Delen via

Uitgebreide beveiligingsupdates leveren voor Windows Server 2012

  • Artikel

Dit artikel bevat stappen voor het inschakelen van levering van uitgebreide beveiligingsupdates (EKU's) aan Windows Server 2012-machines die zijn onboarding naar servers met Arc. U kunt ESU's afzonderlijk of op schaal inschakelen voor deze machines.

Voordat u begint

Plan en bereid u voor op onboarding van uw machines op servers met Azure Arc. Zie Voorbereiden voor het leveren van uitgebreide beveiligingsupdates voor Windows Server 2012 voor meer informatie.

U hebt ook de rol Inzender in Azure RBAC nodig om ESU's te maken en toe te wijzen aan servers met Arc.

ESU-licenties beheren

  1. Meld u vanuit uw browser aan bij Azure Portal.

  2. Selecteer op de pagina Azure Arc uitgebreide beveiligingsupdates in het linkerdeelvenster.

    Schermopname van het hoofdvenster van ESU met het tabblad Licenties en het tabblad In aanmerking komende resources.

    Hier kunt u ESU-licenties bekijken en maken en in aanmerking komende resources voor ESU's weergeven.

Notitie

Wanneer u alle servers met Arc vanaf de pagina Servers bekijkt, geeft een banner aan hoeveel Windows 2012-computers in aanmerking komen voor EKU's. U kunt vervolgens Servers weergeven in Uitgebreide beveiligingsupdates selecteren om een lijst met resources weer te geven die in aanmerking komen voor ESU's, samen met machines die al zijn ingeschakeld.

Azure Arc WS2012-licenties maken

De eerste stap is het inrichten van Windows Server 2012- en 2012 R2 Extended Security Update-licenties van Azure Arc. U koppelt deze licenties aan een of meer servers met Arc die u in de volgende sectie selecteert.

Nadat u een ESU-licentie hebt ingericht, moet u de SKU (Standard of Datacenter), het type kernen (fysieke of vCore) en het aantal 16 core- en 2-core packs opgeven om een ESU-licentie in te richten. U kunt ook een uitgebreide beveiligingsupdatelicentie inrichten in een gedeactiveerde status, zodat deze geen facturering initieert of functioneel is bij het maken. Bovendien kunnen de kernen die aan de licentie zijn gekoppeld, worden gewijzigd na het inrichten.

Notitie

Voor het inrichten van ESU-licenties moet u de SA- of SPLA-dekking ervan bevestigen.

Op het tabblad Licenties worden Azure Arc WS2012-licenties weergegeven die beschikbaar zijn. Hier kunt u een bestaande licentie selecteren om een nieuwe licentie toe te passen of te maken.

Schermopname van bestaande licenties.

  1. Als u een nieuwe WS2012-licentie wilt maken, selecteert u Maken en geeft u vervolgens de informatie op die nodig is om de licentie op de pagina te configureren.

    Zie de richtlijnen voor het inrichten van licenties voor uitgebreide beveiligingsupdates voor Windows Server 2012 voor meer informatie over het voltooien van deze stap.

  2. Controleer de opgegeven informatie en selecteer Vervolgens Maken.

    De licentie die u hebt gemaakt, wordt weergegeven in de lijst en u kunt deze koppelen aan een of meer servers met Arc door de stappen in de volgende sectie te volgen.

    Schermopname van het tabblad Licenties met de zojuist gemaakte licentie in de lijst.

U kunt een of meer servers met Arc selecteren om een koppeling te maken naar een uitgebreide beveiligingsupdatelicentie. Nadat u een server hebt gekoppeld aan een geactiveerde ESU-licentie, komt de server in aanmerking voor het ontvangen van Windows Server 2012 en 2012 R2 ESU's.

Notitie

U hebt de flexibiliteit om uw patchoplossing naar keuze te configureren voor het ontvangen van deze updates, of dat nu Update Manager, Windows Server Update Services, Microsoft Updates, Microsoft Endpoint Configuration Manager of een oplossing voor patchbeheer van derden is.

  1. Selecteer het tabblad In aanmerking komende resources om een lijst weer te geven van alle servers met Arc waarop Windows Server 2012 en 2012 R2 worden uitgevoerd.

    Schermopname van het tabblad In aanmerking komende resources met servers die in aanmerking komen voor het ontvangen van EKU's.

