Udostępnij za pośrednictwem


Przygotowanie do dostarczania rozszerzonych aktualizacji zabezpieczeń dla systemu Windows Server 2012

Dzięki systemom Windows Server 2012 i Windows Server 2012 R2, które zakończyły się 10 października 2023 r., serwery z obsługą usługi Azure Arc umożliwiają rejestrowanie istniejących maszyn z systemem Windows Server 2012/2012 R2 w rozszerzonych aktualizacjach zabezpieczeń (ESU). Zapewnienie elastyczności kosztów i ulepszonego środowiska dostarczania zapewnia lepsze pozycje w usłudze Azure Arc do migracji na platformę Azure.

Celem tego artykułu jest pomoc w zrozumieniu korzyści i sposobie przygotowania do korzystania z serwerów z obsługą usługi Arc w celu umożliwienia dostarczania jednostek ESU.

Uwaga

Maszyny usługi Azure VMware Solutions (AVS) kwalifikują się do bezpłatnych jednostek ESU i nie powinny być rejestrowane w jednostkach ESU włączonych za pośrednictwem usługi Azure Arc.

Główne korzyści

Dostarczanie jednostek ESU do maszyn z systemem Windows Server 2012/2012 R2 zapewnia następujące kluczowe korzyści:

  • Płatność zgodnie z rzeczywistym użyciem: elastyczność tworzenia konta miesięcznej usługi subskrypcji z możliwością migracji w połowie roku.

  • Rozliczana platforma Azure: możesz ściągnąć z istniejącego zobowiązania microsoft Azure Consumption Commitment (MACC) i przeanalizować koszty przy użyciu usługi Microsoft Cost Management and Billing.

  • Spis wbudowany: stan pokrycia i rejestracji jednostek ESU systemu Windows Server 2012/2012 R2 na kwalifikujących się serwerach z obsługą usługi Arc jest identyfikowany w witrynie Azure Portal, co wyróżnia luki i zmiany stanu.

  • Dostarczanie bez klucza: rejestracja jednostek ESU na maszynach z systemem Windows Server 2012/2012 R2 z obsługą usługi Azure Arc nie będzie wymagać uzyskania ani aktywacji kluczy.

Dostęp do usług platformy Azure

W przypadku serwerów z obsługą usługi Azure Arc zarejestrowanych w systemach WS2012 ESU z obsługą usługi Azure Arc bezpłatny dostęp jest udostępniany tym usługom platformy Azure od 10 października 2023 r.:

  • Azure Update Manager — ujednolicone zarządzanie zgodnością aktualizacji i zarządzanie nią, które obejmuje nie tylko maszyny platformy Azure i maszyny hybrydowe, ale także zgodność aktualizacji ESU dla wszystkich maszyn z systemem Windows Server 2012/2012 R2. Rejestracja w jednostkach ESU nie ma wpływu na usługę Azure Update Manager. Po rejestracji w jednostkach ESU za pośrednictwem usługi Azure Arc serwer kwalifikuje się do poprawek ESU. Te poprawki można dostarczać za pośrednictwem usługi Azure Update Manager lub dowolnego innego rozwiązania do stosowania poprawek. Nadal trzeba będzie skonfigurować aktualizacje z usługi Microsoft Updates lub Windows Server Update Services.
  • Azure Automation Śledzenie zmian i spis — śledzenie zmian maszyn wirtualnych hostowanych na platformie Azure, lokalnie i w innych środowiskach w chmurze.
  • Konfiguracja gościa usługi Azure Policy — przeprowadź inspekcję ustawień konfiguracji na maszynie wirtualnej. Konfiguracja gościa obsługuje maszyny wirtualne platformy Azure natywnie i nienależące do serwera fizycznego i wirtualnego platformy Azure za pośrednictwem serwerów z obsługą usługi Azure Arc.

Dostępne są również inne usługi platformy Azure za pośrednictwem serwerów z obsługą usługi Azure Arc z ofertami, takimi jak:

  • Microsoft Defender dla Chmury — w ramach filaru zarządzania stanem zabezpieczeń w chmurze (CSPM) zapewnia ochronę serwera za pośrednictwem usługi Microsoft Defender dla serwerów, aby chronić cię przed różnymi zagrożeniami cybernetycznymi i lukami w zabezpieczeniach.
  • Microsoft Sentinel — zbieranie zdarzeń związanych z zabezpieczeniami i korelowanie ich z innymi źródłami danych.

Przygotowywanie dostarczania jednostek ESU

Zaplanuj i przygotuj się do dołączenia maszyn do serwerów z obsługą usługi Azure Arc za pośrednictwem instalacji agenta usługi Azure Connected Machine (wersja 1.34 lub nowsza), aby nawiązać połączenie z platformą Azure. Rozszerzone aktualizacje zabezpieczeń systemu Windows Server 2012 obsługują wersje Windows Server 2012 i R2 Standard i Datacenter. Magazyn systemu Windows Server 2012 nie jest obsługiwany.

Zalecamy wdrożenie maszyn w usłudze Azure Arc w ramach przygotowań, gdy powiązane usługi platformy Azure dostarczają obsługiwane funkcje do zarządzania ESU. Po dołączeniu tych maszyn do serwerów z obsługą usługi Azure Arc będziesz mieć wgląd w ich pokrycie ESU i zarejestrować się w witrynie Azure Portal lub przy użyciu usługi Azure Policy. Rozliczenia dla tej usługi rozpoczynają się od października 2023 r. (tj. po zakończeniu wsparcia systemu Windows Server 2012).

