Összefoglalás
Egy biztonsági felülvizsgálat részeként megállapítottuk, hogy az Azure Stack Hub 2002-buildhez az Azure Stack Hub emelt szintű végpontjának feloldásához használt, Microsoft által birtokolt titkos kulcs nem lett megfelelően védve. A további vizsgálat nem talált bizonyítékot a titkos kulccsal való visszaélésre. A Microsoft nagy körültekintéssel biztosítja ezt a gyorsjavítást a kiemelt végponthoz használt nyilvános kulcs elforgatásához, és támogatja a zárolásfeloldási szekvenciát.
A titkos kulcs használatához a következő feltételeknek kell teljesülniük:
-
Az Azure Stack Hub-berendezéshez felhőalapú rendszergazdai hitelesítő adatokkal kell rendelkeznie.
-
Hálózati kapcsolattal kell rendelkeznie az Azure Stack Hub kiemelt végponti IP-címeihez. Vegye figyelembe, hogy ezek az IP-címek az elkülönített infrastruktúra-hálózaton találhatók. Normál üzembe helyezés esetén ezek a címek nem használnák ki az internetre irányítható IP-címeket, így a végpontok csak a belső/felügyeleti hálózatról érhetők el.
-
A titkos kulccsal kell feldolgoznia a kérdésre adott válasz támogatási jogkivonatát, és ezt kell használnia a kiemelt végpont feloldásához. Ez hasonló a Közvetlenül a Microsofttal folytatott támogatási forgatókönyvhöz, amelyet az Azure Stack Hub kiemelt végpontjának használata az Azure Stack Hubban című cikkben talál.
Ez a gyorsjavítás elforgatja az Azure Stack Hub 2002 kiemelt Azure Stack Hub-végpontjának feloldásához használt nyilvános kulcsot, és az összes korábbi 2002-ben használt gyorsjavítást tartalmazza. Javasoljuk, hogy minél hamarabb telepítse ezt a gyorsjavítást.
A korábbi gyorsjavítási kiadásokból felvetített javítások
-
Javult az SDN-hálózat megbízhatósága a fizikai csomópontokon.
-
Kijavítottunk egy hibát, amely miatt a virtuális alhálózat nem lett eltávolítva, ha az alagutat egy másik GW virtuális gépre helyezték át, majd a VGW-t törölték.
-
Kijavítottunk egy hibát, amely miatt a regisztráció és a belső titkos kulcs rotálása meghiúsult.
-
Memóriaspecifikus beállítások hozzáadva az összeomlási memóriakép beállításaihoz.
-
A kijavított SMB kezeli a TableServer 59-es ESENT-hibája által kiváltott érvénytelenítési problémát.
-
Kijavítottunk egy hibát, amely befolyásolta a későbbi frissítések letöltésének megbízhatóságát.
-
A NuGet-csomag telepítésének megbízhatósága javult váratlan hiba után.
-
Kijavítottunk egy hibát, amely miatt az előfizetés legördülő listájának érvényesítése meghiúsult, ha a felhasználó csak RG írási engedéllyel rendelkezik.
-
Kijavítottunk egy hibát, amely miatt a blobletöltési lap nagy méretű elemek letöltésekor hibát észlelt.
-
Kijavítottunk egy hibát, amely miatt a törölt tárfiókok megőrzési időszakának konfigurációja visszaállt.
-
Javítottuk a hálózati vezérlő stabilitását.
-
A hálózati vezérlő naplómegőrzésének növelése a diagnosztikában való támogatás érdekében.
-
Kijavítottunk egy hibát, amely miatt a Marketplace-letöltések tanúsítványérvényesítési hiba miatt meghiúsulhattak.
-
A központi telepítési szolgáltató identitástanúsítványának belefoglalása a belső titkos kulcsok rotálásába.
-
Kijavítottuk a Windows storage WMI-t, hogy a hívások válaszkészek maradjanak a tárolókezelési műveletek megbízhatóságának javítása érdekében.
