Przygotowanie do dostarczania rozszerzonych Aktualizacje zabezpieczeń dla systemu Windows Server 2012
Dzięki systemom Windows Server 2012 i Windows Server 2012 R2, które zakończyły się 10 października 2023 r., serwery z obsługą usługi Azure Arc umożliwiają rejestrowanie istniejących maszyn z systemem Windows Server 2012/2012 R2 w rozszerzonych Aktualizacje zabezpieczeń (ESU). Zapewnienie elastyczności kosztów i ulepszonego środowiska dostarczania zapewnia lepsze pozycje w usłudze Azure Arc do migracji na platformę Azure.
Celem tego artykułu jest pomoc w zrozumieniu korzyści i sposobie przygotowania do korzystania z serwerów z obsługą usługi Arc w celu umożliwienia dostarczania jednostek ESU.
Uwaga
Maszyny usługi Azure VMware Solutions (AVS) kwalifikują się do bezpłatnych jednostek ESU i nie powinny być rejestrowane w jednostkach ESU włączonych za pośrednictwem usługi Azure Arc.
Główne korzyści
Dostarczanie jednostek ESU do maszyn z systemem Windows Server 2012/2012 R2 zapewnia następujące kluczowe korzyści:
Płatność zgodnie z rzeczywistym użyciem: elastyczność tworzenia konta miesięcznej usługi subskrypcji z możliwością migracji w połowie roku.
Rozliczana platforma Azure: możesz ściągnąć z istniejącego zobowiązania microsoft Azure Consumption Commitment (MACC) i przeanalizować koszty przy użyciu usługi Microsoft Cost Management and Billing.
Spis wbudowany: stan pokrycia i rejestracji jednostek ESU systemu Windows Server 2012/2012 R2 na kwalifikujących się serwerach z obsługą usługi Arc jest identyfikowany w witrynie Azure Portal, co wyróżnia luki i zmiany stanu.
Dostarczanie bez klucza: rejestracja jednostek ESU na maszynach z systemem Windows Server 2012/2012 R2 z obsługą usługi Azure Arc nie będzie wymagać uzyskania ani aktywacji kluczy.
Dostęp do usług platformy Azure
W przypadku serwerów z obsługą usługi Azure Arc zarejestrowanych w systemach WS2012 ESU z obsługą usługi Azure Arc bezpłatny dostęp jest udostępniany tym usługom platformy Azure od 10 października 2023 r.:
- Azure Update Manager — ujednolicone zarządzanie zgodnością aktualizacji i zarządzanie nią, które obejmuje nie tylko maszyny platformy Azure i maszyny hybrydowe, ale także zgodność aktualizacji ESU dla wszystkich maszyn z systemem Windows Server 2012/2012 R2. Rejestracja w jednostkach ESU nie ma wpływu na usługę Azure Update Manager. Po rejestracji w jednostkach ESU za pośrednictwem usługi Azure Arc serwer kwalifikuje się do poprawek ESU. Te poprawki można dostarczać za pośrednictwem usługi Azure Update Manager lub dowolnego innego rozwiązania do stosowania poprawek. Nadal musisz skonfigurować aktualizacje z witryny Microsoft Aktualizacje lub Windows Server Update Services.
- Azure Automation Śledzenie zmian i spis — śledzenie zmian maszyn wirtualnych hostowanych na platformie Azure, lokalnie i w innych środowiskach w chmurze.
- Konfiguracja gościa usługi Azure Policy — przeprowadź inspekcję ustawień konfiguracji na maszynie wirtualnej. Konfiguracja gościa obsługuje maszyny wirtualne platformy Azure natywnie i nienależące do serwera fizycznego i wirtualnego platformy Azure za pośrednictwem serwerów z obsługą usługi Azure Arc.
Dostępne są również inne usługi platformy Azure za pośrednictwem serwerów z obsługą usługi Azure Arc z ofertami, takimi jak:
Microsoft Defender dla Chmury — w ramach filaru zarządzania stanem zabezpieczeń w chmurze (CSPM) zapewnia ochronę serwera za pośrednictwem usługi Microsoft Defender dla serwerów, aby chronić cię przed różnymi zagrożeniami cybernetycznymi i lukami w zabezpieczeniach.
Microsoft Sentinel — zbieranie zdarzeń związanych z zabezpieczeniami i korelowanie ich z innymi źródłami danych.
Uwaga
Aktywacja ESU jest planowana na trzeci kwartał 2023 r. W trzecim kwartale planowane jest również zarządzanie maszynami z systemem Windows Server 2012/2012 R2 przy użyciu usług platformy Azure, takich jak Azure Update Manager i Azure Policy.
Przygotowywanie dostarczania jednostek ESU
Zaplanuj i przygotuj się do dołączenia maszyn do serwerów z obsługą usługi Azure Arc za pośrednictwem instalacji agenta usługi Azure Połączenie ed Machine (wersja 1.34 lub nowsza), aby nawiązać połączenie z platformą Azure. System Windows Server 2012 Extended Security Aktualizacje obsługuje wersje Windows Server 2012 i R2 Standard i Datacenter. Magazyn systemu Windows Server 2012 nie jest obsługiwany.
Zalecamy wdrożenie maszyn w usłudze Azure Arc w ramach przygotowań, gdy powiązane usługi platformy Azure dostarczają obsługiwane funkcje do zarządzania ESU. Po dołączeniu tych maszyn do serwerów z obsługą usługi Azure Arc będziesz mieć wgląd w ich pokrycie ESU i zarejestrować się w witrynie Azure Portal lub przy użyciu usługi Azure Policy. Rozliczenia dla tej usługi rozpoczynają się od października 2023 r. (tj. po zakończeniu wsparcia systemu Windows Server 2012).
