この記事では、Azure Arc 対応サーバーを介して Windows Server 2012 および Windows Server 2012 R2 の拡張セキュリティ更新プログラム (ESU) を有効にする場合の問題を特定して解決する方法について説明します。 これらのトラブルシューティング手順を使用して、ESU ライセンス、登録、リソース プロバイダーの登録、パッチ配信に関する一般的な問題に対処します。
プロビジョニングのライセンスの問題
Azure Arc 対応サーバー用の Windows Server 2012 ESU ライセンスをプロビジョニングできない場合は、次の条件を満たしていることを確認してください。
アクセス 許可: ESU のプロビジョニングとリンクのスコープ内に十分なアクセス許可 (共同作成者 ロール以上) があることを確認します。
コアの最小値: ESU ライセンスに十分なコアを指定したことを確認します。 物理コア ベースのライセンスでは、マシンあたり少なくとも 16 コアが必要です。仮想コア ベースのライセンスでは、仮想マシン (VM) あたり少なくとも 8 コアが必要です。
規則: 適切なサブスクリプションとリソース グループを選択し、ESU ライセンスの一意の名前を指定したことを確認します。
ESU の登録に関する問題
Azure Arc 対応サーバーをアクティブ化された ESU ライセンスに正常にリンクできない場合は、次の条件を満たしていることを確認してください。
接続性: Azure Arc 対応サーバーが接続済み。 Azure Arc 対応マシンの状態の表示に関する詳細については、「エージェントの状態」を参照してください。
エージェントのバージョン: 接続済みマシン エージェントのバージョンは 1.34 以上です。 エージェントのバージョンが 1.34 未満の場合は、これ以上のバージョンに更新する必要があります。
オペレーティング システム: ESU に登録できるのは、Windows Server 2012 および Windows Server 2012 R2 オペレーティング システムを実行している Azure Arc 対応サーバーのみです。
環境: 接続されたマシンは、Azure Local、Azure VMware Solution (AVS)、または Azure 仮想マシンで実行しないでください。 これらのシナリオでは、Windows Server 2012 ESU を無料で利用できます。 Azure Local を介した無償の ESU については、「Azure Local を介した無料の拡張セキュリティ更新プログラム」を参照してください。
ライセンスのプロパティ: ライセンスがアクティブ化され、サーバーの目的のスコープをサポートするのに十分な物理コアまたは仮想コアが割り当てられているかどうかを確認します。
リソース プロバイダー
このサービス オファリングを有効にできない場合は、サブスクリプションに登録されているリソース プロバイダーを確認してください。 リソース プロバイダーの登録中にエラーが発生した場合は、サブスクリプションでのロールの割り当てを検証します。 また、 拒否 ポリシーで設定できる可能性のある Azure ポリシーを確認して、これらのリソース プロバイダーを有効にできないようにします。
Microsoft.HybridCompute: このリソース プロバイダーは、Azure Arc 対応サーバーに不可欠であり、これによって Azure portal でオンプレミス サーバーのオンボードと管理を行うことができます。
Microsoft.GuestConfiguration: ゲスト構成ポリシーを有効にします。このポリシーは、Arc 対応サーバーでのコンプライアンスとセキュリティの評価と適用に使用されます。
Microsoft.Compute: このリソース プロバイダーは、Azure Update Management に必要です。これは、ESU 更新プログラムを含むオンプレミス サーバー上の更新プログラムと修正プログラムを管理するために使用されます。
Microsoft.Security: このリソース プロバイダーを有効にすることは、Azure Arc サーバーとオンプレミス サーバーの両方にセキュリティ関連の機能と構成を実装するために重要です。
Microsoft.OperationalInsights: このリソース プロバイダーは 、Azure Monitor と Log Analytics に関連付けられています。これは、オンプレミス サーバーを含むハイブリッド インフラストラクチャからのテレメトリ データの監視と収集に使用されます。
Microsoft.Sql: オンプレミスの SQL Server インスタンスを管理していて、SQL Server の ESU が必要な場合は、このリソース プロバイダーを有効にする必要があります。
Microsoft.Storage: このリソース プロバイダーを有効にすることは、ハイブリッド シナリオとオンプレミス シナリオに関連する可能性があるストレージ リソースを管理するために重要です。
ESU パッチの問題
ESU パッチの状態
Azure Arc 対応サーバーに最新の Windows Server 2012 (R2) ESU のパッチが適用されているかどうかを検出するには、Azure Update Manager または Azure Policy を使用します。 (プレビュー): Windows Server 2012 Arc マシンに拡張セキュリティ更新プログラムをインストールする必要があります。このポリシーでは、最新の Windows Server 2012 ESU パッチが受信されたかどうかを確認します。
どちらのオプションも、Azure Arc によって有効になっている Windows Server 2012 ESU に登録されている Azure Arc 対応サーバーでは、追加料金なしで利用できます。
ESU の前提条件
2023 年 10 月 10 日に延長サポートが終了した後にセキュリティ更新プログラムを引き続き受け取る手順KB5031043に記載されているように、Azure Arc 対応サーバーのライセンス パッケージとサービス スタック更新プログラム (SSU) の両方がダウンロードされていることを確認します。 Windows Server 2012 の拡張セキュリティ更新プログラムを提供する準備に関する記事に記載されているように、すべてのネットワークの前提条件に従っていることを確認します。
