Udostępnij za pośrednictwem

Rozwiązywanie problemów z dostarczaniem rozszerzonych aktualizacji zabezpieczeń dla systemu Windows Server 2012

  • Artykuł

Ten artykuł zawiera informacje na temat rozwiązywania i rozwiązywania problemów, które mogą wystąpić podczas włączania rozszerzonych aktualizacji zabezpieczeń dla systemów Windows Server 2012 i Windows Server 2012 R2 za pośrednictwem serwerów z obsługą usługi Arc.

Problemy z aprowizowaniem licencji

Jeśli nie możesz aprowizować licencji rozszerzonej aktualizacji zabezpieczeń systemu Windows Server 2012 dla serwerów z obsługą usługi Azure Arc, sprawdź następujące kwestie:

  • Uprawnienia: Sprawdź, czy masz wystarczające uprawnienia (rola współautora lub nowsza) w zakresie aprowizacji i łączenia ESU.

  • Minimum rdzeni: sprawdź, czy określono wystarczające rdzenie dla licencji ESU. Fizyczne licencje oparte na rdzeniach wymagają co najmniej 16 rdzeni na maszynę, a licencje oparte na rdzeniach wirtualnych wymagają co najmniej 8 rdzeni na maszynę wirtualną.

  • Konwencje: sprawdź, czy wybrano odpowiednią subskrypcję i grupę zasobów oraz podano unikatową nazwę licencji ESU.

Problemy z rejestracją ESU

Jeśli nie możesz pomyślnie połączyć serwera z obsługą usługi Azure Arc z aktywowaną licencją rozszerzonych aktualizacji zabezpieczeń, sprawdź, czy spełnione są następujące warunki:

  • Łączność: serwer z obsługą usługi Azure Arc jest połączony. Aby uzyskać informacje na temat wyświetlania stanu maszyn z obsługą usługi Azure Arc, zobacz Stan agenta.

  • Wersja agenta: Agent połączonej maszyny jest w wersji 1.34 lub nowszej. Jeśli wersja agenta jest mniejsza niż 1.34, należy zaktualizować ją do tej wersji lub nowszej.

  • System operacyjny: Tylko serwery z obsługą usługi Azure Arc z systemem operacyjnym Windows Server 2012 i 2012 R2 kwalifikują się do zarejestrowania w rozszerzonych aktualizacjach zabezpieczeń.

  • Środowisko: połączona maszyna nie powinna być uruchomiona w usłudze Azure Stack HCI, rozwiązaniu Azure VMware (AVS) ani jako maszynie wirtualnej platformy Azure. W tych scenariuszach ESU WS2012 są dostępne bezpłatnie. Aby uzyskać informacje o jednostkach ESU bez kosztów za pośrednictwem rozwiązania Azure Stack HCI, zobacz Bezpłatne rozszerzone aktualizacje zabezpieczeń za pośrednictwem rozwiązania Azure Stack HCI.

  • Właściwości licencji: Sprawdź, czy licencja została aktywowana i została przydzielona wystarczająca liczba rdzeni fizycznych lub wirtualnych do obsługi zamierzonego zakresu serwerów.

Dostawcy zasobów

Jeśli nie możesz włączyć tej oferty usług, zapoznaj się z dostawcami zasobów zarejestrowanymi w subskrypcji, jak wspomniano poniżej. Jeśli podczas próby zarejestrowania dostawców zasobów wystąpi błąd, zweryfikuj przypisanie roli/s w subskrypcji. Zapoznaj się również z potencjalnymi zasadami platformy Azure, które mogą być ustawione z efektem Odmowy, uniemożliwiając włączenie tych dostawców zasobów.

  • Microsoft.HybridCompute: ten dostawca zasobów jest niezbędny dla serwerów z obsługą usługi Azure Arc, co umożliwia dołączanie serwerów lokalnych i zarządzanie nimi w witrynie Azure Portal.

  • Microsoft.GuestConfiguration: włącza zasady konfiguracji gościa, które są używane do oceny i wymuszania konfiguracji na serwerach z obsługą usługi Arc pod kątem zgodności i zabezpieczeń.

  • Microsoft.Compute: ten dostawca zasobów jest wymagany w przypadku usługi Azure Update Management, która służy do zarządzania aktualizacjami i poprawkami na serwerach lokalnych, w tym aktualizacjami ESU.

  • Microsoft.Security: Włączenie tego dostawcy zasobów ma kluczowe znaczenie dla implementowania funkcji i konfiguracji związanych z zabezpieczeniami zarówno dla serwerów lokalnych, jak i usługi Azure Arc.

  • Microsoft.OperationalInsights: ten dostawca zasobów jest skojarzony z usługami Azure Monitor i Log Analytics, które są używane do monitorowania i zbierania danych telemetrycznych z infrastruktury hybrydowej, w tym serwerów lokalnych.

  • Microsoft.Sql: Jeśli zarządzasz lokalnymi wystąpieniami programu SQL Server i wymagasz ESU dla programu SQL Server, włączenie tego dostawcy zasobów jest konieczne.

  • Microsoft.Storage: Włączenie tego dostawcy zasobów jest ważne w przypadku zarządzania zasobami magazynu, które mogą być istotne w scenariuszach hybrydowych i lokalnych.

