Condividi tramite

Risolvere i problemi di distribuzione degli Aggiornamenti della sicurezza estesa per Windows Server 2012

  • Articolo

Questo articolo fornisce informazioni sulla risoluzione dei problemi che possono verificarsi durante l'abilitazione degli Aggiornamenti della sicurezza estesi per Windows Server 2012 e Windows Server 2012 R2 tramite server abilitati per Arc.

Problemi di deprovisioning delle licenze

Se non è possibile effettuare il provisioning di una licenza di Aggiornamenti della sicurezza estesi di Windows Server 2012 per i server abilitati per Azure Arc, verificare quanto segue:

  • Autorizzazioni: verificare di disporre di autorizzazioni sufficienti (ruolo collaboratore o superiore) nell'ambito del provisioning e del collegamento dell'ESU.

  • core minimi: verificare di avere specificato core sufficienti per la licenza ESU. Le licenze fisiche basate su core richiedono almeno 16 core per ogni macchina e le licenze basate su core virtuali richiedono almeno 8 core per ogni macchina virtuale.

  • Convenzioni: verificare di aver selezionato una sottoscrizione e un gruppo di risorse appropriati e di specificare un nome univoco per la licenza ESU.

Problemi di iscrizione a ESU

Se non è possibile collegare correttamente il server abilitato per Azure Arc a una licenza degli Aggiornamenti della sicurezza estesa attivata, verificare che siano soddisfatte le condizioni seguenti:

  • Connettività: il server abilitato per Azure Arc è Connesso. Per informazioni sulla visualizzazione dello stato dei computer abilitati per Azure Arc, vedere Stato dell'agente.

  • Versione agente: la versione dell'agente Connected Machine è 1.34 o successiva. Se la versione dell'agente è inferiore a 1.34, è necessario aggiornarla a questa versione o a una successiva.

  • Sistema operativo: solo i server abilitati per Azure Arc che eseguono il sistema operativo Windows Server 2012 e 2012 R2 sono idonei per la registrazione agli Aggiornamenti della sicurezza estesi.

  • Ambiente: la macchina connessa non deve essere in esecuzione in Azure Locale, nella soluzione Azure VMware (AVS) o come macchina virtuale di Azure. In questi scenari, gli ESU WS2012 sono disponibili gratuitamente. Per informazioni sulle unità ESU senza costi tramite Azure locale, vedere Aggiornamenti della sicurezza estesi gratuiti tramite Locale di Azure.

  • proprietà della licenza: verificare che la licenza sia attivata e le sia stato allocato un numero sufficiente di core fisici o virtuali per supportare l'ambito previsto dei server.

Provider di risorse

Se non è possibile abilitare questa offerta di servizio, esaminare i provider di risorse registrati nella sottoscrizione come indicato di seguito. Se viene visualizzato un errore durante il tentativo di registrare i provider di risorse, convalidare l'assegnazione o i ruoli nella sottoscrizione. Esaminare anche i potenziali criteri di Azure che possono essere impostati con un effetto Deny, impedendo l'abilitazione di questi provider di risorse.

  • Microsoft.HybridCompute: questo provider di risorse è essenziale per i server abilitati per Azure Arc, consentendo di eseguire l'onboarding e gestire i server locali nel portale di Azure.

  • Microsoft.GuestConfiguration: abilita i criteri di configurazione guest, usati per valutare e applicare le configurazioni nei server abilitati per Arc in merito a conformità e sicurezza.

  • Microsoft.Compute: questo provider di risorse è necessario per Gestione aggiornamenti di Azure, usato per gestire gli aggiornamenti e le patch nei server locali, inclusi gli aggiornamenti ESU.

  • Microsoft.Security: l'abilitazione di questo provider di risorse è fondamentale per implementare funzionalità e configurazioni correlate alla sicurezza sia per i server Azure Arc che per i server locali.

  • Microsoft.OperationalInsights: questo provider di risorse è associato a Monitoraggio di Azure e Log Analytics, che vengono usati per il monitoraggio e la raccolta dei dati di telemetria dall'infrastruttura ibrida, inclusi i server locali.

  • Microsoft.Sql: se si gestiscono istanze di SQL Server locali e si richiede l'ESU per SQL Server, è necessario abilitare questo provider di risorse.

  • Microsoft.Storage: l'abilitazione di questo provider di risorse è importante per la gestione delle risorse di archiviazione, che possono essere rilevanti per gli scenari ibridi e locali.

