傳遞適用於 Windows Server 2012 的延伸安全性更新
本文提供的步驟,可將延伸安全性更新 (ESU) 傳遞至上線到已啟用 Arc 伺服器的 Windows Server 2012 機器。 您可以個別或大規模啟用這些機器的 ESU。
開始之前
規劃及準備將機器上線到已啟用 Azure Arc 的伺服器。 請參閱準備傳遞適用於 Windows Server 2012 的延伸安全性更新深入了解。
您還需要 Azure RBAC 中的參與者角色,才能建立 ESU 並將它指派給已啟用 Arc 的伺服器。
管理 ESU 授權
從瀏覽器登入 Azure 入口網站。
在 Azure Arc 頁面上,選取左窗格中的 [延伸安全性更新]。
![主要 ESU 視窗的螢幕擷取畫面,其中顯示 [授權] 索引標籤以及 [合格資源] 索引標籤。](media/deliver-extended-security-updates/extended-security-updates-main-window.png)
您可以從這裡檢視和建立 ESU 授權,並檢視 ESU 的合格資源。
![主要 ESU 視窗的螢幕擷取畫面,其中顯示 [授權] 索引標籤以及 [合格資源] 索引標籤。](media/deliver-extended-security-updates/extended-security-updates-main-window.png#lightbox)
注意
從 [伺服器] 頁面檢視所有已啟用 Arc 的伺服器時,橫幅會指定有多少部 Windows 2012 機器符合 ESU 的資格。 然後,您可以選取 [檢視延伸安全性更新中的伺服器],檢視符合 ESU 資格的資源清單,以及已啟用 ESU 的機器。
建立 Azure Arc WS2012 授權
第一個步驟是從 Azure Arc 佈建 Windows Server 2012 和 2012 R2 延伸安全性更新授權。您將這些授權連結至在下一節選取的一或多個已啟用 Arc 的伺服器。
佈建 ESU 授權之後,您必須指定 SKU (Standard 或 Datacenter)、核心類型 (實體或虛擬核心),以及 16 核心和 2 核心套件的數目,才能佈建 ESU 授權。 您也可以用停用狀態佈建延伸安全性更新授權,它才不會起始計費,或在建立時運作。 此外,與授權相關聯的核心佈建後可以修改。
注意
佈建 ESU 授權時,您必須證明其軟體保證或服務提供者授權合約涵蓋範圍。
[授權] 索引標籤會顯示可用的 Azure Arc WS2012 授權。 您可以從這裡選取要套用或建立新授權的現有授權。
若要建立新的 WS2012 授權,請選取 [建立],然後在頁面提供設定授權所需的資訊。
如需如何完成這個步驟的詳細資料,請參閱 Windows Server 2012 延伸安全性更新授權佈建方針。
檢閱您供的資訊,然後選取 [建立]。
您所建立的授權會出現在清單,而且您可遵循下一節的步驟,將授權連結至一或多部已啟用 Arc 的伺服器。
![[授權] 索引標籤的螢幕擷取畫面,其中顯示清單中新建立的授權。](media/deliver-extended-security-updates/extended-security-updates-new-license.png)
![[授權] 索引標籤的螢幕擷取畫面,其中顯示清單中新建立的授權。](media/deliver-extended-security-updates/extended-security-updates-new-license.png#lightbox)
將 ESU 授權連結至已啟用 Arc 的伺服器
您可以選取一或多部已啟用 Arc 的伺服器,連結至延伸安全性更新授權。 將伺服器連結至啟用的 ESU 授權之後,伺服器就有資格接收 Windows Server 2012 和 2012 R2 ESU。
注意
您可以彈性設定自選的修補解決方案接收這些更新,無論是更新管理員、Windows Server Update Services、Microsoft Update、Microsoft Endpoint Configuration Manager,或是第三方修補程式管理解決方案皆可。
選取 [合格資源] 索引標籤,檢視執行 Windows Server 2012 和 2012 R2 之所有已啟用 Arc 的伺服器清單。
![[合格資源] 索引標籤的螢幕擷取畫面,其中顯示有資格接收 ESU 的伺服器。](media/deliver-extended-security-updates/extended-security-updates-eligible-resources.png)
[ESU 狀態] 資料行顯示機器是否已啟用 ESU。
若要為一或多部機器啟用 ESU,請在清單中選取機器,然後選取 [啟用 ESU]。
[啟用擴充安全性更新] 頁面會顯示選取啟用 ESU 的機器數目,以及可供套用的 WS2012 授權。 選取要連結至所選機器的授權,然後選取 [啟用]。
注意
選取 [建立 ESU 授權],也可以從這個頁面建立授權。
![[合格資源] 索引標籤的螢幕擷取畫面,其中顯示有資格接收 ESU 的伺服器。](media/deliver-extended-security-updates/extended-security-updates-eligible-resources.png#lightbox)
選定的機器狀態會變更為 [已啟用]。
![[合格資源] 索引標籤的螢幕擷取畫面,其中顯示先前選取的伺服器的啟用狀態。](media/deliver-extended-security-updates/extended-security-updates-enabled-resources.png#lightbox)
如果啟用流程發生任何問題,請參閱疑難排解傳遞適用於 Windows Server 2012 的延伸安全性更新,取得協助。
大規模 Azure 原則
