Delen via

Voorbereiden voor het leveren van uitgebreide beveiligingsupdates voor Windows Server 2012

Als Windows Server 2012 en Windows Server 2012 R2 op 10 oktober 2023 het einde van de ondersteuning hebben bereikt, kunt u met Azure Arc-servers uw bestaande Windows Server 2012/2012 R2-computers inschrijven bij uitgebreide beveiligingsupdates (EKU's). Door zowel kostenflexflexiteit als een verbeterde leveringservaring te bieden, kunt u met Azure Arc beter migreren naar Azure.

Het doel van dit artikel is om u te helpen de voordelen te begrijpen en hoe u zich kunt voorbereiden op het gebruik van servers met Arc-ondersteuning om de levering van ESU's mogelijk te maken.

Notitie

AVS-machines (Azure VMware Solutions) komen in aanmerking voor gratis ESU's en moeten niet worden ingeschreven bij ESU's die zijn ingeschakeld via Azure Arc.

Belangrijkste voordelen

Het leveren van ESU's aan uw Windows Server 2012/2012 R2-machines zorgt voor de volgende belangrijke voordelen:

  • Betalen per gebruik: Flexibiliteit om u aan te melden voor een maandelijkse abonnementsservice met de mogelijkheid om halverwege het jaar te migreren.

  • Azure wordt gefactureerd: u kunt gebruikmaken van uw bestaande Microsoft Azure Consumption Commitment (MACC) en uw kosten analyseren met Microsoft Cost Management en Facturering.

  • Ingebouwde inventaris: De dekkings- en inschrijvingsstatus van Windows Server 2012/2012 R2 ESU's op in aanmerking komende Arc-servers worden geïdentificeerd in Azure Portal, waarbij hiaten en statuswijzigingen worden gemarkeerd.

  • Sleutelloze levering: voor de inschrijving van EKU's op Windows Server 2012/2012 R2-computers met Azure Arc is het verkrijgen of activeren van sleutels niet vereist.

Toegang tot Azure-services

Voor Azure Arc-ingeschakelde servers die zijn ingeschreven in WS2012 ESU's via Azure Arc, wordt vanaf 10 oktober 2023 gratis toegang verleend tot deze Azure-services:

  • Azure Update Manager : geïntegreerd beheer en beheer van updatecompatibiliteit met niet alleen Azure- en hybride machines, maar ook naleving van ESU-updates voor al uw Windows Server 2012/2012 R2-machines. Inschrijving in EKU's heeft geen invloed op Azure Update Manager. Na inschrijving in ESU's via Azure Arc komt de server in aanmerking voor ESU-patches. Deze patches kunnen worden geleverd via Azure Update Manager of een andere patchoplossing. U moet nog steeds updates van Microsoft Updates of Windows Server Update Services configureren.
  • Wijzigingen bijhouden en inventaris: wijzigingen bijhouden in virtuele machines die worden gehost in Azure, on-premises en andere cloudomgevingen.
  • Azure Policy-gastconfiguratie : controleer de configuratie-instellingen op een virtuele machine. Gastconfiguratie ondersteunt Azure-VM's inheems, en fysieke en virtuele servers die niet van Azure zijn, via servers met Azure Arc.

Andere Azure-services via servers met Azure Arc zijn ook beschikbaar, met aanbiedingen zoals:

  • Microsoft Defender voor Cloud: als onderdeel van de csPM-pijler (Cloud Security Posture Management), biedt het serverbeveiligingen via Microsoft Defender voor Servers om u te beschermen tegen verschillende cyberbedreigingen en beveiligingsproblemen.
  • Microsoft Sentinel : beveiligingsgebeurtenissen verzamelen en correleren met andere gegevensbronnen.

Levering van ESU's voorbereiden

  1. Plan en bereid u voor om uw machines te verbinden met servers met Azure Arc via de installatie van de Azure Connected Machine-agent (versie 1.34 of hoger) om een verbinding met Azure tot stand te brengen.

    Nadat u deze verbinding tot stand hebt gebracht, kunt u uw servers inschrijven om uitgebreide beveiligingsupdates (EKU's) te ontvangen. Uitgebreide beveiligingsupdates voor Windows Server 2012 ondersteunen edities van Windows Server 2012 en R2 Standard en Datacenter. Windows Server 2012 Storage wordt niet ondersteund.

