Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
С Windows Server 2012 и Windows Server 2012 R2, поддержка которых завершилась 10 октября 2023 года, серверы с поддержкой Azure Arc позволяют зарегистрировать существующие серверы Windows Server 2012/2012 R2 в программу Расширенных обновлений системы безопасности (ESU). Предоставляя гибкость затрат и расширенный интерфейс доставки, Azure Arc лучше позиционирует вас для миграции в Azure.
Цель этой статьи — помочь вам понять преимущества и как подготовиться к использованию серверов с поддержкой Arc, чтобы обеспечить доставку ESUS.
Примечание.
виртуальные машины Azure VMware Solution (AVS) имеют право на бесплатные ESUs и не должны быть зарегистрированы в ESUs через Azure Arc.
Ключевые преимущества
Доставка ESUs на компьютеры Windows Server 2012/2012 R2 обеспечивает следующие ключевые преимущества:
Оплата по мере использования: гибкость оформления ежемесячной подписки с возможностью перехода в течение года.
Плата за Azure: вы можете сократить существующие обязательства по использованию Microsoft Azure (MACC) и проанализировать затраты с помощью управления затратами Майкрософт и выставления счетов.
Встроенная инвентаризация: статус покрытия и регистрации Windows Server 2012/2012 R2 в рамках ESUs на серверах с поддержкой Arc определяется в портале Azure, выявляя пробелы и изменения в статусе.
Доставка без ключей: регистрация ESUs на компьютерах Windows Server 2012/2012 R2 с поддержкой Azure Arc не требует приобретения или активации ключей.
Доступ к службам Azure
Для серверов с поддержкой Azure Arc, зарегистрированных в WS2012 ESUs, которые включены через Azure Arc, с 10 октября 2023 года предоставляется бесплатный доступ к следующим службам Azure.
- Менеджер обновлений Azure — это единое решение для управления и контроля соответствия обновлений, которое охватывает не только машины Azure и гибридные системы, но также соответствие обновлений ESU для всех машин Windows Server 2012 и 2012 R2. Регистрация в ESUs не влияет на Диспетчер обновлений Azure. После регистрации в ESUs через Azure Arc сервер получает право на исправления ESU. Эти исправления можно доставлять с помощью Диспетчера обновлений Azure или любого другого решения по исправлению. Вам по-прежнему потребуется настроить обновления через Microsoft Updates или службы обновления Windows Server.
- Отслеживание изменений и инвентаризация. Отслеживание изменений в виртуальных машинах, размещенных в Azure, локальной среде и других облачных средах.
- Azure Policy Guest Configuration — аудит настроек конфигурации на виртуальной машине. Гостевая конфигурация поддерживает виртуальные машины Azure напрямую и физические и виртуальные серверы, не относящиеся к Azure, посредством серверов с поддержкой Azure Arc.
Другие службы Azure через серверы с поддержкой Azure Arc также доступны с такими предложениями, как:
- Microsoft Defender для облака . В рамках компонента управления безопасностью облака (CSPM) она обеспечивает защиту серверов через Microsoft Defender для серверов, чтобы защитить вас от различных киберугрыз и уязвимостей.
- Microsoft Sentinel — собирает события, связанные с безопасностью, и сопоставляет их с другими источниками данных.
Подготовка доставки ESUs
Планирование и подготовка к подключению компьютеров к серверам с поддержкой Azure Arc с помощью установки агента подключенного компьютера Azure (версия 1.34 или более поздней версии) для установления подключения к Azure.
После установки этого подключения можно зарегистрировать серверы для получения расширенных обновлений безопасности (ESUS). Расширенные обновления безопасности Windows Server 2012 поддерживают выпуски Windows Server 2012 и R2 Standard и Datacenter. Хранилище Windows Server 2012 не поддерживается.
Рекомендуем развернуть ваши машины в Azure Arc в рамках подготовки к тому времени, когда связанные службы Azure предоставят поддерживаемую функциональность для управления ESU. После подключения этих компьютеров к серверам с поддержкой Azure Arc вы получите доступ к данным об охвате ESU и сможете зарегистрироваться через портал Azure или с помощью Azure Policy. Выставление счетов за эту службу начинается с октября 2023 г. (т. е. после окончания поддержки Windows Server 2012).
Примечание.
Чтобы приобрести ESUs, необходимо использовать Software Assurance с помощью программ корпоративного лицензирования, таких как Корпоративное соглашение (EA), Соглашение Enterprise Subscription (EAS), подписка на решения для образовательных учреждений (EES), серверная и облачная подписка (SCE) или через программы Microsoft Open Value. Если ваши компьютеры Windows Server 2012/2012 R2 лицензированы через SPLA или имеют подписку на сервер, Software Assurance для приобретения дополнительных обновлений безопасности (ESU) не требуется.
