Fehlerbehebung bei der Übermittlung von erweiterten Sicherheitsupdates für Windows Server 2012

In diesem Artikel finden Sie Informationen zur Fehlersuche und Problembehebung, die bei der Aktivierung von erweiterten Sicherheitsupdates für Windows Server 2012 und Windows Server 2012 R2 über Server mit Arc-Unterstützung auftreten können.

Probleme bei der Lizenzbereitstellung

Wenn Sie keine Windows Server 2012 Lizenz für das erweiterte Sicherheitsupdate für Server mit Azure Arc-Unterstützung bereitstellen können, überprüfen Sie Folgendes:

  • Berechtigungen: Stellen Sie sicher, dass Sie im Rahmen der ESU-Bereitstellung und -Verknüpfung über ausreichende Berechtigungen verfügen (Mitwirkenderolle oder höher).

  • Mindestanzahl von Kernen: Überprüfen Sie, ob Sie genügend Kerne für die ESU-Lizenz angegeben haben. Für Lizenzen auf Basis physischer Kerne sind mindestens 16 Kerne pro Computer erforderlich, für Lizenzen auf Basis virtueller Kerne sind mindestens 8 Kerne pro virtueller Maschine (VM) erforderlich.

  • Konventionen: Vergewissern Sie sich, dass Sie ein geeignetes Abonnement und eine Ressourcengruppe ausgewählt und einen eindeutigen Namen für die ESU-Lizenz angegeben haben.

Probleme bei der Registrierung für ESU

Wenn Sie Ihren Server mit Azure Arc-Unterstützung nicht erfolgreich mit einer aktivierten Lizenz für erweiterte Sicherheitsupdates verknüpfen können, überprüfen Sie, ob die folgenden Bedingungen erfüllt sind:

  • Konnektivität: Server mit Azure Arc-Unterstützung ist verbunden. Informationen zum Anzeigen des Status von Computern mit Azure Arc-Unterstützung finden Sie unter Agentstatus.

  • Version des Agenten: Der Verbundene Computer-Agent ist Version 1.34 oder höher. Wenn die Version des Agenten kleiner als 1.34 ist, müssen Sie ihn auf diese oder eine höhere Version aktualisieren.

  • Betriebssystem: Nur Server mit Azure Arc-Unterstützung, auf denen die Betriebssysteme Windows Server 2012 und 2012 R2 ausgeführt werden, sind berechtigt, sich für erweiterte Sicherheitsupdates anzumelden.

  • Umgebung: Der verbundene Computer sollte nicht auf Azure Stack HCI, Azure VMware Solution (AVS) oder als virtuelle Azure-Maschine ausgeführt werden. In diesen Szenarien sind WS2012 ESUs kostenlos verfügbar. Informationen über kostenlose ESUs über Azure Stack HCI finden Sie unter Kostenlose erweiterte Sicherheitsupdates über Azure Stack HCI.

  • Lizenzeigenschaften: Vergewissern Sie sich, dass die Lizenz aktiviert ist und dass ihr genügend physische oder virtuelle Kerne zugewiesen wurden, um den geplanten Umfang an Servern zu unterstützen.

Ressourcenanbieter

Wenn Sie dieses Dienstangebot nicht aktivieren können, überprüfen Sie die im Abonnement registrierten Ressourcenanbieter wie unten angegeben. Wenn beim Versuch, die Ressourcenanbieter zu registrieren, eine Fehlermeldung angezeigt wird, überprüfen Sie die Rollenzuweisung(en) für das Abonnement. Überprüfen Sie außerdem alle Azure-Richtlinien, bei denen möglicherweise die Auswirkung „Ablehnen“ festgelegt wurde, die die Aktivierung dieser Ressourcenanbieter verhindert.

  • Microsoft.HybridCompute: Dieser Ressourcenanbieter ist für Azure Arc-fähige Server unerlässlich. Mit seiner Hilfe können Sie das Onboarding lokaler Server im Azure-Portal durchführen und sie verwalten.

  • Microsoft.GuestConfiguration: Aktiviert Gastkonfigurationsrichtlinien, die zum Bewerten und Erzwingen von Konfigurationen auf Ihren Arc-fähigen Servern verwendet werden, die für Compliance und Sicherheit sorgen.

  • Microsoft.Compute: Dieser Ressourcenanbieter ist für die Azure-Updateverwaltung erforderlich, die zum Verwalten von Updates (einschließlich ESU-Updates) und Patches auf Ihren lokalen Servern verwendet.

  • Microsoft.Security: Die Aktivierung dieses Ressourcenanbieters ist für die Implementierung sicherheitsbezogener Funktionen und Konfigurationen sowohl für Azure Arc- als auch für lokale Server von entscheidender Bedeutung.

  • Microsoft.OperationalInsights: Dieser Ressourcenanbieter ist Azure Monitor und Log Analytics zugeordnet. Diese Tools werden zum Überwachen und Sammeln von Telemetriedaten aus Ihrer Hybridinfrastruktur, einschließlich lokaler Server, verwendet.

  • Microsoft.Sql: Die Aktivierung dieses Ressourcenanbieters ist erforderlich, wenn Sie lokale SQL Server-Instanzen verwalten und ESU für SQL Server benötigen.

  • Microsoft.Storage: Die Aktivierung dieses Ressourcenanbieters ist für das Verwalten von Speicherressourcen wichtig, die möglicherweise für Hybrid- und lokale Szenarien relevant sein können.

