Příprava na poskytování doručování aktualizací zabezpečení pro systém Windows Server 2012
Díky tomu, že systémy Windows Server 2012 a Windows Server 2012 R2 skončily 10. října 2023, umožňují servery s podporou Služby Azure Arc zaregistrovat stávající počítače s Windows Serverem 2012/2012 R2 v rozšířených aktualizacích zabezpečení (ESU). Zajištění flexibility nákladů a vylepšeného prostředí pro doručování vám Azure Arc poskytuje lepší pozice pro migraci do Azure.
Účelem tohoto článku je pomoct vám pochopit výhody a připravit se na použití serverů s podporou Arc k zajištění doručování ESU.
Poznámka:
Počítače Azure VMware Solutions (AVS) mají nárok na bezplatné ESU a neměly by se registrovat do ESU povolených prostřednictvím Služby Azure Arc.
Klíčové výhody
Poskytování ESU do počítačů s Windows Serverem 2012/2012 R2 poskytuje následující klíčové výhody:
Průběžné platby: Flexibilita při registraci služby měsíčního předplatného s možností migrace do poloviny roku.
Fakturovaná služba Azure: Můžete využít stávající závazek Microsoft Azure Consumption (MACC) a analyzovat náklady pomocí služby Microsoft Cost Management a fakturace.
Integrovaný inventář: Pokrytí a stav registrace windows Serveru 2012/2012 R2 na oprávněných serverech s podporou arc jsou na webu Azure Portal identifikovány a zvýrazňují mezery a změny stavu.
Doručování bez klíčů: Registrace ESU na počítačích s Windows Serverem s podporou Azure Arc 2012/2012 R2 nevyžaduje získání ani aktivaci klíčů.
Přístup ke službám Azure
Pro servery s podporou Azure Arc zaregistrované v ESU WS2012, které podporuje Azure Arc, je k těmto službám Azure poskytován bezplatný přístup od 10. října 2023:
- Azure Update Manager – Jednotná správa a zásady správného řízení dodržování předpisů aktualizací, které zahrnují nejen Azure a hybridní počítače, ale také dodržování předpisů aktualizací ESU pro všechny počítače s Windows Serverem 2012/2012 R2. Registrace v ESU nemá vliv na Azure Update Manager. Po registraci v ESU prostřednictvím Azure Arc se server stane způsobilým pro opravy ESU. Tyto opravy je možné doručit prostřednictvím Azure Update Manageru nebo jakéhokoli jiného řešení oprav. Stále budete muset nakonfigurovat aktualizace ze služeb Microsoft Updates nebo Windows Server Update Services.
- Azure Automation Sledování změn a inventář – Sledování změn ve virtuálních počítačích hostovaných v Azure, místních a dalších cloudových prostředích
- Konfigurace hosta Azure Policy – Auditujte nastavení konfigurace ve virtuálním počítači. Konfigurace hosta podporuje virtuální počítače Azure nativně i fyzické a virtuální servery mimo Azure prostřednictvím serverů s podporou Azure Arc.
Další služby Azure prostřednictvím serverů s podporou Azure Arc jsou k dispozici také s nabídkami, jako jsou:
- Microsoft Defender pro cloud – jako součást pilíře správy stavu zabezpečení cloudu (CSPM) poskytuje ochranu serverů prostřednictvím programu Microsoft Defender for Servers , aby vám pomohla chránit před různými kybernetickými hrozbami a ohroženími zabezpečení.
- Microsoft Sentinel – Shromažďování událostí souvisejících se zabezpečením a jejich korelace s jinými zdroji dat
Příprava dodávek ESU
Naplánujte a připravte se na připojení počítačů k serverům s podporou Azure Arc prostřednictvím instalace agenta Azure Connected Machine (verze 1.34 nebo vyšší) pro navázání připojení k Azure. Rozšířené aktualizace zabezpečení Windows Serveru 2012 podporují edice Windows Server 2012 a R2 Standard a Datacenter. Windows Server 2012 Storage se nepodporuje.
Při přípravě na to, kdy související služby Azure poskytují podporované funkce pro správu ESU, doporučujeme nasadit počítače do Azure Arc. Jakmile se tyto počítače připojí k serverům s podporou Azure Arc, budete mít přehled o pokrytí ESU a zaregistrovat se prostřednictvím webu Azure Portal nebo pomocí Služby Azure Policy. Fakturace této služby začíná od října 2023 (tj. po ukončení podpory Windows Serveru 2012).
Poznámka:
Abyste mohli zakoupit ESU, musíte mít Program Software Assurance prostřednictvím multilicenčních programů, jako je smlouva Enterprise (EA), předplatné smlouva Enterprise (EAS), registrace pro vzdělávací řešení (EES), serverová a cloudová registrace (SCE) nebo prostřednictvím programů Microsoft Open Value. Pokud jsou počítače s Windows Serverem 2012/2012 R2 licencované prostřednictvím SPLA nebo s předplatným serveru, Software Assurance se k nákupu ESU nevyžaduje.
