この記事では、Arc 対応サーバーにオンボードされている Windows Server 2012 マシンへの拡張セキュリティ更新プログラム (ESU) の配信を有効にする手順について説明します。 ESU はこれらのマシンに対して個別に、または大規模に有効化できます。
開始する前に
マシンを Azure Arc 対応サーバーにオンボードする計画と準備を行います。 詳細については、「Windows Server 2012 用の拡張セキュリティ更新プログラムの配信の準備」を参照してください。
Arc 対応サーバーに ESU を作成して割り当てるには、Azure RBAC の共同作成者ロールも必要です。
ESU ライセンスを管理する
ブラウザーから Azure portal にサインインします。
サービス メニューの [ ライセンス] で、 Windows Server ESU ライセンスを選択します。
ここから、ESU ライセンスを表示して作成し、ESU の対象リソースを表示できます。
Azure Arc Windows Server 2012 ライセンスを作成する
最初の手順では、Azure Arc から Windows Server 2012 および 2012 R2 拡張セキュリティ更新プログラム ライセンスをプロビジョニングします。これらのライセンスは、次のセクションで選択する 1 つ以上の Arc 対応サーバーにリンクします。
ESU ライセンスをプロビジョニングしたら、SKU (Standard または Datacenter)、コアの種類 (物理または仮想コア)、および ESU ライセンスをプロビジョニングするコアの数を指定する必要があります。 また、拡張セキュリティ更新プログラムライセンスを非アクティブな状態でプロビジョニングして、課金が開始されたり、作成時に機能したりしないようにすることもできます。 また、ライセンスに関連付けられているコアは、プロビジョニング後に変更できます。
注
ESU ライセンスのプロビジョニングには、SA または SPLA でカバーされていることを証明することが必要になります。
[ライセンス] タブには、使用可能な Azure Arc Windows Server 2012 ライセンスが表示されます。 ここから、適用する既存のライセンスを選択するか、新しいライセンスを作成できます。
新しい Windows Server 2012 ライセンスを作成するには、[作成] を選択した後に、ページ上でライセンスを構成するために必要な情報を指定します。
この手順を完了する方法の詳細については、「Windows Server 2012 用の拡張セキュリティ更新プログラムのライセンス プロビジョニング ガイドライン」を参照してください。
指定した情報を確認してから、[作成] を選択します。
作成したライセンスが一覧に表示されます。 次のセクションの手順に従って、1 つ以上の Arc 対応サーバーにリンクできます。
ESU ライセンスを Arc 対応サーバーにリンクする
拡張セキュリティ更新プログラム ライセンスにリンクする 1 つ以上の Arc 対応サーバーを選択できます。 アクティブ化された ESU ライセンスにサーバーをリンクすると、サーバーは Windows Server 2012 および 2012 R2 ESU を受け取る資格があります。
注
これらの更新プログラムを受け取るための自分で選択したパッチ適用ソリューションを柔軟に構成できます。ソリューションは、更新マネージャー、Windows Server Update Services、Microsoft Updates、Microsoft Endpoint Configuration Manager、またはサードパーティのパッチ管理ソリューションのいずれでも構いません。
[ 対象リソース ] タブを選択すると、Windows Server 2012 および 2012 R2 を実行しているすべての Arc 対応サーバーの一覧が表示されます。
ESU 状態列は、マシンが ESU に対して有効になっているかどうかを示します。
1 つ以上のマシンに対して ESU を有効にするには、一覧からそれらを選択してから、[ESU の有効化] を選択します。
[ 拡張セキュリティ更新プログラムの有効化 ] ウィンドウには、ESU を有効にするために選択されたマシンの数と、適用できる Windows Server 2012 ライセンスが表示されます。 選択した (複数の) マシンにリンクするライセンスを選択してから、[有効にする] を選択します。
注
[ESU ライセンスの作成] を選択すると、既存のライセンスを選択するのではなく、このページから ライセンスを作成できます。
[ 対象となるリソース ] タブに戻ると、選択したマシンの状態が [有効] と表示されます。
有効化プロセス中に問題が発生した場合は、「 Windows Server 2012 の拡張セキュリティ更新プログラムの配信のトラブルシューティング 」を参照してください。
Azure Policy を使用して大規模な ESU を有効にする
サーバーを Azure Arc Extended Security Update ライセンスに大規模にリンクし、ライセンスの変更または作成をロックダウンする場合は、次の組み込みの Azure ポリシーの使用を検討してください。
Azure ポリシーは、監査と管理の両方のシナリオで、対象のサブスクリプションまたはリソース グループに対して指定できます。
その他のシナリオ
追加コストなしで拡張セキュリティ更新プログラムのパッチを受け取る対象となるシナリオがいくつかあります。 Azure Arc でサポートされているこれらのシナリオの 2 つに、 Dev/Test (Visual Studio) と ディザスター リカバリー (ソフトウェア アシュアランス またはサブスクリプションからの DR インスタンスの特典のみ) があります。 どちらのシナリオでも、課金対象の実稼働マシンに対して Azure Arc によって有効になっている Windows Server 2012/R2 ESU を既に使用している必要があります。
警告
Dev/Test ワークロードまたはディザスター リカバリー ワークロードのみのための Windows Server 2012/R2 ESU ライセンスを作成しないでください。 ESUライセンスは、非課金のワークロードに対してのみプロビジョニングするべきではありません。 さらに、ESU ライセンスでプロビジョニングされたすべてのコアに対して完全に課金されます。また、そのライセンスの Dev/Test コアは、次の条件に基づいてタグ付けされている限り課金されません。
