Voorbereiden voor het leveren van uitgebreide beveiligingsupdates voor Windows Server 2012
Als Windows Server 2012 en Windows Server 2012 R2 op 10 oktober 2023 het einde van de ondersteuning hebben bereikt, kunt u met Azure Arc-servers uw bestaande Windows Server 2012/2012 R2-computers inschrijven bij uitgebreide beveiligingsupdates (EKU's). Door zowel kostenflexflexiteit als een verbeterde leveringservaring te bieden, kunt u met Azure Arc beter migreren naar Azure.
Het doel van dit artikel is om inzicht te krijgen in de voordelen en hoe u zich kunt voorbereiden op het gebruik van servers met Arc om de levering van EKU's mogelijk te maken.
Notitie
AVS-machines (Azure VMware Solutions) komen in aanmerking voor gratis ESU's en moeten niet worden ingeschreven bij ESU's die zijn ingeschakeld via Azure Arc.
Belangrijkste voordelen
Het leveren van EKU's aan uw Windows Server 2012/2012 R2-machines biedt de volgende belangrijke voordelen:
Betalen per gebruik: Flexibiliteit om u aan te melden voor een maandelijkse abonnementsservice met de mogelijkheid om halverwege het jaar te migreren.
Azure wordt gefactureerd: u kunt gebruikmaken van uw bestaande Microsoft Azure Consumption Commitment (MACC) en uw kosten analyseren met Behulp van Microsoft Cost Management en Facturering.
Ingebouwde inventaris: De dekkings- en inschrijvingsstatus van Windows Server 2012/2012 R2 ESU's op in aanmerking komende Arc-servers worden geïdentificeerd in Azure Portal, waarbij hiaten en statuswijzigingen worden gemarkeerd.
Sleutelloze levering: voor de inschrijving van EKU's op Windows Server 2012/2012 R2-computers met Azure Arc is het verkrijgen of activeren van sleutels niet vereist.
Toegang tot Azure-services
Voor servers met Azure Arc die zijn ingeschreven in WS2012 EKU's die zijn ingeschakeld door Azure Arc, wordt vanaf 10 oktober 2023 gratis toegang geboden tot deze Azure-services:
- Azure Update Manager : geïntegreerd beheer en beheer van updatecompatibiliteit met niet alleen Azure- en hybride machines, maar ook naleving van ESU-updates voor al uw Windows Server 2012/2012 R2-machines. Inschrijving in EKU's heeft geen invloed op Azure Update Manager. Na inschrijving in ESU's via Azure Arc komt de server in aanmerking voor ESU-patches. Deze patches kunnen worden geleverd via Azure Update Manager of een andere patchoplossing. U moet nog steeds updates van Microsoft Updates of Windows Server Update Services configureren.
- Azure Automation Wijzigingen bijhouden en inventaris: wijzigingen bijhouden in virtuele machines die worden gehost in Azure, on-premises en andere cloudomgevingen.
- Azure Policy-gastconfiguratie : controleer de configuratie-instellingen op een virtuele machine. Gastconfiguratie biedt ondersteuning voor azure-VM's die systeemeigen en niet van Azure fysieke en virtuele servers zijn via servers met Azure Arc.
Andere Azure-services via servers met Azure Arc zijn ook beschikbaar, met aanbiedingen zoals:
- Microsoft Defender voor Cloud: als onderdeel van de csPM-pijler (Cloud Security Posture Management), biedt het serverbeveiligingen via Microsoft Defender voor Servers om u te beschermen tegen verschillende cyberbedreigingen en beveiligingsproblemen.
- Microsoft Sentinel : beveiligingsgebeurtenissen verzamelen en correleren met andere gegevensbronnen.
Levering van EKU's voorbereiden
Plan en bereid u voor op onboarding van uw machines naar servers met Azure Arc via de installatie van de Azure Connected Machine-agent (versie 1.34 of hoger) om een verbinding met Azure tot stand te brengen. Uitgebreide beveiligingsupdates voor Windows Server 2012 ondersteunen edities van Windows Server 2012 en R2 Standard en Datacenter. Windows Server 2012 Storage wordt niet ondersteund.
We raden u aan uw machines in Azure Arc te implementeren ter voorbereiding op het moment dat de gerelateerde Azure-services ondersteunde functionaliteit bieden voor het beheren van ESU. Zodra deze machines zijn onboarding uitgevoerd op servers met Azure Arc, hebt u inzicht in hun ESU-dekking en registreert u zich via Azure Portal of met behulp van Azure Policy. Facturering voor deze service begint vanaf oktober 2023 (bijvoorbeeld na einde van de ondersteuning voor Windows Server 2012).