Musíte také stáhnout licenční balíček i aktualizaci zásobníku údržby (SSU) pro server s podporou služby Azure Arc, jak je uvedeno v KB5031043: Postup pokračování v přijímání aktualizací zabezpečení po ukončení rozšířené podpory 10. října 2023.
Možnosti nasazení
Existuje několik možností onboardingu ve velkém měřítku pro servery s podporou Služby Azure Arc, včetně spuštění vlastního pořadí úloh prostřednictvím Configuration Manageru a nasazení naplánované úlohy prostřednictvím zásad skupiny. Existují také možnosti doručování esU ve velkém měřítku pro virtuální počítače spravované přes VMware vCenter a spravované virtuální počítače SCVMM prostřednictvím Služby Azure Arc.
Poznámka:
Doručování ESU přes Azure Arc do virtuálních počítačů běžících na Infrastruktura virtuálních klientských počítačů (VDI) se nedoporučuje. Systémy VDI by měly k použití ESU používat více aktivačních klíčů (MAK). Další informace najdete v tématu Přístup k vícenásobnému aktivačnímu klíči z centra Správa Microsoftu 365.
Sítě
Mezi možnosti připojení patří veřejný koncový bod, proxy server a privátní propojení nebo Azure Express Route. Projděte si požadavky na sítě pro přípravu prostředí mimo Azure pro nasazení do služby Azure Arc.
Pokud používáte servery s podporou Azure Arc pouze pro rozšířené aktualizace zabezpečení pro některý z následujících produktů nebo pro oba tyto produkty:
- Windows Server 2012
- SQL Server 2012
Můžete povolit následující podmnožinu koncových bodů:
Prostředek agenta | Popis | V případě potřeby | Koncový bod používaný s privátním propojením |
---|---|---|---|
aka.ms |
Používá se k vyřešení skriptu stahování během instalace. | V době instalace pouze | Veřejná |
download.microsoft.com |
Používá se ke stažení instalačního balíčku systému Windows. | V době instalace pouze | Veřejná |
login.windows.net |
Microsoft Entra ID | Always | Veřejná |
login.microsoftonline.com |
Microsoft Entra ID | Always | Veřejná |
*login.microsoft.com |
Microsoft Entra ID | Always | Veřejná |
management.azure.com |
Azure Resource Manager – vytvoření nebo odstranění prostředku serveru Arc | Při připojování nebo odpojení serveru pouze | Veřejné, pokud není nakonfigurované také privátní propojení správy prostředků |
*.his.arc.azure.com |
Metadata a služby hybridní identity | Always | Privátní |
*.guestconfiguration.azure.com |
Správa rozšíření a služby konfigurace hosta | Always | Privátní |
www.microsoft.com/pkiops/certs |
Zprostředkující aktualizace certifikátů pro ESU (poznámka: používá HTTP/TCP 80 a HTTPS/TCP 443) | Vždy pro automatické aktualizace nebo dočasně, pokud certifikáty stahujete ručně. | Veřejná |
*.<region>.arcdataservices.com |
Služba zpracování dat Azure Arc a telemetrie služeb | ESU SQL Serveru | Veřejná |
*.blob.core.windows.net |
Stažení balíčku rozšíření SQL Serveru | ESU SQL Serveru | Nepožaduje se, pokud používáte Private Link. |
Tip
Pokud chcete využít celou řadu nabídek pro servery s podporou Arc, jako jsou rozšíření a vzdálené připojení, ujistěte se, že povolíte další adresy URL, které se vztahují na váš scénář. Další informace najdete v tématu Síťové požadavky agenta připojeného počítače.
Požadované certifikační autority
Pro rozšířené aktualizace zabezpečení pro Windows Server 2012 jsou vyžadovány následující certifikační autority :
- Microsoft Azure RSA TLS vydávající CA 03
- Microsoft Azure RSA TLS vydávající CA 04
- Microsoft Azure RSA TLS vydávající CA 07
- Microsoft Azure RSA TLS vydávající CA 08
V případě potřeby je možné tyto certifikační autority stáhnout a nainstalovat ručně.
Další kroky
Přečtěte si další informace o plánování ukončení podpory Windows Serveru a SQL Serveru a získání rozšířených aktualizací zabezpečení.
Seznamte se s osvědčenými postupy a vzory návrhu prostřednictvím akcelerátoru cílových zón Azure Arc pro hybridní a multicloudové prostředí.
Přečtěte si další informace o serverech s podporou Arc a o tom, jak fungují s Azure prostřednictvím agenta Azure Connected Machine.
Prozkoumejte možnosti onboardingu počítačů na servery s podporou Azure Arc.