-
TPM-állapotfigyelő hozzáadva a fizikai gazdagépekhez.
-
Az SQL-alapú virtuális gépek újraindultak, hogy mérsékeljék az adatbázis-hozzáféréssel kapcsolatos, a portálhoz való hozzáférést befolyásoló lehetséges problémákat.
-
A storage-blob és a table szolgáltatás megbízhatóságának javítása.
-
Kijavítottunk egy hibát, amely miatt a VMSS létrehozása a Standard_DS2_v2 termékváltozattal a felhasználói felületen keresztül mindig sikertelen volt.
-
Konfigurációfrissítési fejlesztések.
-
Kijavítottuk a DiskRP KVS enumerátorszivárgását a lemezműveletek megbízhatóságának javítása érdekében.
-
Újra engedélyezte a gazdagép összeomlási memóriaképeinek generálásának és az NMI-összeomlások lefagyások esetén történő aktiválásának lehetőségét.
-
Elhárítottuk a DNS-kiszolgáló CVE-2020-1350-ben leírt biztonsági rését.
-
A fürt instabilitását érintő változások.
-
A JEA-végpontok létrehozásának megbízhatósága javult.
-
Ki lett javítva a 20-nál nagyobb kötegméretű egyidejű virtuális gépek létrehozásának blokkolását feloldó hiba.
-
Javítottuk a portál megbízhatóságát és stabilitását, és olyan monitorozási képességgel bővült, amely újraindítja az üzemeltetési szolgáltatást, ha állásidőt tapasztal.
-
Elhárítottunk egy hibát, amely miatt egyes riasztások nem voltak felfüggesztve a frissítés során.
-
Továbbfejlesztett diagnosztikák a DSC-erőforrások hibáival kapcsolatosan.
-
Javítottuk az operációs rendszer nélküli üzembehelyezési szkript váratlan hibája által generált hibaüzenetet.
-
Rugalmasság hozzáadva a fizikai csomópontok javítási műveleteihez.
-
Kijavítottunk egy kódhibát, amely időnként a HRP SF-alkalmazás nem megfelelő állapotát okozta. Kijavítottunk egy kódhibát is, amely megakadályozta a riasztások frissítés közbeni felfüggesztését.
-
Rugalmasságot adott a képlétrehozás kódjának, ha a cél elérési útja váratlanul nem jelenik meg.
-
Hozzá van adva a lemezkarbantartó felület az ERCS virtuális gépekhez, és meggyőződett arról, hogy fut, mielőtt új tartalmat telepít a virtuális gépekre.
-
Továbbfejlesztett kvórumellenőrzés a Service Fabric-csomópont javításához az automatikus szervizelési útvonalon.
-
Továbbfejlesztett logika a fürtcsomópontok online állapotba helyezéséhez olyan ritka esetekben, amikor a külső beavatkozás váratlan állapotba hozza őket.
-
A motorkód továbbfejlesztett rugalmassága annak biztosítása érdekében, hogy a gépnév-házon belüli elírások ne okozzanak váratlan állapotot az ECE-konfigurációban, amikor manuális műveletekkel ad hozzá és távolít el csomópontokat.
-
Állapot-ellenőrzés hozzáadva az előző támogatási munkamenetekből részben befejezett állapotban maradt virtuális gépek vagy fizikai csomópontok javítási műveleteinek észleléséhez.
-
Továbbfejlesztett diagnosztikai naplózás a Tartalom NuGet-csomagokból való telepítéséhez a frissítés vezénylése során.
-
Kijavítottuk az AAD-t identitásrendszerként használó ügyfelek belső titkos kulcsváltási hibáját, és letiltottuk az ERCS kimenő internetkapcsolatát.
-
Az AzsScenarios Test-AzureStack alapértelmezett időtúllépése 45 percre nőtt.
