Поделиться через

Устранение неполадок с доставкой расширенных обновлений безопасности для Windows Server 2012

  • Статья

В этой статье содержатся сведения об устранении неполадок и устранении проблем, которые могут возникнуть при включении расширенных обновлений безопасности для Windows Server 2012 и Windows Server 2012 R2 с помощью серверов с поддержкой Arc.

Проблемы с подготовкой лицензий

Если вы не можете подготовить лицензию windows Server 2012 Extended Security Update для серверов с поддержкой Azure Arc, проверьте следующее:

  • Разрешения. Убедитесь, что у вас есть достаточные разрешения (роль участника или более поздняя) в пределах области подготовки и связывания ESU.

  • Минимальные значения основных компонентов. Убедитесь, что для лицензии ESU задано достаточное количество ядер. Для лицензий на основе физических ядер требуется не менее 16 ядер на каждую машину, а для лицензий на основе виртуальных ядер требуется не менее 8 ядер на виртуальную машину.

  • Соглашения. Убедитесь, что выбрана соответствующая подписка и группа ресурсов и предоставлено уникальное имя лицензии ESU.

Проблемы с регистрацией ESU

Если вы не можете успешно связать сервер с поддержкой Azure Arc с активированной лицензией расширенных обновлений безопасности, убедитесь, что выполнены следующие условия:

  • Подключение: сервер с поддержкой Azure Arc подключен. Сведения о просмотре состояния компьютеров с поддержкой Azure Arc см. в разделе "Состояние агента".

  • Версия агента: агент подключенного компьютера версии 1.34 или выше. Если версия агента меньше 1.34, необходимо обновить ее до этой версии или выше.

  • Операционная система: только серверы с поддержкой Azure Arc под управлением операционной системы Windows Server 2012 и 2012 R2 могут быть зарегистрированы в расширенных обновлениях системы безопасности.

  • Среда. Подключенная машина не должна работать в Azure Stack HCI, решении Azure VMware (AVS) или в качестве виртуальной машины Azure. В этих сценариях ESUs WS2012 доступны бесплатно. Дополнительные сведения об ESUS без затрат с помощью Azure Stack HCI см. в статье "Бесплатные расширенные обновления безопасности" с помощью Azure Stack HCI.

  • Свойства лицензии: убедитесь, что лицензия активирована и выделена достаточно физических или виртуальных ядер для поддержки предполагаемой области серверов.

Поставщики ресурсов

Если вы не можете включить это предложение, просмотрите поставщики ресурсов, зарегистрированные в подписке, как указано ниже. Если при попытке регистрации поставщиков ресурсов возникает ошибка, проверьте назначение ролей в подписке. Кроме того, просмотрите все потенциальные политики Azure, которые могут быть заданы с эффектом "Запретить", предотвращая включение этих поставщиков ресурсов.

  • Microsoft.HybridCompute: этот поставщик ресурсов необходим для серверов с поддержкой Azure Arc, что позволяет подключить локальные серверы и управлять ими в портал Azure.

  • Microsoft.GuestConfiguration: включает политики гостевой конфигурации, которые используются для оценки и применения конфигураций на серверах с поддержкой Arc для обеспечения соответствия требованиям и безопасности.

  • Microsoft.Compute: этот поставщик ресурсов необходим для управления обновлениями Azure, который используется для управления обновлениями и исправлениями на локальных серверах, включая обновления ESU.

  • Microsoft.Security. Включение этого поставщика ресурсов имеет решающее значение для реализации функций и конфигураций, связанных с безопасностью, как для локальных серверов, так и для Azure Arc.

  • Microsoft.OperationalInsights: этот поставщик ресурсов связан с Azure Monitor и Log Analytics, которые используются для мониторинга и сбора данных телеметрии из гибридной инфраструктуры, включая локальные серверы.

  • Microsoft.Sql. Если вы управляете локальными экземплярами SQL Server и требуете ESU для SQL Server, необходимо включить этот поставщик ресурсов.

  • Microsoft.Storage. Включение этого поставщика ресурсов важно для управления ресурсами хранилища, которые могут быть актуальными для гибридных и локальных сценариев.

