你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
准备为 Windows Server 2012 提供扩展安全更新
随着 Windows Server 2012 和 Windows Server 2012 R2 于 2023 年 10 月 10 日终止支持,已启用 Azure Arc 的服务器允许在扩展安全更新 (ESU) 中注册现有的 Windows Server 2012/2012 R2 计算机。 Azure Arc 提供成本灵活性和改进的交付体验,使你能够更好地迁移到 Azure。
本文旨在帮助你了解其优点,以及如何准备使用已启用 Arc 的服务器来提供 ESU。
注意
Azure VMware 解决方案 (AVS) 计算机有资格获得免费 ESU,但不应注册通过 Azure Arc 启用的 ESU。
关键优势
为 Windows Server 2012/2012 R2 计算机提供 ESU 具有以下主要优势:
即用即付:可以灵活地注册每月订阅服务,并能够在年中迁移。
Azure 计费:可以降低现有的 Microsoft Azure 使用量承诺 (MACC),并使用 Microsoft 成本管理和计费来分析成本。
内置清单:Azure 门户中标识了符合条件的已启用 Arc 的服务器上的 Windows Server 2012/2012 R2 ESU 的覆盖范围和注册状态,其中突出显示了差异和状态更改。
无密钥交付:在已启用 Azure Arc 的 Windows Server 2012/2012 R2 计算机上注册 ESU 不需要获取或激活密钥。
对 Azure 服务的访问权限
对于在 Azure Arc 启用的 WS2012 ESU 中注册的启用 Azure Arc 的服务器,从 2023 年 10 月 10 日起可免费访问以下 Azure 服务:
- Azure 更新管理器 - 统一管理和治理更新符合性,不仅包括 Azure 和混合计算机,还包括所有 Windows Server 2012/2012 R2 计算机的 ESU 更新符合性。 在 ESU 中进行注册不会影响 Azure 更新管理器。 通过 Azure Arc 在 ESU 中进行注册后,服务器将能够获得 ESU 修补程序。 这些修补程序可以通过 Azure 更新管理器或任何其他修补解决方案提供。 你仍需要从 Microsoft 更新或 Windows Server Update Services 来配置更新。
- Azure 自动化更改跟踪和清单 - 跟踪 Azure、本地和其他云环境中托管的虚拟机的更改。
- Azure Policy 来宾配置 - 审核虚拟机中的配置设置。 来宾配置通过已启用 Azure Arc 的服务器支持本机 Azure VM 以及非 Azure 物理和虚拟服务器。
此外,还有通过已启用 Azure Arc 的服务器提供的其他 Azure 服务,包括以下产品/服务:
- Microsoft Defender for Cloud - 是云安全态势管理 (CSPM) 支柱的一部分,它通过 Microsoft Defender for Servers 提供服务器保护,以帮助保护你免受各种网络威胁和漏洞的影响。
- Microsoft Sentinel - 收集与安全相关的事件,并将其与其他数据源相关联。
准备提供 ESU
规划和准备通过安装 Azure Connected Machine 代理(版本 1.34 或更高版本)来建立与 Azure 的连接,将计算机加入已启用 Azure Arc 的服务器。 Windows Server 2012 扩展安全更新支持 Windows Server 2012 和 R2 Standard 和 Datacenter 版本。 不支持 Windows Server 2012 存储。
我们建议将计算机部署到 Azure Arc,以便为相关 Azure 服务提供支持的功能来管理 ESU 做好准备。 将这些计算机加入到已启用 Azure Arc 的服务器后,你将可以了解其 ESU 覆盖范围,并通过 Azure 门户或使用 Azure Policy 进行注册。 此服务的计费从 2023 年 10 月(即 Windows Server 2012 终止支持后)开始。
注意
