Windows Server 2012 用の拡張セキュリティ更新プログラムを配信する
この記事では、Arc 対応サーバーにオンボードされている Windows Server 2012 マシンへの拡張セキュリティ更新プログラム (ESU) の配信を有効にする手順について説明します。 ESU はこれらのマシンに対して個別に、または大規模に有効化できます。
開始する前に
マシンを Azure Arc 対応サーバーにオンボードする計画と準備を行います。 詳細については、「Windows Server 2012 用の拡張セキュリティ更新プログラムの配信の準備」を参照してください。
また、Arc 対応サーバーに ESU を作成して割り当てるには、Azure RBAC の共同作成者ロールも必要です。
ESU ライセンスを管理する
ブラウザーから Azure portal にサインインします。
[Azure Arc] ページで、左側のペインで [拡張セキュリティ更新プログラム] を選択します。
![[licenses]\(ライセンス\) タブと [eligible resources]\(対象リソース\) タブを示すメインの ESU ウィンドウのスクリーンショット。](media/deliver-extended-security-updates/extended-security-updates-main-window.png)
ここから、ESU ライセンスを表示して作成し、ESU の対象リソースを表示できます。
![[licenses]\(ライセンス\) タブと [eligible resources]\(対象リソース\) タブを示すメインの ESU ウィンドウのスクリーンショット。](media/deliver-extended-security-updates/extended-security-updates-main-window.png#lightbox)
Note
[サーバー] ページからすべての Arc 対応サーバーを表示すると、バナーには、ESU の対象となる Windows 2012 マシンの数が表示されます。 その後、[拡張セキュリティ更新プログラムのサーバーの表示] を選択して、ESU の対象となるリソースの一覧を、ESU が既に有効になっているマシンと共に表示できます。
Azure Arc WS2012 ライセンスを作成する
最初の手順では、Azure Arc から Windows Server 2012 および 2012 R2 拡張セキュリティ更新プログラム ライセンスをプロビジョニングします。これらのライセンスは、次のセクションで選択する 1 つ以上の Arc 対応サーバーにリンクします。
ESU ライセンスをプロビジョニングしたら、ESU ライセンスのプロビジョニングのための SKU (Standard または Datacenter)、コアの種類 (物理または仮想コア)、および 16 コア パックと 2 コア パックの数を指定する必要があります。 また、拡張セキュリティ更新プログラム ライセンスが、作成時に課金を開始したり機能したりしないように、非アクティブな状態でプロビジョニングを行うこともできます。 また、ライセンスに関連付けられているコアは、プロビジョニング後に変更できます。
Note
ESU ライセンスのプロビジョニングには、SA または SPLA でカバーされていることを証明することが必要になります。
[ライセンス] タブには、使用可能な Azure Arc WS2012 ライセンスが表示されます。 ここから、適用する既存のライセンスを選択するか、新しいライセンスを作成できます。
新しい WS2012 ライセンスを作成するには、[作成] を選択した後に、ページ上でライセンスを構成するために必要な情報を指定します。
この手順を完了する方法の詳細については、「Windows Server 2012 用の拡張セキュリティ更新プログラムのライセンス プロビジョニング ガイドライン」を参照してください。
指定した情報を確認してから、[作成] を選択します。
作成したライセンスが一覧に表示され、次のセクションの手順に従うことで、ライセンスを 1 つ以上の Arc 対応サーバーにリンクできます。
![新しく作成されたライセンスのリストが表示されている [licenses]\(ライセンス\) タブのスクリーンショット。](media/deliver-extended-security-updates/extended-security-updates-new-license.png)
![新しく作成されたライセンスのリストが表示されている [licenses]\(ライセンス\) タブのスクリーンショット。](media/deliver-extended-security-updates/extended-security-updates-new-license.png#lightbox)
ESU ライセンスを Arc 対応サーバーにリンクする
拡張セキュリティ更新プログラム ライセンスにリンクする 1 つ以上の Arc 対応サーバーを選択できます。 アクティブ化された ESU ライセンスにサーバーをリンクすると、サーバーは Windows Server 2012 および 2012 R2 ESU を受け取る対象となります。
Note
