Condividi tramite

Consegnare ggiornamenti della sicurezza estesi per Windows Server 2012

  • Articolo

Questo articolo illustra la procedura per abilitare il recapito degli aggiornamenti della sicurezza estesa ai computer Windows Server 2012 di cui è stato eseguito l'onboarding nei server con abilitazione di Arc. È possibile abilitare le unità ESU in questi computer singolarmente o su larga scala.

Operazioni preliminari

Pianificare e preparare l'onboarding dei computer nei server abilitati per Azure Arc. Vedere Come preparare la distribuzione di aggiornamenti della sicurezza estesa per Windows Server 2012 per altre informazioni.

È anche necessario il ruolo Collaboratore nel controllo degli accessi in base al ruolo di Azure per creare e assegnare ESU ai server abilitati per Arc.

Gestire le licenze ESU

  1. Da un browser accedere al portale di Azure.

  2. Nella pagina Azure Arc, selezionare Aggiornamenti della sicurezza estesi nel riquadro sinistro.

    Screenshot della finestra principale dell'ESU che mostra la scheda licenze e le risorse idonee.

    Qui è possibile visualizzare e creare licenze degli ESU e visualizzare le risorse idonee per gli ESU.

Nota

Quando si visualizzano tutti i server abilitati per Arc dalla pagina Server, un banner specifica il numero di computer Windows 2012 idonei per le ESU. È quindi possibile selezionare Visualizza server in Aggiornamenti della sicurezza estesi per visualizzare un elenco di risorse idonee per le ESU, insieme ai computer già abilitati.

Creare licenze di Azure Arc WS2012

Il primo passaggio consiste nell’effettuare il provisioning delle licenze di Windows Server 2012 e 2012 R2 Extended Security Update da Azure Arc. Queste licenze vengono collegate a uno o più server abilitati per Arc selezionati nella sezione successiva.

Dopo aver effettuato il provisioning di una licenza ESU, è necessario specificare lo SKU (Standard o Datacenter), il tipo di core (Fisico o vCore) e il numero di 16 core e 2 core pack per effettuare il provisioning di una licenza ESU. È anche possibile effettuare il provisioning di una licenza di Aggiornamento della sicurezza estesa in uno stato disattivato in modo che non avvii la fatturazione o funzioni alla creazione. Inoltre, i core associati alla licenza possono essere modificati dopo il provisioning.

Nota

Il provisioning delle licenze ESU richiede l'attestazione della copertura SA o SPLA.

La scheda Licenze visualizza le licenze di Azure Arc WS2012 disponibili. Da qui è possibile selezionare una licenza esistente da applicare o creare una nuova licenza.

Screenshot che mostra le licenze esistenti.

  1. Per creare una nuova licenza WS2012, selezionare Crea, quindi specificare le informazioni necessarie per configurare la licenza nella pagina.

    Per informazioni dettagliate su come completare questo passaggio, vedere Linee guida per il provisioning delle licenze degli Aggiornamenti della sicurezza estesa per Windows Server 2012.

  2. Esaminare le informazioni fornite e quindi selezionare Crea.

    La licenza creata viene visualizzata nell'elenco ed è possibile collegarla a una o più server abilitati per Arc seguendo la procedura descritta nella sezione successiva.

    Screenshot della scheda licenze che mostra la licenza appena creata nell'elenco.

È possibile selezionare uno o più server abilitati per Arc per collegarsi a una licenza di Aggiornamento della sicurezza estesa. Dopo aver collegato un server a una licenza ESU attivata, il server è idoneo a ricevere gli ESU di Windows Server 2012 e 2012 R2.

Nota

Si ha la possibilità di configurare la soluzione per l'applicazione di patch preferita in modo da ricevere tali aggiornamenti, ad esempio Gestore aggiornamenti, Windows Server Update Services, Microsoft Updates, Microsoft Endpoint Configuration Manager o una soluzione di gestione delle patch di terze parti.

  1. Selezionare la scheda Risorse idonee per visualizzare un elenco di tutti i server abilitati per Arc che eseguono Windows Server 2012 e 2012 R2.

