Delen via

Problemen met de levering van uitgebreide beveiligingsupdates voor Windows Server 2012 oplossen

  • Artikel

Dit artikel bevat informatie over het oplossen en oplossen van problemen die kunnen optreden tijdens het inschakelen van uitgebreide beveiligingsupdates voor Windows Server 2012 en Windows Server 2012 R2 via servers met Arc.

Problemen met het inrichten van licenties

Als u geen uitgebreide beveiligingsupdatelicentie voor Windows Server 2012 kunt inrichten voor servers met Azure Arc, controleert u het volgende:

  • Machtigingen: Controleer of u over voldoende machtigingen beschikt (inzenderrol of hoger) binnen het bereik van ESU-inrichting en -koppeling.

  • Minimale kerngeheugens: controleer of u voldoende kernen hebt opgegeven voor de ESU-licentie. Voor licenties op basis van fysieke kernen is minimaal 16 kernen per machine vereist en voor licenties op basis van virtuele kernen is minimaal acht kernen per virtuele machine (VM) vereist.

  • Conventies: Controleer of u een geschikt abonnement en resourcegroep hebt geselecteerd en een unieke naam hebt opgegeven voor de ESU-licentie.

Problemen met ESU-inschrijving

Als u uw server met Azure Arc niet kunt koppelen aan een geactiveerde licentie voor uitgebreide beveiligingsupdates, controleert u of aan de volgende voorwaarden is voldaan:

  • Connectiviteit: de server met Azure Arc is verbonden. Zie De agentstatus voor informatie over het weergeven van de status van machines met Azure Arc.

  • Agentversie: Connected Machine Agent is versie 1.34 of hoger. Als de agentversie kleiner is dan 1.34, moet u deze bijwerken naar deze versie of hoger.

  • Besturingssysteem: Alleen servers met Azure Arc waarop het besturingssysteem Windows Server 2012 en 2012 R2 worden uitgevoerd, komen in aanmerking voor inschrijving bij uitgebreide beveiligingsupdates.

  • Omgeving: De verbonden machine mag niet worden uitgevoerd op Azure Stack HCI, Azure VMware-oplossing (AVS) of als een virtuele Azure-machine. In deze scenario's zijn WS2012 ESU's gratis beschikbaar. Zie Gratis uitgebreide beveiligingsupdates via Azure Stack HCI voor informatie over gratis ESU's via Azure Stack HCI.

  • Licentie-eigenschappen: controleer of de licentie is geactiveerd en of er voldoende fysieke of virtuele kernen zijn toegewezen ter ondersteuning van het beoogde bereik van servers.

Resourceproviders

Als u deze serviceaanbiedingen niet kunt inschakelen, controleert u de resourceproviders die zijn geregistreerd in het abonnement, zoals hieronder wordt vermeld. Als er een fout optreedt tijdens het registreren van de resourceproviders, valideert u de roltoewijzing/s in het abonnement. Bekijk ook mogelijke Azure-beleidsregels die kunnen worden ingesteld met een effect Weigeren, waardoor de activering van deze resourceproviders wordt voorkomen.

  • Microsoft.HybridCompute: deze resourceprovider is essentieel voor servers met Azure Arc, zodat u on-premises servers in Azure Portal kunt onboarden en beheren.

  • Microsoft.GuestConfiguration: hiermee schakelt u beleidsregels voor gastconfiguratie in, die worden gebruikt om configuraties op uw Arc-servers te evalueren en af te dwingen voor naleving en beveiliging.

  • Microsoft.Compute: deze resourceprovider is vereist voor Azure Updatebeheer, dat wordt gebruikt voor het beheren van updates en patches op uw on-premises servers, waaronder ESU-updates.

  • Microsoft.Security: het inschakelen van deze resourceprovider is van cruciaal belang voor het implementeren van beveiligingsfuncties en -configuraties voor zowel Azure Arc- als on-premises servers.

  • Microsoft.OperationalInsights: Deze resourceprovider is gekoppeld aan Azure Monitor en Log Analytics, die worden gebruikt voor het bewaken en verzamelen van telemetriegegevens uit uw hybride infrastructuur, inclusief on-premises servers.

  • Microsoft.Sql: Als u on-premises SQL Server-exemplaren beheert en ESU voor SQL Server nodig hebt, is het inschakelen van deze resourceprovider nodig.

  • Microsoft.Storage: het inschakelen van deze resourceprovider is belangrijk voor het beheren van opslagresources, wat mogelijk relevant is voor hybride en on-premises scenario's.