これらの更新プログラムを受け取るための自分で選択したパッチ適用ソリューションを柔軟に構成できます。ソリューションは、更新マネージャー、Windows Server Update Services、Microsoft Updates、Microsoft Endpoint Configuration Manager、またはサードパーティのパッチ管理ソリューションのいずれでも構いません。
[対象リソース] タブを選択して、Windows Server 2012 および 2012 R2 を実行しているすべての Arc 対応サーバーの一覧を表示します。
![ESU を受信する資格のあるサーバーを示す [eligible resources]\(対象リソース\) タブのスクリーンショット。](media/deliver-extended-security-updates/extended-security-updates-eligible-resources.png)
[ESU 状態] 列は、マシンが ESU 対応かどうかを示します。
1 つ以上のマシンに対して ESU を有効にするには、一覧からそれらを選択してから、[ESU の有効化] を選択します。
[拡張セキュリティ更新プログラムの有効化] ページには、ESU を有効にするために選択したマシンと適用可能な WS2012 ライセンスの数が表示されます。 選択した (複数の) マシンにリンクするライセンスを選択してから、[有効化] を選択します。
Note
[ESU ライセンスの作成] を選択することで、このページからライセンスを作成することもできます。
![ESU を受信する資格のあるサーバーを示す [eligible resources]\(対象リソース\) タブのスクリーンショット。](media/deliver-extended-security-updates/extended-security-updates-eligible-resources.png#lightbox)
選択したマシンの状態が [有効] に変わります。
![以前に選択したサーバーで有効になっている状態を示す [eligible resources]\(対象リソース\) タブのスクリーンショット。](media/deliver-extended-security-updates/extended-security-updates-enabled-resources.png#lightbox)
有効化プロセス中に問題が発生した場合は、サポートのための「Windows Server 2012 用の拡張セキュリティ更新プログラムの配信のトラブルシューティング」を参照してください。
大規模な Azure Policy
サーバーを Azure Arc 拡張セキュリティ更新プログラム ライセンスに大規模にリンクし、ライセンスの変更または作成をロックする場合は、次の組み込みの Azure ポリシーの使用を検討してください。
Azure ポリシーは、監査と管理の両方のシナリオで、対象のサブスクリプションまたはリソース グループに対して指定できます。
その他のシナリオ
追加コストなしで拡張セキュリティ更新プログラムのパッチを受け取る対象となるシナリオがいくつかあります。 Azure Arc でサポートされているこれらのシナリオのうちの 2 つに、(1) Dev/Test (Visual Studio) と (2) ディザスター リカバリー (ソフトウェア アシュアランスからの特典 DR インスタンスまたはサブスクリプションのみ) があります。 どちらのシナリオでも、課金対象の実稼働マシンに対して Azure Arc によって有効になっている Windows Server 2012/R2 ESU が既に使用されている必要があります。
警告
Dev/Test ワークロードまたはディザスター リカバリー ワークロードのみのための Windows Server 2012/R2 ESU ライセンスを作成しないでください。 課金対象でないワークロードのみに対して ESU ライセンスをプロビジョニングしないでください。 さらに、ESU ライセンスでプロビジョニングされたすべてのコアに対して完全に課金されます。また、そのライセンスの Dev/Test コアは、次の条件に基づいてタグ付けされている限り課金されません。
これらのシナリオに該当するには、以下を持っている必要があります。
課金対象の ESU ライセンス。 運用環境で実行されている通常の Azure Arc 対応サーバー (通常は課金される ESU シナリオ) にリンクすることを目的とする WS2012 Arc ESU ライセンスを既にプロビジョニングし、アクティブ化している必要があります。 このライセンスは、たとえば Dev/Test コアなど、無料の拡張セキュリティ更新プログラムの対象となるコアではなく、課金対象のコアに対してのみプロビジョニングする必要があります。
Arc 対応サーバー。 Visual Studio サブスクリプションまたはディザスター リカバリーを使用した Dev/Test を目的として、Windows Server 2012 および Windows Server 2012 R2 マシンを Azure Arc 対応サーバーにオンボードされているもの。
追加コストなしで ESU の対象となる Azure Arc 対応サーバーを登録するには、以下の手順に従ってタグ付けとリンクを行います。
