Compartir a través de

Solución de problemas de entrega de actualizaciones de seguridad extendidas para Windows Server 2012

  • Artículo

En este artículo se proporciona información sobre cómo solucionar problemas que puedan producirse al habilitar las actualizaciones de seguridad extendidas para Windows Server 2012 y Windows Server 2012 R2 a través de los servidores habilitados para Arc.

Problemas de aprovisionamiento de licencias

Si no puede aprovisionar ninguna licencia de actualización de seguridad extendida de Windows Server 2012 para servidores habilitados para Azure Arc, compruebe lo siguiente:

  • Permisos: compruebe que tenga permisos suficientes (rol de Colaborador o superior) dentro del ámbito de aprovisionamiento y vinculación de la ESU.

  • Mínimos básicos: compruebe que haya especificado suficientes núcleos para la licencia de ESU. Las licencias basadas en núcleos físicos requieren un mínimo de 16 núcleos por máquina y las licencias basadas en núcleos virtuales requieren un mínimo de 8 núcleos por máquina virtual (VM).

  • Convenciones: compruebe que haya seleccionado una suscripción y un grupo de recursos adecuados y proporcione un nombre único para la licencia de ESU.

Problemas de inscripción de ESU

Si no puede vincular correctamente el servidor habilitado para Azure Arc a una licencia de actualizaciones de seguridad extendidas activada, compruebe que se cumplan las condiciones siguientes:

  • Conectividad: el servidor habilitado para Azure Arc está Conectado. Para obtener información sobre cómo ver el estado de las máquinas habilitadas para Azure Arc, consulte Estado del agente.

  • Versión del agente: el agente de Connected Machine es la versión 1.34 o posterior. Si la versión del agente es inferior a la 1.34, debe actualizarla a esta versión o a una superior.

  • Sistema operativo: solo los servidores habilitados para Azure Arc que ejecutan el sistema operativo Windows Server 2012 y 2012 R2 son aptos para inscribirse en las actualizaciones de seguridad extendidas.

  • Entorno: la máquina conectada no debe ejecutarse en Azure Stack HCI, la solución de VMware en Azure (AVS) o como una máquina virtual de Azure. En estos escenarios, las ESU WS2012 están disponibles de forma gratuita. Para más información sobre las ESU sin costo a través de Azure Stack HCI, consulte Actualizaciones de seguridad extendidas gratuitas a través de Azure Stack HCI.

  • Propiedades de licencia: compruebe que la licencia está activada y que se hayan asignado suficientes núcleos físicos o virtuales para admitir el ámbito previsto de los servidores.

Proveedores de recursos

Si no puede habilitar esta oferta de servicio, revise los proveedores de recursos registrados en la suscripción, como se indica a continuación. Si recibe un error al intentar registrar los proveedores de recursos, valide las asignaciones de roles en la suscripción. Revise también las posibles directivas de Azure que se puedan establecer con un efecto Deny, lo que impide la habilitación de estos proveedores de recursos.

  • Microsoft.HybridCompute: Este proveedor de recursos es esencial para los servidores habilitados para Azure Arc, lo que le permite incorporar y administrar servidores locales en Azure Portal.

  • Microsoft.GuestConfiguration: habilita las directivas de configuración de invitado, que se usan para evaluar y aplicar configuraciones en los servidores habilitados para Arc para el cumplimiento y la seguridad.

  • Microsoft.Compute: Este proveedor de recursos es necesario para Azure Update Management, que se usa para administrar actualizaciones y revisiones en los servidores locales, incluidas las actualizaciones de ESU.

  • Microsoft.Security: Habilitar este proveedor de recursos es fundamental para implementar características y configuraciones relacionadas con la seguridad para servidores locales y de Azure Arc.

  • Microsoft.OperationalInsights: Este proveedor de recursos está asociado a Azure Monitor y Log Analytics, que se usan para supervisar y recopilar datos de telemetría de la infraestructura híbrida, incluidos los servidores locales.

  • Microsoft.Sql: Si administra instancias locales de SQL Server y requiere ESU para SQL Server, es necesario habilitar este proveedor de recursos.

  • Microsoft.Storage: Habilitar este proveedor de recursos es importante para administrar los recursos de almacenamiento, lo que puede ser relevante para escenarios híbridos y locales.

