Compartilhar via

Solucionar problemas de entrega de Atualizações de Segurança Estendidas para o Windows Server 2012

  • Artigo

Este artigo fornece informações sobre a solução de problemas e a resolução de problemas que podem ocorrer durante a habilitação das Atualizações de Segurança Estendidas para o Windows Server 2012 e o Windows Server 2012 R2 por meio de servidores habilitados para Arc.

Problemas de provisionamento de licenças

Se você não conseguir provisionar uma licença de Atualizações de Segurança Estendidas do Windows Server 2012 para servidores habilitados para Azure Arc, verifique o seguinte:

  • Permissões: verifique se você tem permissões suficientes (função de colaborador ou superior) dentro do escopo de provisionamento e vinculação de ESU.

  • Mínimos de núcleos: verifique se você especificou núcleos suficientes para a Licença de ESU. As licenças baseadas em núcleos físicos exigem um mínimo de 16 núcleos por computador e as licenças baseadas em núcleos virtuais exigem um mínimo de 8 núcleos por VM (máquina virtual).

  • Convenções: verifique se você selecionou uma assinatura e um grupo de recursos adequados e forneceu um nome exclusivo para a Licença de ESU.

Problemas de registro de ESU

Se você não conseguir vincular com êxito seu servidor habilitado para Azure Arc a uma licença ativada de Atualizações de Segurança Estendida, verifique se as seguintes condições foram atendidas:

  • Conectividade: o servidor habilitado para Azure Arc está Conectado. Para obter informações sobre como visualizar o status dos computadores habilitadas para Azure Arc, confira Status do Agente.

  • Versão do agente: o agente do Computador Conectado é versão 1.34 ou superior. Se a versão do agente for inferior a 1.34, você precisará atualizá-la para essa versão ou superior.

  • Sistema operacional: somente os servidores habilitados para Azure Arc que executam o sistema operacional Windows Server 2012 e 2012 R2 estão qualificados para se inscrever nas Atualizações de Segurança Estendidas.

  • Ambiente: O computador conectado não deve estar em execução no Azure Local, na Solução VMware do Azure (AVS) ou como uma máquina virtual do Azure. Nesses cenários, as ESUs do WS2012 estão disponíveis gratuitamente. Para obter informações sobre ESUs sem custo por meio do Azure Local, confira Atualizações de Segurança Estendidas gratuitas por meio do Azure Local.

  • Propriedades da licença: verifique se a licença está ativada e se foram alocados núcleos físicos ou virtuais suficientes para dar suporte ao escopo pretendido de servidores.

Provedores de recursos

Caso não consiga habilitar essa oferta de serviço, examine os provedores de recursos registrados na assinatura, conforme observado abaixo. Caso receba um erro ao tentar registrar os provedores de recursos, valide as atribuições de funções na assinatura. Examine também quaisquer políticas potenciais do Azure que possam ser definidas com um efeito Deny, impedindo a habilitação desses provedores de recursos.

  • Microsoft.HybridCompute: este provedor de recursos é essencial para servidores habilitados para o Azure Arc, permitindo integrar e gerenciar servidores locais no portal do Azure.

  • Microsoft.GuestConfiguration: habilita as políticas de Configuração de Convidado, que são usadas para avaliar e impor configurações em seus servidores habilitados para Arc para conformidade e segurança.

  • Microsoft.Compute: este provedor de recursos é necessário para o Gerenciamento de Atualizações do Azure, que é usado para gerenciar atualizações e patches em seus servidores locais, inclusive as atualizações de ESU.

  • Microsoft.Security: habilitar este provedor de recursos é crucial para implementar recursos e configurações relacionados à segurança para o Azure Arc e servidores locais.

  • Microsoft.OperationalInsights: este provedor de recursos está associado ao Azure Monitor e ao Log Analytics, que são usados para monitorar e coletar dados de telemetria de sua infraestrutura híbrida, inclusive servidores locais.

  • Microsoft.Sql: caso esteja gerenciando instâncias locais do SQL Server e exigir a ESU para SQL Server, a habilitação desse provedor de recursos será necessária.

  • Microsoft.Storage: habilitar este provedor de recursos é importante para gerenciar recursos de armazenamento, que podem ser relevantes para cenários híbridos e locais.