Uwaga
Aby kupić ESU, musisz mieć pakiet Software Assurance za pośrednictwem programów licencjonowania zbiorowego, takich jak Umowa Enterprise (EA), subskrypcja Umowa Enterprise (EAS), rejestracja rozwiązań edukacyjnych (EES), serwer i rejestracja w chmurze (SCE) lub za pośrednictwem programów Microsoft Open Value. Alternatywnie, jeśli maszyny z systemem Windows Server 2012/2012 R2 są licencjonowane za pośrednictwem splA lub z subskrypcją serwera, pakiet Software Assurance nie jest wymagany do zakupu jednostek ESU.
Należy również pobrać zarówno pakiet licencjonowania, jak i aktualizację stosu obsługi (SSU) dla serwera z obsługą usługi Azure Arc zgodnie z opisem w KB5031043: Procedura kontynuowania otrzymywania aktualizacji zabezpieczeń po zakończeniu rozszerzonej pomocy technicznej 10 października 2023 r.
Opcje wdrażania
Istnieje kilka opcji dołączania na dużą skalę dla serwerów z obsługą usługi Azure Arc, w tym uruchamianie niestandardowej sekwencji zadań za pomocą programu Configuration Manager i wdrażanie zaplanowanego zadania za pomocą zasad grupy. Dostępne są również opcje dostarczania ESU na dużą skalę dla zarządzanych maszyn wirtualnych VMware vCenter i zarządzanych maszyn wirtualnych SCVMM za pośrednictwem usługi Azure Arc.
Uwaga
Dostarczanie jednostek ESU za pośrednictwem usługi Azure Arc do maszyn wirtualnych uruchomionych w infrastrukturze pulpitów wirtualnych (VDI) nie jest zalecane. Systemy VDI powinny używać wielu kluczy aktywacji (MAK) do stosowania jednostek ESU. Aby dowiedzieć się więcej, zobacz Uzyskiwanie dostępu do klucza aktywacji wielokrotnej z Centrum Administracja Microsoft 365.
Sieć
opcje Połączenie ivity obejmują publiczny punkt końcowy, serwer proxy i link prywatny lub usługę Azure Express Route. Zapoznaj się z wymaganiami wstępnymi dotyczącymi sieci, aby przygotować środowiska spoza platformy Azure do wdrożenia w usłudze Azure Arc.
Jeśli używasz serwerów z obsługą usługi Azure Arc tylko w przypadku rozszerzonych Aktualizacje zabezpieczeń dla jednego lub obu następujących produktów:
- Windows Server 2012
- SQL Server 2012
Możesz włączyć następujący podzbiór punktów końcowych:
| Zasób agenta | opis | Jeśli jest to wymagane | Punkt końcowy używany z linkiem prywatnym |
|---|---|---|---|
aka.ms |
Służy do rozpoznawania skryptu pobierania podczas instalacji | Tylko w czasie instalacji | Publiczne |
download.microsoft.com |
Służy do pobierania pakietu instalacyjnego systemu Windows | Tylko w czasie instalacji | Publiczne |
login.windows.net |
Microsoft Entra ID | Zawsze | Publiczne |
login.microsoftonline.com |
Microsoft Entra ID | Zawsze | Publiczne |
management.azure.com |
Azure Resource Manager — aby utworzyć lub usunąć zasób serwera Arc | Podczas nawiązywania połączenia lub odłączania serwera tylko | Publiczny, chyba że skonfigurowano również łącze prywatne do zarządzania zasobami |
*.his.arc.azure.com |
Metadane i usługi tożsamości hybrydowej | Zawsze | Prywatne |
*.guestconfiguration.azure.com |
Zarządzanie rozszerzeniami i usługi konfiguracji gościa | Zawsze | Prywatne |
www.microsoft.com/pkiops/certs |
Aktualizacje certyfikatów pośrednich dla jednostek ESU (uwaga: korzysta z protokołów HTTP/TCP 80 i HTTPS/TCP 443) | Zawsze w przypadku aktualizacji automatycznych lub tymczasowo w przypadku ręcznego pobierania certyfikatów. | Publiczne |
*.<region>.arcdataservices.com |
Usługa przetwarzania danych i dane telemetryczne usługi Azure Arc. | ESU programu SQL Server | Publiczne |
Napiwek
Aby skorzystać z pełnego zakresu ofert dla serwerów z obsługą usługi Arc, takich jak rozszerzenia i łączność zdalna, upewnij się, że zezwalasz na dodatkowe adresy URL, które mają zastosowanie do danego scenariusza. Aby uzyskać więcej informacji, zobacz Połączenie wymagania dotyczące sieci agenta maszyny.
Następne kroki
Dowiedz się więcej na temat planowania zakończenia wsparcia dla systemu Windows Server i programu SQL Server oraz uzyskiwania rozszerzonego Aktualizacje zabezpieczeń.
Dowiedz się więcej o najlepszych rozwiązaniach i wzorcach projektowych za pomocą akceleratora strefy docelowej usługi Azure Arc dla rozwiązań hybrydowych i wielochmurowych.
Dowiedz się więcej na temat serwerów z obsługą usługi Arc i sposobu ich pracy z platformą Azure za pośrednictwem agenta usługi Azure Połączenie ed Machine.
Zapoznaj się z opcjami dołączania maszyn do serwerów z obsługą usługi Azure Arc.