若要將伺服器大規模連結至 Azure Arc 延伸安全性更新授權,並且鎖定授權修改或建立,請考慮使用下列內建 Azure 原則:
您可以針對稽核和管理案例,將 Azure 原則指定給目標訂用帳戶或資源群組。
其他情節
在某些情況下,您可能有資格接收延伸安全性更新修補程式,而且不需要額外費用。 Azure Arc 所支援的其中兩個案例為 (1) 開發/測試 (Visual Studio) 和 (2) 災害復原 (僅限軟體保證或訂用帳戶的授權權益 DR 執行個體。 這兩種案例都要求,客戶已經針對可計費的實際執行機器,使用 Azure Arc 啟用的 Windows Server 2012/R2 ESU。
警告
請勿僅針對開發/測試或災害復原工作負載建立 Windows Server 2012/R2 ESU 授權。 您不應只針對不可計費的工作負載佈建 ESU 授權。 此外,針對使用 ESU 授權佈建的所有核心,系統會向您收取完整費用,而授權中的任何開發/測試核心,只要根據下列條件標記,系統就不會向您收取費用。
若要符合這些案例的資格,您必須具備:
可計費的 ESU 授權。 您必須已佈建並啟動 WS2012 Arc ESU 授權,該授權是為了連結至在實際執行環境執行之已啟用 Azure Arc 的一般伺服器 (也就是通常計費的 ESU 案例)。 這類授權應只針對可計費的核心佈建,不應針對符合免費延伸安全性更新資格的核心佈建,例如開發/測試核心。
已啟用 Arc 的伺服器。 將 Windows Server 2012 和 Windows Server 2012 R2 機器上線至已啟用 Azure Arc 的伺服器,以便使用 Visual Studio 訂用帳戶或災害復原進行開發/測試。
若要註冊符合 ESU 資格之已啟用 Azure Arc 的伺服器,請遵循下列步驟標記和連結,而且不需額外費用:
對應適當的例外狀況,同時標記 WS2012 Arc ESU 授權 (針對實際執行環境建立,核心僅適用於實際執行環境伺服器),以及具有下列其中一個成對的名稱和數值的非實際執行 Azure Arc 伺服器:
名稱:“ESU Usage”;值:“WS2012 VISUAL STUDIO DEV TEST”
名稱:“ESU Usage”;值:“WS2012 DISASTER RECOVERY”
如果您在多個例外狀況案例使用 ESU 授權,請使用這個標籤標記授權:名稱:“ESU Usage”;值:“WS2012 MULTIPURPOSE”
將已標記的授權 (針對實際執行環境建立,核心僅適用於實際執行環境伺服器) 連結到已標記的非實際執行之已啟用 Azure Arc 的 Windows Server 2012 和 Windows Server 2012 R2 機器。 請勿為這些伺服器授權核心,或只為這些伺服器建立新的 ESU 授權。
這個連結不會觸發合規性違規或強制封鎖,讓您將授權的應用程式延伸至其佈建的核心之外。 理想預期是授權只包含實際執行伺服器和計費伺服器的核心。 系統會向任何額外的核心收取費用,導致超額計費。
重要
將這些標籤新增至您的授權,授權不會因此免費,可收取費用的授權核心數目也不會因此減少。 這些標籤可讓您將 Azure 機器連結至已使用收費核心設定的現有授權,而且不需要建立任何新的授權,或將額外核心新增至免費機器。
範例:
- 您有 8 個 Windows Server 2012 R2 Standard 執行個體,而且每個執行個體都有 8 個實體核心。 這些 Windows Server 2012 R2 Standard 機器中,有六部用於實際執行環境,而其中 2 部 Windows Server 2012 R2 Standard 機器由於作業系統已透過 Visual Studio 開發測試訂用帳戶獲得授權,因此可免費取得 ESU。
- 您應該先佈建並啟動 Standard Edition Windows Server 2012/R2 的一般 ESU 授權,而且該授權有 48 個實體核心,可涵蓋 6 部實際執行機器。 您應該將這個一般的實際執行 ESU 授權,連結至 6 部實際執行伺服器。
- 接下來,您應重複使用這個現有的授權,不要再新增任何核心或佈建個別授權,並將這個授權連結至 2 部非實際執行 Windows Server 2012 R2 Standard 機器。 您應該用名稱:"ESU Usage" 和值:"WS2012 VISUAL STUDIO DEV TEST",標記 ESU 授權和 2 部非實際執行 Windows Server 2012 R2 Standard 機器。
- 這會為 48 個核心產生一個 ESU 授權,而且系統會針對這 48 個核心計費。 只要適當標記 ESU 授權和開發測試伺服器資源,您就不需要為新增至這個授權之開發測試伺服器的額外 16 個核心付費。
注意
您需要一般實際執行授權才能開始使用,而且系統只會針對實際執行核心計費。
從 Windows Server 2012/2012 R2 升級
將 Windows Server 2012/2012R 機器升級至 Windows Server 2016 或更新版本時,不需要從機器移除 Connected Machine 代理程式。 在升級完成幾分鐘內,Azure 就會顯示機器新的作業系統。 升級的機器不再需要 ESU,也不再符合其資格。 凡是與機器相關聯的 ESU 授權,都不會自動從機器取消連結。 如需手動執行的指示,請參閱取消授權的連結。
評估 WS2012 ESU 修補程式狀態
若要偵測已啟用 Azure Arc 的伺服器是否使用最新的 Windows Server 2012/R2 延伸安全性更新進行修補,您可以使用 Azure 原則延伸安全性更新應該安裝在 Windows Server 2012 Arc 機器上-Microsoft Azure。 這個 Azure 原則由機器設定提供,可識別伺服器是否已收到最新的 ESU 修補程式。 從 Azure 入口網站內建的來賓指派檢視,以及 Azure 原則合規性檢視皆可觀察得到。