Partilhar via


Forneça atualizações de segurança estendidas para o Windows Server 2012

Este artigo fornece etapas para habilitar a entrega de ESUs (Extended Security Updates) para máquinas Windows Server 2012 integradas a servidores habilitados para Arc. Você pode habilitar ESUs para essas máquinas individualmente ou em escala.

Antes de começar

Planeje e prepare-se para integrar suas máquinas aos servidores habilitados para Azure Arc. Consulte Preparar-se para fornecer atualizações de segurança estendidas para o Windows Server 2012 para saber mais.

Você também precisará da função de Colaborador no RBAC do Azure para criar e atribuir ESUs a servidores habilitados para Arc.

Gerenciar licenças ESU

  1. A partir do seu browser, inicie sessão no portal do Azure.

  2. Na página Azure Arc, selecione Atualizações de Segurança Estendidas no painel esquerdo.

    Captura de ecrã da janela ESU principal a mostrar o separador licenças e o separador recursos elegíveis.

    A partir daqui, você pode visualizar e criar licenças ESU e visualizar recursos elegíveis para ESUs.

Nota

Ao visualizar todos os seus servidores habilitados para Arc na página Servidores , um banner especifica quantas máquinas Windows 2012 são qualificadas para ESUs. Em seguida, você pode selecionar Exibir servidores em Atualizações de Segurança Estendidas para exibir uma lista de recursos qualificados para ESUs, juntamente com máquinas já habilitadas para ESU.

Criar licenças do Azure Arc WS2012

A primeira etapa é provisionar as licenças da Atualização de Segurança Estendida do Windows Server 2012 e 2012 R2 do Azure Arc. Você vincula essas licenças a um ou mais servidores habilitados para Arc selecionados na próxima seção.

Depois de provisionar uma licença ESU, você precisa especificar a SKU (Standard ou Datacenter), o tipo de núcleos (Physical ou vCore) e o número de pacotes de 16 núcleos e 2 núcleos para provisionar uma licença ESU. Você também pode provisionar uma licença da Atualização de Segurança Estendida em um estado desativado para que ela não inicie a cobrança ou seja funcional na criação. Além disso, os núcleos associados à licença podem ser modificados após o provisionamento.

Nota

O provisionamento de licenças ESU requer que você ateste sua cobertura SA ou SPLA.

A guia Licenças exibe as licenças do Azure Arc WS2012 disponíveis. A partir daqui, você pode selecionar uma licença existente para aplicar ou criar uma nova licença.

Captura de ecrã a mostrar licenças existentes.

  1. Para criar uma nova licença WS2012, selecione Criar e forneça as informações necessárias para configurar a licença na página.

    Para obter detalhes sobre como concluir esta etapa, consulte Diretrizes de provisionamento de licença para atualizações de segurança estendidas para Windows Server 2012.

  2. Reveja as informações fornecidas e, em seguida, selecione Criar.

    A licença que você criou aparece na lista e você pode vinculá-la a um ou mais servidores habilitados para Arc seguindo as etapas na próxima seção.

    Captura de ecrã do separador licenças que mostra a licença recém-criada na lista.

Você pode selecionar um ou mais servidores habilitados para Arc para vincular a uma licença da Atualização de Segurança Estendida. Depois de vincular um servidor a uma licença ESU ativada, o servidor estará qualificado para receber ESUs do Windows Server 2012 e 2012 R2.

Nota

Você tem a flexibilidade de configurar sua solução de aplicação de patches preferida para receber essas atualizações, seja o Gerenciador de Atualizações, o Windows Server Update Services, o Microsoft Updates, o Microsoft Endpoint Configuration Manager ou uma solução de gerenciamento de patches de terceiros.

  1. Selecione a guia Recursos qualificados para exibir uma lista de todos os seus servidores habilitados para Arc que executam o Windows Server 2012 e 2012 R2.

    Captura de ecrã do separador Recursos elegíveis que mostra os servidores elegíveis para receber ESUs.

