Partilhar via

Solucionar problemas de entrega de atualizações de segurança estendidas para o Windows Server 2012

  • Artigo

Este artigo fornece informações sobre como solucionar e resolver problemas que podem ocorrer ao habilitar as Atualizações de Segurança Estendidas para Windows Server 2012 e Windows Server 2012 R2 por meio de servidores habilitados para Arc.

Problemas de provisionamento de licença

Se você não conseguir provisionar uma licença da Atualização de Segurança Estendida do Windows Server 2012 para servidores habilitados para Azure Arc, verifique o seguinte:

  • Permissões: verifique se você tem permissões suficientes (função de Colaborador ou superior) dentro do escopo de provisionamento e vinculação de ESU.

  • Mínimos principais: verifique se você especificou núcleos suficientes para a Licença ESU. As licenças baseadas em núcleo físico exigem um mínimo de 16 núcleos por máquina e as licenças baseadas em núcleo virtual exigem um mínimo de 8 núcleos por máquina virtual (VM).

  • Convenções: verifique se você selecionou uma assinatura apropriada e um grupo de recursos e forneceu um nome exclusivo para a licença ESU.

Problemas de inscrição na ESU

Se você não conseguir vincular com êxito seu servidor habilitado para Azure Arc a uma licença de Atualizações de Segurança Estendidas ativada, verifique se as seguintes condições são atendidas:

  • Conectividade: o servidor habilitado para Arco do Azure está Conectado. Para obter informações sobre como exibir o status de máquinas habilitadas para Azure Arc, consulte Status do agente.

  • Versão do agente: O agente da máquina conectada é a versão 1.34 ou superior. Se a versão do agente for inferior a 1.34, será necessário atualizá-la para esta versão ou superior.

  • Sistema operacional: somente os servidores habilitados para Azure Arc que executam o sistema operacional Windows Server 2012 e 2012 R2 são qualificados para se inscrever nas Atualizações de Segurança Estendidas.

  • Ambiente: A máquina conectada não deve ser executada no Azure Local, na solução VMware do Azure (AVS) ou como uma máquina virtual do Azure. Nesses cenários, as ESUs WS2012 estão disponíveis gratuitamente. Para obter informações sobre ESUs gratuitas por meio do Azure Local, consulte Atualizações de segurança estendidas gratuitas por meio do Azure Local.

  • Propriedades da licença: verifique se a licença está ativada e se foram alocados núcleos físicos ou virtuais suficientes para suportar o escopo pretendido dos servidores.

Fornecedores de recursos

Se não conseguir ativar esta oferta de serviço, reveja os fornecedores de recursos registados na subscrição, conforme indicado abaixo. Se você receber um erro ao tentar registrar os provedores de recursos, valide a(s) atribuição(ões) de função na assinatura. Analise também quaisquer políticas potenciais do Azure que possam ser definidas com um efeito Negar, impedindo a ativação desses provedores de recursos.

  • Microsoft.HybridCompute: este provedor de recursos é essencial para servidores habilitados para Azure Arc, permitindo que você integre e gerencie servidores locais no portal do Azure.

  • Microsoft.GuestConfiguration: Habilita as políticas de Configuração de Convidado, que são usadas para avaliar e impor configurações em seus servidores habilitados para Arc para fins de conformidade e segurança.

  • Microsoft.Compute: este provedor de recursos é necessário para o Azure Update Management, que é usado para gerenciar atualizações e patches em seus servidores locais, incluindo atualizações ESU.

  • Microsoft.Security: habilitar esse provedor de recursos é crucial para implementar recursos e configurações relacionados à segurança para o Azure Arc e servidores locais.

  • Microsoft.OperationalInsights: este provedor de recursos está associado ao Azure Monitor e ao Log Analytics, que são usados para monitorar e coletar dados de telemetria de sua infraestrutura híbrida, incluindo servidores locais.

  • Microsoft.Sql: Se você estiver gerenciando instâncias locais do SQL Server e precisar do ESU para SQL Server, habilitar esse provedor de recursos será necessário.

  • Microsoft.Storage: habilitar esse provedor de recursos é importante para gerenciar recursos de armazenamento, o que pode ser relevante para cenários híbridos e locais.

