Windows Server 2012 の拡張セキュリティ更新プログラムの配信に関するトラブルシューティング

  • [アーティクル]

この記事では、Arc 対応サーバー経由で Windows Server 2012 および Windows Server 2012 R2 の拡張セキュリティ更新プログラムを有効にする際に発生する可能性のある問題のトラブルシューティングと解決方法について説明します。

プロビジョニングのライセンスの問題

Azure Arc 対応サーバーの Windows Server 2012 拡張セキュリティ更新プログラムのライセンスをプロビジョニングできない場合は、次の点をチェックしてください。

  • アクセス許可: ESU のプロビジョニングとリンクの範囲内で十分なアクセス許可 ([共同作成者] ロール以上) があることを確認します。

  • コアの最小値: ESU ライセンスに十分なコアが指定されていることを確認します。 物理コアベースのライセンスにはマシンあたり最小 16 コア、仮想コアベースのライセンスには仮想マシン (VM) あたり最小 8 コアが必要です。

  • 規則: 適切なサブスクリプションとリソース グループを選択し、ESU ライセンスに一意の名前を指定したことを確認します。

ESU の登録に関する問題

Azure Arc 対応サーバーをアクティブ化された拡張セキュリティ更新プログラム ライセンスに正常にリンクできない場合は、次の条件を満たしていることを確認してください。

  • 接続性: Azure Arc 対応サーバーが接続済み。 Azure Arc 対応マシンの状態の表示に関する詳細については、「エージェントの状態」を参照してください。

  • エージェントのバージョン: 接続済みマシン エージェントのバージョンは 1.34 以上です。 エージェントのバージョンが 1.34 未満の場合は、これ以上のバージョンに更新する必要があります。

  • オペレーティング システム: 拡張セキュリティ更新プログラムに登録できるのは、Windows Server 2012 および 2012 R2 オペレーティング システムを実行している Azure Arc 対応サーバーのみです。

  • 環境: 接続済みマシンは、Azure Stack HCI、Azure VMware Solution (AVS)、または Azure 仮想マシンとして実行されていないことが必要です。 これらのシナリオでは、WS2012 ESU を無料で利用できます。 Azure Stack HCI を介した無償の ESU の詳細については、「Azure Stack HCI を介した無料の拡張セキュリティ更新プログラム」を参照してください。

  • ライセンス プロパティ: ライセンスがアクティブであることを確認し、意図したサーバーの範囲をサポートするのに十分な物理コアまたは仮想コアが割り当てられていることを確認します。

リソース プロバイダー

このサービス オファリングを有効にできない場合は、次に示すように、サブスクリプションに登録されているリソース プロバイダーを確認してください。 リソース プロバイダーの登録中にエラーが発生する場合は、サブスクリプションのロールの割り当てを検証します。 また、これらのリソース プロバイダーを有効にできないようにしている Deny 効果によって設定される可能性のある Azure ポリシーを確認します。

  • Microsoft.HybridCompute: このリソース プロバイダーは、Azure Arc 対応サーバーに不可欠であり、これによって Azure portal でオンプレミス サーバーのオンボードと管理を行うことができます。

  • Microsoft.GuestConfiguration: ゲスト構成ポリシーを有効にします。このポリシーは、Arc 対応サーバーでのコンプライアンスとセキュリティの評価と適用に使用されます。

  • Microsoft.Compute: このリソース プロバイダーは、Azure Update Management に必要です。これは、ESU 更新プログラムを含むオンプレミス サーバー上の更新プログラムと修正プログラムを管理するために使用されます。

  • Microsoft.Security: このリソース プロバイダーを有効にすることは、Azure Arc サーバーとオンプレミス サーバーの両方にセキュリティ関連の機能と構成を実装するために重要です。

  • Microsoft.OperationalInsights: このリソース プロバイダーは Azure Monitor と Log Analytics に関連付けられています。これは、オンプレミス サーバーを含むハイブリッド インフラストラクチャからのテレメトリ データの監視と収集に使用されます。

  • Microsoft.Sql: オンプレミスの SQL Server インスタンスを管理していて、SQL Server の ESU が必要な場合は、このリソース プロバイダーを有効にする必要があります。

  • Microsoft.Storage: このリソース プロバイダーを有効にすることは、ハイブリッド シナリオとオンプレミス シナリオに関連する可能性があるストレージ リソースを管理するために重要です。

