Windows Server 2012용 확장 보안 업데이트 제공 문제 해결
이 문서에서는 Arc 지원 서버를 통해 Windows Server 2012 및 Windows Server 2012 R2에 대한 확장 보안 업데이트를 사용하도록 설정하는 동안 발생할 수 있는 문제 해결에 대한 정보를 제공합니다.
라이선스 프로비전 문제
Azure Arc 지원 서버에 대한 Windows Server 2012 확장 보안 업데이트 라이선스를 프로비전할 수 없는 경우 다음을 확인합니다.
권한: ESU 프로비전 및 연결 범위 내에서 충분한 권한(기여자 역할 이상)이 있는지 확인합니다.
코어 최소값: ESU 라이선스에 충분한 코어를 지정했는지 확인합니다. 물리적 코어 기반 라이선스에는 컴퓨터당 최소 16개의 코어가 필요하고, 가상 코어 기반 라이선스에는 VM(가상 머신)당 최소 8개의 코어가 필요합니다.
규칙: 적절한 구독 및 리소스 그룹을 선택하고 ESU 라이선스에 고유한 이름을 제공했는지 확인합니다.
ESU 등록 문제
Azure Arc 지원 서버를 활성화된 확장 보안 업데이트 라이선스에 성공적으로 연결할 수 없는 경우 다음 조건이 충족되는지 확인합니다.
연결: Azure Arc 지원 서버가 연결되었습니다. Azure Arc 지원 컴퓨터의 상태를 보는 방법에 대한 자세한 내용은 에이전트 상태를 참조하세요.
에이전트 버전: Connected Machine 에이전트는 버전 1.34 이상입니다. 에이전트 버전이 1.34 미만인 경우 이 버전 이상으로 업데이트해야 합니다.
운영 체제: Windows Server 2012 및 2012 R2 운영 체제를 실행하는 Azure Arc 지원 서버만 확장 보안 업데이트에 등록할 수 있습니다.
환경: 연결된 컴퓨터는 Azure Stack HCI, AVS(Azure VMware 솔루션) 또는 Azure 가상 머신에서 실행되지 않아야 합니다. 이러한 시나리오에서는 WS2012 ESU를 무료로 사용할 수 있습니다. Azure Stack HCI를 통한 무료 ESU에 대한 자세한 내용은 Azure Stack HCI를 통한 무료 확장 보안 업데이트를 참조하세요.
라이선스 속성: 라이선스가 활성화되어 있고 의도한 서버 범위를 지원하기에 충분한 물리적 또는 가상 코어가 할당되었는지 확인합니다.
리소스 공급자
이 서비스 제품을 사용하도록 설정할 수 없는 경우 아래에 설명된 대로 구독에 등록된 리소스 공급자를 검토합니다. 리소스 공급자를 등록하는 동안 오류가 발생하는 경우 구독에서 역할 할당의 유효성을 검사합니다. 또한 거부 효과로 설정할 수 있는 잠재적인 Azure 정책을 검토하여 이러한 리소스 공급자의 활성화를 방지합니다.
Microsoft.HybridCompute: 이 리소스 공급자는 Azure Portal에서 온-프레미스 서버를 온보딩하고 관리할 수 있도록 Azure Arc 지원 서버에 필수적입니다.
Microsoft.GuestConfiguration: 규정 준수 및 보안을 위해 Arc 지원 서버에서 구성을 평가하고 적용하는 데 사용되는 게스트 구성 정책을 사용하도록 설정합니다.
Microsoft.Compute: 이 리소스 공급자는 ESU 업데이트를 포함하여 온-프레미스 서버에서 업데이트 및 패치를 관리하는 데 사용되는 Azure 업데이트 관리에 필요합니다.
Microsoft.Security: 이 리소스 공급자를 사용하도록 설정하는 것은 Azure Arc 및 온-프레미스 서버 모두에 대한 보안 관련 기능 및 구성을 구현하는 데 중요합니다.
Microsoft.OperationalInsights: 이 리소스 공급자는 온-프레미스 서버를 포함한 하이브리드 인프라에서 원격 분석 데이터를 모니터링하고 수집하는 데 사용되는 Azure Monitor 및 Log Analytics와 연결됩니다.
Microsoft.Sql: 온-프레미스 SQL Server 인스턴스를 관리하고 SQL Server용 ESU가 필요한 경우 이 리소스 공급자를 사용하도록 설정해야 합니다.
Microsoft.Storage: 이 리소스 공급자를 사용하도록 설정하는 것은 하이브리드 및 온-프레미스 시나리오와 관련이 있을 수 있는 스토리지 리소스를 관리하는 데 중요합니다.
