Riepilogo

Come parte di una revisione della sicurezza, è stato stabilito che una chiave privata Microsoft, usata nel supporto dello sblocco dell'endpoint privilegiato dell'hub di Azure stack per la build di Azure stack Hub 2002, non è stata protetta correttamente. Ulteriori indagini non hanno rilevato alcuna prova dell'uso improprio della chiave privata. Per una grande quantità di cautela, Microsoft sta fornendo questo hotfix per ruotare la chiave pubblica usata per la sequenza di sblocco del supporto dell'endpoint privilegiato.  

Per usare questa chiave privata, è necessario che siano soddisfatte le condizioni seguenti:

  1. È necessario disporre delle credenziali di amministratore cloud per l'accessorio Hub di Azure stack.

  2. È necessario avere connettività di rete agli indirizzi IP dell'endpoint privilegiato dell'hub di Azure stack. Tieni presente che questi indirizzi IP si trovano nella rete di infrastrutture isolate. In una distribuzione standard, questi indirizzi non farebbero leva sugli indirizzi IP instradabili tramite Internet, rendendo gli endpoint accessibili solo dalla rete interna/gestionale.

  3. È necessario usare la chiave privata per elaborare il token di supporto della risposta alla richiesta e usarlo per sbloccare l'endpoint privilegiato. Questo è simile a uno scenario di supporto che si occupa direttamente con Microsoft, come descritto nell'articolo Hub di Azure Stack usando l'endpoint privilegiato in Azure stack Hub.

Questo hotfix ruota la chiave pubblica usata per sbloccare l'endpoint privilegiato di Azure stack hub per Azure stack Hub 2002 e include tutti i precedenti hotfix di 2002. Consigliamo vivamente di installare questo hotfix il più presto possibile. 

Correzioni riportate dalle versioni precedenti di hotfix

  • Maggiore affidabilità della rete SDN sui nodi fisici.

  • È stato risolto un problema in cui una subnet virtuale non veniva pulita se il tunnel è stato spostato in una VM GW diversa e quindi il VGW è stato eliminato.

  • È stato risolto un problema che potrebbe causare un errore di registrazione e rotazione nascosta interna.

  • Sono state aggiunte impostazioni specifiche della memoria alle impostazioni dei dump di arresto anomalo.

  • Problema di invalidità dell'handle SMB rimediato attivato dall'evento ESENT Error 59 in TableServer.

  • È stato risolto un problema che ha influenzato l'affidabilità del download di aggiornamenti successivi.

  • Maggiore affidabilità dell'installazione del pacchetto NuGet dopo un errore imprevisto.

  • È stato risolto un problema per cui la convalida a discesa dell'abbonamento non riesce quando l'utente ha solo l'autorizzazione di scrittura RG.

  • È stato risolto un problema in cui la pagina di download BLOB presenta un problema durante il download di elementi di grandi dimensioni.

  • È stato risolto un problema in cui viene ripristinata la configurazione del periodo di conservazione per gli account di archiviazione eliminati.

  • Stabilità migliorata del controller di rete.

  • Maggiore ritenzione del log del controller di rete per facilitare la diagnosi.

  • È stato risolto un problema per cui i download di Marketplace potrebbero non riuscire a causa di un errore di convalida certificato

  • Includere il certificato di identità del provider di distribuzione nella rotazione segreta interna.

  • Risolto Windows Storage WMI per mantenerla reattiva, per migliorare l'affidabilità delle operazioni di gestione dello spazio di archiviazione.

  • Aggiunto il monitor di stato TPM per gli host fisici.

  • Riavviato le VM SQL per mitigare il potenziale problema con l'accesso al database che influisce sull'accesso al portale.

  • Maggiore affidabilità dei BLOB di archiviazione e del servizio tabella.

  • È stato risolto un problema in cui la creazione di VMSS con l'Standard_DS2_v2 SKU tramite interfaccia utente ha sempre fallito.

  • Miglioramenti per l'aggiornamento della configurazione.

  • Correzione della perdita di enumeratore KVS in DiskRP per migliorare l'affidabilità delle operazioni su disco.

  • Riabilitazione della funzionalità per la generazione di dump di arresto anomalo host e trigger NMI per i blocchi.

  • Vulnerabilità del server DNS indirizzata descritta in CVE-2020-1350.

  • Modifiche che hanno affrontato l'instabilità del cluster.

  • Maggiore affidabilità della creazione di endpoint JEA.

  • Corretto un bug per sbloccare la creazione di VM simultanee in dimensioni batch di 20 o superiore.

  • È stata migliorata l'affidabilità e la stabilità del portale, aggiungendo una funzionalità di monitoraggio per riavviare il servizio di hosting in caso di downtime.

  • È stato risolto un problema per cui alcuni avvisi non sono stati sospesi durante l'aggiornamento.

  • Diagnostica migliorata intorno agli errori nelle risorse DSC.

  • Messaggio di errore migliorato generato da un errore imprevisto nello script di distribuzione bare metal.

  • Resilienza aggiunta durante le operazioni di ripristino di nodi fisici.

