Поделиться через

Устранение неполадок с доставкой расширенных обновлений безопасности для Windows Server 2012

В этой статье объясняется, как определить и устранить проблемы при включении расширенных обновлений безопасности (ESU) для Windows Server 2012 и Windows Server 2012 R2 с помощью серверов с поддержкой Azure Arc. Используйте эти действия по устранению распространенных проблем с лицензированием ESU, регистрацией, регистрацией поставщика ресурсов и доставкой исправлений.

Проблемы с подготовкой лицензий

Если вы не можете подготовить лицензию ESU windows Server 2012 для серверов с поддержкой Azure Arc, убедитесь, что выполнены следующие условия:

  • Разрешения: Убедитесь, что у вас есть достаточные разрешения (роль участника или выше) в рамках подготовки и связывания ESU.

  • Основные минимумы: Убедитесь, что вы указали достаточные ядра для лицензии ESU. Для лицензий на основе физических ядер требуется не менее 16 ядер на каждую машину, а для лицензий на основе виртуальных ядер требуется не менее восьми ядер на виртуальную машину.

  • Условие: Убедитесь, что вы выбрали соответствующую подписку и группу ресурсов, а также задали уникальное имя для лицензии ESU.

Проблемы с зачислением в ESU

Если вы не можете успешно связать сервер с поддержкой Azure Arc с активированной лицензией ESU, убедитесь, что выполнены следующие условия:

  • Подключение: сервер с поддержкой Azure Arc подключен. Сведения о просмотре состояния компьютеров с поддержкой Azure Arc см. в разделе "Состояние агента".

  • Версия агента: агент Connected Machine версии 1.34 или выше. Если версия агента меньше 1.34, необходимо обновить ее до этой версии или выше.

  • Операционная система: Только серверы с поддержкой Azure Arc под управлением операционной системы Windows Server 2012 и Windows Server 2012 R2 могут быть зарегистрированы в ESU.

  • Среды: Подключенный компьютер не должен работать в локальной среде Azure, решении Azure VMware (AVS) или в качестве виртуальной машины Azure. В этих сценариях ESU Windows Server 2012 доступна бесплатно. Дополнительные сведения о ESUS без затрат в локальной среде Azure см. в статье "Бесплатные расширенные обновления безопасности" с помощью локальной службы Azure.

  • Свойства лицензии: Убедитесь, что лицензия активируется и выделяется достаточно физических или виртуальных ядер для поддержки предполагаемой области серверов.

Поставщики ресурсов

Если вы не можете включить это предложение, просмотрите поставщики ресурсов, зарегистрированные в подписке. Если при попытке регистрации поставщиков ресурсов возникает ошибка, проверьте назначения ролей в подписке. Кроме того, просмотрите все потенциальные политики Azure, которые могут быть установлены с помощью политики запрета , предотвращая включение этих поставщиков ресурсов:

  • Microsoft.HybridCompute: этот поставщик ресурсов необходим для серверов с поддержкой Azure Arc, что позволяет подключить локальные серверы и управлять ими в портал Azure.

  • Microsoft.GuestConfiguration: включает политики гостевой конфигурации, которые используются для оценки и применения конфигураций на серверах с поддержкой Arc для обеспечения соответствия требованиям и безопасности.

  • Microsoft.Compute: этот поставщик ресурсов необходим для управления обновлениями Azure, который используется для управления обновлениями и исправлениями на локальных серверах, включая обновления ESU.

  • Microsoft.Security. Включение этого поставщика ресурсов имеет решающее значение для реализации функций и конфигураций, связанных с безопасностью, как для локальных серверов, так и для Azure Arc.

  • Microsoft.OperationalInsights: Этот поставщик ресурсов связан с Azure Monitor и Log Analytics, который используется для мониторинга и сбора данных телеметрии из гибридной инфраструктуры, включая локальные серверы.

  • Microsoft.Sql. Если вы управляете локальными экземплярами SQL Server и требуете ESU для SQL Server, необходимо включить этот поставщик ресурсов.

  • Microsoft.Storage. Включение этого поставщика ресурсов важно для управления ресурсами хранилища, которые могут быть актуальными для гибридных и локальных сценариев.

Проблемы с исправлением ESU

Статус патча ESU

Чтобы определить, исправлены ли серверы с поддержкой Azure Arc с помощью последней версии ESU Windows Server 2012 (R2), используйте Диспетчер обновлений Azure или политику Azure. (предварительная версия): на компьютерах Windows Server 2012 Arc должны быть установлены расширенные обновления безопасности, проверяет, были ли получены последние исправления ESU для Windows Server 2012.

Оба этих варианта доступны без дополнительных затрат для серверов с включенной поддержкой Azure Arc, зарегистрированных в Windows Server 2012 ESU и включенных с помощью Azure Arc.

