傳遞適用於 Windows Server 2012 的延伸安全性 更新

本文提供將擴充安全性 更新 （ESU） 傳遞至已上線至已啟用Arc之伺服器的 Windows Server 2012 機器的步驟。 您可以個別或大規模地啟用這些電腦的 ESU。

開始之前

規劃並準備將機器上線至已啟用 Azure Arc 的伺服器。 若要深入瞭解，請參閱準備傳遞適用於 Windows Server 2012 的延伸安全性 更新。

您也需要 Azure RBAC 中的參與者角色，才能建立並指派 ESU 給已啟用 Arc 的伺服器。

管理 ESU 授權

1. 從瀏覽器登入 Azure 入口網站。

2. 在 [Azure Arc] 頁面上，選取左窗格中的 [擴充安全性 更新]。

   

   您可以從這裏檢視和建立 ESU 授權，以及檢視 ESU 的合格資源。

注意

從 [伺服器 ] 頁面檢視所有已啟用 Arc 的伺服器時，橫幅會指定有多少部 Windows 2012 計算機符合 ESU 的資格。 然後，您可以在 [擴充安全性] 更新 中選取 [檢視伺服器]，以檢視符合 ESU 資格的資源清單，以及已啟用 ESU 的計算機。

建立 Azure Arc WS2012 授權

第一個步驟是從 Azure Arc 布建 Windows Server 2012 和 2012 R2 擴充安全性更新授權。您會將這些授權連結至下一節中選取的一或多個已啟用 Arc 的伺服器。

布建 ESU 授權之後，您必須指定 SKU（標準或資料中心）、核心類型（實體或虛擬核心），以及 16 核心和 2 核心套件的數目，才能佈建 ESU 授權。 您也可以在停用狀態中布建擴充安全性更新授權，使其不會起始計費，或在建立時運作。 此外，與授權相關聯的核心可以在布建之後修改。

注意

布建 ESU 授權需要您證明其 SA 或 SPLA 涵蓋範圍。

[ 授權] 索引 標籤會顯示可用的 Azure Arc WS2012 授權。 您可以從這裡選取要套用或建立新授權的現有授權。

1. 若要建立新的 WS2012 授權，請選取 [建立]，然後提供在頁面上設定授權所需的資訊。

   如需如何完成此步驟的詳細資訊，請參閱適用於 Windows Server 2012 之擴充安全性 更新 的授權布建指導方針。

2. 檢閱提供的資訊，然後選取 [ 建立]。

   您所建立的授權會出現在清單中，您可以遵循下一節中的步驟，將其連結至一或多部已啟用 Arc 的伺服器。

   

將 ESU 授權連結至已啟用 Arc 的伺服器

您可以選取一或多個已啟用 Arc 的伺服器，以連結至延伸安全性更新授權。 將伺服器連結至啟用的 ESU 授權之後，伺服器就有資格接收 Windows Server 2012 和 2012 R2 ESU。

注意

您可以彈性地設定選擇的修補解決方案來接收這些更新–無論是 Update Manager、Windows Server Update Services、Microsoft 更新、Microsoft Endpoint Configuration Manager 或第三方修補程式管理解決方案。

1. 選取 [ 合格資源 ] 索引卷標，以檢視執行 Windows Server 2012 和 2012 R2 的所有已啟用 Arc 的伺服器清單。

   

   ESU 狀態數據行會指出機器是否已啟用 ESU。

2. 若要為一或多部機器啟用 ESU，請在清單中選取它們，然後選取 [ 啟用 ESU]。

3. 在 [啟用擴充安全性 更新] 頁面上，會顯示選取啟用 ESU 的計算機數目，以及可供套用的 WS2012 授權。 選取授權以連結至選取的計算機，然後選取 [ 啟用]。

   

   注意

   您也可以選取 [建立 ESU 授權]，從此頁面 建立授權。

所選機器的狀態會變更為 [已啟用]。

如果在啟用程式期間發生任何問題，請參閱針對 Windows Server 2012 的延伸安全性 更新 傳遞進行疑難解答，以取得協助。

大規模 Azure 原則

若要大規模將伺服器連結至 Azure Arc 擴充安全性更新授權，並鎖定授權修改或建立，請考慮使用下列內建 Azure 原則：

• 啟用延伸安全性 更新 （ESU） 授權，以在 Windows 2012 機器的支援生命週期結束之後保護 Windows 2012 計算機 （預覽）

• 拒絕延伸安全性 更新 （ESU） 授權建立或修改 （預覽）

您可以針對稽核和管理案例，將 Azure 原則指定給目標訂用帳戶或資源群組。

其他 案例

在某些情況下，您可能有資格接收延伸安全性 更新 修補程式，而不需要額外費用。 Azure Arc 支援的其中兩個案例為 （1） 開發/測試 （Visual Studio） 和 （2） 災害復原 （僅限軟體保證 或訂用帳戶的授權 DR 實例。 這兩種案例都要求客戶已經在使用 Azure Arc 為可計費的生產機器啟用的 Windows Server 2012/R2 ESU。

