Megosztás a következőn keresztül:

A Windows Server 2012 kiterjesztett biztonsági frissítéseinek kézbesítésével kapcsolatos hibák elhárítása

  • Cikk

Ez a cikk a Windows Server 2012 és a Windows Server 2012 R2 kiterjesztett biztonsági frissítéseinek Arc-kompatibilis kiszolgálókon keresztüli engedélyezése során felmerülő problémák elhárításáról és megoldásáról nyújt tájékoztatást.

Licenckiépítési problémák

Ha nem tud Windows Server 2012 kiterjesztett biztonsági frissítési licencet kiépíteni az Azure Arc-kompatibilis kiszolgálókhoz, ellenőrizze az alábbiakat:

  • Engedélyek: Ellenőrizze, hogy rendelkezik-e megfelelő engedélyekkel (közreműködői szerepkörrel vagy magasabb szintű) az ESU kiépítésének és csatolásának hatókörén belül.

  • Alapvető minimumok: Ellenőrizze, hogy elegendő magot adott-e meg az ESU-licenchez. A fizikai magalapú licencekhez gépenként legalább 16 mag szükséges, a virtuális magalapú licencekhez pedig virtuális gépenként legalább 8 mag szükséges.

  • Konvenciók: Ellenőrizze, hogy kiválasztotta-e a megfelelő előfizetést és erőforráscsoportot, és egyedi nevet adott-e meg az ESU-licenchez.

ESU-regisztrációval kapcsolatos problémák

Ha nem tudja sikeresen összekapcsolni az Azure Arc-kompatibilis kiszolgálót egy aktivált kiterjesztett biztonsági frissítési licenccel, ellenőrizze, hogy teljesülnek-e a következő feltételek:

  • Kapcsolat: Az Azure Arc-kompatibilis kiszolgáló csatlakoztatva van. Az Azure Arc-kompatibilis gépek állapotának megtekintéséről további információt az Ügynök állapota című témakörben talál.

  • Ügynök verziója: A csatlakoztatott gép ügynöke az 1.34-es vagy újabb verzió. Ha az ügynök verziója kisebb, mint 1.34, frissítenie kell erre a verzióra vagy annál újabbra.

  • Operációs rendszer: Csak a Windows Server 2012 és 2012 R2 operációs rendszert futtató Azure Arc-kompatibilis kiszolgálók regisztrálhatnak a kiterjesztett biztonsági frissítésekre.

  • Környezet: A csatlakoztatott gép nem az Azure Stack HCI-n, az Azure VMware-megoldáson (AVS- vagy Azure-beli virtuális gépen) futhat. Ezekben a forgatókönyvekben a WS2012 ESU-k ingyenesen elérhetők. Az Azure Stack HCI-n keresztüli költségmentes ESU-król további információt az Ingyenes kiterjesztett biztonsági frissítések az Azure Stack HCI-n keresztül című témakörben talál.

  • Licenctulajdonságok: Ellenőrizze, hogy a licenc aktiválva van-e, és elegendő fizikai vagy virtuális mag van-e lefoglalva a kiszolgálók kívánt hatókörének támogatásához.

Erőforrás-szolgáltatók

Ha nem tudja engedélyezni ezt a szolgáltatásajánlatot, tekintse át az előfizetésben regisztrált erőforrás-szolgáltatókat az alábbiak szerint. Ha hibaüzenetet kap az erőforrás-szolgáltatók regisztrálása közben, ellenőrizze a szerepkör-hozzárendeléseket az előfizetésben. Tekintse át az esetleges Azure-szabályzatokat is, amelyeket megtagadási effektussal lehet beállítani, megakadályozva ezen erőforrás-szolgáltatók engedélyezését.

  • Microsoft.HybridCompute: Ez az erőforrás-szolgáltató nélkülözhetetlen az Azure Arc-kompatibilis kiszolgálókhoz, így helyszíni kiszolgálókat hozhat létre és kezelhet az Azure Portalon.

  • Microsoft.GuestConfiguration: Engedélyezi a vendégkonfigurációs szabályzatokat, amelyek az Arc-kompatibilis kiszolgálók konfigurációinak értékelésére és érvényesítésére szolgálnak a megfelelőség és a biztonság érdekében.

  • Microsoft.Compute: Ez az erőforrás-szolgáltató szükséges az Azure Update Managementhez, amely a helyszíni kiszolgálókon található frissítések és javítások kezelésére szolgál, beleértve az ESU-frissítéseket is.

  • Microsoft.Security: Az erőforrás-szolgáltató engedélyezése elengedhetetlen az Azure Arc és a helyszíni kiszolgálók biztonsági funkcióinak és konfigurációinak implementálásához.

  • Microsoft.OperationalInsights: Ez az erőforrás-szolgáltató az Azure Monitorhoz és a Log Analyticshez van társítva, amely telemetriai adatok figyelésére és gyűjtésére szolgál a hibrid infrastruktúrából, beleértve a helyszíni kiszolgálókat is.

  • Microsoft.Sql: Ha helyszíni SQL Server-példányokat kezel, és ESU-t igényel az SQL Serverhez, az erőforrás-szolgáltató engedélyezésére van szükség.

  • Microsoft.Storage: Ennek az erőforrás-szolgáltatónak az engedélyezése fontos a tárolási erőforrások kezeléséhez, ami a hibrid és a helyszíni forgatókönyvekhez is releváns lehet.

