azure RSA TLS Issuing CA 03
    2. Microsoft Azure RSA TLS Issuing CA 04
    3. Microsoft Azure RSA TLS Issuing CA 07
    4. Microsoft Azure RSA TLS Issuing CA 08

  2. Copiez les fichiers de certificat sur vos machines Windows Server 2012 (R2).

  3. Exécutez un ensemble des commandes suivantes dans une invite de commandes avec élévation de privilèges ou une session PowerShell pour ajouter les certificats au magasin « Autorités de certifications intermédiaires » pour l’ordinateur local. La commande doit être exécutée à partir du même répertoire que les fichiers de certificat. Les commandes sont idempotentes et n’apportent aucune modification si vous avez déjà importé le certificat :

    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"

  4. Réessayez d’installer les mises à jour Windows. Vous devrez peut-être redémarrer votre ordinateur pour que la logique de validation reconnaisse les certificats d’autorité de certification intermédiaire nouvellement importés.

Erreur : non éligible (HRESULT 1633)

Si vous rencontrez l’erreur « ESU : HRESULT_FROM_WIN32(1633) non éligible », effectuez les étapes suivantes :

Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds

Si vous rencontrez d’autres problèmes lors de la réception des ESU après l’inscription réussie du serveur par le biais de serveurs avec Arc ou si vous avez besoin d’informations supplémentaires relatives aux problèmes affectant le déploiement des ESU, consultez Résoudre les problèmes liés aux ESU.