Подготовка к доставке дополнительных обновлений безопасности для Windows Server 2012

  • Статья

С windows Server 2012 и Windows Server 2012 R2, завершив поддержку 10 октября 2023 г., серверы с поддержкой Azure Arc позволяют зарегистрировать существующие компьютеры Windows Server 2012/2012 R2 в расширенных обновлениях системы безопасности (ESUS). Предоставляя гибкость затрат и расширенный интерфейс доставки, Azure Arc лучше позиционирует вас для миграции в Azure.

Цель этой статьи — помочь вам понять преимущества и как подготовиться к использованию серверов с поддержкой Arc, чтобы обеспечить доставку ESUS.

Примечание.

компьютеры Решение Azure VMware (AVS) имеют право на бесплатные ESUs и не должны регистрироваться в ESUs с помощью Azure Arc.

Ключевые преимущества

Доставка ESUs на компьютеры Windows Server 2012/2012 R2 обеспечивает следующие ключевые преимущества:

  • Оплата по мере использования: гибкость регистрации для ежемесячной службы подписки с возможностью миграции в середине года.

  • Плата за Azure: вы можете сократить существующие обязательства по использованию Microsoft Azure (MACC) и проанализировать затраты с помощью управления затратами Майкрософт и выставления счетов.

  • Встроенная инвентаризация: состояние покрытия и регистрации Windows Server 2012/2012 R2 на ESUs с поддержкой Arc определяются в портал Azure, указывая пробелы и изменения состояния.

  • Доставка без ключей: регистрация ESUs на компьютерах Windows Server 2012/2012 R2 с поддержкой Azure Arc не требует приобретения или активации ключей.

Доступ к службам Azure

Для серверов с поддержкой Azure Arc, зарегистрированных в WS2012 ESUs, включенных Azure Arc, бесплатный доступ предоставляется этим службам Azure с 10 октября 2023 г.

  • Диспетчер обновлений Azure — единое управление и управление соответствием обновлений, которое включает не только Azure и гибридные компьютеры, но и соответствие обновлений ESU для всех компьютеров Windows Server 2012 R2. Регистрация в ESUs не влияет на Диспетчер обновлений Azure. После регистрации в ESUs через Azure Arc сервер получает право на исправления ESU. Эти исправления можно доставлять с помощью Диспетчера обновлений Azure или любого другого решения по исправлению. Вам по-прежнему потребуется настроить обновления из обновлений Майкрософт или служб Windows Server Update Services.
  • служба автоматизации Azure Отслеживание изменений и инвентаризация. Отслеживание изменений в виртуальных машинах, размещенных в Azure, локальной среде и других облачных средах.
  • Политика Azure гостевой конфигурации— аудит параметров конфигурации в виртуальной машине. Гостевая конфигурация поддерживает виртуальные машины Azure в собственном коде и физические и виртуальные серверы, отличные от Azure, через серверы с поддержкой Azure Arc.

Другие службы Azure через серверы с поддержкой Azure Arc также доступны с такими предложениями, как:

  • Microsoft Defender для облака . В рамках компонента управления безопасностью облака (CSPM) она обеспечивает защиту серверов через Microsoft Defender для серверов, чтобы защитить вас от различных киберугрыз и уязвимостей.
  • Microsoft Sentinel — собирает события, связанные с безопасностью, и сопоставляет их с другими источниками данных.

Подготовка доставки ESUs

Запланируйте и подготовьтесь к подключению компьютеров к серверам с поддержкой Azure Arc с помощью установки агента подключенного компьютера Azure (версия 1.34 или более поздней версии), чтобы установить подключение к Azure. Расширенные обновления безопасности Windows Server 2012 поддерживают выпуски Windows Server 2012 и R2 Standard и Datacenter. Хранилище Windows Server 2012 не поддерживается.

Рекомендуется развернуть компьютеры в Azure Arc при подготовке к работе со связанными службами Azure, которые предоставляют поддерживаемые функции для управления ESU. После подключения этих компьютеров к серверам с поддержкой Azure Arc вы получите представление о охвате ESU и регистрации через портал Azure или с помощью Политика Azure. Выставление счетов за эту службу начинается с октября 2023 г. (т. е. после окончания поддержки Windows Server 2012).

