Udostępnij za pośrednictwem

Dostarczanie rozszerzonych aktualizacji zabezpieczeń dla systemu Windows Server 2012

  • Artykuł

Ten artykuł zawiera kroki umożliwiające dostarczanie rozszerzonych aktualizacji zabezpieczeń (ESU) do maszyn z systemem Windows Server 2012 dołączonych do serwerów z obsługą usługi Arc. ESU można włączyć dla tych maszyn pojedynczo lub na dużą skalę.

Zanim rozpoczniesz

Zaplanuj i przygotuj się do dołączenia maszyn do serwerów z obsługą usługi Azure Arc. Aby dowiedzieć się więcej, zobacz Przygotowanie do dostarczania rozszerzonych aktualizacji zabezpieczeń dla systemu Windows Server 2012 .

Do tworzenia i przypisywania jednostek ESU do serwerów z obsługą usługi Arc potrzebna będzie również rola Współautor w kontroli dostępu opartej na rolach platformy Azure.

Zarządzanie licencjami ESU

  1. W przeglądarce zaloguj się do witryny Azure Portal.

  2. Na stronie Azure Arc wybierz pozycję Rozszerzone aktualizacje zabezpieczeń w okienku po lewej stronie.

    Zrzut ekranu przedstawiający główne okno ESU z kartą licencji i kartą kwalifikujących się zasobów.

    W tym miejscu możesz wyświetlić i utworzyć licencje ESU oraz wyświetlić kwalifikujące się zasoby dla jednostek ESU.

Uwaga

Podczas wyświetlania wszystkich serwerów z obsługą usługi Arc na stronie Serwery baner określa, ile maszyn z systemem Windows 2012 kwalifikuje się do jednostek ESU. Następnie możesz wybrać pozycję Wyświetl serwery w rozszerzonych aktualizacjach zabezpieczeń, aby wyświetlić listę zasobów, które kwalifikują się do jednostek ESU, wraz z maszynami, które są już włączone ESU.

Tworzenie licencji usługi Azure Arc WS2012

Pierwszym krokiem jest aprowizacja licencji rozszerzonych aktualizacji zabezpieczeń systemu Windows Server 2012 i 2012 R2 z usługi Azure Arc. Te licencje można połączyć z co najmniej jednym serwerem z obsługą usługi Arc wybranym w następnej sekcji.

Po aprowizacji licencji ESU należy określić jednostkę SKU (Standard lub Datacenter), typ rdzeni (fizyczny lub wirtualny) oraz liczbę pakietów 16 rdzeni i 2 rdzeni, aby aprowizować licencję ESU. Możesz również aprowizować licencję rozszerzonej aktualizacji zabezpieczeń w stanie dezaktywacji, aby nie inicjować rozliczeń ani działać podczas tworzenia. Ponadto rdzenie skojarzone z licencją można modyfikować po aprowizacji.

Uwaga

Aprowizowanie licencji ESU wymaga zaświadczania o ich pokryciu sa lub SPLA.

Na karcie Licencje są wyświetlane licencje usługi Azure Arc WS2012, które są dostępne. W tym miejscu możesz wybrać istniejącą licencję, aby zastosować lub utworzyć nową licencję.

Zrzut ekranu przedstawiający istniejące licencje.

  1. Aby utworzyć nową licencję WS2012, wybierz pozycję Utwórz, a następnie podaj informacje wymagane do skonfigurowania licencji na stronie.

    Aby uzyskać szczegółowe informacje na temat wykonywania tego kroku, zobacz Wskazówki dotyczące aprowizacji licencji dla rozszerzonych aktualizacji zabezpieczeń dla systemu Windows Server 2012.

  2. Przejrzyj podane informacje, a następnie wybierz pozycję Utwórz.

    Utworzona licencja zostanie wyświetlona na liście i możesz połączyć ją z co najmniej jednym serwerem z obsługą usługi Arc, wykonując kroki opisane w następnej sekcji.

    Zrzut ekranu przedstawiający kartę licencji z nowo utworzoną licencją na liście.

Możesz wybrać jeden lub więcej serwerów z obsługą usługi Arc, aby połączyć się z rozszerzoną licencją aktualizacji zabezpieczeń. Po połączeniu serwera z aktywowaną licencją ESU serwer kwalifikuje się do odbierania systemów Windows Server 2012 i 2012 R2 ESU.

Uwaga

Masz elastyczność konfigurowania wybranego rozwiązania do stosowania poprawek w celu otrzymywania tych aktualizacji — niezależnie od tego, czy jest to Menedżer aktualizacji, Windows Server Update Services, Microsoft Updates, Microsoft Endpoint Configuration Manager, czy rozwiązanie do zarządzania poprawkami innych firm.

  1. Wybierz kartę Kwalifikujące się zasoby , aby wyświetlić listę wszystkich serwerów z obsługą usługi Arc z systemem Windows Server 2012 i 2012 R2.

