Устранение неполадок с доставкой расширенных обновлений безопасности для Windows Server 2012

В этой статье содержатся сведения об устранении неполадок и устранении проблем, которые могут возникнуть при включении расширенных обновлений безопасности для Windows Server 2012 и Windows Server 2012 R2 с помощью серверов с поддержкой Arc.

Проблемы с подготовкой лицензий

Если вы не можете подготовить лицензию windows Server 2012 Extended Security Update для серверов с поддержкой Azure Arc, проверьте следующее:

• Разрешения: Убедитесь, что у вас есть достаточные разрешения (роль участника или выше) в рамках предоставления и привязки ESU.

• Минимальные значения основных компонентов. Убедитесь, что для лицензии ESU задано достаточное количество ядер. Для лицензий на основе физических ядер требуется не менее 16 ядер на каждую машину, а для лицензий на основе виртуальных ядер требуется не менее 8 ядер на виртуальную машину.

• Инструкции: Убедитесь, что выбрана соответствующая подписка и группа ресурсов и предоставлено уникальное имя для лицензии ESU.

Проблемы с зачислением в ESU

Если вы не можете успешно связать сервер с поддержкой Azure Arc с активированной лицензией расширенных обновлений безопасности, убедитесь, что выполнены следующие условия:

• Подключение: сервер с поддержкой Azure Arc подключен. Сведения о просмотре состояния компьютеров с поддержкой Azure Arc см. в разделе "Состояние агента".

• Версия агента: агент Connected Machine версии 1.34 или выше. Если версия агента меньше 1.34, необходимо обновить ее до этой версии или выше.

• Операционная система: только серверы с поддержкой Azure Arc под управлением операционной системы Windows Server 2012 и 2012 R2 могут быть зарегистрированы в расширенных обновлениях системы безопасности.

• Среда. Подключенная машина не должна работать в локальной среде Azure, решении Azure VMware (AVS) или в качестве виртуальной машины Azure. В этих сценариях WS2012 ESUs доступны бесплатно. Дополнительные сведения о ESUS без затрат в локальной среде Azure см. в статье "Бесплатные расширенные обновления безопасности" с помощью локальной службы Azure.

• Свойства лицензии: убедитесь, что лицензия активирована и выделена достаточно физических или виртуальных ядер для поддержки предполагаемой области серверов.

Поставщики ресурсов

Если вы не можете включить это предложение, просмотрите поставщики ресурсов, зарегистрированные в подписке, как указано ниже. Если при попытке регистрации поставщиков ресурсов возникает ошибка, проверьте назначение ролей в подписке. Кроме того, просмотрите все потенциальные политики Azure, которые могут быть заданы с эффектом "Запретить", предотвращая включение этих поставщиков ресурсов.

• Microsoft.HybridCompute: этот поставщик ресурсов необходим для серверов с поддержкой Azure Arc, что позволяет подключить локальные серверы и управлять ими в портал Azure.

• Microsoft.GuestConfiguration: включает политики гостевой конфигурации, которые используются для оценки и применения конфигураций на серверах с поддержкой Arc для обеспечения соответствия требованиям и безопасности.

• Microsoft.Compute: этот поставщик ресурсов необходим для управления обновлениями Azure, который используется для управления обновлениями и исправлениями на локальных серверах, включая обновления ESU.

• Microsoft.Security. Включение этого поставщика ресурсов имеет решающее значение для реализации функций и конфигураций, связанных с безопасностью, как для локальных серверов, так и для Azure Arc.

• Microsoft.OperationalInsights: этот поставщик ресурсов связан с Azure Monitor и Log Analytics, которые используются для мониторинга и сбора данных телеметрии из гибридной инфраструктуры, включая локальные серверы.

• Microsoft.Sql. Если вы управляете локальными экземплярами SQL Server и требуете ESU для SQL Server, необходимо включить этот поставщик ресурсов.

• Microsoft.Storage. Включение этого поставщика ресурсов важно для управления ресурсами хранилища, которые могут быть актуальными для гибридных и локальных сценариев.