ESU パッチの問題

ESU パッチの状態

Azure Arc 対応サーバーに最新の Windows Server 2012/R2 拡張セキュリティ更新プログラムが適用されているかどうかを検出するには、Azure Update Manager または Azure Policy 拡張セキュリティ更新プログラムを Windows Server 2012 Arc マシン - Microsoft Azure にインストールする必要があります。これによって、最新の WS2012 ESU パッチを受信したかどうかを確認します。 Azure Arc によって有効になっている WS2012 ESU に登録されている Azure Arc 対応サーバーでは、どちらのオプションも追加料金なしで利用できます。

ESU の前提条件

KB5031043: 2023 年 10 月 10 日に延長サポートが終了した後に引き続きセキュリティ更新プログラムを受け取る手順の説明に従って、Azure Arc 対応サーバーのライセンス パッケージとサービス スタック更新プログラム (SSU) の両方がダウンロードされるようにします。 Windows Server 2012 の拡張セキュリティ更新プログラムを提供する準備に記載されているすべてのネットワークの前提条件に従っていることを確認します。

エラー: IMDS をもう一度確認しようとしています (HRESULT 12002 または 12029)

Azure Arc で有効になっている拡張セキュリティ更新プログラムのインストールが、"ESU: Trying to Check IMDS Again LastError=HRESULT_FROM_WIN32(12029)" や "ESU: Trying to Check IMDS Again LastError=HRESULT_FROM_WIN32(12002)" などのエラーで失敗する場合、次の方法のいずれかを使用して、コンピューターが信頼している中間証明機関を更新する必要がある場合があります。

重要

最新バージョンの Azure Connected Machine Agent を実行している場合は、中間 CA 証明書をインストールしたり、PKI URL へのアクセスを許可したりする必要はありません。 ただし、エージェントがアップグレードされる前にライセンスが既に割り当てられている場合は、古いライセンスが置き換えられるまでに最大 15 日かかる場合があります。 この間、中間証明書が引き続き必要です。 エージェントをアップグレードした後、ライセンス ファイル %ProgramData%\AzureConnectedMachineAgent\certs\license.json を削除して強制的に更新できます。

オプション 1: PKI URL へのアクセスを許可する

Windows Server 2012 (R2) マシンから http://www.microsoft.com/pkiops/certs および https://www.microsoft.com/pkiops/certs (TCP 80 と 443 の両方) へのアクセスを許可するように、ネットワーク ファイアウォールまたはプロキシ サーバー、またはその両方を構成します。 これにより、不足している中間 CA 証明書をマシンが Microsoft から自動的に取得できるようになります。

PKI URL へのアクセスを許可するようにネットワークが変更されたら、Windows 更新プログラムをもう一度インストールしてみます。 証明書の自動インストールとライセンスの検証を有効にするために、コンピューターの再起動が必要になる場合があります。

オプション 2: 中間 CA 証明書を手動でダウンロードしてインストールする

サーバーから PKI URL へのアクセスを許可できない場合は、各マシンに証明書を手動でダウンロードしてインストールできます。

  1. インターネットへのアクセスがある任意のコンピューターで、次の中間 CA 証明書をダウンロードします。

    1. Microsoft Azure RSA TLS 発行元 CA 03
    2. Microsoft Azure RSA TLS 発行元 CA 04
    3. Microsoft Azure RSA TLS 発行元 CA 07
    4. Microsoft Azure RSA TLS 発行元 CA 08

  2. 証明書ファイルを Windows Server 2012 (R2) マシンにコピーします。

  3. 管理者特権でのコマンド プロンプトまたは PowerShell セッションで次のいずれかのコマンド セットを実行して、ローカル コンピューターの "中間証明機関" ストアに証明書を追加します。 このコマンドは、証明書ファイルと同じディレクトリから実行する必要があります。 コマンドはべき等であり、証明書を既にインポートしている場合は変更されません。

    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"

  4. Windows 更新プログラムをもう一度インストールしてみます。 検証ロジックで新しくインポートされた中間 CA 証明書が認識されるよう、コンピューターの再起動が必要になる場合があります。

エラー: 対象ではありません (HRESULT 1633)

"ESU: not eligible HRESULT_FROM_WIN32(1633)" というエラーが発生した場合は、次の手順を実行します。

Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds

Arc 対応サーバー経由で正常にサーバーが登録された後に ESU の受信にほかの問題が発生した場合、または ESU デプロイに影響を及ぼす問題に関連する追加情報が必要な場合は、ESU の問題のトラブルシューティングに関する記事を参照してください。