    A coluna de status ESUs indica se a máquina está habilitada para ESUs ou não.

  2. Para habilitar ESUs para uma ou mais máquinas, selecione-as na lista e, em seguida, selecione Habilitar ESUs.

  3. Na página Ativar Atualizações de Segurança Estendidas, ele mostra o número de máquinas selecionadas para habilitar o ESU e as licenças WS2012 disponíveis para aplicação. Selecione uma licença para vincular à(s) máquina(s) selecionada(s) e, em seguida, selecione Ativar.

    Captura de tela da janela para selecionar a licença a ser aplicada a máquinas escolhidas anteriormente.

    Nota

    Você também pode criar uma licença nesta página selecionando Criar uma licença ESU.

O status das máquinas selecionadas muda para Habilitado.

Captura de tela da guia Recursos qualificados mostrando o status de ativado para servidores selecionados anteriormente.

Se ocorrer algum problema durante o processo de habilitação, consulte Solucionar problemas de entrega de atualizações de segurança estendidas para o Windows Server 2012 para obter assistência.

Política do Azure em escala

Para vincular servidores em escala a uma licença da Atualização de Segurança Estendida do Azure Arc e bloquear a modificação ou criação da licença, considere o uso das seguintes políticas internas do Azure:

As políticas do Azure podem ser especificadas para uma assinatura ou grupo de recursos direcionados para cenários de auditoria e gerenciamento.

Cenários adicionais

Existem alguns cenários em que pode ser elegível para receber patches de Atualizações de Segurança Alargadas sem custos adicionais. Dois desses cenários suportados pelo Azure Arc são (1) Desenvolvimento/Teste (Visual Studio) e (2) Recuperação de Desastres (Instâncias de DR de benefício com direito do Software Assurance ou somente assinatura. Ambos os cenários exigem que o cliente já esteja usando ESUs do Windows Server 2012/R2 habilitadas pelo Azure Arc para máquinas de produção faturáveis.

Aviso

Não crie uma licença ESU do Windows Server 2012/R2 apenas para cargas de trabalho de desenvolvimento/teste ou recuperação de desastres. Você não deve provisionar uma licença ESU apenas para cargas de trabalho não faturáveis. Além disso, você será cobrado totalmente por todos os núcleos provisionados com uma licença ESU, e quaisquer núcleos de desenvolvimento/teste na licença não serão cobrados, desde que sejam marcados de acordo com as seguintes qualificações.

Para se qualificar para esses cenários, você já deve ter:

  • Licença ESU faturável. Você já deve ter provisionado e ativado uma Licença WS2012 Arc ESU destinada a ser vinculada a servidores regulares habilitados para Azure Arc em execução em ambientes de produção (ou seja, cenários ESU normalmente faturados). Esta licença deve ser provisionada apenas para núcleos faturáveis, não núcleos qualificados para Atualizações de Segurança Estendidas gratuitas, por exemplo, núcleos de desenvolvimento/teste.

  • Servidores habilitados para Arc. Integrou suas máquinas Windows Server 2012 e Windows Server 2012 R2 a servidores habilitados para Azure Arc para fins de Desenvolvimento/Teste com assinaturas do Visual Studio ou Recuperação de Desastres.

Para inscrever servidores habilitados para Azure Arc qualificados para ESUs sem custo adicional, siga estas etapas para marcar e vincular:

  1. Marque a Licença WS2012 Arc ESU (criada para o ambiente de produção com núcleos apenas para os servidores do ambiente de produção) e os servidores habilitados para ArcGIS do Azure que não são de produção com um dos seguintes pares nome-valor, correspondendo à exceção apropriada:

    1. Nome: "Uso ESU"; Valor: "WS2012 VISUAL STUDIO DEV TEST"

    2. Nome: "Uso ESU"; Valor: "WS2012 DISASTER RECOVERY"

    No caso de você estar usando a Licença ESU para vários cenários de exceção, marque a licença com a tag: Name: "ESU Usage"; Valor: "WS2012 MULTIUSO"

  2. Vincule a licença marcada (criada para o ambiente de produção com núcleos apenas para os servidores do ambiente de produção) às máquinas Windows Server 2012 e Windows Server 2012 R2 não habilitadas para Azure Arc marcadas. Não licencie núcleos para esses servidores ou crie uma nova licença ESU apenas para esses servidores.

