Share via

Доставка расширенных Обновления безопасности для Windows Server 2012

  • Статья

В этой статье приведены шаги по включению доставки Обновления расширенной безопасности (ESUS) на компьютеры Windows Server 2012, подключенные к серверам с поддержкой Arc. Вы можете включить ESUs для этих компьютеров по отдельности или в масштабе.

Подготовка к работе

Планирование и подготовка к подключению компьютеров к серверам с поддержкой Azure Arc. Дополнительные сведения см. в статье "Подготовка к доставке расширенных Обновления безопасности для Windows Server 2012".

Вам также потребуется роль участника в Azure RBAC для создания и назначения ESUs серверам с поддержкой Arc.

Управление лицензиями ESU

  1. Войдите в портал Azure в браузере.

  2. На странице Azure Arc выберите "Расширенная безопасность" Обновления в левой области.

    Снимок экрана: главное окно ESU с вкладкой лицензий и соответствующими ресурсами.

    Здесь вы можете просматривать и создавать лицензии ESU и просматривать соответствующие ресурсы для ESUs.

Примечание.

При просмотре всех серверов с поддержкой Arc на странице "Серверы " баннер указывает, сколько компьютеров Windows 2012 имеет право на использование ESUs. Затем можно выбрать "Просмотреть серверы" в Обновления расширенной безопасности, чтобы просмотреть список ресурсов, доступных для ESUs, вместе с компьютерами, уже включенными ESU.

Создание лицензий Azure Arc WS2012

Первым шагом является подготовка лицензий Windows Server 2012 и 2012 R2 Extended Security Update из Azure Arc. Вы связываете эти лицензии с одним или несколькими серверами с поддержкой Arc, которые вы выбрали в следующем разделе.

После подготовки лицензии ESU необходимо указать номер SKU (Standard или Datacenter), тип ядер (физический или виртуальный ядро) и число 16-ядер и 2-ядер для подготовки лицензии ESU. Вы также можете подготовить лицензию расширенного обновления безопасности в деактивированном состоянии, чтобы не инициировать выставление счетов или работать при создании. Кроме того, ядра, связанные с лицензией, можно изменить после подготовки.

Примечание.

Для подготовки лицензий ESU требуется убедиться в том, что она охватывает sa или SPLA.

На вкладке "Лицензии" отображаются доступные лицензии Azure Arc WS2012. Здесь можно выбрать существующую лицензию, чтобы применить или создать новую лицензию.

Снимок экрана: существующие лицензии.

  1. Чтобы создать новую лицензию WS2012, нажмите кнопку "Создать", а затем укажите сведения, необходимые для настройки лицензии на странице.

    Дополнительные сведения о том, как выполнить этот шаг, см. в рекомендациях по подготовке лицензий для расширенной безопасности Обновления для Windows Server 2012.

  2. Просмотрите предоставленные сведения и нажмите кнопку "Создать".

    Созданная лицензия отображается в списке, и ее можно связать с одним или несколькими серверами с поддержкой Arc, выполнив действия, описанные в следующем разделе.

    Снимок экрана: вкладка

Вы можете выбрать один или несколько серверов с поддержкой Arc, чтобы связаться с лицензией расширенного обновления безопасности. После связывания сервера с активированной лицензией ESU сервер может получить windows Server 2012 и 2012 R2 ESUs.

Примечание.

Вы можете настроить решение по исправлению для получения этих обновлений, будь то диспетчер обновлений, Службы обновления Windows Server, Microsoft Обновления, Microsoft Endpoint Configuration Manager или стороннее решение для управления исправлениями.

  1. Перейдите на вкладку "Допустимые ресурсы" , чтобы просмотреть список всех серверов с поддержкой Arc под управлением Windows Server 2012 и 2012 R2.

    Снимок экрана: вкладка

    Столбец состояния ESUs указывает, включен ли компьютер с поддержкой ESUs.

  2. Чтобы включить ESUs для одного или нескольких компьютеров, выберите их в списке, а затем нажмите кнопку "Включить ESUs".

  3. На странице "Включить расширенную безопасность" Обновления отображается количество компьютеров, выбранных для включения ESU и лицензий WS2012, доступных для применения. Выберите лицензию, чтобы связаться с выбранными компьютерами, а затем нажмите кнопку "Включить".

    Снимок экрана: окно выбора лицензии для применения к ранее выбранным компьютерам.

    Примечание.

    Вы также можете создать лицензию на этой странице, выбрав "Создать лицензию ESU".

Состояние выбранных компьютеров изменяется на Включено.

Снимок экрана: вкладка соответствующих ресурсов с состоянием включения для ранее выбранных серверов.

Если во время процесса включения возникают какие-либо проблемы, обратитесь к статье "Устранение неполадок с доставкой расширенных Обновления безопасности для Windows Server 2012 для получения помощи".

Масштабируемые Политика Azure

Для горизонтального связывания серверов с лицензией расширенного обновления безопасности Azure Arc и блокировкой изменения или создания лицензий рассмотрите использование следующих встроенных политик Azure:

Политики Azure можно указать в целевой подписке или группе ресурсов для сценариев аудита и управления.

Дополнительные сценарии

Существуют некоторые сценарии, в которых вы можете получать исправления расширенной безопасности Обновления без дополнительных затрат. Два из этих сценариев, поддерживаемых Azure Arc, — это (1) Dev/Test (Visual Studio) и (2) Аварийное восстановление (доступные экземпляры аварийного восстановления только из Software Assurance или подписки). Для обоих этих сценариев требуется, чтобы клиент уже использовал windows Server 2012/R2 ESUs, включенный Azure Arc для оплачиваемых рабочих компьютеров.

