Windows Server 2012 için Genişletilmiş Güvenlik Güncelleştirmelerinin teslimi sorunlarını giderme
Bu makale, Arc özellikli sunucular aracılığıyla Windows Server 2012 ve Windows Server 2012 R2 için Genişletilmiş Güvenlik Güncelleştirmelerini etkinleştirirken oluşabilecek sorunları giderme ve çözme hakkında bilgi sağlar.
Lisans sağlama sorunları
Azure Arc özellikli sunucular için Windows Server 2012 Genişletilmiş Güvenlik Güncelleştirmesi lisansı sağlayamıyorsanız aşağıdakileri denetleyin:
İzinler: ESU sağlama ve bağlama kapsamında yeterli izinlere (Katkıda bulunan rolü veya üzeri) sahip olduğunuzu doğrulayın.
Çekirdek minimumları: ESU Lisansı için yeterli çekirdek belirttiğinizi doğrulayın. Fiziksel çekirdek tabanlı lisanslar makine başına en az 16 çekirdek, sanal çekirdek tabanlı lisanslar ise sanal makine (VM) başına en az 8 çekirdek gerektirir.
Kurallar: Uygun bir abonelik ve kaynak grubu seçtiğinizi ve ESU lisansı için benzersiz bir ad sağladığınızı doğrulayın.
ESU kayıt sorunları
Azure Arc özellikli sunucunuzu etkinleştirilmiş bir Genişletilmiş Güvenlik Güncelleştirmeleri lisansına başarıyla bağlayamıyorsanız aşağıdaki koşulların karşılandığından emin olun:
Bağlantı: Azure Arc özellikli sunucu Bağlandı. Azure Arc özellikli makinelerin durumunu görüntüleme hakkında bilgi için bkz . Aracı durumu.
Aracı sürümü: Bağlı Makine aracısı sürüm 1.34 veya üzeridir. Aracı sürümü 1.34'ten küçükse, bu sürüme veya daha yüksek bir sürüme güncelleştirmeniz gerekir.
İşletim sistemi: Yalnızca Windows Server 2012 ve 2012 R2 işletim sistemini çalıştıran Azure Arc özellikli sunucular Genişletilmiş Güvenlik Güncelleştirmelerine kaydolmaya uygundur.
Ortam: Bağlı makine Azure Stack HCI, Azure VMware çözümü (AVS) veya azure sanal makinesi olarak çalışmamalıdır. Bu senaryolarda WS2012 ESU'lar ücretsiz olarak kullanılabilir. Azure Stack HCI aracılığıyla ücretsiz ESU'lar hakkında bilgi için bkz . Azure Stack HCI aracılığıyla Ücretsiz Genişletilmiş Güvenlik Güncelleştirmeleri.
Lisans özellikleri: Lisansın etkinleştirildiğini ve sunucuların hedeflenen kapsamını desteklemek için yeterli fiziksel veya sanal çekirdek ayrıldığını doğrulayın.
Kaynak sağlayıcıları
Bu hizmet teklifini etkinleştiremiyorsanız, aşağıda belirtildiği gibi abonelikte kayıtlı kaynak sağlayıcılarını gözden geçirin. Kaynak sağlayıcılarını kaydetmeye çalışırken hata alırsanız abonelikte rol atamasını/atamalarını doğrulayın. Ayrıca, bu kaynak sağlayıcılarının etkinleştirilmesini engelleyerek Reddetme etkisiyle ayarlanabilecek olası Azure ilkelerini gözden geçirin.
Microsoft.HybridCompute: Bu kaynak sağlayıcısı Azure Arc özellikli sunucular için gereklidir ve Azure portalda şirket içi sunucuları eklemenizi ve yönetmenizi sağlar.
Microsoft.GuestConfiguration: Arc özellikli sunucularınızda uyumluluk ve güvenlik için yapılandırmaları değerlendirmek ve zorunlu kılmak için kullanılan Konuk Yapılandırma ilkelerini etkinleştirir.
Microsoft.Compute: Bu kaynak sağlayıcısı, ESU güncelleştirmeleri de dahil olmak üzere şirket içi sunucularınızdaki güncelleştirmeleri ve düzeltme eklerini yönetmek için kullanılan Azure Güncelleştirme Yönetimi için gereklidir.
Microsoft.Security: Bu kaynak sağlayıcısının etkinleştirilmesi, hem Azure Arc hem de şirket içi sunucular için güvenlikle ilgili özellikleri ve yapılandırmaları uygulamak için çok önemlidir.
Microsoft.OperationalInsights: Bu kaynak sağlayıcısı, şirket içi sunucular da dahil olmak üzere karma altyapınızdan telemetri verilerini izlemek ve toplamak için kullanılan Azure İzleyici ve Log Analytics ile ilişkilendirilir.
Microsoft.Sql: Şirket içi SQL Server örneklerini yönetiyorsanız ve SQL Server için ESU gerektiriyorsanız, bu kaynak sağlayıcısının etkinleştirilmesi gerekir.
Microsoft.Storage: Bu kaynak sağlayıcısının etkinleştirilmesi, karma ve şirket içi senaryolar için uygun olabilecek depolama kaynaklarını yönetmek için önemlidir.