    De kolom ESU's geeft aan of de machine wel of niet is ingeschakeld voor EKU's.

  2. Als u ESU's wilt inschakelen voor een of meer computers, selecteert u deze in de lijst en selecteert u ESU's inschakelen.

  3. Op de pagina Uitgebreide beveiligingsupdates inschakelen wordt het aantal machines weergegeven dat is geselecteerd om ESU en de WS2012-licenties in te schakelen die kunnen worden toegepast. Selecteer een licentie om een koppeling te maken naar de geselecteerde machine(s) en selecteer vervolgens Inschakelen.

    Schermopname van het venster voor het selecteren van de licentie die moet worden toegepast op eerder gekozen computers.

    Notitie

    U kunt ook een licentie maken op deze pagina door een ESU-licentie maken te selecteren.

De status van de geselecteerde machines wordt gewijzigd in Ingeschakeld.

Schermopname van het tabblad In aanmerking komende resources met de status ingeschakeld voor eerder geselecteerde servers.

Als er problemen optreden tijdens het activeringsproces, raadpleegt u De levering van uitgebreide beveiligingsupdates voor Windows Server 2012 oplossen voor hulp.

Azure Policy op schaal

Voor het op schaal koppelen van servers aan een azure Arc Extended Security Update-licentie en het vergrendelen van licentiewijziging of het maken van licenties, moet u rekening houden met het gebruik van de volgende ingebouwde Azure-beleidsregels:

Azure-beleid kan worden opgegeven voor een doelabonnement of resourcegroep voor zowel controle- als beheerscenario's.

Meer scenario's

Er zijn enkele scenario's waarin u mogelijk in aanmerking komt voor het ontvangen van patches voor uitgebreide beveiligingsupdates zonder extra kosten. Twee van deze scenario's die worden ondersteund door Azure Arc zijn (1) Dev/Test (Visual Studio) en (2) Herstel na noodgeval (recht profiteren alleen van DR-exemplaren van Software Assurance of abonnement). Voor beide scenario's is vereist dat de klant al Windows Server 2012/R2 EKU's gebruikt die zijn ingeschakeld door Azure Arc voor factureerbare productiemachines.

Waarschuwing

Maak geen Windows Server 2012/R2 ESU-licentie voor alleen Dev/Test- of Disaster Recovery-workloads. U moet geen ESU-licentie inrichten voor niet-factureerbare werkbelastingen. Bovendien wordt u volledig gefactureerd voor alle kernen die zijn ingericht met een ESU-licentie en worden alle dev/test-kernen op de licentie niet gefactureerd zolang ze dienovereenkomstig worden gelabeld op basis van de volgende kwalificaties.

Als u in aanmerking wilt komen voor deze scenario's, moet u het volgende al hebben:

  • Factureerbare ESU-licentie. U moet al een WS2012 Arc ESU-licentie hebben ingericht en geactiveerd die is bedoeld om te worden gekoppeld aan reguliere Servers met Azure Arc die worden uitgevoerd in productieomgevingen (dat wil bijvoorbeeld, normaal gesproken gefactureerde ESU-scenario's). Deze licentie moet alleen worden ingericht voor factureerbare kernen, niet kernen die in aanmerking komen voor gratis uitgebreide beveiligingsupdates, bijvoorbeeld dev/test-kernen.

  • Servers met Arc. Onboarded your Windows Server 2012 and Windows Server 2012 R2 machines to Azure Arc-servers for the purpose of Dev/Test with Visual Studio subscriptions or Disaster Recovery.

Als u servers met Azure Arc wilt inschrijven die zonder extra kosten in aanmerking komen voor EKU's, voert u de volgende stappen uit om te taggen en te koppelen:

  1. Tag zowel de WS2012 Arc ESU-licentie (gemaakt voor de productieomgeving met kernen voor alleen de productieomgevingsservers) als de niet-productieservers met Azure Arc met een van de volgende naam-waardeparen die overeenkomen met de juiste uitzondering:

    1. Naam: "ESU-gebruik"; Waarde: "WS2012 VISUAL STUDIO DEV TEST"

    2. Naam: "ESU-gebruik"; Waarde: "WS2012 DISASTER RECOVERY"

    In het geval dat u de ESU-licentie gebruikt voor meerdere uitzonderingsscenario's, markeert u de licentie met de tag: 'ESU-gebruik'; Waarde: "WS2012 MULTIPURPOSE"

  2. Koppel de gelabelde licentie (gemaakt voor de productieomgeving met alleen kerngeheugens voor de productieomgevingsservers) aan uw gelabelde Windows Server 2012- en Windows Server 2012 R2-machines met azure Arc. Gebruik geen licentie voor kernen voor deze servers of maak alleen een nieuwe ESU-licentie voor deze servers.

