Shrnutí
V rámci kontroly zabezpečení jsme zjistili, že privátní klíč uložený Microsoftem, který se používá k odemknutí privilegovaného koncového bodu služby Azure Stack Hub pro build Azure Stack Hub 2005, nebyl správně zabezpečený. Další šetření nenašlo žádné důkazy o zneužití soukromého klíče. Microsoft poskytuje tuto opravu hotfix, která obměně veřejného klíče používaného pro tento privilegovaný koncový bod podporuje odemčení sekvence.
Chcete-li použít tento privátní klíč, musí být splněny následující podmínky:
-
Pro zařízení Azure Stack Hub musíte mít přihlašovací údaje správce cloudu.
-
Musíte mít síťové připojení k IP adresě privilegovaného koncového bodu služby Azure Stack Hub. Všimněte si, že tyto IP adresy jsou v izolované síti infrastruktury. Při standardním nasazení by tyto adresy nepoužívaly IP adresy směrovatelné na internet, takže koncové body jsou přístupné jenom z vaší interní sítě nebo sítě pro správu.
-
Privátní klíč musíte použít ke zpracování tokenu podpory odpovědi na výzvu a použít ho k odemknutí privilegovaného koncového bodu. Podobá se scénáři podpory přímo s Microsoftem, jak je popsáno v článku o službě Azure Stack Hub s použitím privilegovaného koncového bodu ve službě Azure Stack Hub.
Tato oprava hotfix obměna veřejného klíče používaného k odemknutí privilegovaného koncového bodu služby Azure Stack Hub pro Azure Stack Hub 2005 a zahrnuje všechny předchozí opravy hotfix 2005. Důrazně doporučujeme nainstalovat tuto opravu hotfix co nejdříve.
-
Opravili jsme problém, který chybně vyvolal upozornění na nedostupný uzel pro umístění virtuálního počítače.
-
Odebrali jsme neplatné rozhraní pro opravu pro seedringservices.
-
Vylepšená spolehlivost sítě SDN na fyzických uzlech
-
Zakázaný winrrm runner.
Opravy zahrnuté v předchozích verzích oprav hotfix
-
Opravili jsme kontrolu chyb a vynucovali ochranu externích klíčů na sdílených svazcích clusteru.
-
Opravili jsme problém, kdy se účet úložiště mohl částečně obnovit kvůli konfliktu časování KVS v úloze využití srp na pozadí.
-
Opravili jsme problém, kdy se virtuální podsíť nevyčisťovala, pokud se tunel přesunul na jiný virtuální počítač GW a pak se odstranila virtuální síť.
-
Opravili jsme problém, který mohl způsobit selhání registrace a obměny interních tajných kódů.
-
Opravili jsme problém při obměně interních tajných kódů, který mohl způsobit selhání v další aktualizaci.
-
Přidání nastavení specifického pro paměť do nastavení výpisu stavu systému
-
Restartováním virtuálních počítačů SQL zmírníte potenciální problém s přístupem k databázi, který má vliv na přístup k portálu.
-
Oprava problému s zneplatněním popisovače SMB aktivovaným událostí ESENT 59 v TableServeru
-
Zahrnutý test AzsInfraRoleSummary Test-Azurestack jako UpdateReadiness
-
Byl opraven tlak paměti ERCS během aktualizace & opravy.
-
Zahrňte certifikát identity zprostředkovatele nasazení do obměny interního tajného klíče.
-
Vylepšená stabilita síťového adaptéru
-
Zvýšené uchovávání protokolů síťového adaptéru pro podporu diagnostiky
-
Ve výchozím nastavení jsme přidali Get-NetView jako součást kolekce Get-AzureStackLog.
-
Opravili jsme problém, kdy stahování z Marketplace mohlo selhat kvůli chybě ověření certifikátu.
-
Vylepšená logika binárního přepnutí HealthAgent
-
Vylepšené sdílené svazky clusteru se po aktualizaci Patch & Update (PnU) znovu vyvažují.
-
Používá se ADSI k načtení členů místní skupiny v HealthAgentu.
-
Přidali jsme chybějící záznamy, když virtuální počítače WASP nesynchronizují záznamy a zóny pomocí rutiny DNS během horizontálního navýšení kapacity a horizontálního navýšení kapacity.
-
Vylepšená spolehlivost služby úložiště během PnU.
-
Odebrání ověření kvóty veřejných IP adres, které způsobilo problém při vytváření interního nástroje pro vyrovnávání zatížení
-
Vyšší spolehlivost odstraňování virtuálních počítačů: Ujistěte se, že se odstraní nové virtuální počítače, které nebylo možné plně vytvořit nebo přidat do clusteru.
-
Zkontrolujte a vynuťte ochranu klíčů na sdílených svazcích clusteru.
-
Opravili jsme problém s odepřeným přístupem, který způsoboval selhání operací aktualizace a správy.
-
Opravili jsme whsFaultScanner, aby se znovu spustil, když se zaseknul, aby se uživatelům zajistilo správné vygenerování upozornění.
-
Opravili jsme chybu orchestrace, která bránila generování telemetrických událostí regenerace úložiště.
-
Opravili jsme problém, který ovlivnil spolehlivost stahování následných aktualizací.
-
Vylepšená schopnost diagnostikovat selhání na základě telemetrie orchestrátoru
-
Oprava konfliktu časování SRP při přesouvání účtů úložiště systému do interního předplatného systému během PnU 2005
-
Oprava chyby škálování časových jednotek v metrikách latence serveru
-
Restartováním virtuálních počítačů SQL zmírníte potenciální problém s přístupem k databázi, který má vliv na přístup k portálu.
-
Opravili jsme problém, kdy se obnovila konfigurace doby uchovávání odstraněných účtů úložiště.
-
Vyšší spolehlivost objektů blob úložiště a služby Table Service
-
Byl vyřešen problém v rutině PEP Send-AzureStackDiagnosticLog.
-
Zvětšila se doba opravy HRP v případě selhání aktualizace.
Informace o opravě hotfix
Chcete-li nainstalovat tuto opravu hotfix, musíte mít verzi 1.2005.6.53 nebo novější.
pro aktualizaci z roku 2005, ujistěte se, že odkazujete na kontrolní seznam aktivit aktualizace pro spuštění nástroje Test-AzureStack (se zadanými parametry) a vyřešte všechny nalezené provozní problémy, včetně všech upozornění a selhání. Zkontrolujte také aktivní výstrahy a vyřešte všechny, které vyžadují akci.
Důležité Jak je uvedeno v poznámkách k verziInformace o souborech
Stáhněte si následující soubory. Potom postupujte podle pokynů na stránce Použít aktualizace ve službě Azure Stack na webu Microsoft Learn a nainstalujte tuto aktualizaci do služby Azure Stack.
Více informací
Prostředky pro aktualizaci služby Azure Stack Hub
Správa aktualizací ve službě Azure Stack – přehled
Použití aktualizací ve službě Azure Stack
Monitorování aktualizací ve službě Azure Stack pomocí privilegovaného koncového bodu