你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文分步介绍如何将扩展安全更新 (ESU) 提供给已启用 Arc 的服务器中加入的 Windows Server 2012 计算机。 可单独或大规模地向这些计算机提供 ESU。
开始之前
计划和准备将计算机加入已启用 Azure Arc 的服务器。 若要了解详细信息,请参阅准备为 Windows Server 2012 提供扩展安全更新。
还需要 Azure RBAC 中的参与者角色来创建 ESU 并将其分配给已启用 Arc 的服务器。
管理 ESU 许可证
在浏览器中,登录到 Azure 门户。
在服务菜单中的 “许可证”下,选择 “Windows Server ESU 许可证”。
在此处,可以查看和创建 ESU 许可证,并查看对 ESU 来说符合条件的资源。
创建 Azure Arc Windows Server 2012 许可证
第一步是从 Azure Arc 预配 Windows Server 2012 和 2012 R2 扩展安全更新许可证。将这些许可证链接到下一部分中选择的一个或多个已启用 Arc 的服务器。
预配 ESU 许可证后,需要指定 SKU(标准或数据中心)、核心类型(物理或 vCore),以及预配 ESU 许可证的核心数。 还可在停用状态下预配扩展安全更新许可证,以便它不会启动计费或在创建时正常运行。 此外,预配后可修改与许可证关联的核心。
注意
要预配 ESU 许可证,你需要证明其 SA 或 SPLA 覆盖范围。
“ 许可证 ”选项卡显示可用的 Azure Arc Windows Server 2012 许可证。 你可在此选择一个现有许可证并应用,或创建一个新的许可证。
若要创建新的 Windows Server 2012 许可证,请选择“ 创建”,然后提供页面上配置许可证所需的信息。
若要详细了解如何完成此步骤,请参阅 Windows Server 2012 扩展安全更新的许可证预配指南。
查看提供的信息,然后选择“创建”。
创建的许可证将显示在列表中。 可以按照下一部分中的步骤将其链接到一个或多个已启用 Arc 的服务器。
将 ESU 许可证链接到已启用 Arc 的服务器
可以选择一个或多个已启用 Arc 的服务器以链接到扩展安全更新许可证。 将服务器链接到已激活的 ESU 许可证后,服务器有资格接收 Windows Server 2012 和 2012 R2 ESU。
注意
你可以灵活地配置所选择的修补解决方案来接收这些更新 - 无论它是更新管理器、Windows Server Update Services、Microsoft 更新、Microsoft Endpoint Configuration Manager,还是第三方补丁管理解决方案。
选择“ 符合条件的资源 ”选项卡以查看运行 Windows Server 2012 和 2012 R2 的所有已启用 Arc 的服务器的列表。
ESU 状态列指示计算机是否已启用 ESU。
若要为一台或多台计算机启用 ESU,请在列表中选择它们,然后选择“启用 ESU”。
在 “启用扩展安全更新 ”窗格中,它显示选择启用 ESU 的计算机数和可用的 Windows Server 2012 许可证。 选择要链接到所选计算机的许可证,然后选择“启用”。
注意
可以通过选择“ 创建 ESU 许可证”,从此页面创建许可证,而不是选择现有许可证。
返回到 “符合条件的资源 ”选项卡时,会看到所选计算机的状态显示 “已启用”。
如果在启用过程中出现问题,请参阅 排查 Windows Server 2012 扩展安全更新的交付 问题以获取帮助。
使用 Azure Policy 大规模启用 ESU
若要大规模将服务器链接到 Azure Arc 扩展安全更新许可证并锁定许可证修改或创建,请考虑使用以下内置 Azure 策略:
可以将 Azure 策略指定给目标订阅或资源组,以在审核和管理场景中使用。
其他方案
在一些情况下,你可能有资格接收扩展安全更新补丁,无需额外付费。 Azure Arc 支持下面两种场景:开发/测试 (Visual Studio) 和灾难恢复(仅限来自软件保障或订阅的符合权益条件的 DR 实例)。 这两种场景都要求使用 Azure Arc 为可计费生产计算机启用的 Windows Server 2012/R2 ESU。
警告
请勿仅为开发/测试或灾难恢复工作负载创建 Windows Server 2012/R2 ESU 许可证。 不应仅为不可计费的工作负荷预配 ESU 许可证。 此外,使用 ESU 许可证预配的所有核心都将完整计费,许可证上的开发/测试核心只要根据下文的条件打标签就不会计费。
