Felsöka leverans av utökade säkerhetsuppdateringar för Windows Server 2012
Den här artikeln innehåller information om hur du felsöker och löser problem som kan uppstå när utökade säkerhetsuppdateringar för Windows Server 2012 och Windows Server 2012 R2 aktiveras via Arc-aktiverade servrar.
Problem med licensetablering
Om du inte kan etablera en licens för utökad säkerhetsuppdatering för Windows Server 2012 för Azure Arc-aktiverade servrar kontrollerar du följande:
Behörigheter: Kontrollera att du har tillräcklig behörighet (deltagarroll eller högre) inom omfånget för etablering och länkning av ESU.
Kärnminimum: Kontrollera att du har angett tillräckligt många kärnor för ESU-licensen. Fysiska kärnbaserade licenser kräver minst 16 kärnor per dator, och virtuella kärnbaserade licenser kräver minst 8 kärnor per virtuell dator (VM).
Konventioner: Kontrollera att du har valt en lämplig prenumeration och resursgrupp och angett ett unikt namn för ESU-licensen.
Problem med ESU-registrering
Om du inte kan länka din Azure Arc-aktiverade server till en aktiverad licens för utökade säkerhetsuppdateringar kontrollerar du att följande villkor är uppfyllda:
Anslutning: Azure Arc-aktiverad server är Ansluten. Information om hur du visar status för Azure Arc-aktiverade datorer finns i Agentstatus.
Agentversion: Den anslutna datoragenten är version 1.34 eller senare. Om agentversionen är mindre än 1.34 måste du uppdatera den till den här versionen eller senare.
Operativsystem: Endast Azure Arc-aktiverade servrar som kör operativsystemet Windows Server 2012 och 2012 R2 kan registreras i Utökade säkerhetsuppdateringar.
Miljö: Den anslutna datorn ska inte köras på Azure Local, Azure VMware-lösningen (AVS) eller som en virtuell Azure-dator. I dessa scenarier är WS2012 ESUs tillgängliga utan kostnad. Information om ESUs utan kostnad via Azure Local finns i Kostnadsfria utökade säkerhetsuppdateringar via Azure Local.
Licensegenskaper: Kontrollera att licensen är aktiverad och har allokerats tillräckligt med fysiska eller virtuella kärnor för att stödja servrarnas avsedda omfång.
Resursproviders
Om du inte kan aktivera det här tjänsterbjudandet läser du resursprovidrar som registrerats för prenumerationen enligt nedan. Om du får ett fel när du försöker registrera resursprovidrar kontrollerar du rolltilldelningen/rolltilldelningarna i prenumerationen. Granska även eventuella Azure-principer som kan anges med en neka-effekt, vilket förhindrar aktivering av dessa resursprovidrar.
Microsoft.HybridCompute: Den här resursprovidern är viktig för Azure Arc-aktiverade servrar, så att du kan registrera och hantera lokala servrar i Azure Portal.
Microsoft.GuestConfiguration: Aktiverar gästkonfigurationsprinciper som används för att utvärdera och framtvinga konfigurationer på dina Arc-aktiverade servrar för efterlevnad och säkerhet.
Microsoft.Compute: Den här resursprovidern krävs för Azure Update Management, som används för att hantera uppdateringar och korrigeringar på dina lokala servrar, inklusive ESU-uppdateringar.
Microsoft.Security: Att aktivera den här resursprovidern är avgörande för att implementera säkerhetsrelaterade funktioner och konfigurationer för både Azure Arc och lokala servrar.
Microsoft.OperationalInsights: Den här resursprovidern är associerad med Azure Monitor och Log Analytics, som används för övervakning och insamling av telemetridata från din hybridinfrastruktur, inklusive lokala servrar.
Microsoft.Sql: Om du hanterar lokala SQL Server-instanser och kräver ESU för SQL Server är det nödvändigt att aktivera den här resursprovidern.
Microsoft.Storage: Det är viktigt att aktivera den här resursprovidern för att hantera lagringsresurser, vilket kan vara relevant för hybridscenarier och lokala scenarier.
