Dela via

Felsöka leverans av utökad Uppdateringar för Windows Server 2012

  • Artikel

Den här artikeln innehåller information om hur du felsöker och löser problem som kan uppstå vid aktivering av utökad säkerhet Uppdateringar för Windows Server 2012 och Windows Server 2012 R2 via Arc-aktiverade servrar.

Problem med licensetablering

Om du inte kan etablera en licens för utökad säkerhetsuppdatering för Windows Server 2012 för Azure Arc-aktiverade servrar kontrollerar du följande:

  • Behörigheter: Kontrollera att du har tillräcklig behörighet (deltagarroll eller högre) inom omfånget för etablering och länkning av ESU.

  • Kärnminimum: Kontrollera att du har angett tillräckligt många kärnor för ESU-licensen. Fysiska kärnbaserade licenser kräver minst 16 kärnor per dator, och virtuella kärnbaserade licenser kräver minst 8 kärnor per virtuell dator (VM).

  • Konventioner: Kontrollera att du har valt en lämplig prenumeration och resursgrupp och angett ett unikt namn för ESU-licensen.

Problem med ESU-registrering

Om du inte kan länka din Azure Arc-aktiverade server till en aktiverad licens för utökad säkerhet Uppdateringar kontrollerar du att följande villkor är uppfyllda:

  • Anslut ivitet: Azure Arc-aktiverad server är Anslut. Information om hur du visar status för Azure Arc-aktiverade datorer finns i Agentstatus.

  • Agentversion: Anslut datoragenten är version 1.34 eller senare. Om agentversionen är mindre än 1.34 måste du uppdatera den till den här versionen eller senare.

  • Operativsystem: Endast Azure Arc-aktiverade servrar som kör operativsystemet Windows Server 2012 och 2012 R2 är berättigade att registreras i Extended Security Uppdateringar.

  • Miljö: Den anslutna datorn ska inte köras på Azure Stack HCI, Azure VMware-lösningen (AVS) eller som en virtuell Azure-dator. I dessa scenarier är WS2012 ESUs tillgängliga utan kostnad. Information om ESUs utan kostnad via Azure Stack HCI finns i Kostnadsfri utökad säkerhet Uppdateringar via Azure Stack HCI.

  • Licensegenskaper: Kontrollera att licensen är aktiverad och har allokerats tillräckligt med fysiska eller virtuella kärnor för att stödja servrarnas avsedda omfång.

Resursproviders

Om du inte kan aktivera det här tjänsterbjudandet läser du resursprovidrar som registrerats för prenumerationen enligt nedan. Om du får ett fel när du försöker registrera resursprovidrar kontrollerar du rolltilldelningen/rolltilldelningarna i prenumerationen. Granska även eventuella Azure-principer som kan anges med en neka-effekt, vilket förhindrar aktivering av dessa resursprovidrar.

  • Microsoft.HybridCompute: Den här resursprovidern är viktig för Azure Arc-aktiverade servrar, så att du kan registrera och hantera lokala servrar i Azure-portalen.

  • Microsoft.GuestConfiguration: Aktiverar gästkonfigurationsprinciper som används för att utvärdera och framtvinga konfigurationer på dina Arc-aktiverade servrar för efterlevnad och säkerhet.

  • Microsoft.Compute: Den här resursprovidern krävs för Azure Update Management, som används för att hantera uppdateringar och korrigeringar på dina lokala servrar, inklusive ESU-uppdateringar.

  • Microsoft.Security: Att aktivera den här resursprovidern är avgörande för att implementera säkerhetsrelaterade funktioner och konfigurationer för både Azure Arc och lokala servrar.

  • Microsoft.OperationalInsights: Den här resursprovidern är associerad med Azure Monitor och Log Analytics, som används för övervakning och insamling av telemetridata från din hybridinfrastruktur, inklusive lokala servrar.

  • Microsoft.Sql: Om du hanterar lokala SQL Server-instanser och kräver ESU för SQL Server är det nödvändigt att aktivera den här resursprovidern.

  • Microsoft.Storage: Det är viktigt att aktivera den här resursprovidern för att hantera lagringsresurser, vilket kan vara relevant för hybridscenarier och lokala scenarier.