    Zrzut ekranu przedstawiający kartę kwalifikujących się zasobów z serwerami uprawnionymi do odbierania jednostek ESU.

    Kolumna stanu jednostek ESU wskazuje, czy maszyna jest włączona w trybie ESU.

  2. Aby włączyć ESU dla co najmniej jednej maszyny, wybierz je na liście, a następnie wybierz pozycję Włącz ESU.

  3. Na stronie Włączanie rozszerzonych aktualizacji zabezpieczeń jest wyświetlana liczba maszyn wybranych do włączenia licencji ESU i WS2012 dostępnych do zastosowania. Wybierz licencję, aby połączyć się z wybranymi maszynami, a następnie wybierz pozycję Włącz.

    Zrzut ekranu przedstawiający okno wyboru licencji do zastosowania do wcześniej wybranych maszyn.

    Uwaga

    Możesz również utworzyć licencję na tej stronie, wybierając pozycję Utwórz licencję ESU.

Stan wybranych maszyn zmienia się na Włączone.

Zrzut ekranu przedstawiający kartę kwalifikujących się zasobów z włączonym stanem dla poprzednio wybranych serwerów.

Jeśli podczas procesu włączania wystąpią jakiekolwiek problemy, zobacz Rozwiązywanie problemów z dostarczaniem rozszerzonych aktualizacji zabezpieczeń dla systemu Windows Server 2012 , aby uzyskać pomoc.

Usługa Azure Policy na dużą skalę

W przypadku łączenia serwerów na dużą skalę z licencją rozszerzonej aktualizacji zabezpieczeń usługi Azure Arc i blokowania modyfikacji lub tworzenia licencji należy rozważyć użycie następujących wbudowanych zasad platformy Azure:

Zasady platformy Azure można określić dla docelowej subskrypcji lub grupy zasobów dla scenariuszy inspekcji i zarządzania.

Dodatkowe scenariusze

Istnieją pewne scenariusze, w których możesz kwalifikować się do otrzymywania poprawek rozszerzonych aktualizacji zabezpieczeń bez dodatkowych kosztów. Dwa z tych scenariuszy obsługiwanych przez usługę Azure Arc to (1) Tworzenie i testowanie (Visual Studio) i (2) Odzyskiwanie po awarii (uprawnione wystąpienia odzyskiwania po awarii tylko z pakietu Software Assurance lub subskrypcji). Oba te scenariusze wymagają, aby klient używał już jednostek ESU systemu Windows Server 2012/R2 z włączoną usługą Azure Arc na potrzeby rozliczanych maszyn produkcyjnych.

Ostrzeżenie

Nie twórz licencji ESU systemu Windows Server 2012/R2 tylko dla obciążeń tworzenia i testowania lub odzyskiwania po awarii. Nie należy aprowizować licencji ESU tylko w przypadku obciążeń, które nie są rozliczane. Ponadto opłaty będą naliczane w całości za wszystkie rdzenie aprowidowane z licencją ESU, a wszystkie rdzenie deweloperskie/testowe na licencji nie będą rozliczane tak długo, jak długo są odpowiednio oznakowane na podstawie poniższych kwalifikacji.

Aby zakwalifikować się do tych scenariuszy, musisz mieć już następujące elementy:

  • Rozliczana licencja ESU. Musisz już aprowizować i aktywować licencję WS2012 Arc ESU przeznaczoną do połączenia ze zwykłymi serwerami z obsługą usługi Azure Arc działającymi w środowiskach produkcyjnych (tj. zwykle rozliczane scenariusze ESU). Ta licencja powinna być aprowizowana tylko dla rdzeni podlegających rozliczaniu, a nie rdzeni, które kwalifikują się do bezpłatnych rozszerzonych aktualizacji zabezpieczeń, na przykład rdzeni deweloperskich/testowych.

  • Serwery z obsługą usługi Arc. Dołączono maszyny z systemami Windows Server 2012 i Windows Server 2012 R2 do serwerów z obsługą usługi Azure Arc w celu tworzenia i testowania przy użyciu subskrypcji programu Visual Studio lub odzyskiwania po awarii.

Aby zarejestrować serwery z obsługą usługi Azure Arc kwalifikujące się do jednostek ESU bez dodatkowych kosztów, wykonaj następujące kroki, aby oznaczyć i połączyć:

  1. Oznacz zarówno licencję WS2012 Arc ESU (utworzoną dla środowiska produkcyjnego z rdzeniami tylko dla serwerów środowiska produkcyjnego), jak i nieprodukcyjne serwery z obsługą usługi Azure Arc z jedną z następujących par nazwa-wartość odpowiadającą odpowiedniemu wyjątkowi:

    1. Nazwa: "Użycie ESU"; Wartość: "WS2012 VISUAL STUDIO DEV TEST"

    2. Nazwa: "Użycie ESU"; Wartość: "ODZYSKIWANIE PO AWARII WS2012"

    W przypadku korzystania z licencji ESU dla wielu scenariuszy wyjątków oznacz licencję tagiem: Nazwa: "Użycie ESU"; Wartość: "WS2012 MULTIPURPOSE"

  2. Połącz licencję oznakowaną (utworzoną dla środowiska produkcyjnego z rdzeniami tylko dla serwerów środowiska produkcyjnego) do otagowanych nieprodukcyjnych maszyn z systemem Windows Server 2012 i Windows Server 2012 R2. Nie licencjonuj rdzeni dla tych serwerów ani nie twórz nowej licencji ESU tylko dla tych serwerów.

