你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

排查为 Windows Server 2012 提供扩展安全更新时出现的问题

本文提供相关的排查信息,用于解决通过已启用 Arc 的服务器启用 Windows Server 2012 和 Windows Server 2012 R2 扩展安全更新时可能出现的问题。

许可预配问题

如果无法为已启用 Azure Arc 的服务器预配 Windows Server 2012 扩展安全更新许可证,请检查以下各项:

  • 权限:确认你在 ESU 预配和链接范围内是否具有足够的权限 (参与者角色或更高权限的角色)。

  • 核心最小值:确认是否已为 ESU 许可证指定足够的核心。 基于物理核心的许可证至少需要每个计算机 16 个核心,基于虚拟核心的许可证需要每个虚拟机 (VM) 至少有 8 个核心。

  • 约定:确认是否已选择适当的订阅和资源组,并为 ESU 许可证提供唯一名称。

ESU 注册问题

如果无法成功将已启用 Azure Arc 的服务器链接到已激活的扩展安全更新许可证,请确认是否满足以下条件:

  • 连接:已连接启用了 Azure Arc 的服务器。 有关查看已启用 Azure Arc 的计算机的状态的信息,请参阅代理状态

  • 代理版本:连接的计算机代理为 1.34 或更高版本。 如果代理版本小于 1.34,则需要将其更新到此版本或更高版本。

  • 操作系统:只有运行 Windows Server 2012 和 2012 R2 操作系统的、已启用 Azure Arc 的服务器才有资格在扩展安全更新中注册。

  • 环境:连接的计算机不应在 Azure Local、Azure VMware 解决方案 (AVS) 或 Azure 虚拟机上运行。 在这些方案中,WS2012 ESU 是免费的。 有关通过 Azure Local 获取的免费 ESU 的信息,请参阅通过 Azure Local 获取的免费扩展安全更新

  • 许可证属性: 确认许可证是否已激活,并已分配足够的物理或虚拟核心以支持服务器的预期范围。

资源提供程序

如果无法启用此服务产品,请查看在订阅上注册的资源提供程序,如下所示。 如果在尝试注册资源提供程序时收到错误,请验证订阅上的角色分配。 另请查看可能设置为“拒绝”效果的任何潜在 Azure 策略,防止启用这些资源提供程序。

  • Microsoft.HybridCompute:此资源提供程序对于已启用 Azure Arc 的服务器至关重要,它允许你在 Azure 门户中载入和管理本地服务器。

  • Microsoft.GuestConfiguration:启用来宾配置策略,这些策略用于在已启用 Arc 的服务器上评估和强制实施配置,以实现合规性和安全性。

  • Microsoft.Compute:Azure 更新管理需要此资源提供程序,该提供程序用于管理本地服务器上的更新和修补程序,包括 ESU 更新。

  • Microsoft.Security:启用此资源提供程序对于实现 Azure Arc 和本地服务器的安全相关功能和配置至关重要。

  • Microsoft.OperationalInsights:此资源提供程序与 Azure Monitor 和 Log Analytics 相关联,用于监视和收集混合基础结构(包括本地服务器)的遥测数据。

  • Microsoft.Sql:如果要管理本地 SQL Server 实例,并且需要对 SQL Server 使用 ESU,则需要启用此资源提供程序。

  • Microsoft.Storage:启用此资源提供程序对于管理存储资源非常重要,这可能与混合和本地方案相关。

ESU 补丁问题

ESU 补丁状态

要检测已启用 Azure Arc 的服务器是否已使用最新的 Windows Server 2012/R2 扩展安全更新进行修补,请使用 Azure 更新管理器或 Azure Policy 应在 Windows Server 2012 Arc 计算机-Microsoft Azure 上安装扩展安全更新,这将检查是否已收到最新的 WS2012 ESU 补丁。 对于已在由 Azure Arc 启用的 WS2012 ESU 中注册的已启用 Azure Arc 的服务器,可以使用这两个选项,而无需额外付费。

ESU 先决条件

确保为已启用 Azure Arc 的服务器下载了许可包和服务堆栈更新 (SSU),如KB5031043:在 2023 年 10 月 10 日结束外延支持后继续接收安全更新的过程。 确保遵循准备提供 Windows Server 2012 的扩展安全更新中所述所有网络先决条件。

错误:请尝试再次检查 IMDS(HRESULT 12002 或 12029)

如果安装由 Azure Arc 启用的扩展安全更新失败并出现以下错误“ESU:请尝试再次检查 IMDS LastError=HRESULT_FROM_WIN32(12029)”或“ESU:请尝试再次检查 IMDS LastError=HRESULT_FROM_WIN32(12002)”,则可能需要使用以下其中一种方法更新计算机信任的中间证书颁发机构。

重要

如果运行的是最新版本的 Azure 连接计算机代理,则无需安装中间 CA 证书或允许访问 PKI URL。 但是,如果在升级代理之前已分配许可证,则更换旧许可证可能需要最多 15 天的时间。 在此期间,仍然需要中间证书。 升级代理后,可删除许可证文件 %ProgramData%\AzureConnectedMachineAgent\certs\license.json 来强制刷新它。

选项 1:允许访问 PKI URL

将网络防火墙和/或代理服务器配置为允许从 Windows Server 2012 (R2) 计算机访问 http://www.microsoft.com/pkiops/certshttps://www.microsoft.com/pkiops/certs(TCP 80 和 443)。 这将使计算机能够自动从 Microsoft 检索任何缺少的中间 CA 证书。

进行网络更改以允许访问 PKI URL 后,请尝试再次安装 Windows 更新。 可能需要重启计算机才能使证书自动安装和许可证验证生效。

选项 2:手动下载并安装中间 CA 证书

如果无法允许从服务器访问 PKI URL,则可以在每个计算机上手动下载并安装证书。

  1. 在具有 Internet 访问权限的任何计算机上,下载这些中间 CA 证书:

    1. Microsoft Azure RSA TLS 颁发 CA 03
    2. Microsoft Azure RSA TLS 颁发 CA 04
    3. Microsoft Azure RSA TLS 颁发 CA 07
    4. Microsoft Azure RSA TLS 颁发 CA 08
  2. 将证书文件复制到你的 Windows Server 2012 (R2) 计算机。

  3. 在提升的命令提示符或 PowerShell 会话中运行以下命令中的某一组,以将证书添加到本地计算机的“中间证书颁发机构”存储中。 该命令应从证书文件所在的同一目录中运行。 这些命令是幂等的,如果已导入证书,则不会进行任何更改:

    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt"
    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt"
    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt"
    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"
    
  4. 再次尝试安装 Windows 更新。 可能需要重启计算机,使验证逻辑能够识别新导入的中间 CA 证书。

错误:不符合条件 (HRESULT 1633)

如果遇到“ESU: 不符合资格 HRESULT_FROM_WIN32(1633)”错误,请执行以下步骤:

Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds

如果在通过已启用 Arc 的服务器成功注册服务器后,在接收 ESU 时遇到其他问题,或者需要与影响 ESU 部署的问题相关的其他信息,请参阅排查 ESU 中的问题