Liefern von erweiterten Sicherheitsupdates für Windows Server 2012
Dieser Artikel enthält Schritte zum Aktivieren der Bereitstellung von erweiterten Sicherheitsupdates (EXTENDED Security Updates, ESUs) auf den Windows-Server-2012-Computern, die in Arc-fähigen Server integriert sind. Sie können ESUs für diese Computer einzeln oder gruppenweise aktivieren.
Voraussetzungen
Planen Sie das Onboarding Ihrer Computer auf Azure Arc-fähigen Servern. Weitere Informationen finden Sie unter Vorbereiten der Bereitstellung erweiterter Sicherheitsupdates für Windows Server 2012.
Außerdem benötigen Sie die Rolle Mitwirkender in Azure RBAC zum Erstellen und Zuweisen von ESUs zu Arc-fähigen Servern.
Verwalten von ESU-Lizenzen
Melden Sie sich in Ihrem Browser beim Azure-Portal an.
Wählen Sie auf der Seite Azure Arc im linken Bereich Erweiterte Sicherheitsupdates.
Von hier aus können Sie ESU Lizenzen anzeigen und erstellen sowie Zulässige Ressourcen für ESUs ansehen.
Hinweis
Wenn Sie alle Arc-fähigen Server auf der Seite Server anzeigen, gibt ein Banner an, wie viele Windows 2012-Computer für ESUs zulässig sind. Sie können dann Server in erweiterten Sicherheitsupdates anzeigenauswählen, um eine Liste der für ESUs zulässigen Ressourcen anzuzeigen, zusammen mit bereits aktivierten Computern.
Erstellen der Azure Arc WS2012-Lizenzen
Der erste Schritt ist die Bereitstellung der Windows Server 2012- und 2012 R2 Extended Security Update-Lizenzen von Azure Arc. Sie verknüpfen diese Lizenzen mit einem oder mehreren Arc-fähigen Servern, die Sie im nächsten Abschnitt auswählen.
Nachdem Sie eine ESU-Lizenz bereitgestellt haben, müssen Sie die SKU (Standard oder Datacenter), den Typ der Kerne (Physical oder vCore) und die Anzahl der 16-Core- und 2-Core-Pakete zur ESU-Lizenzbereitstellung angeben. Sie können auch eine erweiterte Sicherheitsupdate-Lizenz in einem deaktivierten Zustand bereitstellen, sodass sie keine Abrechnung initiiert oder bei der Erstellung funktionsfähig ist. Darüber hinaus können die mit der Lizenz verbundenen Kerne nach der Bereitstellung geändert werden.
Hinweis
Die Bereitstellung von ESU-Lizenzen erfordert, dass Sie deren SA- oder SPLA-Abdeckung bestätigen.
Auf der Registerkarte Lizenzen werden Azure Arc WS2012-Lizenzen angezeigt, die verfügbar sind. Hier können Sie eine vorhandene Lizenz auswählen, um eine neue Lizenz anzuwenden oder zu erstellen.
Um eine neue WS2012-Lizenz zu erstellen, wählen Sie Erstellenaus und geben Sie dann die erforderlichen Informationen zum Konfigurieren der Lizenz auf der Seite an.
Ausführliche Informationen zum Ausführen dieses Schritts finden Sie unter Lizenzbereitstellungsrichtlinien für erweiterte Sicherheitsupdates für Windows Server 2012.
Überprüfen Sie die von Ihnen bereitgestellten Informationen und wählen Sie dann Erstellen aus.
Die von Ihnen erstellte Lizenz wird in der Liste angezeigt, und Sie können diese mit einem oder mehreren Arc-fähigen Servern verknüpfen, indem Sie die Schritte im nächsten Abschnitt ausführen.
Verknüpfen von ESU-Lizenzen mit Arc-fähigen Servern
Sie können einen oder mehrere Arc-fähige Server auswählen, um eine Verknüpfung mit einer Lizenz Erweiterte Sicherheitsupdate zu erstellen. Nachdem Sie einen Server mit einer aktivierten ESU-Lizenz verknüpft haben, kann der Server die Windows Server 2012 und 2012 R2 ESUs empfangen.
Hinweis
Sie haben die Flexibilität beim Konfigurieren Ihrer Patchinglösung für den Empfang dieser Updates – unabhängig davon, ob es einUpdate-Manager, Windows Server Update Services, Microsoft Updates, Microsoft Endpoint Configuration Manager oder eine Patchverwaltungslösung eines Drittanbieters ist.
Wählen Sie die Registerkarte Zulässige Ressourcen aus, um eine Liste aller Arc-fähigen Server mit Windows Server 2012 und 2012 R2 anzuzeigen.