To łączenie nie spowoduje wyzwolenia naruszenia zgodności ani bloku wymuszania, co umożliwi rozszerzenie aplikacji licencji poza jej aprowizowane rdzenie. Oczekuje się, że licencja obejmuje tylko rdzenie dla serwerów produkcyjnych i rozliczanych. Opłaty za dodatkowe rdzenie będą naliczane i powodują nadmierne naliczanie opłat.

Ważne

Dodanie tych tagów do licencji NIE spowoduje zwolnienia licencji ani zmniejszenia liczby rdzeni licencji, które są naliczane. Te tagi umożliwiają łączenie maszyn platformy Azure z istniejącymi licencjami skonfigurowanymi już z płatnymi rdzeniami bez konieczności tworzenia nowych licencji lub dodawania dodatkowych rdzeni do bezpłatnych maszyn.

Przykład:

  • Masz 8 wystąpień systemu Windows Server 2012 R2 Standard, z których każdy ma 8 rdzeni fizycznych. Sześć z tych maszyn z systemem Windows Server 2012 R2 Standard jest przeznaczonych do produkcji, a 2 z tych maszyn z systemem Windows Server 2012 R2 Standard kwalifikuje się do bezpłatnych jednostek ESU, ponieważ system operacyjny został licencjonowany za pośrednictwem subskrypcji programu Visual Studio Dev Test.
    • Najpierw należy aprowizować i aktywować zwykłą licencję ESU dla systemu Windows Server 2012/R2, która jest wersją Standard i ma 48 rdzeni fizycznych, aby pokryć 6 maszyn produkcyjnych. Należy połączyć tę regularną, produkcyjną licencję ESU na 6 serwerów produkcyjnych.
    • Następnie należy ponownie użyć tej istniejącej licencji, nie dodawać więcej rdzeni ani aprowizować oddzielnej licencji i połączyć tę licencję z 2 nieprodukcyjnymi maszynami z systemem Windows Server 2012 R2 w warstwie Standardowa. Należy oznaczyć licencję ESU i 2 nieprodukcyjne maszyny z systemem Windows Server 2012 R2 Standard o nazwie: "Użycie ESU" i wartość: "WS2012 VISUAL STUDIO DEV TEST".
    • Spowoduje to licencję ESU na 48 rdzeni i zostanie naliczona opłata za te 48 rdzeni. Opłaty za dodatkowe 16 rdzeni serwerów testowych, które zostały dodane do tej licencji, nie będą naliczane opłaty, o ile licencja ESU i zasoby serwera deweloperskiego testowego są odpowiednio oznakowane.

Uwaga

Potrzebujesz regularnej licencji produkcyjnej, aby rozpocząć pracę, a opłaty będą naliczane tylko za rdzenie produkcyjne.

Uaktualnianie z systemu Windows Server 2012/2012 R2

Podczas uaktualniania komputera z systemem Windows Server 2012/2012R do systemu Windows Server 2016 lub nowszego nie jest konieczne usunięcie agenta połączonej maszyny z komputera. Nowy system operacyjny będzie widoczny dla maszyny na platformie Azure w ciągu kilku minut od ukończenia uaktualnienia. Uaktualnione maszyny nie wymagają już jednostek ESU i nie kwalifikują się do nich. Każda licencja ESU skojarzona z maszyną nie jest automatycznie odłączona od maszyny. Zobacz Odłączanie licencji , aby uzyskać instrukcje dotyczące ręcznego wykonywania tych czynności.

Ocena stanu poprawki ESU programu WS2012

Aby wykryć, czy serwery z obsługą usługi Azure Arc są poprawiane przy użyciu najnowszych aktualizacji rozszerzonych zabezpieczeń systemu Windows Server 2012/R2, można użyć rozszerzonych aktualizacji zabezpieczeń usługi Azure Policy , które powinny być zainstalowane na maszynach z systemem Windows Server 2012 Arc-Microsoft Azure. Ta usługa Azure Policy obsługiwana przez usługę Machine Configuration określa, czy serwer otrzymał najnowsze poprawki ESU. Można to zaobserwować w widokach Przypisania gościa i zgodności usługi Azure Policy wbudowanych w witrynę Azure Portal.