Az ESU javítással kapcsolatos problémái

ESU-javítás állapota

Annak megállapításához, hogy az Azure Arc-kompatibilis kiszolgálókat a legújabb Windows Server 2012/R2 kiterjesztett biztonsági frissítésekkel javították-e, az Azure Update Managert vagy az Azure Policy kiterjesztett biztonsági frissítéseit telepíteni kell a Windows Server 2012 Arc-Microsoft Azure rendszerre, amely ellenőrzi, hogy a legutóbbi WS2012 ESU-javítások érkeztek-e. Mindkét lehetőség további költségek nélkül érhető el az Azure Arc által engedélyezett WS2012 ESU-kban regisztrált Azure Arc-kompatibilis kiszolgálók esetében.

Az ESU előfeltételei

Győződjön meg arról, hogy mind a licenccsomag, mind a karbantartási verem frissítése (SSU) le van töltve az Azure Arc-kompatibilis kiszolgálóra a KB5031043: A kiterjesztett támogatás 2023. október 10-i megszűnése utáni biztonsági frissítések fogadásának eljárása. Győződjön meg arról, hogy betartja a Windows Server 2012 kiterjesztett biztonsági frissítéseinek biztosításához szükséges összes hálózati előfeltételt.

Hiba: Az IMDS ismételt ellenőrzése (HRESULT 12002 vagy 12029)

Ha az Azure Arc által engedélyezett kiterjesztett biztonsági frissítés telepítése meghiúsul olyan hibákkal, mint például az "ESU: Próbálja ellenőrizni az IMDS Again LastError=HRESULT_FROM_WIN32(12029)" vagy az "ESU: Próbálja újra ellenőrizni az IMDS Again LastError=HRESULT_FROM_WIN32(12002)" hibát, előfordulhat, hogy frissítenie kell a számítógép által megbízhatónak tartott köztes hitelesítésszolgáltatókat az alábbi módszerek egyikével.

Fontos

Ha az Azure Connected Machine Agent legújabb verzióját futtatja, nem szükséges telepítenie a köztes hitelesítésszolgáltatói tanúsítványokat, vagy engedélyeznie kell a PKI URL-címhez való hozzáférést. Ha azonban már hozzárendeltek egy licencet az ügynök frissítése előtt, akár 15 napig is eltarthat, amíg a régebbi licencet lecserélik. Ez idő alatt a köztes tanúsítványra továbbra is szükség lesz. Az ügynök frissítése után törölheti a licencfájlt %ProgramData%\AzureConnectedMachineAgent\certs\license.json , hogy a frissítésre kényszerítse.

1. lehetőség: Hozzáférés engedélyezése a PKI URL-címéhez

Konfigurálja a hálózati tűzfalat és/vagy a proxykiszolgálót úgy, hogy engedélyezze a Hozzáférést a Windows Server 2012 (R2) rendszerű gépekről http://www.microsoft.com/pkiops/certs a 80-443-ra és https://www.microsoft.com/pkiops/certs a TCP-re egyaránt. Ez lehetővé teszi, hogy a gépek automatikusan lekérhessék a hiányzó köztes hitelesítésszolgáltatói tanúsítványokat a Microsofttól.

Miután a hálózati módosítások lehetővé teszik a PKI URL-címhez való hozzáférést, próbálkozzon újra a Windows-frissítések telepítésével. Előfordulhat, hogy újra kell indítania a számítógépet a tanúsítványok automatikus telepítéséhez és a licenc érvényesítéséhez.

2. lehetőség: A köztes hitelesítésszolgáltatói tanúsítványok manuális letöltése és telepítése

Ha nem tudja engedélyezni a PKI URL-címhez való hozzáférést a kiszolgálókról, manuálisan letöltheti és telepítheti a tanúsítványokat minden gépen.

  1. Az internetkapcsolattal rendelkező számítógépeken töltse le az alábbi köztes hitelesítésszolgáltatói tanúsítványokat:

    1. Microsoft Azure RSA TLS kiállítása CA 03
    2. Microsoft Azure RSA TLS kiállítása CA 04
    3. Microsoft Azure RSA TLS kiállítása CA 07
    4. Microsoft Azure RSA TLS kiállítása CA 08

  2. Másolja a tanúsítványfájlokat a Windows Server 2012 (R2) rendszerű gépekre.

  3. Futtassa az alábbi parancsok bármelyikét egy emelt szintű parancssorban vagy PowerShell-munkamenetben a tanúsítványok helyi számítógép "Köztes hitelesítésszolgáltatók" tárba való felvételéhez. A parancsot a tanúsítványfájlokkal megegyező könyvtárból kell futtatni. A parancsok idempotensek, és nem módosítanak semmit, ha már importálta a tanúsítványt:

    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"

  4. Próbálja meg újra telepíteni a Windows-frissítéseket. Előfordulhat, hogy újra kell indítania a számítógépet az érvényesítési logikához az újonnan importált köztes hitelesítésszolgáltatói tanúsítványok felismeréséhez.

Hiba: Nem jogosult (HRESULT 1633)

Ha az "ESU: nem jogosult HRESULT_FROM_WIN32(1633)" hibaüzenetet tapasztalja, kövesse az alábbi lépéseket:

Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds

Ha a kiszolgáló Arc-kompatibilis kiszolgálókon keresztüli sikeres regisztrálása után más problémák is jelentkeznek az ESU-k fogadásával kapcsolatban, vagy további információra van szüksége az ESU üzembe helyezését érintő problémákról, tekintse meg az ESU-val kapcsolatos problémák hibaelhárítását.