Share via

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 Windows Server 2012 提供扩展安全更新

  • 项目

本文分步介绍如何将扩展安全更新 (ESU) 提供给已启用 Arc 的服务器中加入的 Windows Server 2012 计算机。 可单独或大规模地向这些计算机提供 ESU。

开始之前

计划和准备将计算机加入已启用 Azure Arc 的服务器。 若要了解详细信息,请参阅准备为 Windows Server 2012 提供扩展安全更新

要创建 ESU 并将其分配至已启用 Arc 的服务器,还需要具有 Azure RBAC 中的参与者角色。

管理 ESU 许可证

  1. 在浏览器中,登录到 Azure 门户

  2. 在“Azure Arc”页上,在左窗格中选择“扩展安全更新”。

    主 ESU 窗口的屏幕截图,其中显示“许可证”选项卡和“符合条件的资源”选项卡。

    在此处,可以查看和创建 ESU 许可证,并查看对 ESU 来说符合条件的资源。

注意

从“服务器”页查看所有已启用 Arc 的服务器时,横幅指定有多少台 Windows 2012 计算机有资格使用 ESU。 然后,可选择“查看扩展安全更新中的服务器”,来查看符合 ESU 条件的资源列表以及已启用 ESU 的计算机。

创建 Azure Arc WS2012 许可证

第一步是从 Azure Arc 预配 Windows Server 2012 和 2012 R2 扩展安全更新许可证。将这些许可证链接到下一部分中选择的一个或多个已启用 Arc 的服务器。

预配 ESU 许可证后,需要指定 SKU(标准或数据中心)、核心类型(物理或 vCore),以及用于预配 ESU 许可证的 16 核和 2 核包的数量。 还可在停用状态下预配扩展安全更新许可证,以便它不会启动计费或在创建时正常运行。 此外,预配后可修改与许可证关联的核心。

注意

要预配 ESU 许可证,你需要证明其 SA 或 SPLA 覆盖范围。

“许可证”了选项卡显示可用的 Azure Arc WS2012 许可证。 你可在此选择一个现有许可证并应用,或创建一个新的许可证。

显示现有许可证的屏幕截图。

  1. 若要创建新的 WS2012 许可证,请选择“创建”,然后在页面上提供配置许可证所需的信息。

    若要详细了解如何完成此步骤,请参阅 Windows Server 2012 扩展安全更新的许可证预配指南

  2. 查看提供的信息,然后选择“创建”。

    创建的许可证显示在列表中,你可以按照下一部分中的步骤将其链接到一个或多个已启用 Arc 的服务器。

    “许可证”选项卡的屏幕截图,其中显示列表中新建的许可证。

可以选择一个或多个已启用 Arc 的服务器以链接到扩展安全更新许可证。 将服务器链接到已激活的 ESU 许可证后,服务器有资格接收 Windows Server 2012 和 2012 R2 ESU。

注意

你可以灵活地配置所选择的修补解决方案来接收这些更新 - 无论它是更新管理器Windows Server Update Services、Microsoft 更新、Microsoft Endpoint Configuration Manager,还是第三方补丁管理解决方案。

  1. 选择“符合条件的资源”选项卡,查看运行 Windows Server 2012 和 2012 R2 的所有已启用 Arc 的服务器的列表。

    “符合条件的资源”选项卡的屏幕截图,其中显示符合接收 ESU 的条件的服务器。

    “ESU 状态”列指示计算机是否已启用 ESU。

  2. 若要为一台或多台计算机启用 ESU,请在列表中选择它们,然后选择“启用 ESU”。

  3. 在“启用扩展安全更新”页上,会显示选择启用 ESU 的计算机数以及可应用的 WS2012 许可证。 选择要链接到所选计算机的许可证,然后选择“启用”。

    用于选择要应用于以前选择的计算机的许可证的窗口的屏幕截图。

    注意

    还可选择“创建 ESU 许可证”,从此页面创建许可证。

所选计算机的状态将更改为“已启用”。

“符合条件的资源”选项卡的屏幕截图,其中显示以前选定服务器的启用状态。

如果在启用过程中发生了任何问题,请参阅 Windows Server 2012 扩展安全更新的交付故障排除来寻求帮助。

大规模 Azure Policy

若要大规模将服务器链接到 Azure Arc 扩展安全更新许可证并锁定许可证修改或创建,请考虑使用以下内置 Azure 策略:

可以将 Azure 策略指定给目标订阅或资源组,以在审核和管理场景中使用。

其他方案

在一些情况下,你可能有资格接收扩展安全更新补丁,无需额外付费。 Azure Arc 支持的两种场景是:(1) 开发/测试 (Visual Studio) 和(2) 灾难恢复(仅限软件保障或订阅的授权权益 DR 实例)。 这两种场景都要求客户已在使用 Azure Arc 为可计费生产计算机启用的 Windows Server 2012/R2 ESU。