Скачайте пакет лицензирования и обновление стека обслуживания (SSU) для сервера с поддержкой Azure Arc, как это задокументировано в KB5031043: Процедуре получения обновлений безопасности после завершения расширенной поддержки 10 октября 2023 года.
Параметры развертывания
Существует несколько вариантов крупномасштабного внедрения для серверов с поддержкой Azure Arc.
Запустите пользовательскую последовательность задач с помощью Диспетчера конфигураций.
Развертывание запланированной задачи с помощью групповой политики.
Используйте управляемые виртуальные машины VMware vCenter через Azure Arc.
Используйте управляемые виртуальные машины SCVMM через Azure Arc.
Примечание.
Доставка ESUs через Azure Arc на виртуальные машины, работающие на инфраструктуре виртуальных рабочих столов (VDI), не рекомендуется. Системы VDI должны использовать несколько ключей активации (MAK) для применения ESUs. Дополнительные сведения см. в разделе "Доступ к ключу множественной активации" в Центре администрирования Microsoft 365.
Сеть
Убедитесь, что на компьютерах есть необходимое сетевое подключение к Azure Arc. Доступны следующие варианты подключения:
- Общедоступная конечная точка
- Прокси-сервер
- Частное соединение или Azure Express Route.
Просмотрите предварительные требования к сети для подготовки сред, отличных от Azure, для развертывания в Azure Arc.
Если вы используете серверы с поддержкой Azure Arc только для расширенных обновлений безопасности для любого из следующих продуктов:
- Windows Server 2012
- SQL Server 2012
Вы можете включить следующее подмножество конечных точек:
| Ресурс агента | Описание | При необходимости | Конечная точка, используемая с частной ссылкой |
|---|---|---|---|
download.microsoft.com |
Используется для скачивания пакета установки Windows | Во время установки только 1 | Общедоступный |
login.windows.net |
Microsoft Entra ID | Всегда | Общедоступный |
login.microsoftonline.com |
Microsoft Entra ID | Всегда | Общедоступный |
*.login.microsoft.com |
Microsoft Entra ID | Всегда | Общедоступный |
management.azure.com |
Azure Resource Manager — создание или удаление ресурса сервера Arc | При подключении или отключении сервера только | Общедоступная, если не настроена приватная ссылка на управление ресурсами |
*.his.arc.azure.com |
Метаданные и гибридные сервисы идентификации | Всегда | Частный |
*.guestconfiguration.azure.com |
Службы управления расширениями и гостевой конфигурации | Всегда | Частный |
www.microsoft.com/pkiops/certs |
Обновления промежуточного сертификата для ESUs (примечание: использует HTTP/TCP 80 и HTTPS/TCP 443) | Всегда для автоматических обновлений или временно при скачивании сертификатов вручную. | Общедоступный |
*.<region>.arcdataservices.com |
Служба обработки данных Azure Arc и данные телеметрии служб. | SQL Server расширенные обновления безопасности (ESUs) | Общедоступный |
*.blob.core.windows.net |
Скачивание пакета расширения SQL Server | SQL Server ESUs | Не требуется, если используется Приватный канал |
1 Доступ к этому URL-адресу также необходим при автоматическом выполнении обновлений.
Совет
Чтобы воспользоваться полным спектром предложений для серверов с поддержкой Arc, таких как расширения и удаленное подключение, убедитесь, что вы разрешаете дополнительные URL-адреса, которые применяются к вашему сценарию. Дополнительные сведения см. в разделе "Требования к сети агента подключенного компьютера".
Необходимые центры сертификации
Для расширенных обновлений системы безопасности для Windows Server 2012 требуются следующие центры сертификации:
- Microsoft Azure RSA TLS выдающий ЦС 03
- Удостоверяющий центр Microsoft Azure RSA TLS 04
- Удостоверяющий центр Microsoft Azure RSA TLS Issuing CA 07
- Удостоверяющий центр Microsoft Azure RSA TLS CA 08
При необходимости, эти организации, выдающие сертификаты, можно скачать и установить вручную.
Следующие шаги
Узнайте больше о планировании окончания поддержки для Windows Server и SQL Server и получении расширенных обновлений системы безопасности.
Узнайте о лучших практиках и шаблонах проектирования, используя акселератор целевой зоны Azure Arc для гибридной и многоплатформенной облачной среды.
Узнайте больше о серверах с поддержкой Arc и о том, как они работают с Azure с помощью агента подключенного компьютера Azure.
Ознакомьтесь с параметрами подключения компьютеров к серверам с поддержкой Azure Arc.