Problemas de revisión de ESU

Estado de revisión de ESU

Para detectar si los servidores habilitados para Azure Arc se revisan con las Actualizaciones de seguridad extendidas de Windows Server 2012/R2 más recientes, use Azure Update Manager o las Actualizaciones de seguridad extendidas de Azure Policy deben instalarse en máquinas con Windows Server 2012 Arc de Microsoft Azure, que comprueba si se han recibido las revisiones de ESU WS2012 más recientes. Ambas opciones están disponibles sin costo adicional para los servidores habilitados para Azure Arc inscritos en las ESU WS2012 habilitadas por Azure Arc.

Requisitos previos de ESU

Asegúrese de que tanto el paquete de licencias como la actualización de la pila de mantenimiento (SSU) se descarguen para el servidor habilitado para Azure Arc tal como se documenta en KB5031043: Procedimiento para seguir recibiendo actualizaciones de seguridad después de que el soporte extendido haya finalizado el 10 de octubre de 2023. Asegúrese de seguir todos los requisitos previos de red como se registran en Preparación para entregar actualizaciones de seguridad extendidas para Windows Server 2012.

Error: intentar volver a comprobar IMDS (HRESULT 12002 o 12029)

Si al instalar la actualización de seguridad extendida habilitada por Azure Arc aparecen errores como "ESU: intentar comprobar de nuevo IMDS LastError=HRESULT_FROM_WIN32(12029)" o "ESU: intentar comprobar IMDS nuevamente LastError=HRESULT_FROM_WIN32(12002)", es posible que tenga que usar uno de los dos métodos siguientes para actualizar las entidades de certificación intermedias de confianza del equipo.

Importante

Si utiliza la versión más reciente del agente de Azure Connected Machine, no es necesario instalar los certificados de entidad de certificación intermedios ni permitir el acceso a la dirección URL de PKI. Sin embargo, si ya se ha asignado una licencia antes de actualizar el agente, la licencia anterior puede tardar hasta 15 días en reemplazarse. Durante este tiempo, el certificado intermedio seguirá siendo necesario. Después de actualizar el agente, puede eliminar el archivo de licencia %ProgramData%\AzureConnectedMachineAgent\certs\license.json para forzar que se actualice.

Opción 1: permitir el acceso a la dirección URL de PKI

Configure el firewall de red o el servidor proxy para permitir el acceso desde las máquinas de Windows Server 2012 (R2) a http://www.microsoft.com/pkiops/certs y https://www.microsoft.com/pkiops/certs (tanto TCP 80 como 443). Esto permitirá que las máquinas recuperen automáticamente los certificados de ENTIDAD de certificación intermedios que faltan de Microsoft.

Una vez realizados los cambios de red para permitir el acceso a la dirección URL de PKI, intente volver a instalar las actualizaciones de Windows. Es posible que tenga que reiniciar el equipo para que la instalación automática de certificados y la validación de la licencia surtan efecto.

Opción 2: descargar e instalar manualmente los certificados de entidad de certificación intermedios

Si no puede permitir el acceso a la dirección URL de PKI desde los servidores, puede descargar e instalar manualmente los certificados en cada equipo.

  1. En cualquier equipo con acceso a Internet, descargue estos certificados de CA intermedios:

    1. Microsoft Azure RSA TLS Issuing CA 03
    2. Microsoft Azure RSA TLS Issuing CA 04
    3. Microsoft Azure RSA TLS Issuing CA 07
    4. Microsoft Azure RSA TLS Issuing CA 08

  2. Copie los archivos de certificado en las máquinas de Windows Server 2012 (R2).

  3. Ejecute cualquier conjunto de comandos siguientes en un símbolo del sistema con privilegios elevados o una sesión de PowerShell para agregar los certificados al almacén "Entidades de certificación intermedias" para el equipo local. El comando debe ejecutarse desde el mismo directorio que los archivos de certificado. Los comandos son idempotentes y no realizarán ningún cambio si ya ha importado el certificado:

    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"

  4. Intente instalar las actualizaciones de Windows de nuevo. Es posible que tenga que reiniciar el equipo para que la lógica de validación reconozca los certificados de ENTIDAD de certificación intermedios recién importados.

Error: No apto (HRESULT 1633)

Si se produce el error "ESU: no apto HRESULT_FROM_WIN32(1633)", siga estos pasos:

Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds

Si tiene otros problemas al recibir ESU después de inscribir correctamente el servidor a través de servidores habilitados para Arc o necesita información adicional relacionada con los problemas relacionados con la implementación de ESU, consulte Solución de problemas en ESU.