Подготовка к доставке Обновления расширенной безопасности для Windows Server 2012

  • Статья

С windows Server 2012 и Windows Server 2012 R2, завершив поддержку 10 октября 2023 г., серверы с поддержкой Azure Arc позволяют зарегистрировать существующие компьютеры Windows Server 2012/2012 R2 в расширенных Обновления безопасности (ESUs). Предоставляя гибкость затрат и расширенный интерфейс доставки, Azure Arc лучше позиционирует вас для миграции в Azure.

Цель этой статьи — помочь вам понять преимущества и как подготовиться к использованию серверов с поддержкой Arc, чтобы обеспечить доставку ESUS.

Примечание.

компьютеры Решение Azure VMware (AVS) имеют право на бесплатные ESUs и не должны регистрироваться в ESUs с помощью Azure Arc.

Ключевые преимущества

Доставка ESUs на компьютеры Windows Server 2012/2012 R2 обеспечивает следующие ключевые преимущества:

  • Оплата по мере использования: гибкость регистрации для ежемесячной службы подписки с возможностью миграции в середине года.

  • Плата за Azure: вы можете сократить существующие обязательства по использованию Microsoft Azure (MACC) и проанализировать затраты с помощью управления затратами Майкрософт и выставления счетов.

  • Встроенная инвентаризация: состояние покрытия и регистрации Windows Server 2012/2012 R2 на ESUs с поддержкой Arc определяются в портал Azure, указывая пробелы и изменения состояния.

  • Доставка без ключей: регистрация ESUs на компьютерах Windows Server 2012/2012 R2 с поддержкой Azure Arc не требует приобретения или активации ключей.

Доступ к службам Azure

Для серверов с поддержкой Azure Arc, зарегистрированных в WS2012 ESUs, включенных Azure Arc, бесплатный доступ предоставляется этим службам Azure с 10 октября 2023 г.

  • Диспетчер обновлений Azure — единое управление и управление соответствием обновлений, которое включает не только Azure и гибридные компьютеры, но и соответствие обновлений ESU для всех компьютеров Windows Server 2012 R2. Регистрация в ESUs не влияет на Диспетчер обновлений Azure. После регистрации в ESUs через Azure Arc сервер получает право на исправления ESU. Эти исправления можно доставлять с помощью Диспетчера обновлений Azure или любого другого решения по исправлению. Вам по-прежнему потребуется настроить обновления из служб Центра обновления Майкрософт Обновления или Windows Server Update Services.
  • служба автоматизации Azure Отслеживание изменений и инвентаризация. Отслеживание изменений в виртуальных машинах, размещенных в Azure, локальной среде и других облачных средах.
  • Политика Azure гостевой конфигурации— аудит параметров конфигурации в виртуальной машине. Гостевая конфигурация поддерживает виртуальные машины Azure в собственном коде и физические и виртуальные серверы, отличные от Azure, через серверы с поддержкой Azure Arc.

Другие службы Azure через серверы с поддержкой Azure Arc также доступны с такими предложениями, как:

  • Microsoft Defender для облака . В рамках компонента управления безопасностью облака (CSPM) она обеспечивает защиту серверов через Microsoft Defender для серверов, чтобы защитить вас от различных киберугрыз и уязвимостей.

  • Microsoft Sentinel — собирает события, связанные с безопасностью, и сопоставляет их с другими источниками данных.

    Примечание.

    Активация ESU запланирована на третий квартал 2023 года. Использование служб Azure, таких как Диспетчер обновлений Azure и Политика Azure для поддержки управления компьютерами Windows Server 2012/2012 R2, также планируется на третий квартал.

Подготовка доставки ESUs

Запланируйте и подготовьтесь к подключению компьютеров к серверам с поддержкой Azure Arc с помощью установки агента машин azure Подключение (версия 1.34 или более поздней версии), чтобы установить подключение к Azure. Windows Server 2012 Extended Security Обновления поддерживает выпуски Windows Server 2012 и R2 Standard и Datacenter. Служба хранилища Windows Server 2012 не поддерживается.