Problemas com o patch ESU

Status do patch ESU

Para detetar se seus servidores habilitados para Azure Arc estão corrigidos com as Atualizações de Segurança Estendidas do Windows Server 2012/R2 mais recentes, use o Azure Update Manager ou as Atualizações de Segurança Estendidas da Política do Azure devem ser instaladas em máquinas Windows Server 2012 Arc-Microsoft Azure, que verifica se os patches ESU WS2012 mais recentes foram recebidos. Ambas as opções estão disponíveis sem custo adicional para servidores habilitados para Arco do Azure inscritos em ESUs WS2012 habilitados pelo Azure Arc.

Pré-requisitos ESU

Certifique-se de que o pacote de licenciamento e a atualização da pilha de serviços (SSU) sejam baixados para o servidor habilitado para Arco do Azure, conforme documentado em KB5031043: Procedimento para continuar recebendo atualizações de segurança após o término do suporte estendido em 10 de outubro de 2023. Certifique-se de que está a seguir todos os pré-requisitos de rede, conforme registado em Preparar para fornecer Atualizações de Segurança Alargadas para o Windows Server 2012.

Erro: Tentando verificar o IMDS novamente (HRESULT 12002 ou 12029)

Se a instalação da Atualização de Segurança Estendida habilitada pelo Azure Arc falhar com erros como "ESU: Trying to Check IMDS Again LastError=HRESULT_FROM_WIN32(12029)" ou "ESU: Trying to Check IMDS Again LastError=HRESULT_FROM_WIN32(12002)", talvez seja necessário atualizar as autoridades de certificação intermediárias confiáveis pelo seu computador usando um dos seguintes métodos.

Importante

Se você estiver executando a versão mais recente do agente de máquina conectada do Azure, não é necessário instalar os certificados de CA intermediários ou permitir o acesso à URL PKI. No entanto, se uma licença já foi atribuída antes do agente ser atualizado, pode levar até 15 dias para que a licença mais antiga seja substituída. Durante esse período, o certificado intermediário ainda será exigido. Depois de atualizar o agente, você pode excluir o arquivo %ProgramData%\AzureConnectedMachineAgent\certs\license.json de licença para forçá-lo a ser atualizado.

Opção 1: Permitir acesso ao URL PKI

Configure seu firewall de rede e/ou servidor proxy para permitir o acesso das máquinas Windows Server 2012 (R2) para http://www.microsoft.com/pkiops/certs e https://www.microsoft.com/pkiops/certs (TCP 80 e 443). Isso permitirá que as máquinas recuperem automaticamente quaisquer certificados de CA intermediários ausentes da Microsoft.

Depois que as alterações de rede forem feitas para permitir o acesso à URL PKI, tente instalar as atualizações do Windows novamente. Pode ser necessário reiniciar o computador para que a instalação automática de certificados e a validação da licença entrem em vigor.

Opção 2: Baixar e instalar manualmente os certificados de autoridade de certificação intermediários

Se não conseguir permitir o acesso ao URL PKI a partir dos seus servidores, pode transferir e instalar manualmente os certificados em cada máquina.

  1. Em qualquer computador com acesso à Internet, transfira estes certificados de AC intermédios:

    1. Microsoft Azure RSA TLS Emissão CA 03
    2. Microsoft Azure RSA TLS Emissão CA 04
    3. Microsoft Azure RSA TLS Emissão CA 07
    4. Microsoft Azure RSA TLS Emissão CA 08

  2. Copie os arquivos de certificado para suas máquinas Windows Server 2012 (R2).

  3. Execute qualquer conjunto dos seguintes comandos em um prompt de comando elevado ou sessão do PowerShell para adicionar os certificados ao armazenamento "Autoridades de certificação intermediárias" para o computador local. O comando deve ser executado a partir do mesmo diretório que os arquivos de certificado. Os comandos são idempotentes e não farão alterações se você já tiver importado o certificado:

    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"

  4. Tente instalar as atualizações do Windows novamente. Talvez seja necessário reiniciar o computador para que a lógica de validação reconheça os certificados de autoridade de certificação intermediários recém-importados.

Erro: Não elegível (HRESULT 1633)

Se encontrar o erro "ESU: not eligible HRESULT_FROM_WIN32(1633)", siga estes passos:

Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds

Se você tiver outros problemas ao receber ESUs depois de registrar com êxito o servidor por meio de servidores habilitados para Arc, ou precisar de informações adicionais relacionadas a problemas que afetam a implantação do ESU, consulte Solucionar problemas no ESU.