警告

請勿只針對開發/測試或災害復原工作負載建立 Windows Server 2012/R2 ESU 授權。 您不應該只針對不可計費的工作負載布建 ESU 授權。 此外，您將會針對使用 ESU 授權布建的所有核心，而授權上的任何開發/測試核心，只要根據下列資格進行標記，系統就不會向您收取任何開發/測試核心的費用。

若要符合這些案例的資格，您必須具備：

• 可計費的 ESU 授權。 您必須已布建並啟用 WS2012 Arc ESU 授權，以連結至在生產環境中執行的一般已啟用 Azure Arc 的伺服器（也就是通常計費的 ESU 案例）。 此授權應該只針對可計費的核心布建，而不是符合免費擴充安全性 更新 的核心，例如開發/測試核心。

• 已啟用 Arc 的伺服器。 將您的 Windows Server 2012 和 Windows Server 2012 R2 機器上線至已啟用 Azure Arc 的伺服器，以便使用 Visual Studio 訂用帳戶或災害復原進行開發/測試。

若要註冊符合 ESU 資格的 Azure Arc 伺服器，不需額外費用，請遵循下列步驟來標記和連結：

1. 標記 WS2012 Arc ESU 授權（僅針對生產環境伺服器的核心建立的生產環境），以及具有下列其中一個名稱/值組的非生產 Azure Arc 伺服器，對應至適當的例外狀況：

   1. 名稱：「ESU 使用量」;值：“WS2012 VISUAL STUDIO DEV TEST”

   2. 名稱：「ESU 使用量」;值：“WS2012 災害復原”

   如果您在多個例外狀況案例中使用 ESU 授權，請使用標籤示授權：名稱：「ESU 使用量」;值：“WS2012 MULTIPURPOSE”

2. 將已標記的授權（僅針對生產環境伺服器的核心建立）連結到已標記的非生產 Azure Arc 啟用 Windows Server 2012 和 Windows Server 2012 R2 機器。 請勿為這些伺服器授權核心，或只針對這些伺服器建立新的 ESU 授權。

此連結不會觸發合規性違規或強制封鎖，讓您將授權的應用程式延伸至其布建的核心之外。 預期授權只包含生產伺服器和計費伺服器的核心。 任何額外的核心都會收取費用，併產生超額計費。

重要

將這些標籤新增至您的授權不會讓授權免費或減少可收取費用的授權核心數目。 這些標籤可讓您將 Azure 機器連結至已使用應付核心設定的現有授權，而不需要建立任何新的授權，或將其他核心新增至您的免費電腦。

範例：

• 您有 8 個 Windows Server 2012 R2 Standard 實例，每個實例都有 8 個實體核心。 這些 Windows Server 2012 R2 Standard 機器中有六部用於生產環境，而其中 2 部 Windows Server 2012 R2 Standard 機器符合免費 ESU 的資格，因為操作系統是透過 Visual Studio 開發測試訂用帳戶授權的。
  • 您應該先布建並啟用標準版 Windows Server 2012/R2 的一般 ESU 授權，並具有 48 個實體核心來涵蓋 6 部生產計算機。 您應該將此一般生產 ESU 授權連結至您的 6 部實際執行伺服器。
  • 接下來，您應該重複使用此現有的授權，不要再新增任何核心或布建個別授權，並將此授權連結至您的 2 部非生產 Windows Server 2012 R2 標準電腦。 您應該將 ESU 授權和 2 部非生產 Windows Server 2012 R2 Standard 機器標記為名稱：“ESU 使用量”和值：“WS2012 VISUAL STUDIO DEV TEST”。
  • 這會導致 48 個核心的 ESU 授權，而您將針對這 48 個核心計費。 只要適當標記 ESU 授權和開發測試伺服器資源，您就不需要支付您新增至此授權之開發測試伺服器的額外 16 核心費用。

注意

您需要一般生產授權才能開始使用，而且只會針對生產核心計費。

從 Windows Server 2012/2012 R2 升級

將 Windows Server 2012/2012R 計算機升級至 Windows Server 2016 或更新版本時，不需要從機器中移除 連線 的計算機代理程式。 在升級完成幾分鐘內，Azure 中計算機就會看到新的操作系統。 升級的機器不再需要 ESU，且不再符合其資格。 與計算機相關聯的任何 ESU 授權不會自動從電腦取消連結。 如需手動執行此動作的指示，請參閱 取消連結授權 。

評估 WS2012 ESU 修補程式狀態

若要偵測已啟用 Azure Arc 的伺服器是否使用最新的 Windows Server 2012/R2 擴充安全性 更新 進行修補，您可以使用 Windows Server 2012 Arc 計算機-Microsoft Azure 上安裝 Azure 原則 擴充安全性 更新。 此 Azure 原則 由計算機設定提供電源，可識別伺服器是否已收到最新的 ESU 修補程式。 這可從 Azure 入口網站 內建的來賓指派和 Azure 原則 合規性檢視中觀察到。