これらのシナリオに該当するには、以下を持っている必要があります:
課金対象の ESU ライセンス。 運用環境で実行されている通常の Azure Arc 対応サーバー (通常は課金される ESU シナリオなど) にリンクすることを目的とした WS2012 Arc ESU ライセンスを既にプロビジョニングしてアクティブ化している必要があります。 このライセンスは、たとえば Dev/Test コアなど、無料の拡張セキュリティ更新プログラムの対象となるコアではなく、課金対象のコアに対してのみプロビジョニングする必要があります。
Arc 対応サーバー。 Visual Studio サブスクリプションまたはディザスター リカバリーを使用した Dev/Test を目的として、Windows Server 2012 および Windows Server 2012 R2 マシンを Azure Arc 対応サーバーにオンボードされているもの。
追加コストなしで ESU の対象となる Azure Arc 対応サーバーを登録するには、以下の手順に従ってタグ付けとリンクを行います:
WS2012 Arc ESU ライセンス (運用環境用に作成され、運用環境サーバー専用のコアを持つ運用環境用に作成) と非運用環境の Azure Arc 対応サーバーの両方に、適切な例外に対応する次のいずれかの名前と値のペアにタグを付けます。
名前: "ESU Usage"; 値: "WS2012 VISUAL STUDIO DEV TEST"
名前: "ESU Usage"; 値: "WS2012 DISASTER RECOVERY"
複数の例外シナリオで ESU ライセンスを使用している場合は、ライセンスに次のタグを付けてください。名前: "ESU 使用状況"; 値: "WS2012 多目的"
タグ付けされたライセンス (運用環境サーバー専用のコアを持つ運用環境用に作成) を、タグ付けされた非運用環境の Azure Arc 対応 Windows Server 2012 および Windows Server 2012 R2 マシンにリンクします。 これらのサーバーのコアのライセンスを付与したり、これらのサーバー専用の新しい ESU ライセンスを作成したりしないでください。
このリンクは、コンプライアンス違反や強制ブロックをトリガーせず、プロビジョニングされたコアを超えてライセンスの適用を拡張できます。 このライセンスには、実稼働サーバーと課金対象サーバーのコアのみが含まれていることが想定されています。 追加のコアはいずれも課金され、超過課金が発生します。
重要
これらのタグをライセンスに追加しても、ライセンスは無料になりません。また、課金対象のライセンス コアの数も減らされません。 これらのタグを使用すると、新しいライセンスを作成したり、無料のマシンにコアを追加したりする必要なく、支払い対象コアが既に構成されている既存のライセンスに Azure マシンをリンクできます。
例:
- 8 つの Windows Server 2012 R2 Standard インスタンスがあり、それぞれに 8 つの物理コアがあります。 これらの Windows Server 2012 R2 Standard マシンのうち 6 台は運用環境用です。また、オペレーティング システムは Visual Studio Dev Test サブスクリプションを通じてライセンスが付与されているため、これらの Windows Server 2012 R2 Standard マシンのうち 2 台は無料 ESU の対象となります。
- 最初に、6 台の運用マシンをカバーするために、Standard エディションで物理コアが 48 個ある Windows Server 2012/R2 の通常の ESU ライセンスをプロビジョニングしてアクティブ化する必要があります。 この通常の運用 ESU ライセンスは、6 台の運用サーバーにリンクする必要があります。
- 次に、この既存のライセンスを再利用し、コアを追加したり、別のライセンスをプロビジョニングしたりせず、このライセンスを 2 台の非運用環境の Windows Server 2012 R2 標準マシンにリンクする必要があります。 ESU ライセンスと2台の非運用 Windows Server 2012 R2 Standard マシンに、Name: "ESU Usage"、Value: "WS2012 VISUAL STUDIO DEV TEST" というタグを付けてください。
- これにより、48 コアの ESU ライセンスが取得され、それらの 48 コアに対して課金されます。 ESU ライセンスと開発テスト サーバー リソースが適切にタグ付けされている限り、このライセンスに追加した開発テスト サーバーの追加の 16 コアに対して課金されることはありません。
注
まず、通常の運用ライセンスが必要です。実稼働コアに対してのみ課金されます。
Windows Server 2012/2012 R2 からのアップグレード
Windows Server 2012/2012R マシンを Windows Server 2016 以降にアップグレードする場合、そのマシンから Connected Machine エージェントを削除する必要はありません。 アップグレードが完了してから数分以内に、Azure にマシンの新しいオペレーティング システムが表示されます。 アップグレードされたマシンは ESU を必要としなくなり、それらの対象ではなくなります。 マシンに関連付けられている ESU ライセンスは、マシンから自動的にはリンク解除されません。 それを手動で行う手順については、「ライセンスのリンクを解除する」を参照してください。
WS2012 ESU パッチの状態を評価する
Azure Arc 対応サーバーに最新の Windows Server 2012/R2 拡張セキュリティ更新プログラムが適用されているかどうかを検出するには、Azure Policy 拡張セキュリティ更新プログラムを Windows Server 2012 Arc コンピューターにインストールする必要があります。 このポリシー定義は、マシン構成を利用して、サーバーが最新の ESU パッチを受信したかどうかを識別します。 これは、Azure portal に組み込まれているゲスト割り当てビューと Azure Policy コンプライアンス ビューから監視できます。