Uwaga

Aby kupić ESU, musisz mieć pakiet Software Assurance za pośrednictwem programów licencjonowania zbiorowego, takich jak Umowa Enterprise (EA), subskrypcja Umowa Enterprise (EAS), rejestracja rozwiązań edukacyjnych (EES), serwer i rejestracja w chmurze (SCE) lub za pośrednictwem programów Microsoft Open Value. Alternatywnie, jeśli maszyny z systemem Windows Server 2012/2012 R2 są licencjonowane za pośrednictwem SPLA lub z subskrypcją serwera, pakiet Software Assurance nie jest wymagany do zakupu jednostek ESU.

Należy również pobrać zarówno pakiet licencjonowania, jak i aktualizację stosu obsługi (SSU) dla serwera z obsługą usługi Azure Arc zgodnie z opisem w KB5031043: Procedura kontynuowania otrzymywania aktualizacji zabezpieczeń po zakończeniu rozszerzonej pomocy technicznej 10 października 2023 r.

Opcje wdrażania

Istnieje kilka opcji dołączania na dużą skalę dla serwerów z obsługą usługi Azure Arc, w tym uruchamianie niestandardowej sekwencji zadań za pomocą programu Configuration Manager i wdrażanie zaplanowanego zadania za pomocą zasad grupy. Dostępne są również opcje dostarczania ESU na dużą skalę dla zarządzanych maszyn wirtualnych VMware vCenter i zarządzanych maszyn wirtualnych SCVMM za pośrednictwem usługi Azure Arc.

Uwaga

Dostarczanie jednostek ESU za pośrednictwem usługi Azure Arc do maszyn wirtualnych uruchomionych w infrastrukturze pulpitów wirtualnych (VDI) nie jest zalecane. Systemy VDI powinny używać wielu kluczy aktywacji (MAK) do stosowania jednostek ESU. Aby dowiedzieć się więcej, zobacz Uzyskiwanie dostępu do klucza aktywacji wielokrotnej z Centrum Administracja Microsoft 365.

Sieć

Opcje łączności obejmują publiczny punkt końcowy, serwer proxy oraz link prywatny lub usługę Azure Express Route. Zapoznaj się z wymaganiami wstępnymi dotyczącymi sieci, aby przygotować środowiska spoza platformy Azure do wdrożenia w usłudze Azure Arc.

Jeśli używasz serwerów z obsługą usługi Azure Arc tylko w przypadku rozszerzonych aktualizacji zabezpieczeń dla następujących produktów lub obu następujących produktów:

  • Windows Server 2012
  • SQL Server 2012

Możesz włączyć następujący podzbiór punktów końcowych:

Zasób agenta opis Jeśli jest to wymagane Punkt końcowy używany z linkiem prywatnym
aka.ms Służy do rozpoznawania skryptu pobierania podczas instalacji Tylko w czasie instalacji Publiczne
download.microsoft.com Służy do pobierania pakietu instalacyjnego systemu Windows Tylko w czasie instalacji Publiczne
login.windows.net Microsoft Entra ID Zawsze Publiczne
login.microsoftonline.com Microsoft Entra ID Zawsze Publiczne
*login.microsoft.com Microsoft Entra ID Zawsze Publiczne
management.azure.com Azure Resource Manager — aby utworzyć lub usunąć zasób serwera Arc Podczas nawiązywania połączenia lub odłączania serwera tylko Publiczny, chyba że skonfigurowano również łącze prywatne do zarządzania zasobami
*.his.arc.azure.com Metadane i usługi tożsamości hybrydowej Zawsze Prywatne
*.guestconfiguration.azure.com Zarządzanie rozszerzeniami i usługi konfiguracji gościa Zawsze Prywatne
www.microsoft.com/pkiops/certs Aktualizacje certyfikatów pośrednich dla jednostek ESU (uwaga: korzysta z protokołów HTTP/TCP 80 i HTTPS/TCP 443) Zawsze w przypadku aktualizacji automatycznych lub tymczasowo w przypadku ręcznego pobierania certyfikatów. Publiczne
*.<region>.arcdataservices.com Usługa przetwarzania danych i dane telemetryczne usługi Azure Arc. ESU programu SQL Server Publiczne
*.blob.core.windows.net Pobierz pakiet rozszerzenia programu Sql Server ESU programu SQL Server Nie jest wymagane w przypadku korzystania z usługi Private Link

Napiwek

Aby skorzystać z pełnego zakresu ofert dla serwerów z obsługą usługi Arc, takich jak rozszerzenia i łączność zdalna, upewnij się, że zezwalasz na dodatkowe adresy URL, które mają zastosowanie do danego scenariusza. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące sieci agenta maszyny połączonej.

Wymagane urzędy certyfikacji

Następujące urzędy certyfikacji są wymagane w przypadku rozszerzonych aktualizacji zabezpieczeń dla systemu Windows Server 2012:

W razie potrzeby te urzędy certyfikacji można pobrać i zainstalować ręcznie.

Następne kroki