針對傳遞 Windows Server 2012 擴充安全性更新進行疑難排解
本文提供有關針對透過已啟用 Arc 的伺服器啟用 Windows Server 2012 和 Windows Server 2012 R2 擴充安全性更新 (部分機器翻譯) 時可能發生的問題進行疑難排解和加以解決的資訊。
授權佈建問題
如果您無法為已啟用 Azure Arc 的伺服器佈建 Windows Server 2012 擴充安全性更新授權,請檢查下列各項:
權限:確認您在 ESU 佈建和連結範圍內有足夠的權限 (參與者角色或更高權限)。
最低核心數量:確認您已為 ESU 授權指定足夠的核心。 實體核心型授權需要每個機器至少 16 個核心,虛擬核心型授權則需要每個虛擬機器 (VM) 至少 8 個核心。
慣例:確認您已選取適當的訂用帳戶和資源群組,並已為 ESU 授權提供唯一的名稱。
ESU 註冊問題
如果您無法成功地將已啟用 Azure Arc 的伺服器連結至已啟用的擴充安全性更新授權,請確認符合下列條件:
連線能力:已啟用 Azure Arc 的伺服器已連線。 若要了解如何檢視已啟用 Azure Arc 之機器的狀態,請參閱代理程式狀態 (部分機器翻譯)。
代理程式版本:Connected Machine 代理程式為 1.34 版或更高版本。 如果代理程式版本低於 1.34,則必須將其更新為此版本或更高版本。
作業系統:只有執行 Windows Server 2012 和 2012 R2 作業系統的已啟用 Azure Arc 的伺服器才有資格在擴充安全性更新中進行註冊。
環境: 連線的計算機不應該在 Azure 本機、Azure VMware 解決方案 (AVS) 或 Azure 虛擬機上執行。 在這些案例中,WS2012 ESU 可供免費使用。 如需透過 Azure 本機的無成本 ESU 資訊,請參閱 透過 Azure 本機的免費延伸安全性更新。
授權屬性:確認授權已啟用,並已為其配置足夠的實體或虛擬核心,而可以支援預期的伺服器範圍。
資源提供者
如果您無法啟用此服務供應項目,請檢閱訂用帳戶上所註冊的資源提供者,如下所示。 如果您在嘗試註冊資源提供者時收到錯誤,請驗證訂用帳戶上的角色指派。 也請檢閱任何可能設定了「拒絕」效果,而會防止啟用這些資源提供者的潛在 Azure 原則。
Microsoft.HybridCompute:此資源提供者對於已啟用 Azure Arc 的伺服器而言非常重要,可讓您在 Azure 入口網站中上線及管理內部部署伺服器。
Microsoft.GuestConfiguration:啟用「來賓設定」原則,此原則可用來評估設定並在已啟用 Arc 的伺服器上強制執行,以實現合規性和安全性。
Microsoft.Compute:必須有此資源提供者才能進行 Azure 更新管理,其可用來管理內部部署伺服器上的更新和修補檔,包括 ESU 更新。
Microsoft.Security:啟用此資源提供者對於為 Azure Arc 和內部部署伺服器實作安全性相關功能和設定至關重要。
Microsoft.OperationalInsights:此資源提供者與 Azure 監視器和 Log Analytics 相關聯,可用於監視和收集混合式基礎結構 (包括內部部署伺服器) 的遙測資料。
Microsoft.Sql:如果您要管理內部部署 SQL Server 執行個體,而且需要 SQL Server 的 ESU,則必須啟用此資源提供者。
Microsoft.Storage:啟用此資源提供者對於管理儲存體資源很重要,這可能與混合式案例和內部部署案例有所關聯。
ESU 修補檔問題
ESU 修補檔狀態
若要偵測已啟用 Azure Arc 的伺服器是否已使用最新的 Windows Server 2012/R2 擴充安全性更新進行修補,請使用 Azure 更新管理員或 Azure 原則 Windows Server 2012 Arc 機器上應該安裝擴充安全性更新 - Microsoft Azure,這會檢查伺服器是否已收到最新的 WS2012 ESU 修補檔。 在 Azure Arc 所啟用的 WS2012 ESU 中,已註冊的已啟用 Azure Arc 的伺服器可以免費使用這兩個選項。
ESU 必要條件
請確定您已為已啟用 Azure Arc 的伺服器下載授權套件和服務堆疊更新 (SSU),如 KB5031043:在延伸支援於 2023 年 10 月 10 日結束之後,繼續接收安全性更新的程序所述。 請確實遵循準備傳遞 Windows Server 2012 擴充安全性更新 (部分機器翻譯) 中所記錄的所有網路必要條件。
錯誤:嘗試再次檢查 IMDS (HRESULT 12002 或 12029)
如果由 Azure Arc 啟用的擴充安全性更新安裝失敗,並出現「ESU:嘗試再次檢查 IMDS LastError=HRESULT_FROM_WIN32(12029)」或「ESU:嘗試再次檢查 IMDS LastError=HRESULT_FROM_WIN32(12002)」等錯誤,則可能需要使用下列其中一種方法來更新電腦所信任的中繼憑證授權單位。
重要
如果您執行最新版的 Azure 連線機器代理程式,則不需要安裝中繼 CA 憑證或允許對 PKI URL 的存取。 不過,如果在升級該代理程式之前已指派授權,則更換舊的授權最多可能需要 15 天。 在此期間,仍然需要中繼憑證。 在升級該代理程式後,您可以刪除 %ProgramData%\AzureConnectedMachineAgent\certs\license.json 授權檔來強制將其重新整理。
選項 1:允許存取 PKI URL
設定網路防火牆和/或 Proxy 伺服器,以允許從 Windows Server 2012 (R2) 機器存取 http://www.microsoft.com/pkiops/certs 和 https://www.microsoft.com/pkiops/certs (TCP 80 和 443)。 這可讓機器自動從 Microsoft 擷取任何遺漏的中繼 CA 憑證。
進行網路變更以允許存取 PKI URL 之後,請嘗試再次安裝 Windows 更新。 您可能需要將電腦重新開機,才能讓自動安裝憑證和驗證授權生效。
選項 2:手動下載並安裝中繼 CA 憑證
如果您無法允許從伺服器存取 PKI URL,則可以在每部機器上手動下載並安裝憑證。
在任何可存取網際網路的電腦上,下載下列中繼 CA 憑證:
將憑證檔案複製到 Windows Server 2012 (R2) 機器。
在提高權限的命令提示字元或 PowerShell 工作階段中執行下列任何一組命令,將憑證新增至本機電腦的「中繼憑證授權單位」存放區。 命令應從與憑證檔案相同的目錄中執行。 命令具有等冪性,如果您已經匯入憑證,則命令不會進行任何變更:
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt" certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt" certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt" certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"嘗試再次安裝 Windows 更新。 您可能需要將電腦重新開機,驗證邏輯才能辨識新匯入的中繼 CA 憑證。
錯誤:不符合資格 (HRESULT 1633)
如果您遇到「ESU:不符合資格 HRESULT_FROM_WIN32(1633)」錯誤,請遵循下列步驟:
Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds
如果您在透過已啟用 Arc 的伺服器成功註冊伺服器後,於接收 ESU 時遇到其他問題,或您需要與影響 ESU 部署之問題相關的其他資訊,請參閱針對 ESU 中的問題進行疑難排解 (部分機器翻譯)。