Problemen met ESU-patches

ESU-patchstatus

Als u wilt detecteren of uw servers met Azure Arc zijn gepatcht met de meest recente uitgebreide beveiligingsupdates voor Windows Server 2012/R2, gebruikt u Azure Update Manager of de uitgebreide beveiligingsupdates van Azure Policy moeten worden geïnstalleerd op Windows Server 2012 Arc-machines-Microsoft Azure, waarmee wordt gecontroleerd of de meest recente WS2012 ESU-patches zijn ontvangen. Beide opties zijn gratis beschikbaar voor servers met Azure Arc die zijn ingeschreven in WS2012 EKU's waarvoor Azure Arc is ingeschakeld.

Vereisten voor ESU

Zorg ervoor dat zowel het licentiepakket als de servicestackupdate (SSU) zijn gedownload voor de server met Azure Arc, zoals beschreven in KB5031043: Procedure voor het blijven ontvangen van beveiligingsupdates nadat de uitgebreide ondersteuning is beëindigd op 10 oktober 2023. Zorg ervoor dat u aan alle netwerkvereisten voldoet, zoals vastgelegd bij Prepare voor het leveren van uitgebreide beveiligingsupdates voor Windows Server 2012.

Fout: IMDS opnieuw controleren (HRESULT 12002 of 12029)

Als het installeren van de uitgebreide beveiligingsupdate die is ingeschakeld door Azure Arc mislukt met fouten zoals 'ESU: IMDS opnieuw controleren als lastError=HRESULT_FROM_WIN32(12029)' of 'ESU: IMDS opnieuw controleren als lastError=HRESULT_FROM_WIN32(12002)', moet u mogelijk de tussenliggende certificeringsinstanties bijwerken die worden vertrouwd door uw computer met behulp van een van de volgende methoden.

Belangrijk

Als u de nieuwste versie van de Azure Connected-machineagent uitvoert, hoeft u de tussenliggende CA-certificaten niet te installeren of toegang tot de PKI-URL toe te staan. Als er echter al een licentie is toegewezen voordat de agent is geüpgraded, kan het tot 15 dagen duren voordat de oudere licentie wordt vervangen. Gedurende deze tijd is het tussencertificaat nog steeds vereist. Nadat u de agent hebt bijgewerkt, kunt u het licentiebestand %ProgramData%\AzureConnectedMachineAgent\certs\license.json verwijderen om af te dwingen dat het wordt vernieuwd.

Optie 1: Toegang tot de PKI-URL toestaan

Configureer uw netwerkfirewall en/of proxyserver om toegang vanaf de Windows Server 2012-computers (R2) tot en https://www.microsoft.com/pkiops/certs (zowel TCP 80 als 443) toe te http://www.microsoft.com/pkiops/certs staan. Hierdoor kunnen de computers eventuele ontbrekende tussenliggende CA-certificaten automatisch ophalen van Microsoft.

Nadat de netwerkwijzigingen zijn aangebracht om toegang tot de PKI-URL toe te staan, installeert u de Windows-updates opnieuw. Mogelijk moet u uw computer opnieuw opstarten voor de automatische installatie van certificaten en validatie van de licentie om van kracht te worden.

Optie 2: De tussenliggende CA-certificaten handmatig downloaden en installeren

Als u geen toegang tot de PKI-URL van uw servers kunt toestaan, kunt u de certificaten handmatig op elke computer downloaden en installeren.

  1. Download deze tussenliggende CA-certificaten op elke computer met internettoegang:

    1. Microsoft Azure RSA TLS-uitgifte-CA 03
    2. Microsoft Azure RSA TLS verlenende CA 04
    3. Microsoft Azure RSA TLS verlenende CA 07
    4. Microsoft Azure RSA TLS verlenende CA 08

  2. Kopieer de certificaatbestanden naar uw Windows Server 2012-computers (R2).

  3. Voer een van de volgende opdrachten uit in een opdrachtprompt met verhoogde bevoegdheid of PowerShell-sessie om de certificaten toe te voegen aan het archief tussenliggende certificeringsinstanties voor de lokale computer. De opdracht moet worden uitgevoerd vanuit dezelfde map als de certificaatbestanden. De opdrachten zijn idempotent en brengen geen wijzigingen aan als u het certificaat al hebt geïmporteerd:

    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"

  4. Probeer de Windows-updates opnieuw te installeren. Mogelijk moet u de computer opnieuw opstarten voor de validatielogica om de zojuist geïmporteerde tussenliggende CA-certificaten te herkennen.

Fout: Niet in aanmerking komend (HRESULT 1633)

Als u de fout 'ESU: niet in aanmerking komt HRESULT_FROM_WIN32(1633)' tegenkomt, voert u de volgende stappen uit:

Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds

Als u andere problemen ondervindt met het ontvangen van ESU's nadat de server is ingeschreven via servers met Arc of als u aanvullende informatie nodig hebt met betrekking tot problemen met de implementatie van ESU, raadpleegt u Problemen in ESU oplossen.