準備傳遞適用於 Windows Server 2012 的延伸安全性更新
在 Windows Server 2012 和 Windows Server 2012 R2 於 2023 年 10 月 10 日終止支持之後,已啟用 Azure Arc 的伺服器可讓您在延伸安全性更新 (ESU) 中註冊現有的 Windows Server 2012/2012 R2 機器。 Azure Arc 提供成本彈性和增強的傳遞體驗,更適合您移轉至 Azure。
本文的目的旨在協助您了解優點,以及如何準備使用已啟用 Arc 的伺服器來傳遞 ESU。
注意
Azure VMware 解決方案 (AVS) 機器符合免費 ESU 的資格,不應註冊透過 Azure Arc 啟用的 ESU。
重點優勢
將 ESU 傳遞給 Windows Server 2012/2012 R2 機器提供下列主要優點:
隨用隨付:彈性註冊每月訂用帳戶服務,並能夠在年中進行遷移。
Azure 計費:您可以從現有的 Microsoft Azure 使用量承諾 (MACC) 中縮減成本,並使用 Microsoft 成本管理和計費來分析成本。
內建清查:Azure 入口網站中會識別已啟用 Arc 的合格伺服器上 Windows Server 2012/2012 R2 ESU 的涵蓋範圍和註冊狀態,並醒目提示間距和狀態變更。
無金鑰傳遞:在已啟用 Azure Arc 的 Windows Server 2012/2012 R2 機器上註冊 ESU 不需要取得或啟用金鑰。
對 Azure 服務的存取
針對在 Azure Arc 啟用的 WS2012 ESU 中註冊的已啟用 Azure Arc 的伺服器,從 2023 年 10 月 10 日起,會免費存取這些 Azure 服務:
- Azure 更新管理員 - 統一管理及控管更新合規性,不僅包含 Azure 和混合式機器,也包含所有 Windows Server 2012/2012 R2 機器的 ESU 更新合規性。 ESU 中的註冊不會影響 Azure 更新管理員。 透過 Azure Arc 在 ESU 中註冊之後,伺服器就會符合 ESU 修補程式的資格。 這些修補程式可透過 Azure Update Manager 或任何其他修補解決方案進行傳遞。 您仍需要從 Microsoft Update 或 Windows Server Update Services 設定更新。
- Azure 自動化變更追蹤和清查 - 追蹤裝載於 Azure、內部部署和其他雲端環境的虛擬機器變更。
- Azure 原則來賓設定 - 稽核虛擬機器中的設定。 客體設定可透過已啟用 Azure Arc 的伺服器,以原生方式和非 Azure 實體與虛擬伺服器支援 Azure VM。
也可透過已啟用 Azure Arc 的伺服器使用其他 Azure 服務,並提供下列供應項目:
- 適用於雲端的 Microsoft Defender - 做為雲端安全性態勢管理 (CSPM) 要素的一部分,其透過適用於伺服器的 Microsoft Defender 提供伺服器保護,以協助您抵禦各種網路威脅和弱點。
- Microsoft Sentinel - 收集安全性相關事件,並將其與其他資料來源相互關聯。
準備傳遞 ESU
規劃並準備透過安裝 Azure Connected Machine 代理程式 (1.34 版或更新版本) 將機器上線至已啟用 Azure Arc 的伺服器,以建立與 Azure 的連線。 Windows Server 2012 延伸安全性更新支援 Windows Server 2012 和 R2 Standard 和 Datacenter Edition。 不支援 Windows Server 2012 儲存體。
建議您將機器部署至 Azure Arc,以準備相關 Azure 服務何時傳遞支援的功能來管理 ESU。 一旦這些機器上線至已啟用 Azure Arc 的伺服器後,您將能夠查看其 ESU 涵蓋範圍,並透過 Azure 入口網站或使用 Azure 原則進行註冊。 此服務的計費從 2023 年 10 月開始 (也就是 Windows Server 2012 終止支援之後)。
注意
若要購買 ESU,您必須透過大量授權方案提供軟體保證,例如 Enterprise 合約 (EA)、Enterprise 合約訂用帳戶 (EAS)、註冊教育解決方案 (EES)、伺服器和雲端註冊 (SCE),或透過 Microsoft 開放價值計劃。 或者,如果您的 Windows Server 2012/2012 R2 機器是透過 SPLA 或伺服器訂用帳戶授權,則不需要軟體保證即可購買 ESU。