  • È stato risolto un difetto del codice che a volte causava l'integrità della app per la fantascienza HRP. È stato risolto anche un errore di codice che impediva la sospensione degli avvisi durante l'aggiornamento.

  • È stata aggiunta la resilienza al codice di creazione di immagini quando il percorso di destinazione non è presente.

  • Aggiunta dell'interfaccia di pulizia disco per le VM ROMANSITO e garantita che venga eseguita prima del tentativo di installare nuovi contenuti in tali VM.

  • Verifica del quorum migliorata per il ripristino del nodo del tessuto di servizio nel percorso di correzione automatica.

  • Logica migliorata per riportare i nodi di cluster online in casi rari in cui l'intervento esterno li inserisce in uno stato imprevisto.

  • La resilienza migliorata del codice motore per garantire che gli errori di battitura nell'involucro dei nomi di computer non causino uno stato imprevisto nella configurazione ECE quando si usano azioni manuali per aggiungere e rimuovere nodi.

  • È stato aggiunto un controllo dell'integrità per rilevare le operazioni di ripristino di VM o di nodi fisici rimasti in uno stato parzialmente completato dalle sessioni di supporto precedenti.

  • Registrazione diagnostica migliorata per l'installazione del contenuto da pacchetti NuGet durante l'orchestrazione degli aggiornamenti.

  • È stato risolto un errore di rotazione segreto interno per i clienti che usano AAD come sistema di identità e bloccano la connettività Internet in uscita ROMANSITO.

  • È stato aumentato il timeout predefinito di Test-AzureStack per AzsScenarios in 45 minuti.

  • Migliorata l'affidabilità degli aggiornamenti di HealthAgent.

  • È stato risolto un problema per cui le riparazioni VM di ROMANSITO VM non venivano attivate durante le azioni correttive.

  • L'aggiornamento dell'host ha reso resilienti i problemi causati da un errore silenzioso per la pulizia dei file VM dell'infrastruttura obsoleta.

  • È stata aggiunta una correzione preventiva per gli errori di analisi di certutil quando si usano password generate in modo casuale.

  • È stato aggiunto un ciclo di controlli di integrità prima dell'aggiornamento del motore, in modo che le operazioni di amministrazione non riuscite possano essere consentite per continuare a eseguire con la versione originale del codice di orchestrazione.

  • Errore di backup ACS risolto quando il backup di ACSSettingsService è terminato per primo.

  • Livello di comportamento della farm AD ADFS aggiornato in Azure stack a V4. Gli hub stack di Azure distribuiti con 1908 o versione successiva sono già presenti in V4.

  • Maggiore affidabilità del processo di aggiornamento dell'host.

  • È stato risolto un problema di rinnovo del certificato che avrebbe causato un errore di rotazione segreto interno.

  • È stato risolto il nuovo avviso di sincronizzazione del server temporale per correggere un problema in cui viene rilevato erroneamente un problema di sincronizzazione temporale quando l'origine dell'ora è stata specificata con il flag 0x8.

  • Correzione di un errore di vincolo di convalida che si è verificato quando si usa la nuova interfaccia di raccolta automatica del log ed è stato rilevato

  • https://login.windows.net/come endpoint di Azure AD non valido.

  • È stato risolto un problema che impediva l'uso di SQL auto backup tramite SQLIaaSExtension.

  • Correzione degli avvisi usati in Test-AzureStack per la convalida dei certificati del controller di rete.

  • Livello di comportamento della farm AD ADFS aggiornato in Azure stack a V4. Gli hub stack di Azure distribuiti con 1908 o versione successiva sono già presenti in V4.

  • Maggiore affidabilità del processo di aggiornamento dell'host.

  • È stato risolto un problema di rinnovo del certificato che avrebbe causato un errore di rotazione segreto interno.

  • Trigger di avviso ridotti per evitare raccolte di log proattive non necessarie.

  • Maggiore affidabilità dell'aggiornamento dello spazio di archiviazione eliminando il timeout delle chiamate WMI del servizio integrità Windows.

Informazioni sull'hotfix

Per applicare questo hotfix, è necessario avere la versione 1.2002.0.35 o successiva.


Importante Come illustrato nelle note sulla versione per l'aggiornamento di 2002, assicurarsi di fare riferimento all'elenco di controllo delle attività di aggiornamento sull'eseguire test-AzureStack (con parametri specificati) e risolvere eventuali problemi di funzionamento trovati, inclusi tutti gli avvisi e gli errori. Esaminare inoltre gli avvisi attivi e risolvere i problemi che richiedono un'azione.

Informazioni sui file

Scaricare i file seguenti. Seguire quindi le istruzioni della pagina Applica aggiornamenti in Azure stack nel sito Web Microsoft Docs per applicare questo aggiornamento a Azure stack.

Scaricare il file zip ora.

Scaricare il file XML hotfix ora.

Ulteriori informazioni

Risorse di aggiornamento di Azure stack Hub

Gestire gli aggiornamenti in Panoramica dello stack di Azure

Applicare gli aggiornamenti in Azure Stack

Monitorare gli aggiornamenti nello stack di Azure usando l'endpoint privilegiato

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?

Grazie per il feedback!

×