Essa vinculação não acionará uma violação de conformidade ou bloqueio de aplicação, permitindo que você estenda a aplicação de uma licença além de seus núcleos provisionados. A expectativa é que a licença inclua apenas núcleos para servidores de produção e faturados. Quaisquer núcleos adicionais serão cobrados e resultarão em superfaturamento.

Importante

Adicionar essas tags à sua licença NÃO tornará a licença livre ou reduzirá o número de núcleos de licença que são cobrados. Essas tags permitem que você vincule suas máquinas do Azure a licenças existentes que já estão configuradas com núcleos pagáveis sem a necessidade de criar novas licenças ou adicionar núcleos adicionais às suas máquinas gratuitas.

Exemplo:

  • Você tem 8 instâncias do Windows Server 2012 R2 Standard, cada uma com 8 núcleos físicos. Seis dessas máquinas Windows Server 2012 R2 Standard são para produção, e 2 dessas máquinas Windows Server 2012 R2 Standard são qualificadas para ESUs gratuitas porque o sistema operacional foi licenciado por meio de uma assinatura do Visual Studio Dev Test.
    • Primeiro, você deve provisionar e ativar uma licença ESU regular para Windows Server 2012/R2 que seja a edição Standard e tenha 48 núcleos físicos para cobrir as 6 máquinas de produção. Você deve vincular esta licença ESU de produção regular aos seus 6 servidores de produção.
    • Em seguida, você deve reutilizar essa licença existente, não adicionar mais núcleos ou provisionar uma licença separada e vincular essa licença às suas 2 máquinas padrão do Windows Server 2012 R2 que não são de produção. Você deve marcar a licença ESU e as 2 máquinas Windows Server 2012 R2 Standard que não são de produção com Nome: "Uso da ESU" e Valor: "WS2012 VISUAL STUDIO DEV TEST".
    • Isso resultará em uma licença ESU para 48 núcleos, e você será cobrado por esses 48 núcleos. Você não será cobrado pelos 16 núcleos adicionais dos servidores de teste de desenvolvimento que você adicionou a esta licença, desde que a licença ESU e os recursos do servidor de teste de desenvolvimento sejam marcados adequadamente.

Nota

Você precisava de uma licença de produção regular para começar, e você será cobrado apenas pelos núcleos de produção.

Atualizando do Windows Server 2012/2012 R2

Ao atualizar uma máquina Windows Server 2012/2012R para o Windows Server 2016 ou superior, não é necessário remover o agente Máquina Conectada da máquina. O novo sistema operacional ficará visível para a máquina no Azure dentro de alguns minutos após a conclusão da atualização. As máquinas atualizadas não precisam mais de ESUs e não são mais elegíveis para elas. Qualquer licença ESU associada à máquina não é automaticamente desvinculada da máquina. Consulte Desvincular uma licença para obter instruções sobre como fazê-lo manualmente.

Avaliar o status do patch ESU WS2012

Para detetar se seus servidores habilitados para Arco do Azure estão corrigidos com as Atualizações de Segurança Estendidas do Windows Server 2012/R2 mais recentes, você pode usar as Atualizações de Segurança Estendidas da Política do Azure devem ser instaladas em máquinas Windows Server 2012 Arc - Microsoft Azure. Esta Política do Azure, alimentada pela Configuração da Máquina, identifica se o servidor recebeu os patches ESU mais recentes. Isso é observável a partir das exibições Atribuição de convidado e Conformidade de política do Azure incorporadas no portal do Azure.