ESU-Patch-Probleme

ESU-Patch-Status

Um festzustellen, ob Ihre Azure Arc-fähigen Server mit den aktuellen erweiterten Sicherheitsupdates von Windows Server 2012/R2 gepatcht sind, verwenden Sie den Azure Update Manager oder die Azure-Richtlinie Erweiterte Sicherheitsupdates sollten auf Windows Server 2012 Arc-Computern installiert werden – Microsoft Azure, die überprüft, ob die neuesten WS2012 ESU-Patches empfangen wurden. Beide Optionen sind ohne zusätzliche Kosten für Azure Arc-fähige Server verfügbar, die in WS2012 ESUs registriert sind, die von Azure Arc aktiviert wurden.

ESU-Voraussetzungen

Vergewissern Sie sich hierzu, dass sowohl das Lizenzierungspaket als auch das Wartungsstapelupdate (SSU) für den Azure Arc-fähigen Server heruntergeladen wurden. Siehe dazu die Dokumentation KB5031043: Verfahren zur Erhaltung von Sicherheitsupdates nach dem Einstellen des erweiterten Supports am 10. Oktober 2023. Stellen Sie sicher, dass Sie alle Netzwerkvoraussetzungen befolgen, wie unter Vorbereiten der Bereitstellung erweiterter Sicherheitsupdates für Windows Server 2012 beschrieben.

Fehler: Versuchen Sie, IMDS noch einmal zu überprüfen (HRESULT 12002 oder 12029)

Wenn die Installation des von Azure Arc aktivierten erweiterten Sicherheitsupdates mit Fehlermeldungen wie „ESU: Trying to Check IMDS Again LastError=HRESULT_FROM_WIN32(12029)“ oder „ESU: Trying to Check IMDS Again LastError=HRESULT_FROM_WIN32(12002)“, müssen Sie möglicherweise die von Ihrem Computer als vertrauenswürdig eingestuften Zwischenzertifizierungsstellen mit einer der folgenden Methoden aktualisieren:

Wichtig

Wenn Sie die neueste Version des Azure Connected Machine Agent ausführen, ist es nicht erforderlich, die Zwischenzertifizierungsstellenzertifikate zu installieren oder den Zugriff auf die PKI-URL zuzulassen. Wenn vor dem Aktualisieren des Agents jedoch bereits eine Lizenz zugewiesen wurde, kann es bis zu 15 Tage dauern, bis die ältere Lizenz ersetzt wird. Während dieser Zeit ist das Zwischenzertifikat weiterhin erforderlich. Nach dem Upgrade des Agents können Sie die Lizenzdatei %ProgramData%\AzureConnectedMachineAgent\certs\license.json löschen, um die Aktualisierung der Datei zu erzwingen.

Option 1: Gestatten Sie den Zugriff auf die PKI-URL.

Konfigurieren Sie die Netzwerkfirewall und/oder den Proxyserver so, dass der Zugriff von den Windows Server 2012 (R2)-Computern auf http://www.microsoft.com/pkiops/certs und https://www.microsoft.com/pkiops/certs (sowohl TCP 80 als auch 443) zugelassen wird. Dadurch können die Computer automatisch fehlende Zwischenzertifizierungsstellenzertifikate von Microsoft abrufen.

Sobald die Änderungen am Netzwerk vorgenommen wurden, um den Zugriff auf die PKI-URL zu ermöglichen, versuchen Sie noch einmal, die Windows-Updates zu installieren. Möglicherweise müssen Sie Ihren Computer neu starten, damit die automatische Installation der Zertifikate und die Prüfung der Lizenz wirksam wird.

Option 2: Laden Sie die Zwischenzertifizierungsstellenzertifikate manuell herunter und installieren Sie sie.

Wenn Sie den Zugriff auf die PKI-URL von Ihren Servern nicht zulassen können, können Sie die Zertifikate manuell auf jeden Computer herunterladen und installieren.

  1. Laden Sie auf jedem Computer mit Internetzugang die folgenden Zwischenzertifizierungsstellenzertifikate herunter:

    1. Microsoft Azure RSA TLS Issuing CA 03
    2. Microsoft Azure RSA TLS Issuing CA 04
    3. Microsoft Azure RSA TLS Issuing CA 07
    4. Microsoft Azure RSA TLS Issuing CA 08
  2. Kopieren Sie die Zertifikatdateien auf Ihre Windows Server 2012 (R2)-Computer.

  3. Führen Sie eine beliebige Gruppe der folgenden Befehle in einer Eingabeaufforderung oder PowerShell-Sitzung mit erhöhten Rechten aus, um die Zertifikate zum Speicher „Zwischenzertifizierungsstellen“ des lokalen Computers hinzuzufügen. Der Befehl sollte aus demselben Verzeichnis wie die Zertifikatdateien ausgeführt werden. Die Befehle sind idempotent und nehmen keine Änderungen vor, wenn Sie das Zertifikat bereits importiert haben:

    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt"
    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt"
    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt"
    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"
    
  4. Versuchen Sie noch einmal, die Windows-Updates zu installieren. Möglicherweise müssen Sie den Computer neu starten, damit die Prüfungslogik die neu importierten Zwischenzertifizierungsstellenzertifikate erkennt.

Fehler: Nicht berechtigt (HRESULT 1633)

Wenn Sie die Fehlermeldung „ESU: not eligible HRESULT_FROM_WIN32(1633)“ erhalten, gehen Sie wie folgt vor:

Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds

Wenn Sie nach erfolgreicher Anmeldung des Servers über Server mit Arc-Unterstützung weitere Probleme beim Empfang von ESUs haben oder zusätzliche Informationen zu Problemen bei der ESU-Bereitstellung benötigen, lesen Sie den Abschnitt Fehlerbehebung bei ESU.