エラーのトラブルシューティング
エラー: IMDS をもう一度確認しようとしています (HRESULT 12002 または 12029)
Azure Arc によって有効になっている ESU をインストールすると、次のインスタンス メタデータ サービス (IMDS) エラーで失敗します。
ESU: Trying to Check IMDS Again LastError=HRESULT_FROM_WIN32(12002)
ESU: Trying to Check IMDS Again LastError=HRESULT_FROM_WIN32(12029)
次のいずれかの方法を使用して、コンピューターによって信頼されている中間証明機関を更新する必要がある場合があります。
重要
最新バージョンの Azure 接続マシン エージェントを実行している場合は、中間 CA 証明書をインストールしたり、公開キー 基盤 (PKI) URL へのアクセスを許可したりする必要はありません。 ただし、エージェントがアップグレードされる前にライセンスが既に割り当てられている場合は、古いライセンスが置き換えられるまでに最大 15 日かかる場合があります。 この間、中間証明書は引き続き必要です。 エージェントをアップグレードした後、ライセンス ファイル %ProgramData%\AzureConnectedMachineAgent\certs\license.json を削除して強制的に更新できます。
オプション 1: PKI URL へのアクセスを許可する
Windows Server 2012 (R2) マシンから http://www.microsoft.com/pkiops/certs および https://www.microsoft.com/pkiops/certs (TCP 80 と 443 の両方) へのアクセスを許可するように、ネットワーク ファイアウォールまたはプロキシ サーバー、またはその両方を構成します。 これにより、マシンは不足している中間 CA 証明書を Microsoft から自動的に取得できます。
# Define firewall rule name
$ruleNameHttp = "Allow_HTTP_to_MicrosoftPKI"
$ruleNameHttps = "Allow_HTTPS_to_MicrosoftPKI"
# Allow outgoing traffic to any IP address on TCP port 80 (HTTP)
New-NetFirewallRule -DisplayName $ruleNameHttp `
-Direction Outbound `
-Action Allow `
-Protocol TCP `
-RemotePort 80 `
-Profile Any `
-Description "Allow outbound HTTP traffic to Microsoft PKI OPS"
# Allow outgoing traffic to any IP address on TCP port 443 (HTTPS)
New-NetFirewallRule -DisplayName $ruleNameHttps `
-Direction Outbound `
-Action Allow `
-Protocol TCP `
-RemotePort 443 `
-Profile Any `
-Description "Allow outbound HTTPS traffic to Microsoft PKI OPS"
PKI URL へのアクセスを許可するようにネットワークが変更されたら、Windows 更新プログラムをもう一度インストールしてみます。 証明書の自動インストールとライセンスの検証を有効にするために、コンピューターの再起動が必要になる場合があります。
オプション 2: 中間 CA 証明書を手動でダウンロードしてインストールする
サーバーから PKI URL へのアクセスを許可できない場合は、各マシンに証明書を手動でダウンロードしてインストールできます。
インターネットへのアクセスがある任意のコンピューターで、次の中間 CA 証明書をダウンロードします:
証明書ファイルを Windows Server 2012 (R2) マシンにコピーします。
管理者特権でのコマンド プロンプトまたは PowerShell セッションで次のいずれかのコマンド セットを実行して、ローカル コンピューターの "中間証明機関" ストアに証明書を追加します。 このコマンドは、証明書ファイルと同じディレクトリから実行する必要があります。 これらのコマンドは複数回実行しても安全であり、証明書が既にインストールされている場合は何も変更されません。
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt" certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt" certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt" certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"Windows 更新プログラムをもう一度インストールしてみます。 検証ロジックで新しくインポートされた中間 CA 証明書が認識されるよう、コンピューターの再起動が必要になる場合があります。
エラー: 対象ではありません (HRESULT 1633)
エラー ESU: not eligible HRESULT_FROM_WIN32(1633)が発生した場合は、次のコマンドを実行します。
Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service HIMDS
Arc 対応サーバーを介してサーバーを正常に登録した後に ESU の受信に関するその他の問題がある場合、または ESU のデプロイに影響する問題に関連する追加情報が必要な場合は、「 ESU の問題のトラブルシューティング」を参照してください。