    Screenshot della scheda delle risorse idonee che mostra i server idonei per ricevere le ESU.

    La colonna Stato ESU indica se il computer è abilitato o meno per gli ESU.

  2. Per abilitare gli ESU per uno o più computer, selezionarli nell'elenco, quindi selezionare Abilita ESU.

  3. Nella pagina Abilita aggiornamenti della sicurezza estesa, mostra il numero di computer selezionati per abilitare gli ESU e le licenze WS 2012 disponibili da applicare. Selezionare una licenza per collegarsi ai computer selezionati e poi selezionare Abilita.

    Screenshot della finestra per la selezione della licenza da applicare ai computer scelti in precedenza.

    Nota

    È anche possibile creare una licenza da questa pagina selezionando Crea una licenza ESU.

Lo stato dei computer selezionati cambia in Abilitato.

Screenshot della scheda delle risorse idonee che mostra lo stato abilitato per i server selezionati in precedenza.

Se si verificano problemi durante il processo di abilitazione, vedere Risolvere i problemi di recapito degli aggiornamenti della sicurezza estesi per Windows Server 2012 per assistenza.

Criteri di Azure su larga scala

Per il collegamento su larga scala dei server a una licenza di Azure Arc Extended Security Update e per bloccare la modifica o la creazione delle licenze, prendere in considerazione l'uso dei criteri predefiniti di Azure seguenti:

I criteri di Azure possono essere specificati in una sottoscrizione o in un gruppo di risorse di destinazione per scenari di controllo e gestione.

Scenari aggiuntivi

Esistono alcuni scenari in cui è possibile ricevere patch degli aggiornamenti della sicurezza estesa senza costi aggiuntivi. Due di questi scenari supportati da Azure Arc sono (1) Sviluppo/Test (Visual Studio) e (2) Ripristino di emergenza (con diritto trarre vantaggio dalle istanze di ripristino di emergenza solo da Software Assurance o dalla sottoscrizione. Entrambi questi scenari richiedono che il cliente usi già Windows Server 2012/R2 ESU abilitati da Azure Arc per computer fatturabili e di produzione.

Avviso

Non creare una licenza ESU di Windows Server 2012/R2 solo per carichi di lavoro di sviluppo/test o ripristino di emergenza. Non è consigliabile effettuare il provisioning di una licenza ESU solo per carichi di lavoro non fatturabili. Inoltre, verranno fatturati completamente tutti i core di cui è stato effettuato il provisioning con una licenza ESU e tutti i core di sviluppo/test per la licenza non verranno fatturati finché vengono contrassegnati di conseguenza in base alle qualifiche seguenti.

Per qualificarsi per questi scenari, è necessario avere già:

  • Licenza ESU fatturabile. È necessario avere già effettuato il provisioning e aver attivato una licenza WS2012 Arc ESU destinata a essere collegata ai normali server abilitati per Azure Arc in esecuzione in ambienti di produzione (ad esempio, scenari ESU fatturati normalmente). Il provisioning di questa licenza deve essere effettuato solo per core fatturabili, non per core idonei per gli aggiornamenti della sicurezza estesi gratuiti, ad esempio core di sviluppo/test.

  • Server abilitati per Arc. Onboarding dei computer Windows Server 2012 e Windows Server 2012 R2 nei server abilitati per Azure Arc allo scopo di sviluppo/test con sottoscrizioni di Visual Studio o ripristino di emergenza.