Met deze koppeling wordt geen nalevingsschending of afdwingingsblok geactiveerd, zodat u de toepassing van een licentie buiten de ingerichte kernen kunt uitbreiden. De verwachting is dat de licentie alleen kernen voor productie- en gefactureerde servers bevat. Eventuele extra kernen worden in rekening gebracht en leiden tot overfacturering.

Belangrijk

Als u deze tags aan uw licentie toevoegt, maakt u de licentie niet gratis of vermindert u het aantal licentiekernen dat in rekening kan worden gebracht. Met deze tags kunt u uw Azure-machines koppelen aan bestaande licenties die al zijn geconfigureerd met te betalen kernen zonder dat u nieuwe licenties hoeft te maken of extra kernen aan uw gratis machines hoeft toe te voegen.

Voorbeeld:

  • U hebt 8 Exemplaren van Windows Server 2012 R2 Standard, elk met 8 fysieke kernen. Zes van deze Windows Server 2012 R2 Standard-machines zijn voor productie en 2 van deze Windows Server 2012 R2 Standard-machines komen in aanmerking voor gratis EKU's omdat het besturingssysteem is gelicentieerd via een Visual Studio Dev Test-abonnement.
    • U moet eerst een reguliere ESU-licentie inrichten en activeren voor Windows Server 2012/R2 die de Standard-editie is en 48 fysieke kernen heeft voor de 6 productiemachines. U moet deze reguliere ESU-licentie voor productie koppelen aan uw 6 productieservers.
    • Vervolgens moet u deze bestaande licentie opnieuw gebruiken, geen kernen meer toevoegen of een afzonderlijke licentie inrichten en deze licentie koppelen aan uw 2 niet-productie Windows Server 2012 R2-standaardmachines. U moet de ESU-licentie en de 2 niet-productie Windows Server 2012 R2 Standard-machines taggen met de naam: 'ESU-gebruik' en waarde: 'WS2012 VISUAL STUDIO DEV TEST'.
    • Dit resulteert in een ESU-licentie voor 48 kernen en u wordt gefactureerd voor deze 48 kernen. Er worden geen extra kosten in rekening gebracht voor de extra 16 kernen van de dev-testservers die u aan deze licentie hebt toegevoegd, zolang de ESU-licentie en de resources van de dev-testserver op de juiste wijze zijn gelabeld.

Notitie

U hebt een reguliere productielicentie nodig om mee te beginnen en u wordt alleen gefactureerd voor de productiekernen.

Upgraden van Windows Server 2012/2012 R2

Wanneer u een Windows Server 2012/2012R-computer bijwerken naar Windows Server 2016 of hoger, is het niet nodig om de Verbinding maken ed Machine-agent van de computer te verwijderen. Het nieuwe besturingssysteem is binnen enkele minuten na voltooiing van de upgrade zichtbaar voor de machine in Azure. Bijgewerkte machines hebben geen ESU's meer nodig en komen niet meer in aanmerking voor deze machines. Elke ESU-licentie die aan de machine is gekoppeld, wordt niet automatisch ontkoppeld van de computer. Zie Een licentie ontkoppelen voor instructies om dit handmatig te doen.

WS2012 ESU-patchstatus evalueren

Als u wilt detecteren of uw servers met Azure Arc zijn gepatcht met de meest recente uitgebreide beveiligingsupdates voor Windows Server 2012/R2, kunt u de uitgebreide beveiligingsupdates van Azure Policy gebruiken op Windows Server 2012 Arc-machines-Microsoft Azure. Dit Azure Policy, mogelijk gemaakt door machineconfiguratie, identificeert of de server de meest recente ESU-patches heeft ontvangen. Dit is waarneembaar vanuit de weergaven Gasttoewijzing en Azure Policy-naleving die zijn ingebouwd in Azure Portal.