Устранение неполадок с доставкой Обновления расширенной безопасности для Windows Server 2012
В этой статье содержатся сведения об устранении неполадок и устранении проблем, которые могут возникнуть при включении расширенной безопасности Обновления для Windows Server 2012 и Windows Server 2012 R2 с помощью серверов с поддержкой Arc.
Проблемы с подготовкой лицензий
Если вы не можете подготовить лицензию windows Server 2012 Extended Security Update для серверов с поддержкой Azure Arc, проверка следующее:
Разрешения. Убедитесь, что у вас есть достаточные разрешения (роль участника или более поздняя) в область подготовки и связывания ESU.
Минимальные значения основных компонентов. Убедитесь, что для лицензии ESU задано достаточное количество ядер. Для лицензий на основе физических ядер требуется не менее 16 ядер на каждую машину, а для лицензий на основе виртуальных ядер требуется не менее 8 ядер на виртуальную машину.
Соглашения. Убедитесь, что выбрана соответствующая подписка и группа ресурсов и предоставлено уникальное имя лицензии ESU.
Проблемы с регистрацией ESU
Если вы не можете успешно связать сервер с поддержкой Azure Arc с активированной лицензией расширенной безопасности Обновления, убедитесь, что выполнены следующие условия:
Подключение тивность: Сервер с поддержкой Azure Arc Подключение. Сведения о просмотре состояния компьютеров с поддержкой Azure Arc см. в разделе "Состояние агента".
Версия агента: Подключение агент компьютера версии 1.34 или более поздней. Если версия агента меньше 1.34, необходимо обновить ее до этой версии или выше.
Операционная система: только серверы с поддержкой Azure Arc под управлением операционной системы Windows Server 2012 и 2012 R2 могут быть зарегистрированы в Обновления расширенной безопасности.
Среда. Подключенная машина не должна работать в Azure Stack HCI, решении Azure VMware (AVS) или в качестве виртуальной машины Azure. В этих сценариях ESUs WS2012 доступны бесплатно. Сведения о ESUS без затрат с помощью Azure Stack HCI см. в статье "Бесплатный расширенный уровень безопасности" Обновления через Azure Stack HCI.
Свойства лицензии: убедитесь, что лицензия активирована и выделена достаточно физических или виртуальных ядер для поддержки предполагаемого область серверов.
Поставщики ресурсов
Если вы не можете включить это предложение, просмотрите поставщики ресурсов, зарегистрированные в подписке, как указано ниже. Если при попытке регистрации поставщиков ресурсов возникает ошибка, проверьте назначение ролей в подписке. Кроме того, просмотрите все потенциальные политики Azure, которые могут быть заданы с эффектом "Запретить", предотвращая включение этих поставщиков ресурсов.
Microsoft.HybridCompute: этот поставщик ресурсов необходим для серверов с поддержкой Azure Arc, что позволяет подключить локальные серверы и управлять ими в портал Azure.
Microsoft.GuestConfiguration: включает политики гостевой конфигурации, которые используются для оценки и применения конфигураций на серверах с поддержкой Arc для обеспечения соответствия требованиям и безопасности.
Microsoft.Compute: этот поставщик ресурсов необходим для управления обновлениями Azure, который используется для управления обновлениями и исправлениями на локальных серверах, включая обновления ESU.
Microsoft.Security. Включение этого поставщика ресурсов имеет решающее значение для реализации функций и конфигураций, связанных с безопасностью, как для локальных серверов, так и для Azure Arc.
Microsoft.Operational Аналитика: этот поставщик ресурсов связан с Azure Monitor и Log Analytics, которые используются для мониторинга и сбора данных телеметрии из гибридной инфраструктуры, включая локальные серверы.
Microsoft.Sql. Если вы управляете локальными экземплярами SQL Server и требуете ESU для SQL Server, необходимо включить этот поставщик ресурсов.
Microsoft. служба хранилища: Включение этого поставщика ресурсов важно для управления ресурсами хранилища, которые могут быть актуальными для гибридных и локальных сценариев.