为了符合这些场景的要求,你必须已拥有以下项:
可计费的 ESU 许可证。 必须已预配并激活 WS2012 Arc ESU 许可证,该许可证旨在链接到生产环境中运行的常规已启用 Azure Arc 的服务器(例如通常计费的 ESU 方案)。 应该仅对计费核心预配此许可证,而不要对符合免费扩展安全更新条件的核心预配(例如开发/测试核心)。
已启用 Arc 的服务器。 已将 Windows Server 2012 和 Windows Server 2012 R2 计算机加入已启用 Azure Arc 的服务器,以便进行 Visual Studio 订阅的开发/测试或者进行灾难恢复。
若要免费注册符合 ESU 条件的已启用 Azure Arc 的服务器,请执行以下步骤来进行标记和链接:
使用与相应异常对应的以下名称-值对之一标记 WS2012 Arc ESU 许可证(为生产环境创建,核心仅用于生产环境服务器)和已启用 Azure Arc 的服务器:
名称:“ESU 使用情况”;值:“WS2012 VISUAL STUDIO DEV TEST”
名称:“ESU 使用情况”;值:“WS2012 灾难恢复”
如果对多个异常场景使用 ESU 许可证,请使用以下标记来标记许可证 - 名称:“ESU 使用”;值:“WS2012 多用途”
将带标记的许可证(为生产环境创建,核心仅用于生产环境服务器)链接到已标记的已启用 Azure Arc 的非生产 Windows Server 2012 和 Windows Server 2012 R2 计算机。 请勿为这些服务器授予核心许可证,也勿仅为这些服务器创建新的 ESU 许可证。
这种链接不会触发合规性冲突或强制阻止,从而让你能够将许可证的应用扩展到其预配的核心之外。 许可证预计仅包括生产服务器和计费服务器的核心。 任何附加的核心都会产生费用,因而会导致超额计费。
重要
将这些标记添加到许可证不会使许可证免费或减少可收费的许可证核心数。 这些标签使你可以将 Azure 计算机关联到已配置有应付核心的现有许可证上,而无需创建新的许可证或向免费计算机添加其他核心。
示例:
- 有 8 个 Windows Server 2012 R2 标准实例,每个实例有 8 个物理核心。 其中六台 Windows Server 2012 R2 标准计算机用于生产,2 台 Windows Server 2012 R2 标准计算机有资格使用免费 ESU,因为操作系统是通过 Visual Studio 开发测试订阅获得许可的。
- 你应当首先为属于标准版且具有 48 个物理核心的 Windows Server 2012/R2 预配并激活常规 ESU 许可证,以覆盖 6 台生产计算机。 应将此常规生产 ESU 许可证链接到六台生产服务器。
- 接下来,应重复使用此现有许可证,不要再添加任何核心或预配单独的许可证,并将此许可证链接到你的两台非生产 Windows Server 2012 R2 标准计算机。 应将 ESU 许可证和两台非生产 Windows Server 2012 R2 Standard 计算机标记为名称:“ESU 使用情况”和值:“WS2012 VISUAL STUDIO DEV TEST”。
- 这会导致 48 个核心的 ESU 许可证,你将为这 48 个核心付费。 只要正确标记 ESU 许可证和开发测试服务器资源,你就不用添加到许可证上的其余 16 个开发测试服务器核心付费。
注意
一开始需要一个常规生产许可证,而且仅将对生产核心进行计费。
从 Windows Server 2012/2012 R2 升级
将 Windows Server 2012/2012R 计算机升级到 Windows Server 2016 或更高版本时,无需从计算机中删除 Connected Machine 代理。 在升级完成后几分钟内,Azure 中的计算机会显示新的操作系统。 升级的计算机不再需要 ESU,并且不再有资格使用它们。 与与计算机关联的 ESU 许可证都不会自动取消与计算机的关联。 有关手动执行此操作的说明,请参阅取消关联许可证。
评估 WS2012 ESU 补丁状态
若要检测已启用 Azure Arc 的服务器是否使用最新的 Windows Server 2012/R2 扩展安全更新进行修补,可以使用 Windows Server 2012 Arc 计算机上安装 Azure Policy 扩展安全更新。 此策略定义由计算机配置提供支持,用于标识服务器是否收到了最新的 ESU 修补程序。 这可从 Azure 门户中内置的来宾分配和 Azure Policy 符合性视图观察到。