ESU düzeltme eki sorunları
ESU düzeltme eki durumu
Azure Arc özellikli sunucularınıza en son Windows Server 2012/R2 Genişletilmiş Güvenlik Güncelleştirmeleri ile düzeltme eki eklenip eklenmediğini algılamak için Azure Update Manager'ı kullanın veya Azure İlkesi Genişletilmiş Güvenlik Güncelleştirmeleri'nin Windows Server 2012 Arc makineleri-Microsoft Azure'a yüklenmesi gerekir. Bu, en son WS2012 ESU düzeltme eklerinin alınıp alınmadığını denetler. Bu seçeneklerin her ikisi de Azure Arc tarafından etkinleştirilen WS2012 ESU'larına kayıtlı Azure Arc özellikli sunucular için ek ücret ödemeden kullanılabilir.
ESU önkoşulları
KB5031043: Genişletilmiş destek 10 Ekim 2023'te sona erdikten sonra güvenlik güncelleştirmelerini almaya devam etme yordamı bölümünde belirtildiği gibi Azure Arc özellikli sunucu için hem lisans paketi hem de hizmet yığını güncelleştirmesinin (SSU) indirildiğinden emin olun. Windows Server 2012 için Genişletilmiş Güvenlik Güncelleştirmelerini teslim etmeye hazırlanma bölümünde belirtildiği gibi tüm ağ önkoşullarını izlediğinize emin olun.
Hata: IMDS yeniden denetlenmeye çalışılıyor (HRESULT 12002 veya 12029)
Azure Arc tarafından etkinleştirilen Genişletilmiş Güvenlik Güncelleştirmesi'ni yükleme işlemi "ESU: IMDS'yi Yeniden Denetlemeye Çalışıyor LastError=HRESULT_FROM_WIN32(12029)" veya "ESU: IMDS'yi Yeniden Denetlemeye Çalışıyor LastError=HRESULT_FROM_WIN32(12002)" gibi hatalarla başarısız olursa, aşağıdaki yöntemlerden birini kullanarak bilgisayarınız tarafından güvenilen ara sertifika yetkililerini güncelleştirmeniz gerekebilir.
Önemli
Azure Bağlı makine aracısının en son sürümünü çalıştırıyorsanız, ara CA sertifikalarını yüklemeniz veya PKI URL'sine erişime izin vermek gerekmez. Ancak, aracı yükseltilmeden önce bir lisans zaten atanmışsa, eski lisansın değiştirilmesi 15 güne kadar sürebilir. Bu süre boyunca ara sertifika yine de gerekli olacaktır. Aracıyı yükselttikten sonra lisans dosyasını %ProgramData%\AzureConnectedMachineAgent\certs\license.json silip yenilenmeye zorlayabilirsiniz.
Seçenek 1: PKI URL'sine erişime izin ver
Ağ güvenlik duvarınızı ve/veya ara sunucunuzu Windows Server 2012 (R2) makinelerinden ve https://www.microsoft.com/pkiops/certs (hem TCP 80 hem de 443) erişime http://www.microsoft.com/pkiops/certs izin verecek şekilde yapılandırın. Bu, makinelerin Microsoft'tan eksik ara CA sertifikalarını otomatik olarak almasını sağlar.
PKI URL'sine erişime izin vermek için ağ değişiklikleri yapıldıktan sonra Windows güncelleştirmelerini yüklemeyi yeniden deneyin. Sertifikaların otomatik olarak yüklenmesi ve lisansın doğrulanması için bilgisayarınızı yeniden başlatmanız gerekebilir.
2. Seçenek: Ara CA sertifikalarını el ile indirme ve yükleme
Sunucularınızdan PKI URL'sine erişime izin veremiyorsanız sertifikaları her makineye el ile indirip yükleyebilirsiniz.
İnternet erişimi olan herhangi bir bilgisayarda şu ara CA sertifikalarını indirin:
Sertifika dosyalarını Windows Server 2012 (R2) makinelerinize kopyalayın.
Sertifikaları yerel bilgisayarın "Ara Sertifika Yetkilileri" deposuna eklemek için yükseltilmiş bir komut isteminde veya PowerShell oturumunda aşağıdaki komutlardan herhangi birini çalıştırın. Komut, sertifika dosyalarıyla aynı dizinden çalıştırılmalıdır. Komutlar bir kez etkili olur ve sertifikayı zaten içeri aktardıysanız hiçbir değişiklik yapmaz:
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt" certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt" certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt" certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"Windows güncelleştirmelerini yüklemeyi yeniden deneyin. Doğrulama mantığının yeni içeri aktarılan ara CA sertifikalarını tanıması için bilgisayarınızı yeniden başlatmanız gerekebilir.
Hata: Uygun değil (HRESULT 1633)
"ESU: uygun değil HRESULT_FROM_WIN32(1633)" hatasıyla karşılaşırsanız şu adımları izleyin:
Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds
Arc özellikli sunucular aracılığıyla sunucuyu başarıyla kaydettikten sonra ESU'ları alırken başka sorunlarla karşı karşıyaysanız veya ESU dağıtımını etkileyen sorunlarla ilgili ek bilgilere ihtiyacınız varsa bkz . ESU'daki sorunları giderme.