    We raden u aan uw machines in Azure Arc te implementeren ter voorbereiding op het moment dat de gerelateerde Azure-services ondersteunde functionaliteit bieden voor het beheren van ESU. Zodra deze machines zijn opgenomen op servers met Azure Arc, hebt u inzicht in hun ESU-dekking en registreert u zich via de Azure-portal of met behulp van Azure Policy. Facturering voor deze service begint vanaf oktober 2023 (bijvoorbeeld na einde van de ondersteuning voor Windows Server 2012).

    Notitie

    Als u ESU's wilt aanschaffen, moet u Software Assurance hebben via Volumelicentieprogramma's, zoals een Enterprise Overeenkomst (EA), Enterprise Overeenkomst-abonnement (EAS), Enrollment for Education Solutions (EES), Server- en Cloud Enrollment (SCE) of via Microsoft Open Value Programma's. Als uw Windows Server 2012/2012 R2-machines een licentie hebben via SPLA of met een serverabonnement, is Software Assurance niet vereist om ESU's te kopen.

  2. Download zowel het licentiepakket als de servicestackupdate (SSU) voor de Server met Azure Arc, zoals beschreven in KB5031043: Procedure voor het blijven ontvangen van beveiligingsupdates nadat uitgebreide ondersteuning is beëindigd op 10 oktober 2023.

Implementatieopties

Er zijn verschillende grootschalige onboardingopties voor Azure Arc-servers.

Notitie

Levering van ESU's via Azure Arc aan virtuele machines met VDI (Virtual Desktop Infrastructure) wordt niet aanbevolen. VDI-systemen moeten de Multiple Activation Keys (MAK-sleutels) gebruiken om de EKU's toe te passen. Zie Toegang tot uw meervoudige activeringssleutel vanuit het Microsoft 365-beheer Center voor meer informatie.

Netwerken

Zorg ervoor dat uw computers over de benodigde netwerkconnectiviteit met Azure Arc beschikken. Connectiviteitsopties zijn onder andere:

  • Openbaar eindpunt
  • Proxyserver
  • Private Link of Azure ExpressRoute.

Bekijk de netwerkvereisten om niet-Azure-omgevingen voor te bereiden voor implementatie in Azure Arc.

Als u servers met Azure Arc alleen gebruikt voor uitgebreide beveiligingsupdates voor een of beide van de volgende producten:

  • Windows Server 2012
  • SQL Server 2012

U kunt de volgende subset van eindpunten inschakelen.

Agentresource Beschrijving Indien nodig Eindpunt dat wordt gebruikt met een privékoppeling
download.microsoft.com Wordt gebruikt om het Windows-installatiepakket te downloaden. Alleen tijdens de installatie. 1 Publiek.
login.windows.net Microsoft Entra-id. Altijd. Publiek.
login.microsoftonline.com Microsoft Entra-id. Altijd. Publiek.
*.login.microsoft.com Microsoft Entra-id. Altijd. Publiek.
management.azure.com Azure Resource Manager wordt gebruikt om de Azure Arc-serverresource te maken of te verwijderen. Alleen wanneer u verbinding maakt of de verbinding met een server verbreekt. Openbaar, tenzij een privékoppeling voor resourcebeheer ook is geconfigureerd.
*.his.arc.azure.com Metagegevens en hybride identiteitsservices. Altijd. Privé.
*.guestconfiguration.azure.com Extensiebeheer en gastconfiguratieservices. Altijd. Privé.
www.microsoft.com/pkiops/certs Tussenliggende certificaatupdates voor uitgebreide beveiligingsupdates (maakt gebruik van HTTP/TCP 80 en HTTPS/TCP 443). Altijd voor automatische updates of tijdelijk als u certificaten handmatig downloadt. Publiek.
*.<region>.arcdataservices.com Azure Arc-gegevensverwerkingsservice en -servicetelemetrie. Uitgebreide beveiligingsupdates voor SQL Server. Publiek.
*.blob.core.windows.net Download het SQL Server-extensiepakket. Uitgebreide beveiligingsupdates voor SQL Server. Niet vereist als u Azure Private Link gebruikt.

1 Toegang tot deze URL is ook nodig wanneer u automatisch updates uitvoert.

Tip

Als u wilt profiteren van het volledige scala aan aanbiedingen voor servers met Arc, zoals extensies en externe connectiviteit, moet u ervoor zorgen dat u de aanvullende URL's toestaat die van toepassing zijn op uw scenario. Zie Netwerkvereisten voor verbonden machineagenten voor meer informatie.

Vereiste certificeringsinstanties

De volgende certificeringsinstanties zijn vereist voor uitgebreide beveiligingsupdates voor Windows Server 2012:

Indien nodig kunnen deze certificeringsinstanties handmatig worden gedownload en geïnstalleerd.

Volgende stappen

  • Last updated on