Vorbereiten der Bereitstellung erweiterter Sicherheitsupdates für Windows Server 2012
Mit Windows Server 2012 und Windows Server 2012 R2, bei denen seit dem 10. Oktober 2023 keinen Support mehr gibt, können Sie mit Azure Arc-fähigen Servern Ihre vorhandenen Windows Server 2012/2012 R2-Computer unter Erweiterte Sicherheitsupdates (ESUs)registrieren. Azure Arc bietet sowohl Kostenflexibilität als auch eine verbesserte Bereitstellungserfahrung; so können Sie leichter zu Azure migrieren.
Dieser Artikel dient zum Verständnis der Vorteile und wie man sich zur Anwendung von Arc-fähigen Servern vorbereitet, um die Bereitstellung von ESUs zu ermöglichen.
Hinweis
Azure VMware Solutions (AVS)-Computer sind für kostenlose ESUs berechtigt und sollten sich nicht für ESUs registrieren, die über Azure Arc aktiviert sind.
Wesentliche Vorteile
Die Bereitstellung von ESUs auf Ihren Windows Server 2012/2012 R2-Computern bietet folgende wichtige Vorteile:
Pay-as-you-go: Flexibilität beim Registrieren für einen monatlichen Abonnementdienst mit der Möglichkeit, Mitte Jahr zu migrieren.
Azure in Rechnung gestellt: Sie können Ihre Kosten aus Ihrem vorhandenen Microsoft Azure-Verbrauchsverpflichtung (MACC) ziehen und mithilfe von Microsoft Cost Management und Billinganalysieren.
Integriertes Inventar: Der Abdeckungs- und Registrierungsstatus von Windows Server 2012/2012 R2 ESUs auf berechtigten Arc-fähigen Servern werden im Azure-Portal identifiziert, wobei Lücken und Statusänderungen hervorgehoben werden.
Schlüssellose Zustellung: Die Registrierung von ESUs auf den Azure Arc-fähigen Windows Server 2012/2012 R2-Computern erfordert weder den Erwerb noch die Aktivierung von Schlüsseln.
Zugriff auf Azure-Dienste
Für Azure Arc-fähige Server, die in Azure-fähigen WS2012 ESUs registriert sind, wird der kostenlose Zugriff auf die Azure-Dienste ab dem 10. Oktober 2023 gewährt:
- Azure Update Manager – Einheitliche Verwaltung und Governance der Updatecompliance, die nicht nur Azure- und Hybridcomputer umfasst, sondern auch ESU-Updatecompliance für alle Windows Server 2012/2012 R2-Computer. Die Registrierung in ESUs wirkt sich nicht auf Azure Update Manager aus. Nach der Registrierung in ESUs über Azure Arc ist der Server für ESU-Patches berechtigt. Diese Patches können über Azure Update Manager oder eine andere Patchlösung geliefert werden. Sie werden weiterhin Updates von Microsoft Updates oder Windows Server Update Services konfigurieren müssen.
- Azure Automation Change Tracking and Inventory – Nachverfolgen von Änderungen auf virtuellen Computern, die in Azure, lokal und anderen Cloudumgebungen gehostet werden.
- Azure Policy Guest Configuration – Überwachen sie die Konfigurationseinstellungen auf einem virtuellen Computer. Die Gastkonfiguration unterstützt Azure-VMs nativ sowie physische und virtuelle Nicht-Azure-Server über Server mit Azure Arc-Unterstützung.
Andere Azure-Dienste über Azure Arc-fähige Server sind ebenfalls verfügbar, mit Angeboten wie:
- Microsoft Defender für Cloud – Im Rahmen der Cloud Security Posture Management (CSPM)-Säule bietet es Serverschutz über Microsoft Defender für Server, um Sie vor verschiedenen Cyberbedrohungen und Sicherheitsrisiken zu schützen.
- Verwenden Sie Microsoft Sentinel, um sicherheitsrelevante Ereignisse zu erfassen und sie mit anderen Datenquellen zu korrelieren.
Vorbereiten der Übermittlung von ESUs
Planen Sie das Onboarding Ihrer Computer auf Azure Arc-fähigen Servern über die Installation des Azure Connected Machine-Agents (Version 1.34 oder höher), um eine Verbindung mit Azure herzustellen. Erweiterte Sicherheitsupdates für Windows Server 2012 unterstützen Windows Server 2012- und R2 Standard- und Datacenter-Editionen. Windows Server 2012 Storage wird nicht unterstützt.
Es wird empfohlen, Ihre Computer in Azure Arc bereitzustellen und sie für die zugehörigen Azure-Dienste vorzubereiten, die unterstützte Funktionen zum Verwalten von ESU liefern. Sobald diese Computer in Azure Arc-fähige Server integriert sind, haben Sie einen Überblick über ihre ESU-Abdeckung und Registrierung über das Azure-Portal oder die Verwendung von Azure-Richtlinien. Die Abrechnung für diesen Dienst beginnt ab Oktober 2023 (d. h. nach Dem Ende des Supports für Windows Server 2012).
Hinweis
Um ESUs zu erwerben, müssen Sie über Volumenlizenzprogramme wie einen Enterprise Agreement (EA), ein Enterprise Agreement-Abonnement (EAS), Registrierung für Education Solutions (EES), Server- und Cloudregistrierung (SCE) oder über Microsoft Open Value Programs verfügen. Wenn Ihre Windows Server 2012/2012 R2-Computer über SPLA oder mit einem Serverabonnement lizenziert sind, muss Software Assurance keine ESUs erwerben.