Problemas de patch de ESU

Status do patch de ESU

Para detectar se os servidores habilitados para Azure Arc são recebem um patch com as atualizações de segurança estendidas mais recentes do Windows Server 2012/R2, use o Gerenciador de Atualizações do Azure ou o Azure Policy As atualizações de segurança estendidas devem ser instaladas no Microsoft Azure de computadores com Windows Server 2012 Arc, que verifica se os patches de ESU do WS2012 mais recentes foram recebidos. As duas opções estão disponíveis sem custo adicional para servidores habilitados para Azure Arc registrados em ESUs do WS2012 habilitados pelo Azure Arc.

Pré-requisitos da ESU

Certifique-se de que o pacote de licenciamento e a atualização de pilha de manutenção (SSU) sejam baixados para o servidor habilitado para Azure Arc, conforme documentado em KB5031043: Procedimento para continuar recebendo atualizações de segurança após o término do suporte estendido em 10 de outubro de 2023. Verifique se você está seguindo todos os pré-requisitos de rede registrados em Prepare-se para fornecer Atualizações de Segurança Estendidas para o Windows Server 2012.

Erro: tentando verificar o IMDS novamente (HRESULT 12002 ou 12029)

Se a instalação da Atualização de Segurança Estendida habilitada pelo Azure Arc falhar com erros como "ESU: tentando verificar o IMDS novamente LastError=HRESULT_FROM_WIN32(12029)" ou "ESU: tentando verificar o IMDS novamente LastError=HRESULT_FROM_WIN32(12002)", talvez seja necessário atualizar as autoridades de certificação intermediárias confiáveis pelo computador, usando um dos métodos a seguir.

Importante

Se você estiver executando a versão mais recente do agente de computador conectado do Azure, não será necessário instalar os certificados de AC intermediários ou permitir o acesso à URL da PKI. No entanto, se uma licença já tiver sido atribuída antes da atualização do agente, poderá levar até 15 dias para que a licença mais antiga seja substituída. Durante esse tempo, o certificado intermediário ainda será necessário. Depois de atualizar o agente, você pode excluir o arquivo %ProgramData%\AzureConnectedMachineAgent\certs\license.json de licença para forçá-lo a ser atualizado.

Opção 1: permitir o acesso ao URL da PKI

Configure o firewall de rede e/ou o servidor proxy para permitir o acesso dos computadores do Windows Server 2012 (R2) para http://www.microsoft.com/pkiops/certs e https://www.microsoft.com/pkiops/certs (ambos TCP 80 e 443). Isso permitirá que os computadores recuperem automaticamente todos os certificados de AC intermediários ausentes da Microsoft.

Depois que as alterações de rede forem feitas para permitir o acesso ao URL da PKI, tente instalar as atualizações do Windows novamente. Talvez seja necessário reinicializar o computador para que a instalação automática de certificados e a validação da licença entrem em vigor.

Opção 2: fazer download e instalar manualmente os certificados de AC intermediários

Se não for possível permitir o acesso ao URL da PKI de seus servidores, você poderá fazer download e instalar manualmente os certificados em cada computador.

  1. Em qualquer computador com acesso à internet, faça download estes certificados de AC intermediários:

    1. CA Emissora do TLS da RSA do Microsoft Azure 03
    2. CA Emissora do TLS da RSA do Microsoft Azure 04
    3. CA Emissora do TLS da RSA do Microsoft Azure 07
    4. CA Emissora do TLS da RSA do Microsoft Azure 08

  2. Copie os arquivos de certificado para seus computadores do Windows Server 2012 (R2).

  3. Execute qualquer um dos seguintes comandos em um prompt de comando com privilégios elevados ou sessão do PowerShell para adicionar os certificados ao repositório "Autoridades de Certificação Intermediárias" para o computador local. O comando deve ser executado no mesmo diretório que os arquivos de certificado. Os comandos são idempotentes e não farão alterações se você já tiver importado o certificado:

    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"

  4. Tente instalar as atualizações do Windows novamente. Talvez seja necessário reinicializar o computador para que a lógica de validação reconheça os certificados de AC intermediários recém-importados.

Erro: Não qualificado (HRESULT 1633)

Se você encontrar o erro "ESU: não qualificado HRESULT_FROM_WIN32(1633)", siga estas etapas:

Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds

Se tiver outros problemas ao receber ESUs depois de registrar o servidor com êxito por meio de servidores habilitados para Arc ou se precisar de informações adicionais relacionadas a problemas que afetam a implantação de ESUs, confira Solução de problemas na ESU.