Problemi di patch ESU

Stato patch ESU

Per verificare se sono state eseguite patch sui server abilitati per Azure Arc con gli Aggiornamenti della sicurezza estesi di Windows Server 2012/R2 più recenti, usare Gestione aggiornamenti di Azure o i Criteri di Azure Aggiornamenti della sicurezza estesa devono essere installati nei computer Windows Server 2012 Arc-Microsoft Azure, per controllare se sono state ricevute le patch ESU WS2012 più recenti. Entrambe le opzioni sono disponibili senza costi aggiuntivi per i server abilitati per Azure Arc registrati in WS2012 ESU abilitati da Azure Arc.

Prerequisiti di ESU

Assicurarsi che il pacchetto di licenza e l'aggiornamento dello stack di manutenzione (SSU) siano scaricati per il server abilitato per Azure Arc, come documentato in KB5031043: Procedura per continuare a ricevere gli aggiornamenti della sicurezza dopo che il supporto esteso è terminato il 10 ottobre 2023. Assicurarsi di seguire tutti i prerequisiti di rete registrati in Prepararsi a distribuire gli Aggiornamenti della sicurezza estesi per Windows Server 2012.

Errore: Tentativo di controllare nuovamente IMDS (HRESULT 12002 o 12029)

Se l'installazione dell'aggiornamento della sicurezza estesa abilitata da Azure Arc ha esito negativo con errori come "ESU: Tentativo di controllare nuovamente IMDS LastError=HRESULT_FROM_WIN32(12029)" o "ESU: Tentativo di controllare nuovamente IMDS LastError=HRESULT_FROM_WIN32(12002)", potrebbe essere necessario aggiornare le autorità di certificazione intermedie attendibili dal computer usando uno dei metodi seguenti.

Importante

Se si esegue la versione più recente dell'agente del computer connesso di Azure, non è necessario installare i certificati CA intermedi o consentire l'accesso all'URL PKI. Tuttavia, se una licenza è già stata assegnata prima dell'aggiornamento dell'agente, la sostituzione della licenza precedente può richiedere fino a 15 giorni. Durante questo periodo, sarà comunque necessario il certificato intermedio. Dopo l'aggiornamento dell'agente, è possibile eliminare il file di licenza %ProgramData%\AzureConnectedMachineAgent\certs\license.json per forzare l'aggiornamento.

Opzione 1: Consentire l'accesso all'URL PKI

Configurare il firewall di rete e/o il server proxy per consentire l'accesso dai computer Windows Server 2012 (R2) a http://www.microsoft.com/pkiops/certs e https://www.microsoft.com/pkiops/certs (TCP 80 e 443). In questo modo i computer potranno recuperare automaticamente eventuali certificati di CA intermedi mancanti da Microsoft.

Dopo aver apportato le modifiche di rete per consentire l'accesso all'URL PKI, provare a installare di nuovo gli aggiornamenti di Windows. Potrebbe essere necessario riavviare il computer per l'installazione automatica dei certificati e la convalida della licenza.

Opzione 2: scaricare e installare manualmente i certificati di CA intermedi

Se non è possibile consentire l'accesso all'URL PKI dai server, è possibile scaricare e installare manualmente i certificati in ogni computer.

  1. In qualsiasi computer con accesso a Internet scaricare questi certificati di CA intermedi:

    1. Microsoft Azure RSA TLS Issuing CA 03
    2. Microsoft Azure RSA TLS Issuing CA 04
    3. Microsoft Azure RSA TLS Issuing CA 07
    4. Microsoft Azure RSA TLS Issuing CA 08

  2. Copiare i file di certificato nei computer Windows Server 2012 (R2).

  3. Eseguire uno dei set dei comandi seguenti in un prompt dei comandi con privilegi elevati o in una sessione di PowerShell per aggiungere i certificati all'archivio "Autorità di certificazione intermedie" per il computer locale. Il comando deve essere eseguito dalla stessa directory dei file di certificato. I comandi sono idempotenti e non apportano modifiche se il certificato è già stato importato:

    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"

  4. Provare a installare di nuovo gli aggiornamenti di Windows. Potrebbe essere necessario riavviare il computer affinché la logica di convalida riconosca i nuovi certificati di CA intermedi importati.

Errore: Non idoneo (HRESULT 1633)

Se viene visualizzato l'errore "ESU: non idoneo HRESULT_FROM_WIN32(1633)", seguire questa procedura:

Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds

Se si verificano altri problemi durante la ricezione di ESU dopo aver registrato correttamente il server tramite server abilitati per Arc oppure sono necessarie informazioni aggiuntive relative ai problemi che interessano la distribuzione ESU, vedere Risolvere i problemi nell'ESU.