Problemy z poprawkami ESU

Stan poprawki ESU

Aby wykryć, czy serwery z obsługą usługi Azure Arc są poprawiane przy użyciu najnowszych aktualizacji zabezpieczeń rozszerzonych systemu Windows Server 2012/R2, należy użyć programu Azure Update Manager lub rozszerzone aktualizacje zabezpieczeń usługi Azure Policy powinny być zainstalowane na maszynach z systemem Windows Server 2012 Arc na platformie Microsoft Azure, co sprawdza, czy zostały odebrane najnowsze poprawki ESU WS2012. Obie te opcje są dostępne bez dodatkowych kosztów dla serwerów z obsługą usługi Azure Arc zarejestrowanych w jednostkach ESU WS2012 z włączoną usługą Azure Arc.

Wymagania wstępne ESU

Upewnij się, że zarówno pakiet licencjonowania, jak i aktualizacja stosu obsługi (SSU) są pobierane dla serwera z obsługą usługi Azure Arc zgodnie z opisem w KB5031043: Procedura kontynuowania otrzymywania aktualizacji zabezpieczeń po zakończeniu rozszerzonej pomocy technicznej 10 października 2023 r. Upewnij się, że zostały spełnione wszystkie wymagania wstępne dotyczące sieci opisane w artykule Przygotowanie do dostarczania rozszerzonych aktualizacji zabezpieczeń dla systemu Windows Server 2012.

Błąd: Próba ponownego sprawdzenia imDS (HRESULT 12002 lub 12029)

Jeśli zainstalowanie rozszerzonej aktualizacji zabezpieczeń włączonej przez usługę Azure Arc kończy się niepowodzeniem z błędami takimi jak "ESU: Próba sprawdzenia ponownie usługi IMDS LastError=HRESULT_FROM_WIN32(12029)" lub "ESU: Próba sprawdzenia ponownie usługi IMDS LastError=HRESULT_FROM_WIN32(12002)", może być konieczne zaktualizowanie pośrednich urzędów certyfikacji zaufanych przez komputer przy użyciu jednej z następujących metod.

Ważne

Jeśli używasz najnowszej wersji agenta połączonej maszyny platformy Azure, nie trzeba instalować certyfikatów pośredniego urzędu certyfikacji ani zezwalać na dostęp do adresu URL infrastruktury kluczy publicznych. Jeśli jednak licencja została już przypisana przed uaktualnieniem agenta, zastąpienie starszej licencji może potrwać do 15 dni. W tym czasie certyfikat pośredni nadal będzie wymagany. Po uaktualnieniu agenta możesz usunąć plik %ProgramData%\AzureConnectedMachineAgent\certs\license.json licencji, aby wymusić jego odświeżenie.

Opcja 1. Zezwalaj na dostęp do adresu URL infrastruktury kluczy publicznych

Skonfiguruj zaporę sieciową i/lub serwer proxy, aby zezwolić na dostęp z maszyn z systemem Windows Server 2012 (R2) do http://www.microsoft.com/pkiops/certs i https://www.microsoft.com/pkiops/certs (zarówno TCP 80, jak i 443). Umożliwi to maszynom automatyczne pobieranie wszystkich brakujących certyfikatów pośredniego urzędu certyfikacji od firmy Microsoft.

Po wprowadzeniu zmian w sieci w celu zezwolenia na dostęp do adresu URL infrastruktury kluczy publicznych spróbuj ponownie zainstalować aktualizacje systemu Windows. Może być konieczne ponowne uruchomienie komputera w celu przeprowadzenia automatycznej instalacji certyfikatów i weryfikacji licencji.

Opcja 2. Ręczne pobieranie i instalowanie certyfikatów pośredniego urzędu certyfikacji

Jeśli nie możesz zezwolić na dostęp do adresu URL infrastruktury kluczy publicznych z serwerów, możesz ręcznie pobrać i zainstalować certyfikaty na każdej maszynie.

  1. Na dowolnym komputerze z dostępem do Internetu pobierz następujące certyfikaty pośredniego urzędu certyfikacji:

    1. Microsoft Azure RSA TLS wystawiający urząd certyfikacji 03
    2. Microsoft Azure RSA TLS wystawiający ca 04
    3. Microsoft Azure RSA TLS wystawiający ca 07
    4. Microsoft Azure RSA TLS wystawiający ca 08

  2. Skopiuj pliki certyfikatów na maszyny z systemem Windows Server 2012 (R2).

  3. Uruchom dowolny zestaw następujących poleceń w wierszu polecenia z podwyższonym poziomem uprawnień lub sesji programu PowerShell, aby dodać certyfikaty do magazynu "Pośrednie urzędy certyfikacji" dla komputera lokalnego. Polecenie powinno być uruchamiane z tego samego katalogu co pliki certyfikatów. Polecenia są idempotentne i nie będą wprowadzać żadnych zmian, jeśli certyfikat został już zaimportowany:

    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"

  4. Spróbuj ponownie zainstalować aktualizacje systemu Windows. Aby rozpoznać nowo zaimportowane certyfikaty pośredniego urzędu certyfikacji, może być konieczne ponowne uruchomienie komputera na potrzeby logiki weryfikacji.

Błąd: Nie kwalifikuje się (HRESULT 1633)

Jeśli wystąpi błąd "ESU: nie kwalifikuje się HRESULT_FROM_WIN32(1633)", wykonaj następujące kroki:

Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds

Jeśli występują inne problemy z odbieraniem jednostek ESU po pomyślnym zarejestrowaniu serwera za pośrednictwem serwerów z obsługą usługi Arc lub potrzebujesz dodatkowych informacji związanych z problemami wpływającymi na wdrożenie ESU, zobacz Rozwiązywanie problemów w ESU.