警告

请勿仅为开发/测试或灾难恢复工作负载创建 Windows Server 2012/R2 ESU 许可证。 你不能专门为不计费的工作负载预配 ESU 许可证。 此外,使用 ESU 许可证预配的所有核心都将完整计费,许可证上的开发/测试核心只要根据下文的条件打标签就不会计费。

为了符合这些场景的要求,你必须已拥有以下项:

  • 可计费的 ESU 许可证。 必须已预配并激活了 WS2012 Arc ESU 许可证,该许可证旨在链接到生产环境中运行的常规已启用 Azure Arc 的服务器(即,通常计费的 ESU 场景)。 应该仅对计费核心预配此许可证,而不要对符合免费扩展安全更新条件的核心预配(例如开发/测试核心)。

  • 已启用 Arc 的服务器。 已将 Windows Server 2012 和 Windows Server 2012 R2 计算机加入已启用 Azure Arc 的服务器,以便进行 Visual Studio 订阅的开发/测试或者进行灾难恢复。

若要免费注册符合 ESU 条件的已启用 Azure Arc 的服务器,请执行以下步骤来进行标记和链接:

  1. 使用与相应异常对应的下列名称-值对之一标记 WS2012 Arc ESU 许可证(为生产环境创建,核心仅用于生产环境服务器)和已启用 Azure Arc 的非生产服务器:

    1. 名称:“ESU 用途”;值:“WS2012 VISUAL STUDIO 开发测试”

    2. 名称:“ESU 用途”;值:“WS2012 灾难恢复”

    如果对多个异常场景使用 ESU 许可证,请使用以下标记来标记许可证 - 名称:“ESU 用途”;值:“WS2012 多用途”

  2. 将已标记的许可证(为生产环境创建,核心仅用于生产环境服务器)链接到已标记的已启用 Azure Arc 的非生产 Windows Server 2012 和 Windows Server 2012 R2 计算机。 请勿为这些服务器授予核心许可证,也勿仅为这些服务器创建新的 ESU 许可证。

这种链接不会触发合规性冲突或强制阻止,从而让你能够将许可证的应用扩展到其预配的核心之外。 许可证预计仅包括生产服务器和计费服务器的核心。 任何附加的核心都会产生费用,因而会导致超额计费。

重要

将这些标签添加到许可证不会免收许可证费用或减少待收费的许可证核心数。 这些标签使你可以将 Azure 计算机关联到已配置有应付核心的现有许可证上,而无需创建新的许可证或向免费计算机添加其他核心。

示例:

  • 有 8 个 Windows Server 2012 R2 标准实例,每个实例都有 8 个物理核心。 其中六台 Windows Server 2012 R2 标准计算机用于生产,2 台 Windows Server 2012 R2 标准计算机有资格使用免费 ESU,因为操作系统是通过 Visual Studio 开发测试订阅获得许可的。
    • 你应当首先为属于标准版且具有 48 个物理核心的 Windows Server 2012/R2 预配并激活常规 ESU 许可证,以覆盖 6 台生产计算机。 应将此常规生产 ESU 许可证链接到 6 个生产服务器。
    • 接下来,你应重新使用此现有许可证,不要再添加任何核心或预配单独的许可证,并将此许可证关联到 2 台非生产 Windows Server 2012 R2 标准计算机上。 应使用名称:“ESU Usage”和数值:“WS2012 VISUAL STUDIO DEV TEST”来标记许可证和 2 台非生产 Windows Server 2012 R2 标准计算机。
    • 这样将获得 48 核心的 ESU 许可证,而你将为这 48 个核心付费。 只要正确标记 ESU 许可证和开发测试服务器资源,你就不用添加到许可证上的其余 16 个开发测试服务器核心付费。

注意

一开始需要一个常规生产许可证,而且仅将对生产核心进行计费。

从 Windows Server 2012/2012 R2 升级

将 Windows Server 2012/2012R 计算机升级到 Windows Server 2016 或更高版本时,无需从计算机中删除 Connected Machine 代理。 在升级完成后几分钟内,Azure 中的计算机会显示新的操作系统。 升级的计算机不再需要 ESU,并且不再有资格使用它们。 与与计算机关联的 ESU 许可证都不会自动取消与计算机的关联。 有关手动执行此操作的说明,请参阅取消关联许可证

评估 WS2012 ESU 补丁状态

要检测已启用 Azure Arc 的服务器是否已使用最新的 Windows Server 2012/R2 扩展安全更新进行修补,请使用 Azure Policy 应在 Windows Server 2012 Arc 计算机-Microsoft Azure 上安装扩展安全更新。 此 Azure Policy 由机器配置提供支持,能够识别服务器是否已收到最新的 ESU 补丁。 这可从 Azure 门户中内置的来宾分配和 Azure Policy 合规性视图中看到。