Проблемы с исправлением ESU

Статус патча ESU

Чтобы определить, установлены ли на серверах с поддержкой Azure Arc самые свежие расширенные обновления безопасности для Windows Server 2012/R2, используйте Диспетчер обновлений Azure или политику Azure Расширенные обновления безопасности должны быть установлены на компьютерах Windows Server 2012 с поддержкой Arc - Microsoft Azure, чтобы проверить, были ли получены последние патчи ESU для WS2012. Оба этих варианта доступны без дополнительных затрат для серверов с поддержкой Azure Arc, зарегистрированных в WS2012 ESUs, активированных через Azure Arc.

Требования к ESU

Убедитесь, что пакет лицензирования и обновление стека обслуживания скачиваются для сервера с поддержкой Azure Arc, как описано в KB5031043: процедура продолжения получения обновлений системы безопасности после окончания расширенной поддержки 10 октября 2023 года. Убедитесь, что вы выполняете все предварительные требования к сети, записанные в документации по подготовке к доставке расширенных обновлений безопасности для Windows Server 2012.

Ошибка: попытка повторной проверки IMDS (HRESULT 12002 или 12029)

Если установка расширенного обновления безопасности, включенного Azure Arc, завершается ошибками, такими как "ESU: попытка проверить IMDS еще раз LastError=HRESULT_FROM_WIN32(12029)" или "ESU: попытка проверить IMDS еще раз LastError=HRESULT_FROM_WIN32(12002)", возможно, вам потребуется обновить доверенные центры сертификации вашего компьютера, воспользовавшись одним из следующих методов.

Вариант 1. Разрешить доступ к URL-адресу PKI

Настройте сетевой брандмауэр и/или прокси-сервер, чтобы разрешить доступ с Windows Server 2012 (R2) к http://www.microsoft.com/pkiops/certs и https://www.microsoft.com/pkiops/certs через порты TCP 80 и 443. Это позволит компьютерам автоматически извлекать отсутствующие промежуточные сертификаты ЦС от Майкрософт.

После внесения изменений в сеть, чтобы разрешить доступ к URL-адресу PKI, повторите установку обновлений Windows. Возможно, потребуется перезагрузить компьютер для автоматической установки сертификатов и проверки лицензии, чтобы вступили в силу.

Вариант 2. Скачивание и установка промежуточных сертификатов ЦС вручную

Если вы не можете разрешить доступ к URL-адресу PKI с серверов, вы можете вручную скачать и установить сертификаты на каждом компьютере.

1. На любом компьютере с доступом к Интернету скачайте эти промежуточные сертификаты ЦС:

   1. Microsoft Azure RSA TLS Issuing CA 03
   2. Microsoft Azure RSA TLS, выдавая ЦС 04
   3. Удостоверяющий центр Microsoft Azure RSA TLS 07
   4. Microsoft Azure RSA TLS Центр сертификации 08

2. Скопируйте файлы сертификатов на компьютеры Windows Server 2012 (R2).

3. Выполните любой набор следующих команд в командной строке с повышенными привилегиями или сеансе PowerShell, чтобы добавить сертификаты в хранилище промежуточных центров сертификации для локального компьютера. Команда должна выполняться из того же каталога, что и файлы сертификатов. Команды идемпотентные и не будут вносить никаких изменений, если вы уже импортировали сертификат.

   certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 03 - xsign.crt"
   certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 04 - xsign.crt"
   certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 07 - xsign.crt"
   certutil -addstore CA "Microsoft Azure RSA TLS Issuing CA 08 - xsign.crt"
   

4. Повторите установку обновлений Windows. Возможно, потребуется перезагрузить компьютер для логики проверки, чтобы распознать недавно импортированные промежуточные сертификаты ЦС.

Ошибка: не подходит (HRESULT 1633)

Если возникла ошибка "ESU: не соответствует требованиям HRESULT_FROM_WIN32(1633)", выполните следующие действия:

Remove-Item "$env:ProgramData\AzureConnectedMachineAgent\Certs\license.json" -Force
Restart-Service himds

Если после успешной регистрации сервера с поддержкой Arc у вас возникают другие проблемы с получением ESU или вам нужна дополнительная информация, связанная с проблемами, влияющими на развертывание ESU, см. статью "Устранение неполадок в ESU".