Проблемы с исправлением ESU

Состояние исправления ESU

Чтобы определить, установлены ли серверы с поддержкой Azure Arc последними обновлениями безопасности Windows Server 2012/R2, используйте Диспетчер обновлений Azure или Политика Azure расширенные обновления безопасности должны быть установлены на компьютерах Windows Server 2012 Arc- Microsoft Azure, которые проверяют, были ли получены последние исправления ESU WS2012. Оба этих варианта доступны без дополнительных затрат для серверов с поддержкой Azure Arc, зарегистрированных в WS2012 ESUs, включенных Azure Arc.

Предварительные требования ESU

Убедитесь, что пакет лицензирования и обновление стека обслуживания скачиваются для сервера с поддержкой Azure Arc, как описано в KB5031043: процедура продолжения получения обновлений системы безопасности после окончания расширенной поддержки 10 октября 2023 года. Убедитесь, что вы выполняете все предварительные требования к сети, записанные в документации по подготовке к доставке расширенных обновлений безопасности для Windows Server 2012.

Ошибка: попытка повторной проверки IMDS (HRESULT 12002 или 12029)

Если установка расширенного обновления безопасности, включенного Azure Arc, завершается ошибкой, например "ESU: попытка проверить IMDS еще раз LastError=HRESULT_FROM_WIN32(12029)" или "ESU: попытка проверить IMDS again LastError=HRESULT_FROM_WIN32(12002)", может потребоваться обновить доверенные центры сертификации на компьютере с помощью одного из следующих методов.

Внимание

Если вы используете последнюю версию агента подключенного компьютера Azure, вам не нужно устанавливать промежуточные сертификаты ЦС или разрешать доступ к URL-адресу PKI. Однако если лицензия уже была назначена до обновления агента, для замены старой лицензии может потребоваться до 15 дней. В течение этого времени промежуточный сертификат по-прежнему потребуется. После обновления агента можно удалить файл %ProgramData%\AzureConnectedMachineAgent\certs\license.json лицензии, чтобы принудительно обновить его.

Вариант 1. Разрешить доступ к URL-адресу PKI

Настройте сетевой брандмауэр и(или) прокси-сервер, чтобы разрешить доступ с компьютеров http://www.microsoft.com/pkiops/certs https://www.microsoft.com/pkiops/certs Windows Server 2012 (R2) и (как TCP 80, так и 443). Это позволит компьютерам автоматически извлекать отсутствующие промежуточные сертификаты ЦС от Майкрософт.

После внесения изменений в сеть, чтобы разрешить доступ к URL-адресу PKI, повторите установку обновлений Windows. Возможно, потребуется перезагрузить компьютер для автоматической установки сертификатов и проверки лицензии, чтобы вступили в силу.

Вариант 2. Скачивание и установка промежуточных сертификатов ЦС вручную

Если вы не можете разрешить доступ к URL-адресу PKI с серверов, вы можете вручную скачать и установить сертификаты на каждом компьютере.

  1. На любом компьютере с доступом к Интернету скачайте эти промежуточные сертификаты ЦС:

    1. Microsoft Azure RSA TLS, выдавая ЦС 03
    2. Microsoft Azure RSA TLS, выдавая ЦС 04
    3. Microsoft Azure RSA TLS, выдавая ЦС 07
    4. Microsoft Azure RSA TLS, выдавая ЦС 08

  2. Скопируйте файлы сертификатов на компьютеры Windows Server 2012 (R2).

  3. Выполните любой набор следующих команд в командной строке с повышенными привилегиями или сеансе PowerShell, чтобы добавить сертификаты в хранилище промежуточных центров сертификации для локального компьютера. Команда должна выполняться из того же каталога, что и файлы сертификатов. Команды идемпотентны и не будут вносить никаких изменений, если вы уже импортировали сертификат:

    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"

  4. Повторите установку обновлений Windows. Возможно, потребуется перезагрузить компьютер для логики проверки, чтобы распознать недавно импортированные промежуточные сертификаты ЦС.

Ошибка: не подходит (HRESULT 1633)

Если возникла ошибка "ESU: не подходит HRESULT_FROM_WIN32(1633)", выполните следующие действия:

Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds

Если после успешной регистрации сервера с поддержкой Arc возникают другие проблемы, связанные с развертыванием ESU, или вам нужна дополнительная информация, связанная с проблемами, влияющими на развертывание ESU, см . статью "Устранение неполадок в ESU".