Sie müssen auch sowohl das Lizenzierungspaket als auch das Wartungsstapelupdate (SSU) für den Azure Arc-fähigen Server herunterladen. Siehe dazu die Dokumentation KB5031043: Verfahren zur Erhaltung von Sicherheitsupdates nach dem Einstellen des erweiterten Supports am 10. Oktober 2023.
Bereitstellungsoptionen
Es gibt mehrere Onboarding-Optionen für Azure Arc-fähige Server, darunter auch Ausführen einer benutzerdefinierten Tasksequenz über den Configuration Manager und die Bereitstellung einer Geplanten Aufgabe über Gruppenrichtlinien. Es gibt auch umfangreiche ESU-Bereitstellungsoptionen für verwaltete VMware vCenter-VMs und verwaltete SCVMM-VMs über Azure Arc.
Hinweis
Es wird nicht empfohlen, die ESUs über Azure Arc den virtuellen Computern zuzuliefern, die auf Virtual Desktop Infrastructure (VDI) laufen. VDI-Systeme sollten Multiple Aktivierungsschlüssel (MAK) verwenden, um ESUs anzuwenden. Weitere Informationen finden Sie unter Zugreifen auf Ihren Mehrfachaktivierungsschlüssel über das Microsoft 365-Admin Center.
Netzwerk
Konnektivitätsoptionen umfassen öffentliche Endpunkte, Proxyserver und private Verknüpfungen oder Azure Express Route. Überprüfen Sie die Netzwerkvoraussetzungen, um die Nicht-Azure-Umgebungen für die Bereitstellung in Azure Arc vorzubereiten.
Wenn Sie Azure Arc-fähige Server nur für erweiterte Sicherheitsupdates für eins oder beide der folgenden Produkte verwenden:
- Windows Server 2012
- SQL Server 2012
Sie können die folgende Teilmenge von Endpunkten aktivieren:
| Agent-Ressource | Beschreibung | Wenn erforderlich | Mit privatem Link verwendeter Endpunkt |
|---|---|---|---|
aka.ms |
Wird verwendet, um das Downloadskript während der Installation aufzulösen. | Nur zur Installationszeit | Öffentlich |
download.microsoft.com |
Wird zum Herunterladen des Windows-Installationspakets verwendet. | Nur zur Installationszeit | Öffentlich |
login.windows.net |
Microsoft Entra ID | Always | Öffentlich |
login.microsoftonline.com |
Microsoft Entra ID | Always | Öffentlich |
*login.microsoft.com |
Microsoft Entra ID | Always | Öffentlich |
management.azure.com |
Azure Resource Manager: Zum Erstellen oder Löschen der Arc-Serverressource | Nur beim Verbinden oder Trennen eines Servers | Öffentlich, außer eine private Ressourcenmanagementverbindung ist ebenfalls konfiguriert. |
*.his.arc.azure.com |
Metadaten- und Hybrididentitätsdienste | Always | Privat |
*.guestconfiguration.azure.com |
Erweiterungs- und Gastkonfigurationsdienste | Always | Privat |
www.microsoft.com/pkiops/certs |
Zwischenzertifikatupdates für ESUs (Hinweis: verwendet HTTP/TCP 80 und HTTPS/TCP 443) | Immer für automatische Updates oder vorübergehend, wenn Zertifikate manuell heruntergeladen werden. | Öffentlich |
*.<region>.arcdataservices.com |
Azure Arc-Datenverarbeitungsdienst und Diensttelemetrie. | SQL Server-ESUs | Öffentlich |
*.blob.core.windows.net |
Sql Server-Erweiterungspaket herunterladen | SQL Server-ESUs | Bei Verwendung einer privaten Verbindung nicht erforderlich |
Tipp
Um das gesamte Angebot für die Arc-fähige Server wie Erweiterungen und Remotekonnektivität zu nutzen, stellen Sie sicher, dass Sie die zusätzlichen URLs zulassen, die für Ihr Szenario gelten. Weitere Informationen finden Sie unter Netzwerkanforderungen für verbundene Computer-Agents.
Erforderliche Zertifizierungsstellen
Die folgenden Zertifizierungsstellen sind für erweiterte Sicherheitsupdates für Windows Server 2012 erforderlich:
- Microsoft Azure RSA TLS Issuing CA 03
- Microsoft Azure RSA TLS Issuing CA 04
- Microsoft Azure RSA TLS Issuing CA 07
- Microsoft Azure RSA TLS Issuing CA 08
Bei Bedarf können diese Zertifizierungsstellen manuell heruntergeladen und installiert werden.
Nächste Schritte
Erfahren Sie mehr über die Planung für das Ende des Supports von Windows Server und SQL Server und den Erhalt von erweiterten Sicherheitsupdates.
Erfahren Sie mehr über bewährte Methoden und Entwurfsmuster durch die Azure Arc-Zielzonenbeschleuniger für hybride und Multicloud-Umgebungen.
Erfahren Sie mehr über Arc-fähige Server und wie sie mit Azure über den Azure Connected Machine-Agent arbeiten.
Erkunden Sie Optionen zum Onboarding Ihrer Computer auf Azure Arc-fähigen Servern.