您也必須下載已啟用 Azure Arc 伺服器的授權套件和服務堆疊更新 (SSU),如 KB5031043:在延伸支援於 2023 年 10 月 10 日結束之後,繼續接收安全性更新的程序所述。
部署選項
已啟用 Azure Arc 的伺服器有數個大規模上線選項,包括透過 Configuration Manager 執行自訂工作順序,以及透過群組原則部署已排程的工作。 VMware vCenter 受控 VM 和 SCVMM 受控 VM 也透過 Azure Arc 進行大規模 ESU 傳遞選項。
注意
不建議透過 Azure Arc 將 ESU 傳遞至在虛擬桌面基礎結構 (VDI) 上執行的虛擬機器。 VDI 系統應該使用多次啟用金鑰 (MAK) 來套用 ESU。 若要深入了解,請參閱從 Microsoft 365 系統管理中心存取您的多重啟用金鑰。
網路
連線能力選項包括公用端點、Proxy 伺服器和私人連結或 Azure Express Route。 檢閱網路必要條件,備妥非 Azure 環境以部署至 Azure Arc。
如果您只針對下列其中一項或兩項產品使用已啟用 Azure Arc 的伺服器來進行延伸安全性更新:
- Windows Server 2012
- SQL Server 2012
您可以啟用下列端點子集:
| 代理程式資源 | 描述 | 需要時 | 搭配私人連結使用的端點 |
|---|---|---|---|
aka.ms |
用來在安裝期間解析下載指令碼 | 僅限安裝期間 | 公開 |
download.microsoft.com |
用來下載 Windows 安裝套件 | 僅限安裝期間 | 公開 |
login.windows.net |
Microsoft Entra ID | 永遠 | 公開 |
login.microsoftonline.com |
Microsoft Entra ID | 永遠 | 公開 |
*login.microsoft.com |
Microsoft Entra ID | 永遠 | 公開 |
management.azure.com |
Azure Resource Manager - 建立或刪除 Arc 伺服器資源 | 僅限連線或中斷伺服器連線時 | 公用,除非同時設定了資源管理私人連結 |
*.his.arc.azure.com |
中繼資料和混合式識別服務 | 永遠 | 私人 |
*.guestconfiguration.azure.com |
延伸模組管理和客體設定服務 | 永遠 | 私人 |
www.microsoft.com/pkiops/certs |
進行 ESU 的中繼憑證更新 (注意:使用 HTTP/TCP 80 和 HTTPS/TCP 443) | 自動更新時一律採用,或手動下載憑證時暫時採用。 | 公開 |
*.<region>.arcdataservices.com |
Azure Arc 資料處理服務和服務遙測。 | SQL Server ESU | 公開 |
*.blob.core.windows.net |
下載 Sql Server 擴充功能套件 | SQL Server ESU | 如果使用 Private Link 則不需要 |
提示
若要利用已啟用 Arc 的伺服器完整供應項目,例如延伸模組和遠端連線,請確定您允許套用至案例的其他 URL。 如需詳細資訊,請參閱 Connected machine 網路需求。
需要的憑證授權單位
Windows Server 2012 的延伸安全性更新需要下列證書頒發機構單位:
- Microsoft Azure RSA TLS Issuing CA 03
- Microsoft Azure RSA TLS Issuing CA 04
- Microsoft Azure RSA TLS Issuing CA 07
- Microsoft Azure RSA TLS Issuing CA 08
如有必要,可以手動下載並安裝這些證書頒發機構單位。
下一步
透過適用於混合雲和多雲的 Azure Arc 登陸區域加速器,了解最佳做法和設計模式。
深入了解已啟用 Arc 的伺服器,以及其如何透過 Azure Connected Machine 代理程式與 Azure 搭配運作。
探索將機器上線到已啟用 Azure Arc 伺服器的選項。