若要购买 ESU,必须通过批量许可计划获得软件保障,例如企业协议 (EA)、企业协议订阅 (EAS)、教育解决方案合约 (EES)、服务器和云合约 (SCE),或者通过 Microsoft 开放价值计划获得。 或者,如果 Windows Server 2012/2012 R2 计算机通过 SPLA 或服务器订阅获得许可,则无需软件保障即可购买 ESU。
还必须为已启用 Azure Arc 的服务器下载许可包和服务堆栈更新 (SSU),如KB5031043:在 2023 年 10 月 10 日结束延期支持后继续接收安全更新的过程。
部署选项
已启用 Azure Arc 的服务器有多个大规模加入选项,包括通过 Configuration Manager 运行自定义任务序列以及通过组策略部署计划任务。 还有大规模 ESU 交付选项,可通过 Azure Arc 用于 VMware vCenter 托管 VM 和 SCVMM 托管 VMs。
注意
不建议通过 Azure Arc 将 ESU 传送到虚拟桌面基础结构 (VDI) 上运行的虚拟机。 VDI 系统应使用多次激活密钥 (MAK) 来应用 ESU。 有关详细信息,请参阅从 Microsoft 365 管理中心访问多次激活密钥。
网络
连接选项包括公共终结点、代理服务器和专用链接或 Azure Express Route。 查看网络先决条件,准备非 Azure 环境以部署到 Azure Arc。
对于下面一种或全部两种产品,如果仅对扩展安全更新使用已启用 Azure Arc 的服务器,请执行以下操作:
- Windows Server 2012
- SQL Server 2012
可启用以下终结点子集:
代理资源 | 说明 | 需要时 | 与专用链接一起使用的终结点 |
---|---|---|---|
aka.ms |
用于在安装过程中解析下载脚本 | 仅用于安装时 | 公共 |
download.microsoft.com |
用于下载 Windows 安装包 | 仅用于安装时 | 公共 |
login.windows.net |
Microsoft Entra ID | 始终 | 公共 |
login.microsoftonline.com |
Microsoft Entra ID | 始终 | 公共 |
*login.microsoft.com |
Microsoft Entra ID | 始终 | 公用 |
management.azure.com |
Azure 资源管理器 - 创建或删除 Arc 服务器资源 | 仅连接或断开服务器时 | 公共,除非还配置了资源管理专用链接 |
*.his.arc.azure.com |
元数据和混合标识服务 | Always | 专用 |
*.guestconfiguration.azure.com |
扩展管理和来宾配置服务 | Always | Private |
www.microsoft.com/pkiops/certs |
ESU 的中间证书更新(注意:请使用 HTTP/TCP 80 和 HTTPS/TCP 443) | 如果是自动更新,则始终使用;如果手动下载证书,则临时使用。 | 公开 |
*.<region>.arcdataservices.com |
Azure Arc 数据处理服务和服务遥测。 | SQL Server ESU | 公开 |
*.blob.core.windows.net |
下载 Sql Server 扩展包 | SQL Server ESU | 如果使用专用链接,则不需要 |
提示
若要利用已启用 Arc 的服务器的完整产品/服务,例如扩展和远程连接,请确保允许适用于你的场景的其他 URL。 有关详细信息,请参阅 Connected Machine 代理网络要求。
需要的证书颁发机构
Windows Server 2012 的扩展安全更新需要以下证书颁发机构:
- Microsoft Azure RSA TLS 颁发 CA 03
- Microsoft Azure RSA TLS 颁发 CA 04
- Microsoft Azure RSA TLS 颁发 CA 07
- Microsoft Azure RSA TLS 颁发 CA 08
如有必要,可以手动下载和安装这些证书颁发机构。
后续步骤
通过面向混合云和多云的 Azure Arc 登陆区域加速器,了解最佳做法和设计模式。
详细了解已启用 Arc 的服务器,以及它们如何通过 Azure Connected Machine 代理与 Azure 配合使用。
浏览将计算机加入已启用 Azure Arc 的服务器的选项。