Die Spalte ESUs-Status gibt an, ob der Computer ESUs aktiviert ist.
Um ESUs für einen oder mehrere Computer zu aktivieren, wählen Sie diese aus der Liste und dann ESUs aktivieren aus.
Auf der Seite Erweiterte Sicherheitsupdates aktivieren können Sie die Anzahl der ausgewählten Computer sehen, um ESUs und die verfügbaren WS 2012-Lizenzen zu aktivieren. Wählen Sie eine Lizenz zum Verknüpfen mit den ausgewählten Computern und klicken Sie auf Aktivieren.
Hinweis
Sie können auch eine Lizenz von dieser Seite aus erstellen. Wählen Sie dazu ESU-Lizenz erstellen.
Der Status der ausgewählten Computer ändert sich in Aktiviert.
Falls während des Aktivierungsprozesses Probleme auftreten, siehe Problembehandlung bei der Übermittlung erweiterter Sicherheitsupdates für Windows Server 2012.
Skalierbare Azure-Richtlinie
Berücksichtigen Sie die Anwendung folgender integrierter Azure-Richtlinien für skalierbare Verlinkung von Servern mit der Azure Arc Erweiterte Sicherheitsupdate-Lizenz sowie für die Sperrung der Lizenzänderung oder -erstellung:
Azure-Richtlinien können für Überwachungs- und Verwaltungsszenarien in einem gezielten Abonnement oder einer Ressourcengruppe angegeben werden.
Zusätzliche -Szenarien
Es gibt einige Szenarien, in denen Sie möglicherweise berechtigt sind, Patches für erweiterte Sicherheitsupdates ohne zusätzliche Kosten zu erhalten. Zwei dieser Szenarien, die von Azure Arc unterstützt werden, sind (1) Dev/Test (Visual Studio) und (2) Disaster Recovery (für Vergünstigungen berechtigte DR-Instanzen nur von Software Assurance oder Abonnement). Beide Szenarien erfordern, dass der Kunde bereits die Windows Server 2012/R2-ESUs verwendet, die von Azure Arc für abrechenbare Produktionscomputer aktiviert sind.
Warnung
Erstellen Sie keine Windows Server 2012/R2 ESU-Lizenz für Nur Dev/Test- oder Notfallwiederherstellungsworkloads. Sie sollten keine ESU-Lizenz nur für die nicht abrechenbaren Workloads bereitstellen. Außerdem werden Ihnen alle mit einer ESU-Lizenz bereitgestellten Kerne in vollem Umfang in Rechnung gestellt, und alle Entwicklungs-/Testkerne auf der Lizenz werden nicht in Rechnung gestellt, solange sie entsprechend den folgenden Qualifikationen gekennzeichnet sind.
Um sich für diese Szenarien zu qualifizieren, müssen Sie bereits folgendes haben:
Abrechenbare ESU-Lizenz. Sie müssen bereits eine WS2012 Arc ESU-Lizenz bereitgestellt und aktiviert haben, die mit regulären Azure Arc-fähigen Servern verknüpft werden soll, die in Produktionsumgebungen ausgeführt werden (d. h. normalerweise in Rechnung gestellte ESU-Szenarien). Diese Lizenz sollte nur für die abrechenbaren Kerne bereitgestellt werden, nicht für Kerne, die für kostenlose erweiterte Sicherheitsupdates berechtigt sind, z. B. Dev/Test-Kerne.
Server mit Arc-Unterstützung. Onboarding Ihrer Windows Server 2012 und Windows Server 2012 R2 Computer an den Azure Arc-fähigen Servern zwecks Dev/Test mit Visual Studio-Abonnement oder Notfallwiederherstellung.
Führen Sie die folgenden Schritte aus, um Azure Arc-fähige Server ohne zusätzliche Kosten für ESUs zu registrieren:
Markieren Sie sowohl die WS2012 Arc ESU-Lizenz (die für die Produktionsumgebung mit Kernen nur für die Produktionsumgebungsserver erstellt wurde) als auch die nicht produktionsfremden Azure Arc-fähigen Server mit einem der folgenden Namens-Wert-Paare, die der entsprechenden Ausnahme entsprechen:
Name: "ESU Usage"; Wert: "WS2012 VISUAL STUDIO DEV TEST"
Name: "ESU Usage"; Wert: "WS2012 DISASTER RECOVERY"
Wenn Sie die ESU-Lizenz für mehrere Ausnahmeszenarien verwenden, markieren Sie die Lizenz mit dem Tag: Name: "ESU Usage"; Wert: "WS2012 MULTIPURPOSE"
Verknüpfen Sie die markierte Lizenz (erstellt für die Produktionsumgebung mit Kernen nur für die Produktionsumgebungsserver) mit Ihren markierten Nicht-Produktions-Azure Arc-fähigen Windows Servern 2012 und den Windows Server 2012 R2-Computern. Lizenzieren Sie keine Kerne für diese Server und erstellen keine neue ESU-Lizenz nur für diese Server.
