Voorbereiden op het leveren van uitgebreide beveiligingsupdates voor Windows Server 2012

  • Artikel

Als Windows Server 2012 en Windows Server 2012 R2 op 10 oktober 2023 het einde van de ondersteuning hebben bereikt, kunt u met Azure Arc-servers uw bestaande Windows Server 2012/2012 R2-computers inschrijven bij uitgebreide beveiligingsupdates (EKU's). Door zowel kostenflexflexiteit als een verbeterde leveringservaring te bieden, kunt u met Azure Arc beter migreren naar Azure.

Het doel van dit artikel is om inzicht te krijgen in de voordelen en hoe u zich kunt voorbereiden op het gebruik van servers met Arc om de levering van EKU's mogelijk te maken.

Notitie

AVS-machines (Azure VMware Solutions) komen in aanmerking voor gratis ESU's en moeten niet worden ingeschreven bij ESU's die zijn ingeschakeld via Azure Arc.

Belangrijkste voordelen

Het leveren van EKU's aan uw Windows Server 2012/2012 R2-machines biedt de volgende belangrijke voordelen:

  • Betalen per gebruik: Flexibiliteit om u aan te melden voor een maandelijkse abonnementsservice met de mogelijkheid om halverwege het jaar te migreren.

  • Azure wordt gefactureerd: u kunt gebruikmaken van uw bestaande Microsoft Azure Consumption Commitment (MACC) en uw kosten analyseren met Behulp van Microsoft Cost Management en Facturering.

  • Ingebouwde inventaris: De dekkings- en inschrijvingsstatus van Windows Server 2012/2012 R2 ESU's op in aanmerking komende Arc-servers worden geïdentificeerd in Azure Portal, waarbij hiaten en statuswijzigingen worden gemarkeerd.

  • Sleutelloze levering: voor de inschrijving van EKU's op Windows Server 2012/2012 R2-computers met Azure Arc is het verkrijgen of activeren van sleutels niet vereist.

Toegang tot Azure-services

Voor servers met Azure Arc die zijn ingeschreven in WS2012 EKU's die zijn ingeschakeld door Azure Arc, wordt vanaf 10 oktober 2023 gratis toegang geboden tot deze Azure-services:

  • Azure Update Manager : geïntegreerd beheer en beheer van updatecompatibiliteit met niet alleen Azure- en hybride machines, maar ook naleving van ESU-updates voor al uw Windows Server 2012/2012 R2-machines. Inschrijving in EKU's heeft geen invloed op Azure Update Manager. Na inschrijving in ESU's via Azure Arc komt de server in aanmerking voor ESU-patches. Deze patches kunnen worden geleverd via Azure Update Manager of een andere patchoplossing. U moet nog steeds updates van Microsoft Updates of Windows Server Update Services configureren.
  • Azure Automation Wijzigingen bijhouden en inventaris: wijzigingen bijhouden in virtuele machines die worden gehost in Azure, on-premises en andere cloudomgevingen.
  • Azure Policy-gastconfiguratie : controleer de configuratie-instellingen op een virtuele machine. Gastconfiguratie biedt ondersteuning voor azure-VM's die systeemeigen en niet van Azure fysieke en virtuele servers zijn via servers met Azure Arc.

Andere Azure-services via servers met Azure Arc zijn ook beschikbaar, met aanbiedingen zoals:

  • Microsoft Defender voor Cloud: als onderdeel van de csPM-pijler (Cloud Security Posture Management), biedt het serverbeveiligingen via Microsoft Defender voor Servers om u te beschermen tegen verschillende cyberbedreigingen en beveiligingsproblemen.

  • Microsoft Sentinel : beveiligingsgebeurtenissen verzamelen en correleren met andere gegevensbronnen.

    Notitie

    Activering van ESU is gepland voor het derde kwartaal van 2023. Het gebruik van Azure-services zoals Azure Update Manager en Azure Policy ter ondersteuning van het beheren van in aanmerking komende Windows Server 2012/2012 R2-machines wordt ook gepland voor het derde kwartaal.

Levering van EKU's voorbereiden

Plan en bereid u voor op onboarding van uw machines op servers met Azure Arc via de installatie van de Azure Verbinding maken ed Machine-agent (versie 1.34 of hoger) om een verbinding met Azure tot stand te brengen. Uitgebreide beveiligingsupdates voor Windows Server 2012 ondersteunen edities van Windows Server 2012 en R2 Standard en Datacenter. Windows Server 2012 Storage wordt niet ondersteund.