Проблемы с исправлением ESU
Состояние исправления ESU
Чтобы определить, установлены ли серверы с поддержкой Azure Arc с помощью последних Обновления расширенной безопасности Windows Server 2012/R2, используйте диспетчер обновлений Azure или Политика Azure Обновления расширенной безопасности на компьютерах Windows Server 2012 Arc- Microsoft Azure, которые проверкаУказывает, были ли получены последние исправления ESU WS2012. Оба этих варианта доступны без дополнительных затрат для серверов с поддержкой Azure Arc, зарегистрированных в WS2012 ESUs, включенных Azure Arc.
Предварительные требования ESU
Убедитесь, что пакет лицензирования и обновление стека обслуживания скачиваются для сервера с поддержкой Azure Arc, как описано в КБ 5031043: процедура продолжения получения обновлений системы безопасности после окончания расширенной поддержки 10 октября 2023 года. Убедитесь, что вы выполняете все предварительные требования к сети, записанные на сайте "Подготовка к доставке расширенных Обновления безопасности для Windows Server 2012".
Ошибка: попытка проверка IMDS снова (HRESULT 12002 или 12029)
Если установка расширенного обновления безопасности, включенного Azure Arc, завершается сбоем с ошибками, такими как "ESU: попытка проверить IMDS еще раз LastError=HRESULT_FROM_WIN32(12029)" или "ESU: попытка проверить IMDS еще раз LastError=HRESULT_FROM_WIN32(12002)", вам может потребоваться обновить промежуточные центры сертификации, доверенные компьютером, с помощью одного из следующих двух методов:
Вариант 1. Разрешить доступ к URL-адресу PKI
Настройте сетевой брандмауэр и(или) прокси-сервер, чтобы разрешить доступ с компьютеров http://www.microsoft.com/pkiops/certs
https://www.microsoft.com/pkiops/certs
Windows Server 2012 (R2) и (как TCP 80, так и 443). Это позволит компьютерам автоматически извлекать отсутствующие промежуточные сертификаты ЦС от Майкрософт.
После внесения изменений в сеть, чтобы разрешить доступ к URL-адресу PKI, повторите установку обновлений Windows. Возможно, потребуется перезагрузить компьютер для автоматической установки сертификатов и проверки лицензии, чтобы вступили в силу.
Вариант 2. Скачивание и установка промежуточных сертификатов ЦС вручную
Если вы не можете разрешить доступ к URL-адресу PKI с серверов, вы можете вручную скачать и установить сертификаты на каждом компьютере.
На любом компьютере с доступом к Интернету скачайте эти промежуточные сертификаты ЦС:
Скопируйте файлы сертификатов на компьютеры Windows Server 2012 (R2).
Выполните любой набор следующих команд в командной строке с повышенными привилегиями или сеансе PowerShell, чтобы добавить сертификаты в хранилище промежуточных центров сертификации для локального компьютера. Команда должна выполняться из того же каталога, что и файлы сертификатов. Команды идемпотентны и не будут вносить никаких изменений, если вы уже импортировали сертификат:
certutil -addstore CA "Microsoft Azure TLS Issuing CA 01 - xsign.crt" certutil -addstore CA "Microsoft Azure TLS Issuing CA 02 - xsign.crt" certutil -addstore CA "Microsoft Azure TLS Issuing CA 05 - xsign.crt" certutil -addstore CA "Microsoft Azure TLS Issuing CA 06 - xsign.crt" certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt"
Повторите установку обновлений Windows. Возможно, потребуется перезагрузить компьютер для логики проверки, чтобы распознать недавно импортированные промежуточные сертификаты ЦС.
Ошибка: не подходит (HRESULT 1633)
Если возникла ошибка "ESU: не подходит HRESULT_FROM_WIN32(1633)", выполните следующие действия:
Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds
Если после успешной регистрации сервера с поддержкой Arc возникают другие проблемы, связанные с развертыванием ESU, или вам нужна дополнительная информация, связанная с проблемами, влияющими на развертывание ESU, см . статью "Устранение неполадок в ESU".