Notitie
Als u EKU's wilt aanschaffen, moet u Software Assurance hebben via volumelicentieprogramma's, zoals een Enterprise Overeenkomst (EAS), Enterprise Overeenkomst-abonnement (EAS), Enrollment for Education Solutions (EES), Server- en Cloud Enrollment (SCE) of via Microsoft Open Value Programs. Als uw Windows Server 2012/2012 R2-machines een licentie hebben via SPLA of met een serverabonnement, is Software Assurance niet vereist om EKU's te kopen.
U moet ook zowel het licentiepakket als de SSU (Service Stack Update) voor de Server met Azure Arc downloaden, zoals beschreven in KB5031043: Procedure voor het blijven ontvangen van beveiligingsupdates nadat de uitgebreide ondersteuning is beëindigd op 10 oktober 2023.
Implementatieopties
Er zijn verschillende onboardingopties op schaal voor servers met Azure Arc, waaronder het uitvoeren van een aangepaste takenreeks via Configuration Manager en het implementeren van een geplande taak via groepsbeleid. Er zijn ook op schaal ESU-leveringsopties voor door VMware vCenter beheerde VM's en door SCVMM beheerde VM's via Azure Arc.
Notitie
Levering van EKU's via Azure Arc aan virtuele machines die worden uitgevoerd op VDI (Virtual Desktop Infrastructure) wordt niet aanbevolen. VDI-systemen moeten MAK's (Multiple Activation Keys) gebruiken om EKU's toe te passen. Zie Toegang tot uw meervoudige activeringssleutel vanuit het Microsoft 365-beheer Center voor meer informatie.
Netwerken
Connectiviteitsopties zijn onder andere openbaar eindpunt, proxyserver en private link of Azure Express Route. Bekijk de netwerkvereisten om niet-Azure-omgevingen voor te bereiden voor implementatie in Azure Arc.
Als u alleen servers met Azure Arc gebruikt voor uitgebreide beveiligingsupdates voor een van de volgende of beide producten:
- Windows Server 2012
- SQL Server 2012
U kunt de volgende subset eindpunten inschakelen:
Agentresource | Beschrijving | Indien nodig | Eindpunt dat wordt gebruikt met private link |
---|---|---|---|
aka.ms |
Wordt gebruikt om het downloadscript tijdens de installatie op te lossen | Alleen tijdens de installatie | Openbaar |
download.microsoft.com |
Wordt gebruikt om het Windows-installatiepakket te downloaden | Alleen tijdens de installatie | Openbaar |
login.windows.net |
Microsoft Entra ID | Altijd | Openbaar |
login.microsoftonline.com |
Microsoft Entra ID | Altijd | Openbaar |
*login.microsoft.com |
Microsoft Entra ID | Altijd | Openbaar |
management.azure.com |
Azure Resource Manager: de Arc-serverresource maken of verwijderen | Alleen bij het verbinden of verbreken van een server | Openbaar, tenzij een privékoppeling voor resourcebeheer ook is geconfigureerd |
*.his.arc.azure.com |
Services voor metagegevens en hybride identiteiten | Altijd | Privé |
*.guestconfiguration.azure.com |
Extensiebeheer- en gastconfiguratieservices | Altijd | Privé |
www.microsoft.com/pkiops/certs |
Tussenliggende certificaatupdates voor EKU's (opmerking: http/TCP 80 en HTTPS/TCP 443) | Altijd voor automatische updates of tijdelijk als u certificaten handmatig downloadt. | Openbaar |
*.<region>.arcdataservices.com |
Azure Arc-gegevensverwerkingsservice en -servicetelemetrie. | SQL Server-ESU's | Openbaar |
*.blob.core.windows.net |
Sql Server-extensiepakket downloaden | SQL Server-ESU's | Niet vereist als u Private Link gebruikt |
Tip
Als u wilt profiteren van het volledige scala aan aanbiedingen voor servers met Arc, zoals extensies en externe connectiviteit, moet u ervoor zorgen dat u de aanvullende URL's toestaat die van toepassing zijn op uw scenario. Zie Netwerkvereisten voor verbonden machineagenten voor meer informatie.
Vereiste certificeringsinstanties
De volgende certificeringsinstanties zijn vereist voor uitgebreide beveiligingsupdates voor Windows Server 2012:
- Microsoft Azure RSA TLS-uitgifte-CA 03
- Microsoft Azure RSA TLS verlenende CA 04
- Microsoft Azure RSA TLS verlenende CA 07
- Microsoft Azure RSA TLS verlenende CA 08
Indien nodig kunnen deze certificeringsinstanties handmatig worden gedownload en geïnstalleerd.
Volgende stappen
Meer informatie over het plannen van het einde van de ondersteuning voor Windows Server en SQL Server en het verkrijgen van uitgebreide beveiligingsupdates.
Meer informatie over best practices en ontwerppatronen via de Azure Arc-landingszoneversneller voor hybride en multicloud.
Meer informatie over servers met Arc en hoe ze met Azure werken via de Azure Connected Machine-agent.
Verken de opties voor onboarding van uw machines naar servers met Azure Arc.