Per registrare i server abilitati per Azure Arc idonei per le ESU senza costi aggiuntivi, seguire questa procedura per contrassegnare e collegare:

  1. Contrassegnare sia la licenza di Arc ESU WS2012 (creata per l'ambiente di produzione con core solo per i server dell'ambiente di produzione) sia i server abilitati per Azure Arc non di produzione con una delle coppie nome-valore seguenti, corrispondenti all'eccezione appropriata:

    1. Nome: "Utilizzo ESU"; Valore: "WS2012 VISUAL STUDIO DEV TEST"

    2. Nome: "Utilizzo ESU"; Valore: "RIPRISTINO DI EMERGENZA WS2012"

    Nel caso in cui si usi la licenza ESU per più scenari di eccezione, contrassegnare la licenza con il tag: Nome: "Utilizzo ESU"; Valore: "WS2012 MULTIPURPOSE"

  2. Collegare la licenza con tag (creata per l'ambiente di produzione con core solo per i server dell'ambiente di produzione) ai computer Windows Server 2012 e Windows Server 2012 R2 con tag non di produzione abilitati per Azure Arc. Non concedere licenze ai core per questi server o creare una nuova licenza ESU solo per questi server.

Questo collegamento non attiverà una violazione di conformità o un blocco di imposizione, consentendo di estendere l'applicazione di una licenza oltre i core di cui è stato effettuato il provisioning. L'aspettativa è che la licenza includa solo core per i server di produzione e fatturati. Tutti i core aggiuntivi verranno addebitati e comportano una sovra-fatturazione.

Importante

L'aggiunta di questi tag alla licenza non rende la licenza gratuita o riduce il numero di core di licenza addebitati. Questi tag consentono di collegare i computer Azure alle licenze esistenti già configurate con core pagabili senza dover creare nuove licenze o aggiungere altri core ai computer gratuiti.

Esempio:

  • Sono disponibili 8 istanze di Windows Server 2012 R2 Standard, ognuna con 8 core fisici. Sei di questi computer Windows Server 2012 R2 Standard sono destinati alla produzione e 2 di questi computer Windows Server 2012 R2 Standard sono idonei per le ESU gratuite perché il sistema operativo è stato concesso in licenza tramite una sottoscrizione di Visual Studio Dev Test.
    • È necessario effettuare prima il provisioning e attivare una normale licenza ESU per Windows Server 2012/R2 che è Standard Edition e ha 48 core fisici per coprire i 6 computer di produzione. È consigliabile collegare questa normale licenza ESU di produzione ai 6 server di produzione.
    • Successivamente, è necessario riutilizzare questa licenza esistente, non aggiungere altri core o effettuare il provisioning di una licenza separata e collegare questa licenza ai computer Standard Windows Server 2012 R2 non di produzione. È consigliabile contrassegnare la licenza ESU e le 2 macchine virtuali Windows Server 2012 R2 Standard non di produzione con Nome: "Utilizzo ESU" e Valore: "WS2012 VISUAL STUDIO DEV TEST".
    • In questo modo si otterrà una licenza ESU per 48 core e verranno addebitati i 48 core. Non verranno addebitati i 16 core aggiuntivi dei server di test di sviluppo aggiunti a questa licenza, purché la licenza ESU e le risorse del server di test di sviluppo siano contrassegnate in modo appropriato.

Nota

È necessaria una normale licenza di produzione per iniziare e verranno fatturati solo i core di produzione.

Aggiornamento da Windows Server 2012/2012 R2

Quando si aggiorna un computer Windows Server 2012/2012R a Windows Server 2016 o versione successiva, non è necessario rimuovere l'agente Connected Machine dal computer. Il nuovo sistema operativo sarà visibile per il computer in Azure entro pochi minuti dal completamento dell'aggiornamento. I computer aggiornati non richiedono più ESU e non sono più idonei. Qualsiasi licenza ESU associata al computer non viene scollegata automaticamente dal computer. Per istruzioni su come eseguire questa operazione manualmente, vedere Scollegare una licenza.

Valutare lo stato della patch ESU WS2012

Per rilevare se i server abilitati per Azure Arc sono stati patchati con gli aggiornamenti della sicurezza estesi di Windows Server 2012/R2 più recenti, è possibile usare gli aggiornamenti della sicurezza estesa di Criteri di Azure in computer Windows Server 2012 Arc-Microsoft Azure. Questo criterio di Azure, basato sulla configurazione del computer, identifica se il server ha ricevuto le patch ESU più recenti. Ciò è osservabile dalle visualizzazioni Assegnazione guest e Conformità criteri di Azure integrate nel portale di Azure.