Problem med ESU-korrigering
Status för ESU-korrigering
Om du vill identifiera om dina Azure Arc-aktiverade servrar har korrigerats med de senaste utökade säkerhetsuppdateringarna för Windows Server 2012/R2 använder du Azure Update Manager eller azure policy extended security updates should be installed on Windows Server 2012 Arc machines-Microsoft Azure, som kontrollerar om de senaste WS2012 ESU-korrigeringarna har tagits emot. Båda dessa alternativ är tillgängliga utan extra kostnad för Azure Arc-aktiverade servrar som registrerats i WS2012 ESUs som aktiveras av Azure Arc.
Krav för ESU
Se till att både licensieringspaketet och servicestackens uppdatering (SSU) laddas ned för den Azure Arc-aktiverade servern enligt beskrivningen i KB5031043: Procedure för att fortsätta ta emot säkerhetsuppdateringar när utökad support har upphört den 10 oktober 2023. Se till att du följer alla nätverkskrav som registrerats i Förbered för att leverera utökade säkerhetsuppdateringar för Windows Server 2012.
Fel: Försöker kontrollera IMDS igen (HRESULT 12002 eller 12029)
Om installationen av den utökade säkerhetsuppdateringen som aktiveras av Azure Arc misslyckas med fel som "ESU: Trying to Check IMDS Again LastError=HRESULT_FROM_WIN32(12029)" eller "ESU: Trying to Check IMDS Again LastError=HRESULT_FROM_WIN32(12002)" kan du behöva uppdatera de mellanliggande certifikatutfärdare som är betrodda av datorn med någon av följande metoder.
Viktigt!
Om du kör den senaste versionen av Azure Connected-datoragenten behöver du inte installera mellanliggande CA-certifikat eller tillåta åtkomst till PKI-URL:en. Men om en licens redan har tilldelats innan agenten uppgraderades kan det ta upp till 15 dagar innan den äldre licensen ersätts. Under den här tiden krävs fortfarande mellanliggande certifikat. När du har uppgraderat agenten kan du ta bort licensfilen %ProgramData%\AzureConnectedMachineAgent\certs\license.json för att tvinga den att uppdateras.
Alternativ 1: Tillåt åtkomst till PKI-URL:en
Konfigurera nätverksbrandväggen och/eller proxyservern så att den tillåter åtkomst från Windows Server 2012-datorerna (R2) till http://www.microsoft.com/pkiops/certs och https://www.microsoft.com/pkiops/certs (både TCP 80 och 443). På så sätt kan datorerna automatiskt hämta eventuella saknade mellanliggande CA-certifikat från Microsoft.
När nätverksändringarna har gjorts för att tillåta åtkomst till PKI-URL:en kan du försöka installera Windows-uppdateringarna igen. Du kan behöva starta om datorn för att den automatiska installationen av certifikat och valideringen av licensen ska börja gälla.
Alternativ 2: Ladda ned och installera mellanliggande CA-certifikat manuellt
Om du inte kan tillåta åtkomst till PKI-URL:en från dina servrar kan du manuellt ladda ned och installera certifikaten på varje dator.
På alla datorer med Internetåtkomst laddar du ned dessa mellanliggande CA-certifikat:
Kopiera certifikatfilerna till dina Windows Server 2012-datorer (R2).
Kör en uppsättning av följande kommandon i en upphöjd kommandotolk eller PowerShell-session för att lägga till certifikaten i arkivet "Mellanliggande certifikatutfärdare" för den lokala datorn. Kommandot ska köras från samma katalog som certifikatfilerna. Kommandona är idempotent och gör inga ändringar om du redan har importerat certifikatet:
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt" certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt" certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt" certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"Försök att installera Windows-uppdateringarna igen. Du kan behöva starta om datorn för valideringslogik för att identifiera de nyligen importerade mellanliggande CA-certifikaten.
Fel: Inte berättigad (HRESULT 1633)
Om du får felet "ESU: not eligible HRESULT_FROM_WIN32(1633)" följer du dessa steg:
Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds
Om du har andra problem med att ta emot ESU:er efter att servern har registrerats via Arc-aktiverade servrar, eller om du behöver ytterligare information om problem som påverkar ESU-distributionen, kan du läsa Felsöka problem i ESU.