準備傳遞適用於 Windows Server 2012 的延伸安全性 更新
在 Windows Server 2012 和 Windows Server 2012 R2 於 2023 年 10 月 10 日終止支持之後,已啟用 Azure Arc 的伺服器可讓您在擴充安全性 更新 (ESU) 中註冊現有的 Windows Server 2012/2012 R2 計算機。 提供成本彈性和增強的傳遞體驗,Azure Arc 更適合您移轉至 Azure。
本文的目的是要協助您了解優點,以及如何準備使用已啟用Arc的伺服器來傳遞ESU。
注意
Azure VMware 解決方案 (AVS) 機器符合免費 ESU 的資格,不應註冊透過 Azure Arc 啟用的 ESU。
重點優勢
將 ESU 傳遞給 Windows Server 2012/2012 R2 機器提供下列主要優點:
隨用隨付: 彈性註冊每月訂用帳戶服務,並能夠移轉年中。
Azure 計費:您可以使用 Microsoft 成本管理和計費,從現有的 Microsoft Azure 使用量承諾用量 (MACC) 中縮減成本。
內建清查:在符合資格的 Arc 伺服器上識別 Windows Server 2012/2012 R2 ESU 的涵蓋範圍和註冊狀態,會在 Azure 入口網站 中識別,並醒目提示間距和狀態變更。
無密鑰傳遞: 在已啟用 Azure Arc 的 Windows Server 2012/2012 R2 機器上註冊 ESU 不需要取得或啟用密鑰。
對 Azure 服務的存取
針對在 Azure Arc 啟用的 WS2012 ESU 中註冊的已啟用 Azure Arc 的伺服器,從 2023 年 10 月 10 日起,會免費存取這些 Azure 服務:
- Azure 更新管理員 - 統一管理和控管更新合規性,不僅包含 Azure 和混合式機器,也包含所有 Windows Server 2012/2012 R2 計算機的 ESU 更新合規性。 ESU 中的註冊不會影響 Azure 更新管理員。 透過 Azure Arc 在 ESU 中註冊之後,伺服器就會成為 ESU 修補程式的資格。 這些修補程式可以透過 Azure Update Manager 或任何其他修補解決方案來傳遞。 您仍然需要從 Microsoft 更新 或 Windows Server Update Services 設定更新。
- Azure 自動化 變更追蹤和清查 - 追蹤裝載於 Azure、內部部署和其他雲端環境的虛擬機變更。
- Azure 原則 客體設定 - 稽核虛擬機中的組態設定。 客體設定可透過已啟用 Azure Arc 的伺服器,以原生方式和非 Azure 實體和虛擬伺服器支援 Azure VM。
也可透過已啟用 Azure Arc 的伺服器使用其他 Azure 服務,並提供下列供應專案:
適用於雲端的 Microsoft Defender - 作為雲端安全性狀態管理 (CSPM) 支柱的一部分,它透過適用於伺服器的 Microsoft Defender 提供伺服器保護,以協助您防範各種網路威脅和弱點。
Microsoft Sentinel - 收集安全性相關事件,並將其與其他數據源相互關聯。
注意
ESU 的啟用計劃於 2023 年第三季度啟用。 第三季度也計劃使用 Azure Update Manager 和 Azure 原則 等 Azure 服務來支援管理符合 ESU 資格的 Windows Server 2012/2012 R2 機器。
準備傳遞 ESU
規劃並準備透過安裝 Azure 連線 Ed Machine 代理程式(1.34 版或更新版本)將機器上架至已啟用 Azure Arc 的伺服器,以建立與 Azure 的連線。 Windows Server 2012 擴充安全性 更新 支援 Windows Server 2012 和 R2 Standard 和 Datacenter 版本。 不支援 Windows Server 2012 儲存體。