Problem med ESU-korrigering

Status för ESU-korrigering

Om du vill identifiera om dina Azure Arc-aktiverade servrar har korrigerats med de senaste utökade Säkerhets-Uppdateringar för Windows Server 2012/R2 använder du Azure Update Manager eller Azure Policy Extended Security Uppdateringar ska installeras på Windows Server 2012 Arc-datorer–Microsoft Azure, som kontrollerar om de senaste WS2012 ESU-korrigeringarna har tagits emot. Båda dessa alternativ är tillgängliga utan extra kostnad för Azure Arc-aktiverade servrar som registrerats i WS2012 ESUs som aktiveras av Azure Arc.

Krav för ESU

Se till att både licensieringspaketet och servicestackens uppdatering (SSU) laddas ned för den Azure Arc-aktiverade servern enligt beskrivningen i KB5031043: Procedure för att fortsätta ta emot säkerhetsuppdateringar när utökad support har upphört den 10 oktober 2023. Se till att du följer alla nätverkskrav som registrerats i Förbered för att leverera utökad säkerhet Uppdateringar för Windows Server 2012.

Fel: Försöker kontrollera IMDS igen (HRESULT 12002 eller 12029)

Om installationen av den utökade säkerhetsuppdateringen som aktiveras av Azure Arc misslyckas med fel som "ESU: Trying to Check IMDS Again LastError=HRESULT_FROM_WIN32(12029)" eller "ESU: Trying to Check IMDS Again LastError=HRESULT_FROM_WIN32(12002)" kan du behöva uppdatera de mellanliggande certifikatutfärdare som är betrodda av datorn med någon av följande metoder.

Viktigt!

Om du kör den senaste versionen av Azure Anslut ed-datoragenten behöver du inte installera mellanliggande CA-certifikat eller tillåta åtkomst till PKI-URL:en.

Alternativ 1: Tillåt åtkomst till PKI-URL:en

Konfigurera nätverksbrandväggen och/eller proxyservern så att den tillåter åtkomst från Windows Server 2012-datorerna (R2) till http://www.microsoft.com/pkiops/certs och https://www.microsoft.com/pkiops/certs (både TCP 80 och 443). På så sätt kan datorerna automatiskt hämta eventuella saknade mellanliggande CA-certifikat från Microsoft.

När nätverksändringarna har gjorts för att tillåta åtkomst till PKI-URL:en kan du försöka installera Windows-uppdateringarna igen. Du kan behöva starta om datorn för att den automatiska installationen av certifikat och valideringen av licensen ska börja gälla.

Alternativ 2: Ladda ned och installera mellanliggande CA-certifikat manuellt

Om du inte kan tillåta åtkomst till PKI-URL:en från dina servrar kan du manuellt ladda ned och installera certifikaten på varje dator.

  1. På alla datorer med Internetåtkomst laddar du ned dessa mellanliggande CA-certifikat:

    1. Microsoft Azure TLS Utfärdar CA 01
    2. Microsoft Azure TLS Utfärdar CA 02
    3. Microsoft Azure TLS Utfärdar CA 05
    4. Microsoft Azure TLS utfärdar CA 06
    5. Microsoft Azure RSA TLS utfärdar CA 04

  2. Kopiera certifikatfilerna till dina Windows Server 2012-datorer (R2).

  3. Kör en uppsättning av följande kommandon i en upphöjd kommandotolk eller PowerShell-session för att lägga till certifikaten i arkivet "Mellanliggande certifikatutfärdare" för den lokala datorn. Kommandot ska köras från samma katalog som certifikatfilerna. Kommandona är idempotent och gör inga ändringar om du redan har importerat certifikatet:

    certutil -addstore CA "Microsoft Azure TLS Issuing CA 01 - xsign.crt"
certutil -addstore CA "Microsoft Azure TLS Issuing CA 02 - xsign.crt"
certutil -addstore CA "Microsoft Azure TLS Issuing CA 05 - xsign.crt"
certutil -addstore CA "Microsoft Azure TLS Issuing CA 06 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt"

  4. Försök att installera Windows-uppdateringarna igen. Du kan behöva starta om datorn för valideringslogik för att identifiera de nyligen importerade mellanliggande CA-certifikaten.

Fel: Inte berättigad (HRESULT 1633)

Om du får felet "ESU: not eligible HRESULT_FROM_WIN32(1633)" följer du dessa steg:

Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds

Om du har andra problem med att ta emot ESU:er efter att servern har registrerats via Arc-aktiverade servrar, eller om du behöver ytterligare information om problem som påverkar ESU-distributionen, kan du läsa Felsöka problem i ESU.