Diese Verknüpfung löst keinen Complianceverletzungs- oder Erzwingungsblock aus, sodass Sie die Anwendung einer Lizenz über die bereitgestellten Kerne hinaus erweitern können. Die Erwartung besteht darin, dass die Lizenz nur Kerne für Produktions- und Rechnungsserver enthält. Alle zusätzlichen Kerne werden in Rechnung gestellt und die Rechnung wird hoch.
Wichtig
Das Hinzufügen dieser Tags zu Ihrer Lizenz macht die Lizenz NICHT kostenlos und reduziert auch nicht die Anzahl der kostenpflichtigen Lizenzkerne. Mit diesen Tags können Sie Ihre Azure-Computer mit vorhandenen Lizenzen verknüpfen, die bereits mit kostenpflichtigen Kerne konfiguriert sind, ohne neue Lizenzen zu erstellen oder Ihren kostenlosen Computern zusätzliche Kerne hinzuzufügen.
Beispiel:
- Sie verfügen über 8 Windows Server 2012 R2 Standardinstanzen mit jeweils 8 physischen Kernen. Sechs dieser Windows Server 2012 R2 Standard-Computer sind für die Produktion vorgesehen, und 2 von ihnen sind für kostenlose ESUs berechtigt, weil das Betriebssystem über das Visual Studio Dev Test-Abonnement lizenziert wurde.
- Sie sollten zuerst eine reguläre ESU-Lizenz für Windows Server 2012/R2 bereitstellen und aktivieren. Sie muss eine Standardversion sein und 48 physische Kerne aufweisen, um die 6 Produktionscomputer abzudecken. Diese reguläre ESU-Produktionslizenz müssen Sie mit Ihren 6 Produktionsservern verknüpfen.
- Ferner sollten Sie diese vorhandene Lizenz wiederverwenden, keine weiteren Kerne hinzufügen oder eine separate Lizenz bereitstellen und sie mit Ihren 2 Nicht-Produktions-Windows Server 2012 R2-Standardcomputern verknüpfen. Markieren Sie die ESU-Lizenz und die 2 Nichtproduktions-Standardcomputer (Windows Server 2012 R2) mit dem Namen „ESU Usage“ und dem Wert „WS2012 VISUAL STUDIO DEV TEST“.
- Dies führt zu einer ESU-Lizenz für 48 Kerne, und diese 48 Kerne werden Ihnen in Rechnung gestellt. Die zusätzlichen 16 Kerne der Dev/Test-Server, die Sie zu dieser Lizenz hinzugefügt haben, werden Ihnen nicht in Rechnung gestellt, solange die ESU-Lizenz und die Dev/Test-Server-Ressourcen entsprechend gekennzeichnet sind.
Hinweis
Zum Starten benötigen Sie eine reguläre Produktionslizenz. Ihnen werden nur die Produktionskerne in Rechnung gestellt.
Upgrade von Windows Server 2012/2012 R2
Beim Upgrade eines Windows Server 2012/2012R-Computers auf Windows Server 2016 oder höher ist es nicht erforderlich, den Connected Machine-Agent vom Computer zu entfernen. Das neue Betriebssystem wird innerhalb weniger Minuten nach Abschluss des Upgrades für den Computer in Azure angezeigt. Aktualisierte Computer benötigen keine ESUs mehr und sind nicht mehr für sie berechtigt. Jede ESU-Lizenz, die dem Computer zugeordnet ist, wird nicht automatisch vom Computer getrennt. Anweisungen zur manuellen Vorgehensweise finden Sie unter Aufheben der Verknüpfung einer Lizenz.
Bewerten des WS2012 ESU-Patchstatus
Um festzustellen, ob Ihre Azure Arc-fähigen Server mit den aktuellen erweiterten Sicherheitsupdates von Windows Server 2012/R2 gepatcht sind, können Sie die Azure-Richtlinie Erweiterte Sicherheitsupdates sollten auf Windows Server 2012 Arc-Computern installiert werden-Microsoft Azure verwenden. Diese Azure-Richtlinie, die von der Computerkonfiguration unterstützt wird, identifiziert, ob der Server die neuesten ESU-Patches erhalten hat. Dies ist in den integrierten Ansichten für die Gastzuweisung und Azure Policy-Compliance im Azure-Portal zu sehen.