Предупреждение

Не создавайте лицензию ESU на Windows Server 2012/R2 только для рабочих нагрузок разработки и тестирования или аварийного восстановления. Вы не должны подготавливать лицензию ESU только для неоплазуемых рабочих нагрузок. Кроме того, вы будете выставлены счета за все ядра, подготовленные с лицензией ESU, и все ядра разработки и тестирования на лицензии не будут выставлены счета до тех пор, пока они помечены соответствующим образом на основе следующих квалификаций.

Чтобы претендовать на эти сценарии, необходимо иметь следующие компоненты:

  • Лицензия ESU с выставлением счетов. Необходимо уже подготовить и активировать лицензию WS2012 Arc ESU, предназначенную для связывания с обычными серверами с поддержкой Azure Arc, работающими в рабочих средах (т. е. обычно оплачиваемых сценариях ESU). Эта лицензия должна быть подготовлена только для оплачиваемых ядер, а не ядер, которые имеют право на бесплатные расширенные Обновления безопасности, например для разработки и тестирования ядер.

  • Серверы с поддержкой Arc. Подключение компьютеров Windows Server 2012 и Windows Server 2012 R2 к серверам с поддержкой Azure Arc для целей разработки и тестирования с помощью подписок Visual Studio или аварийного восстановления.

Чтобы зарегистрировать серверы с поддержкой Azure Arc, доступные для ESUs без дополнительных затрат, выполните следующие действия, чтобы пометить и связать:

  1. Пометьте лицензию WS2012 Arc ESU (созданную для рабочей среды с ядрами только для серверов рабочей среды) и серверы с поддержкой Azure Arc с одной из следующих пар "имя-значение", соответствующие соответствующему исключению:

    1. Имя: "Использование ESU"; Значение: "WS2012 VISUAL STUDIO DEV TEST"

    2. Имя: "Использование ESU"; Значение: "Аварийное восстановление WS2012"

    В случае, если вы используете лицензию ESU для нескольких сценариев исключений, пометьте лицензию тегом: "Использование ESU"; Значение: "WS2012 MULTIPURPOSE"

  2. Свяжите помеченную лицензию (созданную для рабочей среды только для серверов рабочей среды только для серверов рабочей среды) с помеченными компьютерами Windows Server 2012 и Windows Server 2012 R2 с поддержкой Azure Arc. Не используйте ядра лицензий для этих серверов или создайте новую лицензию ESU только для этих серверов.

Это связывание не приведет к нарушению соответствия или блоку принудительного применения, что позволяет расширить приложение лицензии за рамки подготовленных ядер. Ожидается, что лицензия включает только ядра для рабочих и выставленных счетов серверов. Плата за любые дополнительные ядра будет взиматься и приводит к чрезмерному выставлению счетов.

Внимание

Добавление этих тегов в лицензию не сделает лицензию бесплатной или уменьшит количество ядер лицензий, которые оплачиваются. Эти теги позволяют связать компьютеры Azure с существующими лицензиями, которые уже настроены с платными ядрами без необходимости создавать новые лицензии или добавлять дополнительные ядра на бесплатные компьютеры.

Пример:

  • У вас есть 8 экземпляров Windows Server 2012 R2 Standard, каждый из которых содержит 8 физических ядер. Шесть из этих компьютеров Windows Server 2012 R2 Standard предназначены для рабочей среды, и 2 из этих компьютеров Windows Server 2012 R2 Standard имеют право на бесплатные ESUs, так как операционная система была лицензирована с помощью подписки Visual Studio Dev Test.
    • Сначала следует подготовить и активировать обычную лицензию ESU для Windows Server 2012/R2, которая является выпуском Standard и имеет 48 физических ядер для покрытия 6 рабочих компьютеров. Вы должны связать эту обычную рабочую лицензию ESU с 6 рабочими серверами.
    • Затем следует повторно использовать эту существующую лицензию, не добавлять больше ядер или подготавливать отдельную лицензию, а также связывать эту лицензию с 2 нерабочими компьютерами Windows Server 2012 R2 уровня "Стандартный". Следует пометить лицензию ESU и 2 компьютерах, отличных от рабочей среды Windows Server 2012 R2 Standard, с именем "Использование ESU" и значением: "WS2012 VISUAL STUDIO DEV TEST".
    • Это приведет к лицензии ESU для 48 ядер, и вы будете выставлены счета за эти 48 ядер. Вы не будете взимать плату за дополнительные 16 ядер тестовых серверов разработки, которые вы добавили в эту лицензию, если лицензия ESU и ресурсы тестового сервера разработки помечены соответствующим образом.

Примечание.

Для начала вам нужна обычная рабочая лицензия, и вы будете выставлены счета только для рабочих ядер.

Обновление с Windows Server 2012/2012 R2

При обновлении компьютера Windows Server 2012/2012R до Windows Server 2016 или более поздней версии необходимо удалить Подключение агент компьютера с компьютера. Новая операционная система будет отображаться для компьютера в Azure в течение нескольких минут после завершения обновления. Обновленные компьютеры больше не требуют ESUs и больше не имеют права на их использование. Любая лицензия ESU, связанная с компьютером, не автоматически не связана с компьютером. См . инструкции по отмене связи с лицензией вручную.

Оценка состояния исправления ESU WS2012

Чтобы определить, будут ли исправлены серверы с поддержкой Azure Arc с помощью последних Обновления расширенной безопасности Windows Server 2012/R2, можно использовать Политика Azure расширенных Обновления безопасности на компьютерах Windows Server 2012 Arc в Microsoft Azure. Этот Политика Azure, на базе конфигурации компьютера, определяет, получил ли сервер последние исправления ESU. Это можно наблюдать из представлений "Назначение гостей" и Политика Azure соответствия требованиям, встроенных в портал Azure.