-
Továbbfejlesztett HealthAgent frissítési megbízhatóság.
-
Kijavítottunk egy hibát, amely miatt az ERCS virtuális gépek javítása nem aktiválódott a javítási műveletek során.
-
Rugalmassá tette a gazdagép frissítését az elavult infrastruktúra virtuálisgép-fájljainak csendes hiba által okozott problémákkal szemben.
-
Hozzá lett adva egy megelőző javítás a certutil elemzési hibáihoz véletlenszerűen generált jelszavak használatakor.
-
A motorfrissítés előtt egy állapotellenőrzési kör hozzáadva, hogy a sikertelen rendszergazdai műveletek továbbra is futhassanak a vezénylési kód eredeti verziójával.
-
Kijavítottuk az ACS biztonsági mentési hibáját, amikor az ACSSettingsService biztonsági mentése először befejeződött.
-
Az Azure Stack AD FS-farm viselkedési szintje a 4-es verzióra frissült. Az 1908-zal vagy újabb verzióval üzembe helyezett Azure Stack Hubs már a 4-es verzión van.
-
A gazdagép frissítési folyamatának megbízhatósága javult.
-
Kijavítottunk egy tanúsítványmegújítási hibát, amely a belső titkos kulcsok rotálásának meghiúsulását okozhatta.
-
Kijavítottuk az új időkiszolgáló szinkronizálási riasztását, hogy kijavítsa azt a hibát, amely miatt helytelenül észlelt egy időszinkronizálási hibát, amikor az időforrást a 0x8 jelzővel adták meg.
-
Kijavítottunk egy érvényesítési megkötéssel kapcsolatos hibát, amely az új automatikus naplógyűjtési felület használatakor lépett fel, és azt észlelte
-
https://login.windows.net/ érvénytelen Azure AD végpontként.
-
Kijavítottunk egy hibát, amely megakadályozta az SQL automatikus biztonsági mentésének használatát az SQLIaaSExtension használatával.
-
Javította a Test-AzureStack a hálózati vezérlő tanúsítványainak ellenőrzésekor használt riasztást.
-
Az Azure Stack AD FS-farm viselkedési szintje a 4-es verzióra frissült. Az 1908-zal vagy újabb verzióval üzembe helyezett Azure Stack Hubs már a 4-es verzión van.
-
A gazdagép frissítési folyamatának megbízhatósága javult.
-
Kijavítottunk egy tanúsítványmegújítási hibát, amely a belső titkos kulcsok rotálásának meghiúsulását okozhatta.
-
Csökkentett riasztási eseményindítók a szükségtelen proaktív naplógyűjtemények elkerülése érdekében.
-
A tárolófrissítés megbízhatóságának javítása a Windows Health Service WMI-hívások időtúllépésének kiküszöbölésével.
Gyorsjavítás adatai
A gyorsjavítás alkalmazásához az 1.2002.0.35-ös vagy újabb verzióval kell rendelkeznie.
2002-es frissítés kibocsátási megjegyzéseiben leírtaknak megfelelően tekintse meg a Test-AzureStack futtatásával kapcsolatos frissítési tevékenység ellenőrzőlistát (a megadott paraméterekkel), és oldja meg a talált működési problémákat, beleértve az összes figyelmeztetést és hibát. Emellett tekintse át az aktív riasztásokat, és oldjon meg minden olyan riasztást, amely beavatkozást igényel.
Fontos AFájladatok
Töltse le a következő fájlokat. Ezután kövesse a Frissítések alkalmazása az Azure Stackben oldalon található utasításokat a Microsoft Learn webhelyén a frissítés Azure Stackre való alkalmazásához.
További információ
Az Azure Stack Hub frissítési erőforrásai
Frissítések kezelése az Azure Stackben – áttekintés
Frissítések alkalmazása az Azure Stackben
Frissítések monitorozása az Azure Stackben a kiemelt végpont használatával