如何获取 Windows Server 的扩展安全更新 (ESU)

Windows Server 的扩展安全更新 (ESU) 包含评级为“严重”和“重要”的安全更新和公告。 使用 ESU 之前,应阅读 Windows Server 的扩展安全更新概述,以了解什么是 ESU、它们的可用时长以及你可使用的选项。

如何获取 ESU 取决于服务器的托管位置。 可以通过以下选项访问 ESU。

  • Azure 虚拟机 - 适用的 Azure 中托管的虚拟机 (VM) 自动启用 ESU,这些更新是免费提供的,无需部署 MAK 密钥或执行任何其他操作。 有关详细信息,请参阅 Azure 上的扩展安全更新

  • 已启用 Azure Arc 的服务器 - 如果服务器位于本地或托管环境中,则可以通过 Azure 门户为 Windows Server 2012 和 2012 R2 或 SQL Server 2012 计算机注册扩展安全更新,通过 Azure Arc 进行连接,并通过 Azure 订阅按月计费。 有关详细信息,请参阅 Azure Arc 启用的扩展安全更新1

  • 非 Azure 物理计算机和虚拟机 - 如果无法使用 Azure Arc 进行连接,请使用非 Azure VM 上的扩展安全更新,方法是使用多次激活密钥 (MAK) 并将其应用于相关服务器。 此 MAK 密钥使 Windows 更新服务器知道你可以继续接收安全更新。 有关详细信息,请参阅从 Microsoft 365 管理中心访问多次激活密钥1

1 使用已启用 Azure Arc 的服务器和非 Azure 计算机时,必须购买 ESU。 若要购买 ESU,必须通过批量许可计划(如企业协议 (EA)、企业协议订阅 (EAS)、教育解决方案合约 (EES) 或服务器和云合约 (SCE))获得软件保障。

注意

为本地 VM 或物理服务器购买 ESU 后,多次激活密钥可能需要 3-5 个工作日才可用。 组织可能需要时间来规划和部署新密钥。 在购买 ESU 之前,应记住这些时间线。

Azure 上的扩展安全更新

适用的 Azure 中托管的虚拟机 (VM) 自动启用 ESU,这些更新是免费提供的。 无需配置任何内容,且将 ESU 用于 Azure VM 没有额外费用。 如果将 Azure VM 配置为接收 ESU,则这些更新会自动传送到 Azure VM。

注意

扩展安全更新在其他 Azure 产品(例如 Azure 专用主机、Azure VMware 解决方案、Azure Nutanix 解决方案和 Azure Stack(Hub、Edge 和 HCI))中也是免费的,并且可能需要其他配置。 请联系 Microsoft 支持获取更多帮助。

Azure 经典 VM (Microsoft.ClassicCompute) 要求额外配置以接收扩展安全更新,原因是它们无权访问 Azure 实例元数据服务,而该服务决定了 ESU 的资格。

Azure Arc 启用的扩展安全更新

如果已启用 Azure Arc 的服务器通过 Azure Arc 连接并注册了 ESU,则 ESU 会自动传送到已启用 Azure Arc 的服务器。这也适用于连接到 Azure Arc 的非 Azure 服务器。

可以使用 Azure Policy 或 Azure 门户大规模注册 ESU,无需预付费用,将通过 Azure 订阅按月计费。 也无需激活产品密钥。

已启用 Azure Arc 的服务器还可以使用其他 Azure 服务,例如:

  • Azure 更新管理器。
  • Microsoft Defender for Cloud。
  • Azure Policy(计算机配置)。
  • Azure Monitor(VM 见解)。

从 2023 年 9 月起,可以通过 Azure Arc 激活 Windows Server 2012 和 2012 R2 EUS。现在可以将 Windows Server 2012 和 2012 R2 服务器连接到 Azure Arc,将混合计算机连接到已启用 Azure Arc 的服务器

若要准备在已启用 Arc 的服务器上激活 Windows Server 2012 和 2012 R2 ESU,请执行以下步骤:

  1. 登录 Azure 门户

  2. 在搜索栏中,输入“服务器 - Azure Arc”并选择匹配的服务条目。

  3. 将现有的 Windows Server 2012 或 2012 R2 计算机添加到 Azure Arc。若要了解如何开始使用已启用 Azure Arc 的服务器,请参阅将混合计算机与已启用 Azure Arc 的服务器连接

若要详细了解如何通过 Azure Arc 提供 ESU,请参阅准备为 Windows Server 2012 提供扩展安全更新 Windows 2012 和 2012 R2 提供扩展安全更新

从 Microsoft 365 管理中心访问多次激活密钥

无法连接到 Azure Arc 以应用 ESU 的客户可以通过 Microsoft 365 管理中心使用多次激活密钥(MAK):

  1. 登录到 Microsoft 365 管理中心

  2. 选择“你的产品”>“批量许可”>“查看协定”

  3. 选择用于购买 ESU 的协议编号旁的三点图标(“更多操作”图标),然后选择“查看产品密钥”。 此页将显示协议提供的所有产品密钥。

  4. 获得 MAK 后,在符合条件的服务器上安装新密钥。 若要详细了解如何安装和激活 MAK,请参阅技术社区博客文章为符合条件的 Windows 设备获取扩展安全更新

下载和安装扩展安全更新

提供、下载和应用 Windows Server 的 ESU 与其他 Windows 更新没有什么不同。 通过 ESU 提供的更新只是安全更新

必须先安装最新的服务堆栈更新 (SSU) 和许可准备包,然后才能下载和安装 ESU。 若要详细了解安装最新 SSU 和许可准备包所需的步骤,请参阅 KB5031043:在扩展支持于 2023 年 10 月 10 日结束之后继续接收安全更新的过程

可以使用现有的任何工具和过程来安装更新。 唯一的区别在于,必须使用上一节中生成的密钥来注册系统,才能下载和安装更新。

对于 Azure 中托管的 VM,为服务器启用 ESU 的过程会自动完成。 更新将进行下载和安装,而无需进行其他配置。