WS2012 Arc ESU ライセンス (運用環境サーバー専用のコアを持つ運用環境用に作成) と非運用 Azure Arc 対応サーバーの両方に、次の名前と値のペアのうち適切な例外に対応するものでタグ付けします。
名前: “ESU Usage”; 値: “WS2012 VISUAL STUDIO DEV TEST”
名前: “ESU Usage”; 値: “WS2012 DISASTER RECOVERY”
複数の例外シナリオで ESU ライセンスを使用する場合は、ライセンスを次のタグでマークします: 名前: “ESU Usage”; 値: “WS2012 MULTIPURPOSE”
このタグ付けされたライセンス (運用環境サーバー専用のコアを持つ運用環境用に作成) を、タグ付けされた非運用環境の Azure Arc 対応 Windows Server 2012 および Windows Server 2012 R2 マシンにリンクします。 これらのサーバーのコアのライセンスを付与したり、これらのサーバー専用の新しい ESU ライセンスを作成したりしないでください。
このリンクは、コンプライアンス違反や強制ブロックをトリガーせず、プロビジョニングされたコアを超えてライセンスの適用を拡張できます。 このライセンスには、実稼働サーバーと課金対象サーバーのコアのみが含まれていることが想定されています。 追加のコアはいずれも課金され、超過課金が発生します。
重要
これらのタグをライセンスに追加しても、ライセンスが無料になる、または課金対象のライセンス コアの数が減るわけではありません。 これらのタグを使用すると、新しいライセンスを作成したり、無料のマシンにコアを追加したりする必要なく、支払い対象コアが既に構成されている既存のライセンスに Azure マシンをリンクできます。
例:
- 8 つの Windows Server 2012 R2 Standard インスタンスがあり、それぞれに 8 個の物理コアがあります。 これらの Windows Server 2012 R2 Standard マシンのうち 6 台は運用環境用です。また、オペレーティング システムは Visual Studio Dev Test サブスクリプションを通じてライセンスが付与されているため、これらの Windows Server 2012 R2 Standard マシンのうち 2 台は無料 ESU の対象となります。
- 最初に、6 台の運用マシンをカバーするために、Standard エディションで物理コアが 48 個ある Windows Server 2012/R2 の通常の ESU ライセンスをプロビジョニングしてアクティブ化する必要があります。 この通常の運用 ESU ライセンスを、6 台の実稼働サーバーにリンクする必要があります。
- 次に、この既存のライセンスを再利用します (コアを追加したり、別のライセンスをプロビジョニングしたりはしないでください)。このライセンスを 2 台の非運用 Windows Server 2012 R2 Standard マシンにリンクします。 ESU ライセンスと 2 台の非運用 Windows Server 2012 R2 Standard マシンに、「名前: "ESU Usage"」と「値: "WS2012 VISUAL STUDIO DEV TEST"」というタグを付けます。
- これにより、48 コアの ESU ライセンスが生成され、それらの 48 コアに対して課金されます。 ESU ライセンスと開発テスト サーバー リソースが適切にタグ付けされている限り、このライセンスに追加した開発テスト サーバーの追加の 16 コアに対して課金されることはありません。
Note
まず、通常の運用ライセンスが必要です。実稼働コアに対してのみ課金されます。
Windows Server 2012/2012 R2 からのアップグレード
Windows Server 2012/2012R マシンを Windows Server 2016 以降にアップグレードする場合、そのマシンから Connected Machine エージェントを削除する必要はありません。 アップグレードが完了してから数分以内に、Azure にマシンの新しいオペレーティング システムが表示されます。 アップグレードされたマシンは ESU を必要としなくなり、それらの対象ではなくなります。 マシンに関連付けられている ESU ライセンスは、マシンから自動的にはリンク解除されません。 それを手動で行う手順については、「ライセンスのリンクを解除する」を参照してください。
WS2012 ESU パッチの状態を評価する
Azure Arc 対応サーバーに最新の Windows Server 2012/R2 拡張セキュリティ更新プログラムが適用されているかどうかを検出するには、Azure Policy の [Windows Server 2012 Arc マシンに拡張セキュリティ更新プログラムをインストールする必要があります - Microsoft Azure] を使用できます。 この Azure Policy は、マシンの構成を利用して、サーバーが最新の ESU パッチを受信したかどうかを識別します。 これは、Azure portal に組み込まれているゲスト割り当てと Azure Policy コンプライアンスのビューから監視できます。