Доставка расширенных обновлений безопасности для Windows Server 2012

В этой статье приведены шаги по включению доставки расширенных обновлений безопасности (ESUs) на компьютеры Windows Server 2012, подключенные к серверам с поддержкой Arc. Вы можете включить ESUs для этих компьютеров по отдельности или в массовом порядке.

Перед началом

Планирование и подготовка к подключению компьютеров к серверам с поддержкой Azure Arc. Дополнительные сведения см. в статье "Подготовка к доставке расширенных обновлений безопасности для Windows Server 2012 ".

Вам также нужна роль участника в Azure RBAC для создания и назначения ESUs серверам с поддержкой Arc.

Управление лицензиями ESU

  1. Войдите в портал Azure в браузере.

  2. В меню службы в разделе "Лицензии" выберите лицензии Windows Server ESU.

    Снимок экрана: главное окно ESU с вкладкой лицензий и соответствующими ресурсами.

    Здесь вы можете просматривать и создавать лицензии ESU и просматривать соответствующие ресурсы для ESUs.

Создание лицензий Azure Arc Для Windows Server 2012

Первым шагом является подготовка лицензий Windows Server 2012 и 2012 R2 Extended Security Update из Azure Arc. Вы связываете эти лицензии с одним или несколькими серверами с поддержкой Arc, которые вы выбрали в следующем разделе.

После подготовки лицензии ESU необходимо указать номер SKU (Standard или Datacenter), тип ядер (физические или виртуальные ядра) и количество ядер для подготовки лицензии ESU. Вы также можете подготовить лицензию расширенного обновления безопасности в деактивированном состоянии, чтобы она не инициировала выставление счетов и не была функциональной при создании. Кроме того, ядра, связанные с лицензией, можно изменить после развертывания.

Примечание.

Для предоставления лицензий ESU вы должны подтвердить их покрытие службы Software Assurance (SA) или SPLA.

На вкладке "Лицензии" отображаются доступные лицензии Azure Arc Windows Server 2012. Здесь можно выбрать существующую лицензию для применения или создать новую лицензию.

Снимок экрана: существующие лицензии и параметр для создания новой.

  1. Чтобы создать новую лицензию на Windows Server 2012, нажмите кнопку "Создать", а затем укажите сведения, необходимые для настройки лицензии на странице.

    Для получения сведений о том, как выполнить этот шаг, смотрите Руководство по предоставлению лицензий для расширенных обновлений безопасности для Windows Server 2012.

  2. Просмотрите предоставленные сведения и нажмите кнопку "Создать".

    Созданная лицензия появится в списке. Вы можете связать его с одним или несколькими серверами с поддержкой Arc, выполнив действия, описанные в следующем разделе.

Вы можете выбрать один или несколько серверов с поддержкой Arc, чтобы связаться с лицензией расширенного обновления безопасности. После связывания сервера с активированной лицензией ESU сервер может получать ESUs Windows Server 2012 и 2012 R2.

Примечание.

Вы можете настроить решение для управления обновлениями для получения этих обновлений, будь то Менеджер обновлений, Службы обновления Windows Server, обновления Microsoft, Microsoft Endpoint Configuration Manager или стороннее решение для управления исправлениями.

  1. Перейдите на вкладку "Подходящие ресурсы" , чтобы просмотреть список всех серверов с поддержкой Arc под управлением Windows Server 2012 и 2012 R2.

    Снимок экрана: вкладка

    Столбец состояния ESUs указывает, активирован ли компьютер для ESUs.

  2. Чтобы включить ESUs для одного или нескольких компьютеров, выберите их в списке, а затем нажмите кнопку "Включить ESUs".

  3. На панели "Включить расширенные обновления безопасности" отображается количество компьютеров, выбранных для включения ESU и лицензий Windows Server 2012, доступных для применения. Выберите лицензию, чтобы связаться с выбранными компьютерами, а затем нажмите кнопку "Включить".

    Снимок экрана: параметры выбора лицензии для применения к ранее выбранным компьютерам.

    Примечание.

    Вы можете создать лицензию на этой странице, а не выбрать существующую, выбрав команду "Создать лицензию ESUs".

При возвращении на вкладку Доступные ресурсы отображается состояние выбранных машин как Включено.

Если во время процесса включения возникают проблемы, обратитесь к статье "Устранение неполадок с доставкой расширенных обновлений безопасности для Windows Server 2012 " для получения помощи.

Активировать ESUs в большом масштабе, используя политику Azure

Для горизонтального связывания серверов с лицензией расширенного обновления безопасности Azure Arc и блокировкой изменения или создания лицензий рекомендуется использовать следующие встроенные политики Azure:

Политики Azure можно указать в целевой подписке или группе ресурсов для сценариев аудита и управления.

Дополнительные сценарии

Существуют некоторые сценарии, в которых вы можете получить исправления расширенных обновлений безопасности без дополнительных затрат. Два из этих сценариев, поддерживаемых Azure Arc, — Dev/Test (Visual Studio) и аварийное восстановление (экземпляры DR, которые имеют право на получение преимуществ из Software Assurance или только из подписки. Для обоих этих сценариев требуется, чтобы вы уже использовали ESUs Windows Server 2012/R2, включенные через Azure Arc, для оплачиваемых, производственных машин.

Предупреждение

Не создавайте лицензию ESU на Windows Server 2012/R2 только для рабочих нагрузок разработки и тестирования или аварийного восстановления. Не следует подготавливать лицензию ESU только для неоплачиваемых рабочих нагрузок. Более того, вам будет выписан полный счет за все ядра, предоставленные с лицензией ESU, а все ядра для разработки и тестирования не будут включены в счет, если они должным образом помечены на основе следующих квалификаций.