Примечание.

Чтобы приобрести ESUs, необходимо использовать Software Assurance с помощью программ корпоративного лицензирования, таких как Соглашение Enterprise (EA), Соглашение Enterprise подписка (EAS), регистрация для решений для образовательных учреждений (EES), серверная и облачная регистрация (SCE) или через программы Microsoft Open Value. Если компьютеры Windows Server 2012/2012 R2 лицензированы с помощью SPLA или подписки на сервер, Software Assurance для приобретения ESU не требуется.

Кроме того, необходимо скачать пакет лицензирования и обновление стека обслуживания (SSU) для сервера с поддержкой Azure Arc, как описано в KB5031043. Процедура продолжения получения обновлений системы безопасности после завершения расширенной поддержки 10 октября 2023 г.

Параметры развертывания

Существует несколько вариантов подключения к серверам с поддержкой Azure Arc, включая запуск пользовательской последовательности задач с помощью Configuration Manager и развертывание запланированной задачи с помощью групповой политики. Существуют также масштабируемые варианты доставки ESU для управляемых виртуальных машин VMware vCenter и управляемых виртуальных машин SCVMM через Azure Arc.

Примечание.

Доставка ESUs через Azure Arc на виртуальные машины, работающие на инфраструктура виртуальных рабочих столов (VDI), не рекомендуется. Системы VDI должны использовать несколько ключей активации (MAK) для применения ESUs. Дополнительные сведения см. в разделе "Доступ к ключу множественной активации" в Центре администрирования Microsoft 365.

Сеть

Параметры подключения включают общедоступную конечную точку, прокси-сервер и приватный канал или Azure Express Route. Просмотрите предварительные требования к сети для подготовки сред, отличных от Azure, для развертывания в Azure Arc.

Если вы используете серверы с поддержкой Azure Arc только для расширенных обновлений безопасности для любого из следующих продуктов:

  • Windows Server 2012
  • SQL Server 2012

Вы можете включить следующее подмножество конечных точек:

Ресурс агента Description При необходимости Конечная точка, используемая с приватным каналом
aka.ms Используется для разрешения скрипта загрузки во время установки Только во время установки Общедоступный
download.microsoft.com Используется для скачивания пакета установки Windows Только во время установки Общедоступный
login.windows.net Microsoft Entra ID Всегда Общедоступный
login.microsoftonline.com Microsoft Entra ID Всегда Общедоступный
*login.microsoft.com Microsoft Entra ID Всегда Общедоступный
management.azure.com Azure Resource Manager — создание или удаление ресурса сервера Arc При подключении или отключении сервера только Общедоступная, если не настроена приватная ссылка на управление ресурсами
*.his.arc.azure.com Метаданные и службы гибридных удостоверений Всегда Private
*.guestconfiguration.azure.com Службы управления расширениями и гостевой конфигурации Всегда Private
www.microsoft.com/pkiops/certs Обновления промежуточного сертификата для ESUs (примечание. Использует http/TCP 80 и HTTPS/TCP 443) Всегда для автоматических обновлений или временно при скачивании сертификатов вручную. Общедоступный
*.<region>.arcdataservices.com Служба обработки данных Azure Arc и данные телеметрии служб. SQL Server ESUs Общедоступный
*.blob.core.windows.net Скачивание пакета расширения SQL Server SQL Server ESUs Не требуется, если используется Приватный канал

Совет

Чтобы воспользоваться полным спектром предложений для серверов с поддержкой Arc, таких как расширения и удаленное подключение, убедитесь, что вы разрешаете дополнительные URL-адреса, которые применяются к вашему сценарию. Дополнительные сведения см. в разделе "Требования к сети агента подключенного компьютера".

Необходимые центры сертификации

Для расширенных обновлений системы безопасности для Windows Server 2012 требуются следующие центры сертификации:

При необходимости эти центры сертификации можно скачать и установить вручную.

Следующие шаги