We raden u aan uw machines in Azure Arc te implementeren ter voorbereiding op het moment dat de gerelateerde Azure-services ondersteunde functionaliteit bieden voor het beheren van ESU. Zodra deze machines zijn onboarding uitgevoerd op servers met Azure Arc, hebt u inzicht in hun ESU-dekking en registreert u zich via Azure Portal of met behulp van Azure Policy. Facturering voor deze service begint vanaf oktober 2023 (bijvoorbeeld na einde van de ondersteuning voor Windows Server 2012).

Notitie

Als u EKU's wilt aanschaffen, moet u Software Assurance hebben via volumelicentieprogramma's, zoals een Enterprise Overeenkomst (EAS), Enterprise Overeenkomst-abonnement (EAS), Enrollment for Education Solutions (EES), Server- en Cloud Enrollment (SCE) of via Microsoft Open Value Programs. Als uw Windows Server 2012/2012 R2-machines een licentie hebben via SPLA of met een serverabonnement, is Software Assurance niet vereist om EKU's te kopen.

U moet ook zowel het licentiepakket als de SSU (Service Stack Update) voor de Server met Azure Arc downloaden, zoals beschreven in KB5031043: Procedure voor het blijven ontvangen van beveiligingsupdates nadat de uitgebreide ondersteuning is beëindigd op 10 oktober 2023.

Implementatieopties

Er zijn verschillende onboardingopties op schaal voor servers met Azure Arc, waaronder het uitvoeren van een aangepaste takenreeks via Configuration Manager en het implementeren van een geplande taak via groepsbeleid. Er zijn ook op schaal ESU-leveringsopties voor door VMware vCenter beheerde VM's en door SCVMM beheerde VM's via Azure Arc.

Notitie

Levering van EKU's via Azure Arc aan virtuele machines die worden uitgevoerd op VDI (Virtual Desktop Infrastructure) wordt niet aanbevolen. VDI-systemen moeten MAK's (Multiple Activation Keys) gebruiken om EKU's toe te passen. Zie Toegang tot uw meervoudige activeringssleutel vanuit het Microsoft 365-beheer Center voor meer informatie.

Netwerken

Verbinding maken iviteitsopties zijn onder andere openbaar eindpunt, proxyserver en private link of Azure Express Route. Bekijk de netwerkvereisten om niet-Azure-omgevingen voor te bereiden voor implementatie in Azure Arc.

Als u alleen servers met Azure Arc gebruikt voor uitgebreide beveiligingsupdates voor een van de volgende of beide producten:

  • Windows Server 2012
  • SQL Server 2012

U kunt de volgende subset eindpunten inschakelen:

Agentresource Beschrijving Indien nodig Eindpunt dat wordt gebruikt met private link
aka.ms Wordt gebruikt om het downloadscript tijdens de installatie op te lossen Alleen tijdens de installatie Openbaar
download.microsoft.com Wordt gebruikt om het Windows-installatiepakket te downloaden Alleen tijdens de installatie Openbaar
login.windows.net Microsoft Entra ID Altijd Openbaar
login.microsoftonline.com Microsoft Entra ID Altijd Openbaar
management.azure.com Azure Resource Manager: de Arc-serverresource maken of verwijderen Alleen bij het verbinden of verbreken van een server Openbaar, tenzij een privékoppeling voor resourcebeheer ook is geconfigureerd
*.his.arc.azure.com Services voor metagegevens en hybride identiteiten Altijd Privé
*.guestconfiguration.azure.com Extensiebeheer- en gastconfiguratieservices Altijd Privé
www.microsoft.com/pkiops/certs Tussenliggende certificaatupdates voor EKU's (opmerking: http/TCP 80 en HTTPS/TCP 443) Altijd voor automatische updates of tijdelijk als u certificaten handmatig downloadt. Openbaar
*.<region>.arcdataservices.com Azure Arc-gegevensverwerkingsservice en -servicetelemetrie. SQL Server-ESU's Openbaar

Tip

Als u wilt profiteren van het volledige scala aan aanbiedingen voor servers met Arc, zoals extensies en externe connectiviteit, moet u ervoor zorgen dat u de aanvullende URL's toestaat die van toepassing zijn op uw scenario. Zie Verbinding maken netwerkvereisten voor machineagenten voor meer informatie.

Volgende stappen