Чтобы претендовать на эти сценарии, необходимо иметь следующие компоненты:

  • Платная лицензия ESU. Необходимо уже подготовить и активировать лицензию WS2012 Arc ESU, предназначенную для связывания с обычными серверами с поддержкой Azure Arc, работающими в рабочих средах (например, обычно оплачиваемых сценариях ESU). Эта лицензия должна быть предоставлена только для ядер, за которые взимается плата, а не для ядер, которые подпадают под действие бесплатных расширенных обновлений безопасности, например ядер для разработки и тестирования.

  • Серверы с поддержкой Arc. Подключение компьютеров Windows Server 2012 и Windows Server 2012 R2 к серверам с поддержкой Azure Arc для целей разработки и тестирования с помощью подписок Visual Studio или аварийного восстановления.

Чтобы зарегистрировать серверы с поддержкой Azure Arc, имеющие право на ESUs без дополнительных затрат, следуйте этим шагам для их отметки и привязки:

  1. Пометьте как лицензию WS2012 Arc ESU (созданную для производственной среды с ядрами только для серверов производственной среды), так и серверы непроизводственной среды с поддержкой Azure Arc, используя одну из следующих пар "имя-значение", соответствующих исключению:

    1. Имя: "Использование ESU"; Значение: "WS2012 VISUAL STUDIO DEV TEST"

    2. Имя: "Использование ESU"; Значение: "Восстановление после сбоя WS2012"

    В случае, если вы используете лицензию ESU для нескольких сценариев исключений, пометьте лицензию тегом: "Использование ESU"; Значение: "WS2012 MULTIPURPOSE"

  2. Свяжите помеченную лицензию (созданную для рабочей среды с ядрами только для серверов рабочей среды) с компьютерами Windows Server 2012 и Windows Server 2012 R2, активированными в Azure Arc, для непродуктивной среды. Не лицензируйте ядра для этих серверов и не создавайте новую лицензию ESU только для этих серверов.

Это связывание не приведет к нарушению требований или блокировке соблюдения, что позволяет расширить применение лицензии за пределы выделенных ядер. Ожидается, что лицензия включает только ядра для производственных и платных серверов. Плата за любые дополнительные ядра будет взиматься, что приведет к чрезмерным начислениям.

Внимание

Добавление этих тегов в лицензию не делает лицензию бесплатной или уменьшает количество ядер лицензий, которые оплачиваются. Эти теги позволяют связать компьютеры Azure с существующими лицензиями, которые уже настроены с платными ядрами без необходимости создавать новые лицензии или добавлять дополнительные ядра на бесплатные компьютеры.

Пример:

  • У вас есть восемь экземпляров Windows Server 2012 R2 Standard, каждый из которых содержит восемь физических ядер. Шесть из этих компьютеров Windows Server 2012 R2 Standard предназначены для рабочей среды, и 2 из этих компьютеров Windows Server 2012 R2 Standard имеют право на бесплатные ESUs, так как операционная система была лицензирована с помощью подписки Visual Studio Dev Test.
    • Сначала следует подготовить и активировать обычную лицензию ESU для Windows Server 2012/R2, которая является выпуском Standard и имеет 48 физических ядер для покрытия 6 рабочих компьютеров. Вы должны связать эту обычную рабочую лицензию ESU с шестью рабочими серверами.
    • Затем следует повторно использовать эту существующую лицензию, не добавлять больше ядер или подготавливать отдельную лицензию, а также связывать эту лицензию с двумя непроизводными компьютерами Windows Server 2012 R2 уровня "Стандартный". Следует пометить лицензию ESU и два непроизводственных сервера Windows Server 2012 R2 стандартного уровня меткой с именем: "Использование ESU" и значением: "WS2012 VISUAL STUDIO DEV TEST".
    • Это приводит к лицензии ESU для 48 ядер, и вам будет выставлен счет за эти 48 ядер. Вы не будете взимать плату за дополнительные 16 ядер тестовых серверов разработки, которые вы добавили в эту лицензию, если лицензия ESU и ресурсы тестового сервера разработки помечены соответствующим образом.

Примечание.

Для начала вам нужна стандартная производственная лицензия, и вам будут выставлены счета только за производственные ядра.

Обновление с Windows Server 2012/2012 R2

При обновлении компьютера Windows Server 2012/2012R до Windows Server 2016 или более поздней версии не требуется удалять агент подключенного компьютера с компьютера. Новая операционная система будет отображаться для компьютера в Azure в течение нескольких минут после завершения обновления. Обновленные компьютеры больше не требуют ESUs и больше не имеют права на их использование. Любая лицензия ESU, связанная с компьютером, не отвязывается от него автоматически. Смотрите инструкции по отмене связи с лицензией для выполнения этого вручную.

Оценка статуса обновления расширенной безопасности для Windows Server 2012

Чтобы определить, обновлены ли серверы с поддержкой Azure Arc последними обновлениями расширенной безопасности Windows Server 2012/R2, можно использовать политику Azure расширенные обновления безопасности должны быть установлены на компьютерах с Windows Server 2012 Arc. Это определение политики, на базе конфигурации компьютера, определяет, получил ли сервер последние исправления ESU. Это можно наблюдать из представлений соответствия политик Azure и гостевых назначений, встроенных на портал Azure.

  • Last updated on