Рекомендуется развернуть компьютеры в Azure Arc при подготовке к работе со связанными службами Azure, которые предоставляют поддерживаемые функции для управления ESU. После подключения этих компьютеров к серверам с поддержкой Azure Arc вы получите представление о охвате ESU и регистрации через портал Azure или с помощью Политика Azure. Выставление счетов за эту службу начинается с октября 2023 г. (т. е. после окончания поддержки Windows Server 2012).

Примечание.

Чтобы приобрести ESUs, необходимо использовать Software Assurance с помощью программ корпоративного лицензирования, таких как Соглашение Enterprise (EA), Соглашение Enterprise подписка (EAS), регистрация для решений для образовательных учреждений (EES), серверная и облачная регистрация (SCE) или через программы Microsoft Open Value. Кроме того, если компьютеры Windows Server 2012/2012 R2 лицензированы с помощью spLA или с подпиской на сервер, Software Assurance не требуется приобрести ESUs.

Кроме того, необходимо скачать пакет лицензирования и обновление стека обслуживания для сервера с поддержкой Azure Arc, как описано в КБ 5031043: процедура продолжения получения обновлений для системы безопасности после окончания расширенной поддержки 10 октября 2023 года.

Параметры развертывания

Существует несколько вариантов подключения к серверам с поддержкой Azure Arc, включая запуск пользовательской последовательности задач с помощью Configuration Manager и развертывание запланированной задачи с помощью групповой политики. Существуют также масштабируемые варианты доставки ESU для управляемых виртуальных машин VMware vCenter и управляемых виртуальных машин SCVMM через Azure Arc.

Примечание.

Доставка ESUs через Azure Arc на виртуальные машины, работающие на инфраструктура виртуальных рабочих столов (VDI), не рекомендуется. Системы VDI должны использовать несколько ключей активации (MAK) для применения ESUs. Дополнительные сведения см. в разделе "Доступ к ключу множественной активации" в Центре Администратор Microsoft 365.

Сеть

Подключение выключаемые параметры включают общедоступную конечную точку, прокси-сервер и приватный канал или Azure Express Route. Просмотрите предварительные требования к сети для подготовки сред, отличных от Azure, для развертывания в Azure Arc.

Если вы используете серверы с поддержкой Azure Arc только для расширенной безопасности Обновления для следующих продуктов:

  • Windows Server 2012
  • SQL Server 2012

Вы можете включить следующее подмножество конечных точек:

Ресурс агента Description При необходимости Конечная точка, используемая с приватным каналом
aka.ms Используется для разрешения скрипта загрузки во время установки Только во время установки Общедоступный
download.microsoft.com Используется для скачивания пакета установки Windows Только во время установки Общедоступный
login.windows.net Microsoft Entra ID Всегда Общедоступный
login.microsoftonline.com Microsoft Entra ID Всегда Общедоступный
management.azure.com Azure Resource Manager — создание или удаление ресурса сервера Arc При подключении или отключении сервера только Общедоступная, если не настроена приватная ссылка на управление ресурсами
*.his.arc.azure.com Метаданные и службы гибридных удостоверений Всегда Private
*.guestconfiguration.azure.com Службы управления расширениями и гостевой конфигурации Всегда Private
www.microsoft.com/pkiops/certs Обновления промежуточного сертификата для ESUs (примечание. Использует http/TCP 80 и HTTPS/TCP 443) Всегда для автоматических обновлений или временно при скачивании сертификатов вручную. Общедоступный
*.<region>.arcdataservices.com Служба обработки данных Azure Arc и данные телеметрии служб. SQL Server ESUs Общедоступный

Совет

Чтобы воспользоваться полным спектром предложений для серверов с поддержкой Arc, таких как расширения и удаленное подключение, убедитесь, что вы разрешаете дополнительные URL-адреса, которые применяются к вашему сценарию. Дополнительные сведения см. в разделе Подключение требования к сети агента компьютера.

Следующие шаги