建議您將機器部署至 Azure Arc,以準備相關 Azure 服務何時提供支援的功能來管理 ESU。 一旦這些機器上線至已啟用 Azure Arc 的伺服器,您將能夠查看其 ESU 涵蓋範圍,並透過 Azure 入口網站 或使用 Azure 原則 進行註冊。 此服務的計費從 2023 年 10 月開始(也就是 Windows Server 2012 終止支持之後)。
注意
若要購買 ESU,您必須透過大量授權方案提供軟體保證,例如 Enterprise 合約(EA)、Enterprise 合約 訂閱(EAS)、教育解決方案註冊(EES)、伺服器和雲端註冊(SCE),或透過 Microsoft 開放價值計劃。 或者,如果您的 Windows Server 2012/2012 R2 機器是透過 SPLA 或伺服器訂用帳戶授權,則不需要軟體保證才能購買 ESU。
您也必須下載已啟用 Azure Arc 之伺服器的授權套件和服務堆棧更新(SSU),如KB5031043所述 :在延伸支援於 2023 年 10 月 10 日結束之後,繼續接收安全性更新的程式。
部署選項
已啟用 Azure Arc 的伺服器有數個大規模上線選項,包括透過 Configuration Manager 執行自定義工作順序,以及透過組策略部署已排程的工作。 VMware vCenter 受控 VM 和 SCVMM 受控 VM 也透過 Azure Arc 進行大規模 ESU 傳遞選項。
注意
不建議透過 Azure Arc 將 ESU 傳遞至在虛擬桌面基礎結構 (VDI) 上執行的虛擬機。 VDI 系統應該使用多個啟用金鑰 (MAK) 來套用 ESU。 若要深入了解,請參閱從 Microsoft 365 系統管理中心存取您的多重啟用金鑰。
網路
連線 ivity 選項包括公用端點、Proxy 伺服器和私人連結或 Azure Express Route。 檢閱網路 必要條件 ,以準備非 Azure 環境以部署至 Azure Arc。
如果您只針對下列其中一項或兩項產品使用已啟用 Azure Arc 的伺服器進行擴充安全性 更新:
- Windows Server 2012
- SQL Server 2012
您可以啟用下列端點子集:
| 代理程式資源 | 描述 | 必要時 | 搭配私人連結使用的端點 |
|---|---|---|---|
aka.ms |
用來在安裝期間解析下載文本 | 在安裝時間,僅限 | 公開 |
download.microsoft.com |
用來下載 Windows 安裝套件 | 在安裝時間,僅限 | 公開 |
login.windows.net |
Microsoft Entra ID | 永遠 | 公開 |
login.microsoftonline.com |
Microsoft Entra ID | 永遠 | 公開 |
management.azure.com |
Azure Resource Manager - 建立或刪除 Arc 伺服器資源 | 連線或中斷伺服器連線時,僅限 | 公用,除非也已設定資源管理私人連結 |
*.his.arc.azure.com |
元數據和混合式身分識別服務 | 永遠 | 私用 |
*.guestconfiguration.azure.com |
延伸模組管理和來賓設定服務 | 永遠 | 私用 |
www.microsoft.com/pkiops/certs |
ESU 的中繼憑證更新(注意:使用 HTTP/TCP 80 和 HTTPS/TCP 443) | 一律用於自動更新,或手動下載憑證時暫時下載。 | 公開 |
*.<region>.arcdataservices.com |
Azure Arc 數據處理服務和服務遙測。 | SQL Server ESU | 公開 |
提示
若要利用已啟用 Arc 的伺服器的完整供應專案,例如延伸模組和遠端連線,請確定您允許套用至案例的其他 URL。 如需詳細資訊,請參閱 連線 機器代理程序網路需求。
下一步
透過混合式和多重雲端的 Azure Arc 登陸區域加速器,瞭解最佳做法和設計模式。
深入瞭解已啟用 Arc 的伺服器,以及其如何透過 Azure 連線 機器代理程式與 Azure 搭配運作。
探索將 機器 上線至已啟用 Azure Arc 的伺服器的選項。