ESU 패치 문제
ESU 패치 상태
Azure Arc 지원 서버가 최신 Windows Server 2012/R2 확장 보안 업데이트로 패치되었는지 여부를 검색하려면 Azure 업데이트 관리자 또는 최신 WS2012 ESU 패치가 수신되었는지 확인하는 Azure Policy 확장 보안 업데이트를 Windows Server 2012 Arc 컴퓨터에 설치해야 함 - Microsoft Azure를 사용합니다. 이러한 옵션은 모두 Azure Arc가 지원하는 WS2012 ESU에 등록된 Azure Arc 지원 서버에 대해 추가 비용 없이 사용할 수 있습니다.
ESU 사전 요구 사항
KB5031043: 2023년 10월 10일에 추가 지원이 종료된 후 보안 업데이트를 계속 받기 위한 절차에 설명된 대로 Azure Arc 지원 서버용 라이선스 패키지와 SSU(서비스 스택 업데이트)가 모두 다운로드되었는지 확인합니다. Windows Server 2012용 확장 보안 업데이트 제공 준비에 기록된 네트워킹 필수 조건을 모두 따르고 있는지 확인합니다.
오류: IMDS를 다시 확인하는 중(HRESULT 12002 또는 12029)
Azure Arc에서 사용하도록 설정된 확장 보안 업데이트를 설치하는 데 "ESU: IMDS 다시 확인하는 중 LastError=HRESULT_FROM_WIN32(12029)" 또는 "ESU: IMDS 다시 확인 중 LastError=HRESULT_FROM_WIN32(12002)"와 같은 오류로 인해 실패하는 경우 다음 방법 중 하나를 사용하여 컴퓨터에서 신뢰하는 중간 인증 기관을 업데이트해야 할 수도 있습니다.
Important
최신 버전의 Azure Connected Machine 에이전트를 실행하는 경우 중간 CA 인증서를 설치하거나 PKI URL에 대한 액세스를 허용할 필요가 없습니다. 그러나 에이전트가 업그레이드되기 전에 라이선스가 이미 할당된 경우 이전 라이선스를 바꾸는 데 최대 15일이 걸릴 수 있습니다. 이 기간 동안에도 중간 인증서가 필요합니다. 에이전트를 업그레이드한 후 라이선스 파일 %ProgramData%\AzureConnectedMachineAgent\certs\license.json
을 삭제하여 강제로 새로 고칠 수 있습니다.
옵션 1: PKI URL에 대한 액세스 허용
Windows Server 2012(R2) 컴퓨터에서 http://www.microsoft.com/pkiops/certs
및 https://www.microsoft.com/pkiops/certs
(TCP 80 및 443 모두)에 액세스할 수 있도록 네트워크 방화벽 및/또는 프록시 서버를 구성합니다. 이렇게 하면 컴퓨터가 Microsoft에서 누락된 중간 CA 인증서를 자동으로 검색할 수 있습니다.
PKI URL에 대한 액세스를 허용하도록 네트워크가 변경되면 Windows 업데이트를 다시 설치해 보세요. 인증서의 자동 설치 및 라이선스 유효성 검사를 적용하려면 컴퓨터를 다시 부팅해야 할 수 있습니다.
옵션 2: 중간 CA 인증서 수동 다운로드 및 설치
서버에서 PKI URL에 대한 액세스를 허용할 수 없는 경우 각 컴퓨터에 인증서를 수동으로 다운로드하여 설치할 수 있습니다.
인터넷에 액세스할 수 있는 컴퓨터에서 다음 중간 CA 인증서를 다운로드합니다.
인증서 파일을 Windows Server 2012(R2) 컴퓨터에 복사합니다.
관리자 권한 명령 프롬프트 또는 PowerShell 세션에서 다음 명령 집합 중 하나를 실행하여 로컬 컴퓨터의 "중간 인증 기관" 저장소에 인증서를 추가합니다. 인증서 파일과 동일한 디렉터리에서 명령을 실행해야 합니다. 명령은 idempotent이며 인증서를 이미 가져온 경우에는 변경되지 않습니다.
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt" certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt" certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt" certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"
Windows 업데이트를 다시 설치해 보세요. 새로 가져온 중간 CA 인증서를 유효성 검사 논리가 인식하도록 컴퓨터를 다시 부팅해야 할 수 있습니다.
오류: 적합하지 않음(HRESULT 1633)
"ESU: HRESULT_FROM_WIN32(1633)에 적합하지 않음" 오류가 발생하는 경우 다음 단계를 수행합니다.
Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds
Arc 지원 서버를 통해 서버를 성공적으로 등록한 후 ESU를 수신하는 데 다른 문제가 있거나 ESU 배포에 영향을 주는 문제와 관련된 추가 정보가 필요한 경우 ESU 문제 해결을 참조하세요.