Требования к ESU

Убедитесь, что пакет лицензирования и обновление стека обслуживания скачиваются для сервера с поддержкой Azure Arc, как описано в KB5031043: процедура продолжения получения обновлений системы безопасности после окончания расширенной поддержки 10 октября 2023 года. Убедитесь, что вы выполняете все сетевые требования, как описано в Подготовка к доставке расширенных обновлений безопасности для Windows Server 2012.

Устранение ошибок

Ошибка: попытка повторной проверки IMDS (HRESULT 12002 или 12029)

При установке ESU с поддержкой Azure Arc и появлении следующих ошибок службы метаданных экземпляра (IMDS):

ESU: Trying to Check IMDS Again LastError=HRESULT_FROM_WIN32(12002)

ESU: Trying to Check IMDS Again LastError=HRESULT_FROM_WIN32(12029)

Возможно, потребуется обновить промежуточные центры сертификации, доверяемые вашим компьютером, с помощью одного из следующих методов.

Внимание

Если вы используете последнюю версию агента подключенного компьютера Azure, вам не нужно устанавливать промежуточные сертификаты ЦС или разрешать доступ к URL-адресу инфраструктуры открытых ключей (PKI). Однако если лицензия уже была назначена до обновления агента, для замены старой лицензии может потребоваться до 15 дней. В течение этого времени промежуточный сертификат по-прежнему требуется. После обновления агента можно удалить файл %ProgramData%\AzureConnectedMachineAgent\certs\license.json лицензии, чтобы принудительно обновить его.

Вариант 1. Разрешить доступ к URL-адресу PKI

Настройте сетевой брандмауэр и/или прокси-сервер, чтобы разрешить доступ с Windows Server 2012 (R2) к http://www.microsoft.com/pkiops/certs и https://www.microsoft.com/pkiops/certs через порты TCP 80 и 443. Это позволяет компьютерам автоматически извлекать отсутствующие промежуточные сертификаты ЦС от Корпорации Майкрософт.

# Define firewall rule name
$ruleNameHttp = "Allow_HTTP_to_MicrosoftPKI"
$ruleNameHttps = "Allow_HTTPS_to_MicrosoftPKI"

# Allow outgoing traffic to any IP address on TCP port 80 (HTTP)
New-NetFirewallRule -DisplayName $ruleNameHttp `
    -Direction Outbound `
    -Action Allow `
    -Protocol TCP `
    -RemotePort 80 `
    -Profile Any `
    -Description "Allow outbound HTTP traffic to Microsoft PKI OPS"

# Allow outgoing traffic to any IP address on TCP port 443 (HTTPS)
New-NetFirewallRule -DisplayName $ruleNameHttps `
    -Direction Outbound `
    -Action Allow `
    -Protocol TCP `
    -RemotePort 443 `
    -Profile Any `
    -Description "Allow outbound HTTPS traffic to Microsoft PKI OPS"

После внесения изменений в сеть, чтобы разрешить доступ к URL-адресу PKI, повторите установку обновлений Windows. Возможно, потребуется перезагрузить компьютер для автоматической установки сертификатов и проверки лицензии, чтобы вступили в силу.

Вариант 2. Скачивание и установка промежуточных сертификатов ЦС вручную

Если вы не можете разрешить доступ к URL-адресу PKI с серверов, вы можете вручную скачать и установить сертификаты на каждом компьютере.

  1. На любом компьютере с доступом к Интернету скачайте эти промежуточные сертификаты ЦС:

    1. Microsoft Azure RSA TLS выдающий ЦС 03
    2. Microsoft Azure RSA TLS, выдавая ЦС 04
    3. Удостоверяющий центр Microsoft Azure RSA TLS 07
    4. Microsoft Azure RSA TLS Центр сертификации 08

  2. Скопируйте файлы сертификатов на компьютеры Windows Server 2012 (R2).

  3. Выполните любой набор следующих команд в командной строке с повышенными привилегиями или сеансе PowerShell, чтобы добавить сертификаты в хранилище промежуточных центров сертификации для локального компьютера. Команда должна выполняться из того же каталога, что и файлы сертификатов. Эти команды безопасно выполнять несколько раз, и если сертификат уже установлен, ничего не изменится.

    certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt"
certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"

  4. Повторите установку обновлений Windows. Возможно, потребуется перезагрузить компьютер для логики проверки, чтобы распознать недавно импортированные промежуточные сертификаты ЦС.

Ошибка: не подходит (HRESULT 1633)

Если возникла ошибка ESU: not eligible HRESULT_FROM_WIN32(1633), выполните следующую команду:

Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service HIMDS

Если у вас возникли другие проблемы, связанные с получением ESU после успешной регистрации сервера с поддержкой Arc, или вам нужна дополнительная информация, связанная с проблемами, связанными с развертыванием ESU, см. статью "Устранение неполадок в ESU".

  • Last updated on